das Thema KIM + neue SMC-B bei gleicher Telematik-ID ist schon in mehreren Beiträgen am Rande angeklungen- speziell als Schwerpunkt haben wir es noch nicht angeschaut und die letztlich gleiche Frage wie meine von
Zitat von rfkoem im Beitrag Wechsel des KIM-Anbieters (kvdox >> CGM)wie ist das, wenn die smc-b abgelaufen ist. kann man mit der neuen nahtlos kim-nachrichten verschicken? wechseln im kartenleser genügt?
ist auch noch offen- daher mach ich jetzt hier nochmal eigenes Thema auf genau dafür:
Herr Langguth hat in einem anderen Beitrag gesagt:
Aber "funktioniert" wirklich alles "einfach weiter"? Oder muss ich nicht ggf. doch was speziell noch bei Wechsel der ablaufenden SMC-B gegen eine neue beachten?
Also bei Ersteinrichtung KIM hab ich ja explizit auf die zu der Zeit im System vorhandene aktuelle SMC- B registrieren müssen. Jetzt ist meine neue SMC-B drin- ist das dann wirklich so, dass das nahtlos vom KIM Client Modul so akzeptiert wird oder muss ich nicht dochzumindest die vorhandene KIM -Adresse in Bezug zur alten SMC-B erstmal deregistireren und dann mit dem gleichen Reg.Code auf die neue SMC-B dann neu registrieren? Oder wird das bei gleicher Telematik-ID gleich im Hintergrund so zugeordnet, dass das tatsächlich überhaupt nicht erforderlich ist noch zusätzlich?
MIr geht es darum, diese Frage noch in Ruhe vor der anstehenden TI Migration zu klären- denn hier kriegen wir ja nicht nur neuen Konnektor, sondern auch die sämltichen Smartcards aktuell rein.
Hat jemand hier schon dazu genau praktische Erfahrungen?
In Bezug auf KIM soll alles nahtlos weiterlaufen. Sie müssen natürlich die neue SMC-B im Konnektor dem entsprechenden Mandanten zuweisen und den Konnektor mit der neuen SMC-B neu registrieren.
Zitat von Junioruser1976 im Beitrag #1meine neue SMC-B drin- ist das dann wirklich so, dass das nahtlos vom KIM Client Modul so akzeptiert wird oder muss ich nicht dochzumindest die vorhandene KIM -Adresse in Bezug zur alten SMC-B erstmal deregistireren und dann mit dem gleichen Reg.Code auf die neue SMC-B dann neu registrieren? Oder wird das bei gleicher Telematik-ID gleich im Hintergrund so zugeordnet, dass das tatsächlich überhaupt nicht erforderlich ist noch zusätzlich?
Es ist genau so, wie vermutet: Es wir bei der Registrierung der KIM-Adresse die TID zugeordnet. Alles weitere läuft danach primär über die TID. Wenn KIM dann ein Zertifikat einer Ziel-KIM-Adresse benötigt, schaut er im Verzeichnisdienst nach der KIM-Adresse. Diese ist dort einem Basiseintrag zugeordnet. Und dieser Basiseintrag wird über die TID festgelegt. An diesem Basiseintrag hängen dann, neben Name und Postadresse, alle SMC-Bs (und KIM-Adressen), die diese TID enthalten (bzw. auf diese TID registriert wurden). Beim Versand wird dann immer für ALLE SMC-Bs verschlüsselt, die für die Zieladresse existieren. Daher kann man die eingehende Nachricht mit irgend einer dieser SMC-B entschlüsseln.
2 Mitglieder finden das Top!
1 Mitglied hat sich bedankt!
Viele Dank:-) Ich ergänze nochmal folgendes Bild vom eigenen KIM Client, was dann dazu meiner Meinung nach sehr gut passen sollte:
Also hier ist bei mir nämlich jetzt der Stand, dass ich noch(!) die alte SMC-B (das ist die mit....8221 am Ende) am Start habe und die neue SMC-B (das ist die mit ...42609) ist aber schon ausgeliefert + zertfikate sind freigeschaltet =) diese neue Folge-SMC-B erkennt der KIM bereits jetzt mit, weil er vermutlich eben nach meiner TI-ID fragt- und da das die gleiche bleibt, erkennt er bereits jetzt alle auf diese TI-ID registirerten SMC-Bs . Auch bereits jetzt, wo die neue SMC-B hier noch nicht lokal in der Anlage gesteckt wurde. Heißt: der KIM holt sich diese Infos hiermit sichtlich von zentral nach dezentral auf die lokale Maschine.
interessant finde ich, dass bei dieser Folge-SMC-B 2x die Kartennummer als Eintrag drin ist- hat das was zu bedeuten? Muss ich mir darüber sorgen machen oder kommt sowas vor;-)?
Die neue SMCB 2.1 hat zwei Verschlüsselungszertifikate ...einmal RSA und einmal ECC. Gezeigt wird im Bild ua die SubjectSerialNumber der Zertifikate, die ua aus der ICCSN der Karte gebildet wird. Beide Zertifikate - weil auf der selben Karte "befindlich" - haben die gleiche SubjectSerialNumber
2 Mitglieder finden das Top!
2 Mitglieder haben sich bedankt!
Auch hier nochmal vielen Dank für die Antwort, die mir sehr weiterhilft:
Ergänzende Frage zu
Zitat von DReul im Beitrag #5Die neue SMCB 2.1 hat zwei Verschlüsselungszertifikate ...einmal RSA und einmal ECC.
von CGM hab ich gehört im Webinar zum Thema Servermigration*, dass - glaub ich irgendwas RIchtung Ende 2024- End of life für die AES Verschlüsselung gibt und ab dann ECC verpflichtend angewendet werden müsse - und damit die SMC-B sowohl mit altem als auch neuen Verfahren zurecht kommt, hat sie übergangsweise jetzt beide Zertifikate bekommen - später, wenn alles auf ECC umgestellt ist, ist das nicht mehr nötig und dann reicht wieder ein Zertifikat - so richtig verstanden?
(*CGM tröstet uns ja bzlg. Konnektortausch im Moment u.a. damit, dass sie sagen, seid nicht traurig, Ende 2024 hättet ihr eh den Konnektor tauschen müssen, auch wenn wir nochmal die gSMC-K Zerts verlängert bekommen hätten , weil die Kocobox (jedenfalls die wohl der ersten Generation) ECC noch nicht können soll;-)
Zitat von Junioruser1976 im Beitrag #6glaub ich irgendwas RIchtung Ende 2024- End of life für die AES Verschlüsselung gibt und ab dann ECC verpflichtend angewendet werden müsse
Nicht AES, sondern RSA 😉 aber ja, nach BSI-Vorgaben soll RSA für diese Bereiche nach 2024 nicht mehr eingesetzt werden.