folgende Frage zum Thema E2EVerschlüsselung hab ich grad nochmal :
Diese E2EVerschlüsselung beim Hochladen des E-Rezept auf den Fachdienstserver - wie genau ist die umgesetzt? Und welche Schlüssel werden hier verwendet?
Verwendet der TI- VPN ohnehin die Schlüsselstruktur der PKI als Schlüsselkomponente? (also Prinzip "asymmetr. Verschlüsselung, public/private keys...) ?
Oder ist E2E beim VPN Protokoll das eine und eine ggf. zusäztliche Verschlüsselung der Inhalte des eRezepts wäre dan nochmal eine eigene andere Sache, also dass z.B: das eRezept selbst inhatllich zusätzlich nochmal nach signatur ausgehend via PKI vor Versand veschlüsselt wird?
Vermutlich hab ich die Frage, weil mir Grundwissen zum Thema VPN fehlt , aber ich trau mich trotzdem mal hiermit zu fragen und vielleicht mag eine/r , die /der mehr dazu weiß, mir das nochmal kurz in einfachen Worten genauer erklären?
folgende Frage zum Thema E2EVerschlüsselung hab ich grad nochmal :
Diese E2EVerschlüsselung beim Hochladen des E-Rezept auf den Fachdienstserver - wie genau ist die umgesetzt? Und welche Schlüssel werden hier verwendet?
Verwendet der TI- VPN ohnehin die Schlüsselstruktur der PKI als Schlüsselkomponente? (also Prinzip "asymmetr. Verschlüsselung, public/private keys...) ?
Oder ist E2E beim VPN Protokoll das eine und eine ggf. zusäztliche Verschlüsselung der Inhalte des eRezepts wäre dan nochmal eine eigene andere Sache, also dass z.B: das eRezept selbst inhatllich zusätzlich nochmal nach signatur ausgehend via PKI vor Versand veschlüsselt wird?
Vermutlich hab ich die Frage, weil mir Grundwissen zum Thema VPN fehlt , aber ich trau mich trotzdem mal hiermit zu fragen und vielleicht mag eine/r , die /der mehr dazu weiß, mir das nochmal kurz in einfachen Worten genauer erklären?
Verschlüsselung zwischen den Endpunkten erfolgt auf mehreren Ebenen: gSMC-K des Konnektors <=> VPN-Konzentrator des VPN-Zugangsdienstes = VPN(-Tunnel) (IPsec-Protokoll) und Darüber auf Transportebene nochmal TLS plus Verschlüsselung auf dem Server bei der Ablage.
Weil schon spät hier einfach mal ein Text von mir reinkopiert.
Die Vertraulichkeit der E-Rezepte auf dem Fachdienst wird – wie bei den Metadaten der ePA – über das Konzept einer VAU gesichert. Das ermöglicht die Verarbeitung der im E-Rezept-Fachdienst gespeicherten Daten im Klartext innerhalb des Verarbeitungskontextes. Außerhalb der VAU werden die Daten verschlüsselt abgelegt. Die Verschlüsselung erfolgt mit einem sog. Persistenzschlüssel, der vor dem Zugriff durch den Betreiber des E-Rezept-Fachdienstes geschützt in einem HSM gespeichert ist. Dieser symmetrische Schlüssel wird im Rahmen der Initialisierung an den vorab integritätsgeprüften Verarbeitungskontext übergeben. Auf eine Separierung unterschiedlicher Versichertenkontexte mittels eines versichertenindividuellen Kontextschlüssels – wie bei der ePA – wurde verzichtet, da grds. kein schreibender Zugriff für Versicherte auf den Fachdienst zulässig ist. Der Persistenzschlüssel wird regelmäßig gewechselt. Gem. § 360 Abs. 11 SGB V sind alle Verordnungs- und Dispensierdaten 100 Tage nach der Dispensierung einer Verordnung zu löschen.
Die Vertraulichkeit auf dem Transportweg von den Clientsystemen zur VAU wird mittels TLS abgesichert. Die VAU authentifiziert sich dabei gegenüber dem Clientsystem mit einer eigenen kryptographischen Identität.
1 Mitglied findet das Top!
1 Mitglied hat sich bedankt!
Zitat von Junioruser1976 im Beitrag #1olgende Frage zum Thema E2EVerschlüsselung hab ich grad nochmal :
Diese E2EVerschlüsselung beim Hochladen des E-Rezept auf den Fachdienstserver - wie genau ist die umgesetzt? Und welche Schlüssel werden hier verwendet?
Neben den Detailinfos von @fjh vielleicht noch diese Kurzform: Es gibt keine E2E-Verschlüsselung beim eRezept.
E2EE würde ja bedeuten, dass das eRezept auf Arztseite verschlüsselt würde und später nur der Versicherte selbst in seinem Smartphone bzw. die von ihm berechtigte(n) Apotheke(n) in ihren WaWis das eRezept entschlüsseln könnten - und sonst niemand.
Eine solche Forderung hört man zwar aus der Datenschutzhardcorebubble auf Twitter, macht jedoch wenig Sinn, da dann die Rezeptweitergabe an Vertreter ohne Smartphoneeinsatz des Versicherten und auch keinerlei serverseitige Workflowsteuerung auf Inhaltsebene mehr möglich wäre (was wir für spätere Verordnungsarten brauchen werden). Auch Versorgungsforschung (auf die ich beim eRezept als Mehrwert immer noch warte) wäre dann nicht mehr in der gesicherten VAU möglich.
Daher hat man sich bewusst dafür entschieden, "nur" die Transportstrecken (VPN, TLS) sowie die Klartextverarbeitung (VAU) zu sichern - ohne E2EE des Rezeptinhalts.
1 Mitglied findet das Top!
1 Mitglied hat sich bedankt!
sorry, dass ich mich erst jetzt dazu melde. Wollte mich aber hiermit nochmal sehr herzlich für die ausführliche Antwort - im besonderen zu so fortgeschrittener Stunde - bedanken.
Das hat mir nochmal als ergänzende Erklärung sehr weitergeholfen.
sorry, dass ich mich erst jetzt dazu melde. Wollte mich aber hiermit nochmal sehr herzlich für die ausführliche Antwort - im besonderen zu so fortgeschrittener Stunde - bedanken.
Das hat mir nochmal als ergänzende Erklärung sehr weitergeholfen.