Hallo:-) hab grad gesehen, dass ich vom 9.12. einen Logeintrag habe, dass die Kocobox über die Schlüssellänge des Clientzertifikats meckert - im Moment das ganze nur als status "Info" und läuft alles- kann ich das dauerhaft ignorieren oder gibt es ggf. irgendwann einen mir nur noch nicht bekannten Tag X, ab dem dann von jetzt auf gleich gar nichts mehr läuft, weil die Kocoxbüchse das dann ggf. gar nicht mehr akzeptiert? Hatte mir eigentlich geschworen, nachdem das Client-Zertifikat jetzt ja auch endlich 5 Jahre und nicht mehr nur 1 Jahr gilt, das auch voll auszukosten und war froh, hier keine schnell wiederkehrende Baustelle zu haben;-)
Allen ein schönes Wochenende und schönen 3. Advent:-)
Laut gemSpec_Kon (Konnektor-Spezifikation der Gematik) bedeutet EC_TLS_Client_Certificate_Security: "Das für die Authentifizierung gegenüber dem Clientsystem konfigurierte Zertifikat hat ein Sicherheitsniveau von weniger als 120bit. Zu verwenden ist ein RSA -Zertifikat mit mindestens 3000 bit Schlüssellänge oder ein ECC Zertifikat." Das RSA-Zertifikat ist nur 2048 Bits lang. Mit 3072 Bits würde die Fehlermeldung nicht mehr kommen, oder eben wenn man ein ECC-Zertifikat einsetzt. Im Moment ist die Meldung nur eine Info, die man zumindest die nächsten Monate ignorieren kann. Ansonsten ist nicht so wirklich klar, ob die RSA 2048-Zertifikate für die Client-Authentifikation bis Ende 2025 abgeschafft werden. Sicher ist, dass die Zertifikate in der TI-Infrastruktur ab 2026 nur noch ECC-basiert sind (Vereinbarung der Gesellschafter). Sicherheitshalber würde ich mal davon ausgehen, dass wir ab 2026 auch für die Client-Authentifikation besser auf ECC umsteigen. Es ist zwar noch nicht gesagt, dass die Gematik uns das vorschreibt, aber da sind ja noch die Konnektor-Hersteller, die ja nicht unbedingt bei den vorgeschriebenen Mindestanforderungen bleiben müssen sondern auch für sich höhere Standards festlegen können, was die Kommunikation zwischen Primärsystem und Konnektor angeht.
Ich würde daher: 1. die RSA-2048-Zertifikate erst einmal bis auf Weiteres benutzen 2. bei einem Wechsel gleich auf ECC gehen und keine neuen RSA-wielangauchimmer bauen
1 Mitglied findet das Top!
1 Mitglied hat sich bedankt!
Doch noch was gefunden: die aktuelle gemSpec_Kon 5.24 https://gemspec.gematik.de/downloads/gem...on_V5.24.0.html schreibt vor, dass ein Konnektor Zertifikate mit RSA-2048 nicht mehr erstellen oder Importieren darf, macht aber eine Ausnahme beim Einspielen des Backups oder bei einem Upgrade der Firmware, wenn das Zertifkat schon vorhanden ist (darf dann weiter genutzt werden).
-> Abschnitt A_21811-04 - Vorgaben für generierte und importierte Schlüssel und Zertifikate in der gemSpec_Kon
Es ist also sehr wahrscheinlich, dass mit dem nächsten Firmware-Update keine RSA-2048-Zertifikate mehr importiert werden können. Die Weiternutzung ist aber in der gemSpec_Kon noch erlaubt. RSA-3072 muss in der jetzigen gemSpec_Kon unterstützt werden.
1 Mitglied findet das Top!
1 Mitglied hat sich bedankt!
Ich habe eine Bestätigung der Entwicklung bekommen, dass es sich genauso verhält, wie swobspace angibt. Die JSON Schnittstelle ist dann nicht mehr für das Hochladen oder Erstellen dieser Zertifikate geeignet.
1 Mitglied findet das Top!
2 Mitglieder haben sich bedankt!