Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Details Schlüsselmaterial

  • RKI generiert neues Schlüsselmateriel Schlüsselmaterial für asymmetrische Verschlüsselung mit folgenden Eigenschaften:

    • Bitlänge: 4096

    • Signaturalgorithmus: sha256RSA

    • Ausgestellt durch: anfangs selbst-signiert, ab Folgejahr durch PKI CA am RKI

    • Gültigkeitsdauer: bei selbst-signiertem Schlüssel 1y, danach 2y (ggf. Verlängerung mit privatem Schlüssel)

    • Schlüsselverwendung: Datenverschlüsselung

  • öffentlicher Schlüssel

    • gespeichert im PEM Format

    • wird den definierten Ansprechpersonen der Lieferregistern bekannt gegeben, sobald PKI CA anwendbar ist kann der public key via Webseite bekannt gemacht werden

  • privater Schlüssel

    • gespeichert im ECPrivate Key Format

    • verbleibt ausschließlich im RKI in Hand des Fachverantwortlichen und im KeyStore des entschlüsselnden Servers

Details Verschlüsselung

  • verwendeter Algorithmus für die Implementierung ist brainpoolP256r1 (in Anlehnung an RÜD Umsetzungsleitfaden 3.0.0)

  • Format zum Speichern der Bits als String: base64

  • Message Authentication Code (MAC) Algorithmus: HMAC mit SHA256 gem. BSI TR02102

  • Generierung des MAC keys: umgekehrte Bytereihenfolge des symmetrischen Schlüssels

  • Schlüsselableitungsfunktion: HMAC

  • Format zum Speichern des Tripels der ECIES Nachricht: JWT Format (erweitert um Initialisierungsvektor)

...

  • verschlüsselte Daten werden als payload in eine Datei eingebettet analog dem beim RÜD verwendeten Schema KKRTransport unter data in das Transportschema eingebettet

    • Institutskennzeichen receiver_ik kann nicht vergeben werden, darum Verwendung von dummy Wert 000000000

    • auf Signaturbildung wird verzichtet aufgrund der gewählten Sicherheitsarchitektur. Im Feld signatureAlgorithm kann dann ebenfalls ein dummy Wert verwendet werden, etwa none

    • alle Dateien werden dann in einen (bzw. einige) zip Ordner organisiert

...

  • die Lieferung erfolgt jährlich

  • Register generiert n Dateien mit Daten im Lieferschema gemäß Stückelung

  • es werden alle Daten erfasst (“Volllieferung”)

  • diese Daten werden pro Datei

    • verschlüsselt

    • in KKRTransport eingebettet

  • alle Dateien werden dann in einen (bzw. einige) zip Ordner organisiert

  • der Transport der zu liefernden Dateien erfolgt über den sicheren Austauschserver des RKI “cryptshare an ein Funktionspostfach im ZfKD

  • es wird ein Muster für ein bundesweit gültiges, jährlich wechselndes Transferpasswort mit den definierten Ansprechpersonen ausgetauscht aufgrund der Ende-zu-Ende-Verschlüsselung der transportierten Daten kann ein einheitliches Transportpasswortes verwendet werden

...