latest
Elektronische Gesundheitskarte und Telematikinfrastruktur
Übergreifende Spezifikation CAN-Policy
| Version | 1.0.0 |
| Revision | 1124736 |
| Stand | 30.05.2013 |
| Status | freigegeben |
| Klassifizierung | öffentlich |
| Referenzierung | gemSpec_CAN_TI |
Dokumentinformationen
Änderungen zur Vorversion
Es handelt sich hier um eine Erstveröffentlichung
Dokumentenhistorie
| Version |
Stand |
Kap./ Seite |
Grund der Änderung, besondere Hinweise |
Bearbeitung |
|---|---|---|---|---|
| 0.1.0 |
Ersterstellung |
ITS/SI |
||
| 0.5.0 |
24.05.13 |
zur Abstimmung freigegeben |
PL P706 |
|
| 1.0.0 |
30.05.13 |
freigegeben |
PL P706 |
|
| 1.0.0 | 06.06.13 | freigegeben | gematik |
Inhaltsverzeichnis
1 Einordnung des Dokumentes
1.1 Zielsetzung
Die übergreifende CAN-Policy gilt für Smartcards der TI, die eine kontaktlose Schnittstelle nutzen. Die Anforderungen der übergreifenden CAN-Policy stellen sicher, dass die CAN auf einem adäquaten Sicherheitsniveau geschützt wird.
1.2 Zielgruppe
Das Dokument richtet sich an Kartenherausgeber von kontaktlosen Karten im Gesundheitswesen. Derzeit sind dies eGK und HBA. Kartenherausgeber können Dritte mit der Kartenpersonalisierung beauftragen. In diesem Fall, in dem der Kartenherausgeber operative Aufgaben durch einen Dritten wahrnehmen lässt, muss der beauftragte Auftragnehmer die Anforderungen einhalten. Es bleibt jedoch in der Verantwortung des Kartenherausgebers sicherzustellen, dass der Beauftragte die Anforderungen umsetzt. Bei der Auswahl des Auftragnehmers ist hierauf zu achten.
1.3 Geltungsbereich
Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungsverfahren wird durch die gematik GmbH in gesonderten Dokumenten (z.B. gemPTV_ATV_Festlegungen, Produkttypsteckbrief, Leistungsbeschreibung) festgelegt und bekannt gegeben.
Wichtiger Schutzrechts-/Patentrechtshinweis:
Das vorliegende Sicherheitskonzept ist von der gematik allein unter technischen Gesichtspunkten erstellt worden. Im Einzelfall kann nicht ausgeschlossen werden, dass die Implementierung der Spezifikation in technische Schutzrechte Dritter eingreift. Es ist allein Sache des Anbieters oder Herstellers, durch geeignete Maßnahmen dafür Sorge zu tragen, dass von ihm aufgrund der Spezifikation angebotene Produkte und/oder Leistungen nicht gegen Schutzrechte Dritter verstoßen und sich ggf. die erforderlichen Erlaubnisse/Lizenzen von den betroffenen Schutzrechtsinhabern einzuholen. Die gematik übernimmt insofern keinerlei Gewährleistungen
1.4 Abgrenzung
Das Dokument definiert Anforderungen an Produkte und Verfahren, stellt jedoch keine Lösungsbeschreibungen dar.
1.5 Methodik
Für die genauere Unterscheidung zwischen normativen und informativen Inhalten werden die dem RFC 2119 [RFC2119] entsprechenden in Großbuchstaben geschriebenen, deutschen Schlüsselworte (MUSS, DARF NICHT, SOLL, SOLL NICHT, KANN) verwendet.
Sie werden im Dokument wie folgt dargestellt:
<AFO-ID> - <Titel der Afo>
Text / Beschreibung
[<=]
Dabei umfasst die Anforderung sämtliche innerhalb der Textmarken angeführten Inhalte.
2 Anforderungen an eine CAN
Smartcards in der TI (eGK und HBA) können neben einer kontaktbehafteten Schnittstelle optional eine kontaktlose Schnittstelle nutzen. Soll über die kontaktlose Schnittstelle auf die Karte zugegriffen werden, ist als zusätzliche Zugriffsbedingung die Eingabe der „Card Access Number“ (CAN) am Kartenterminal erforderlich. Die CAN ist eine auf der Karte aufgedruckte Nummer, die auch im Chip der Karte gespeichert ist.
Die CAN wird als gemeinsames Geheimnis für den Aufbau eines kryptographisch geschützten Kanals zwischen einer kontaktlosen Smartcard und einem Kartenterminal nach dem PACE-Protokoll (Password Authenticated Connection Establishment) [ICAO-MRTD-2010] verwendet.
Die Sicherheitsziele des Kanals sind:
- Skimming-Angriffe sollen verhindert werden. Der Besitzer der Smartcard soll durch selbstbestimmten Transfer der CAN an das Kartenterminal (entweder durch Eingabe via PIN-Pad oder durch optisches Lesen der auf der Smartcard aufgedruckten CAN durch das Kartenterminal) eine ungewollte Kommunikation der Karte mit einem Kartenterminal eines Angreifers verhindern.
- Die Vertraulichkeit, die Authentizität und die Integrität der anschließenden Kommunikation zwischen Smartcard und Kartenterminal soll geschützt werden.
Im Folgenden werden für die CAN vom Kartenherausgeber einzuhaltende Anforderungen beschrieben. Weitere Anforderungen an die CAN der spezifischen Karte können in den Spezifikationen zu den Karten festgelegt werden.
GS-A_5115 - Schutzbedarf der CAN
Der Kartenherausgeber oder, falls der Kartenherausgeber einen Dritten mit der Kartenpersonalisierung beauftragt, der Kartenpersonalisierer MUSS sicherstellen, dass die CAN in seinem System inklusive der Aushändigung der Karte an den Karteninhaber durch Maßnahmen und Prozesse geschützt wird, die den in Tab_SBF_CAN festgelegten Schutzbedarf wirksam gewährleisten.
Tabelle 1 – Tab_SBF_CAN, Schutzbedarfsfeststellung CAN
| Schutzziel |
Vertraulichkeit |
Integrität |
Authentizität |
|---|---|---|---|
| Schutzbedarf |
hoch |
mittel |
n.a. |
[<=]
GS-A_5116 - Zufällige CAN-Erzeugung
Der Kartenherausgeber oder, falls der Kartenherausgeber einen Dritten mit der Kartenpersonalisierung beauftragt, der Kartenpersonalisierer MUSS sicherstellen, dass die CAN zufällig oder pseudozufällig erzeugt wird.
[<=]
GS-A_5117 - Anforderungen an Zufallsgenerator für CAN-Erzeugung
Der Kartenherausgeber oder, falls der Kartenherausgeber einen Dritten mit der Kartenpersonalisierung beauftragt, der Kartenpersonalisierer MUSS sicherstellen, dass der zur Erzeugung der CAN verwendete Zufalls- oder Pseudozufallsgenerator die vorgegebenen Mindestanforderungen der gematik entsprechend [gemSpec_Krypt#GS-A_4367] erfüllt.
[<=]
GS-A_5118 - CAN-Speicherung nur für die Personalisierung der Karte
Der Kartenherausgeber oder, falls der Kartenherausgeber einen Dritten mit der Kartenpersonalisierung beauftragt, der Kartenpersonalisierer MUSS die CAN aus seinen Systemen unverzüglich löschen, sobald die CAN für die Personalisierung der Karte nicht mehr erforderlich ist.
[<=]
GS-A_5119 - Sicherer Transport und Speicherung der CAN beim Kartenherausgeber bzw. Kartenpersonalisierer
Der Kartenherausgeber oder, falls der Kartenherausgeber einen Dritten mit der Kartenpersonalisierung beauftragt, der Kartenpersonalisierer MUSS sicherstellen, dass die CAN während des Transportes und der Speicherung vor nicht autorisierter Aufdeckung und Weitergabe geschützt wird.
[<=]
GS-A_5120 - Verteilung der CAN auf das erforderliche Maß beschränken
Der Kartenherausgeber oder, falls der Kartenherausgeber einen Dritten mit der Kartenpersonalisierung beauftragt, der Kartenpersonalisierer MUSS sicherstellen, dass die Verteilung der CAN auf das absolut notwendige Maß eingeschränkt wird, um die Möglichkeiten zur Kompromittierung der CAN zu minimieren und potentielle Schäden zu beschränken.
[<=]
GS-A_5121 - Karteninhaber über Umgang mit CAN informieren
Der Kartenherausgeber MUSS den Karteninhaber über den Umgang mit der CAN auf der von ihm herausgegebenen Karte informieren.
[<=]
3 Anhang A – Verzeichnisse
3.1 Abkürzungen
| Kürzel |
Erläuterung |
|---|---|
| CAN |
Card Access Number |
| eGK |
elektronische Gesundheitskarte |
| HBA |
(elektronischer) Heilberufsausweis |
| PACE |
Password Authenticated Connection Establishment |
| TI |
Telematikinfrastruktur |
3.2 Glossar
Das Glossar wird als eigenständiges Dokument zur Verfügung gestellt.
3.3 Referenzierte Dokumente
3.3.1 Dokumente der gematik
Die nachfolgende Tabelle enthält die Bezeichnung der in dem vorliegenden Dokument referenzierten Dokumente der gematik zur Telematikinfrastruktur.
| [Quelle] | Herausgeber (Erscheinungsdatum): Titel |
|---|---|
| [gemSpec_Krypt] | gematik: Verwendung kryptographischer Algorithmen in der Telematikinfrastruktur |
3.3.2 Weitere Dokumente
| [Quelle] | Herausgeber (Erscheinungsdatum): Titel |
|---|---|
| [ICAO-MRTD-2010] | ICAO. Supplemental Access Control for Machine Readable Travel Documents, Technical Report, 2010 |