Elektronische Gesundheitskarte und Telematikinfrastruktur

Spezifikation

Festlegung von OIDs

    

     

      
Version
      
3.20.0
     
     

      
Revision
      
1067361
     
     

      
Stand
      
06.12.2024
     
     

      
Status
      
freigegeben
     
     

      
Klassifizierung
      
öffentlich
     
     

      
Referenzierung
      
gemSpec_OID
     
    

Dokumentinformationen

Änderungen zur Vorversion

Anpassungen des vorliegenden Dokumentes im Vergleich zur Vorversion können Sie der nachfolgenden Tabelle entnehmen.

Dokumentenhistorie

Inhaltsverzeichnis

1 Einordnung des Dokumentes

1.1 Zielsetzung

Die vorliegende übergreifende Spezifikation definiert Anforderungen für den Themenbereich PKI, die bei der Realisierung (bzw. dem Betrieb) von Produkttypen der TI zu beachten sind. Diese Anforderungen sind als übergreifende Regelungen relevant für Interoperabilität und Verfahrenssicherheit.

In diesem Dokument werden die Object Identifier (OIDs), die im Rahmen der Einführung der elektronischen Gesundheitskarte im deutschen Gesundheitssystem genutzt und ausgewertet werden, verbindlich festgelegt. Dies sind OIDs für Objekte, für Rollen und Dokumente.

1.2 Zielgruppe

Das Dokument richtet sich an Hersteller und Anbieter von Produkten der TI

1.3 Geltungsbereich

Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungs- oder Abnahmeverfahren wird durch die gematik GmbH in gesonderten Dokumenten (z. B. gemPTV_ATV_Festlegungen, Produkttypsteckbrief, Leistungsbeschreibung) festgelegt und bekannt gegeben.

Schutzrechts-/Patentrechtshinweis

Die nachfolgende Spezifikation ist von der gematik allein unter technischen Gesichtspunkten erstellt worden. Im Einzelfall kann nicht ausgeschlossen werden, dass die Implementierung der Spezifikation in technische Schutzrechte Dritter eingreift. Es ist allein Sache des Anbieters oder Herstellers, durch geeignete Maßnahmen dafür Sorge zu tragen, dass von ihm aufgrund der Spezifikation angebotene Produkte und/oder Leistungen nicht gegen Schutzrechte Dritter verstoßen und sich ggf. die erforderlichen Erlaubnisse/Lizenzen von den betroffenen Schutzrechtsinhabern einzuholen. Die gematik GmbH übernimmt insofern keinerlei Gewährleistungen.

1.4 Abgrenzungen

Dieses Dokument legt nur die OIDs fest, die speziell für den Aufbau und den Betrieb der Telematikinfrastruktur gemäß § 291 a SGB V benötigt werden. Allgemein nutzbare OIDs, wie z. B. die OIDs der auch (aber nicht nur) im Gesundheitswesen genutzten kryptographischen Verfahren, werden an anderer Stelle definiert und mit OIDs gekennzeichnet.

1.5 Methodik

Anforderungen als Ausdruck normativer Festlegungen werden durch eine eindeutige ID sowie die dem RFC 2119 [RFC2119] entsprechenden, in Großbuchstaben geschriebenen deutschen Schlüsselworte MUSS, DARF NICHT, SOLL, SOLL NICHT, KANN gekennzeichnet

Sie werden im Dokument wie folgt dargestellt:

<AFO-ID> - <Titel der Afo>
Text / Beschreibung
[<=]

Dabei umfasst die Anforderung sämtliche zwischen Afo-ID und Textmarken angeführten Inhalte.

1.5.1 Hinweis auf offene Punkte

Themen, die noch intern geklärt werden müssen oder eine Entscheidung, sind wie folgt im Dokument gekennzeichnet:

2 Systemüberblick

2.1 Grundlagen

Die Einführung der eGK basiert auf einer Vielzahl von Konzepten, Spezifikationen und sonstigen Beschreibungen. In einigen der Spezifikationen werden Schlüsselpaare und Zertifikate aus PK-Infrastrukturen beschrieben, die den jeweiligen Eigentümern eindeutig zugeordnet werden und zur Authentisierung, zum Signieren und zum Verschlüsseln genutzt werden.

Bei Umsetzung und Betrieb der Telematikinfrastruktur (TI) müssen Informationen ausgetauscht werden: sowohl in Dokumenten (z. B. Spezifikationen, Policies) als auch personenbezogene Informationen, wie z. B. Zertifikate. Dieser Austausch soll standardisiert erfolgen sowie die Bezeichnung und Identifizierung von Objekten und Konzepten muss umkehrbar eindeutig sein. Dies gilt speziell, da sich Sender und Empfänger nicht kennen können.

Unterschied zwischen Identifikationen (IDs) und Kodierungen: Eine ID deutet auf eine Instanz eines Objektes hin, z. B. eine bestimmte Person (z. B. ein Arzt) oder eine bestimmte Institution (z. B. ein Krankenhaus). Eine Kodierung hingegen kennzeichnet einen Typ: Typ des Leistungserbringers (z. B. Arzt) oder Typ der Institution (z. B. Arztpraxis). Bei dieser Art der Kodierung geht es somit nicht um ein bestimmtes Objekt, sondern um den zugeordneten Objekttyp.

Dafür werden OID (Object Identifier) genutzt. Es gilt folgende Definition:

Ein OID ist ein weltweit eindeutiger Bezeichner, der benutzt wird, um ein Informationsobjekt zu benennen. Ein OID stellt einen Knoten in einem hierarchisch zugewiesenen Namensraum dar, der durch den ASN.1-Standard definiert ist. Jeder Knoten ist durch eine Folge von Nummern eindeutig gekennzeichnet, die seine Position – beginnend an der Wurzel des Baumes – angibt. Neue Knoten zur eigenen Verwendung können bei den entsprechenden Autoritäten des übergeordneten Knotens beantragt werden. Die allgemeinen Regeln für die Vergabe und Registrierung von OIDs sind in den Normen ISO/IEC 9834 und DIN 66334 festgelegt. Die Verwaltung des OID-Baumes und die Sicherstellung der Eindeutigkeit von OIDs basieren auf der Übertragung der Zuständigkeit für den untergeordneten Knoten an den Besitzer einer OID.

Objekte im Sinne der OID-Definition sind persistente, wohl definierte Informationen, Definitionen oder Spezifikationen und werden als Identifikationen (IDs) und Kodierungen wiedergegeben.

2.2 Basisfunktionen

Damit die Eindeutigkeit der OID weltweit sichergestellt werden kann, werden in [ISO9834-1] Strukturen definiert, innerhalb derer die jeweiligen Identifier zugeordnet werden. Für die weltweite OID-Vergabe wurde eine Baumstruktur gewählt. Dabei werden bestimmte Abschnitte (Äste) durch festgelegte Organisationen verwaltet und die jeweils gültigen OIDs in einem von diesen Organisationen verantworteten Register veröffentlicht.

Eine OID hat keine semantische Bedeutung: Theoretisch könnte für jedes Objekt eine beliebige, weltweit eindeutige Kennung gewählt werden. Es hat sich aber bewährt, hierarchisch gegliederte Strukturen aufzubauen (siehe Kap. 2.1). Es muss betont werden, dass diese Gliederungen keine Bedeutung im Sinne einer organisatorischen Zuordnung haben, sondern nur der Zuweisung von Verantwortung zu bestimmten Knoten und damit der einfachen Interpretation der darunterliegenden Zweige dienen.

2.3 Lösungsansatz

Innerhalb der internationalen Festlegungen von OID-Strukturen hat das deutsche Gesundheitswesen die Wurzel-OID 1.2.276.0.76 zugewiesen bekommen. Diese Wurzel-OID wird vom DIMDI (Deutsches Institut für Medizinische Dokumentation und Information) verwaltet. Die weitere Strukturierung wird in Abbildung 1 gezeigt:

Abbildung 1: Unterstruktur der OIDs für das deutsche Gesundheitswesen

Zur Koordinierung der Vergabe von OIDs für den hier beschriebenen Zweck wurde eine AG OID des Kuratoriums für Fragen der Klassifikation im Gesundheitswesen (KKG) beim Bundesministerium für Gesundheit gegründet. Die AG OID erstellt Regeln für die Vergabe von OIDs im deutschen Gesundheitswesen und ist für die Einhaltung dieser Regeln verantwortlich. Sie berät bei Erweiterungen und Änderungen des zentralen OID-Konzeptes.

Die AG OID des KKG wird vom DIMDI koordiniert. Sie ist mit Vertretern aus der Selbstverwaltung und von Standardisierungsorganisationen besetzt.

Die AG OID des KKG gibt Empfehlungen ab, insbesondere

• zur Entwicklung und Pflege von OID im Gesundheitswesen für die in diesem Dokument beschriebenen Zwecke,
• zur Entwicklung von Anwendungshilfen für OID,
• zu Verfahrensfragen bei der Vergabe von OID,
• zu inhaltlichen Fragen,
• zu technischen Fragen,
• zur Vertretung des deutschen Standpunktes in internationalen Gremien, insbesondere in entsprechenden Gremien der Europäischen Union und der OID-Standardisierungsgremien.

Insbesondere darf eine Veränderung der Zuständigkeit für den Knoten 1.2.276.0.76 nur durch einen einstimmigen Beschluss der AG OID des KKG erfolgen.

3 OID-Festlegung

3.1 Allgemeine Regeln

Detaillierte Vorgaben für die Vergabe von OIDs im deutschen Gesundheitswesen für die in diesem Dokument beschriebenen Zwecke werden in dem gesonderten Dokument [DIMDI_OID] festgelegt, das von der AG OID des KKG erstellt und herausgegeben wird.

3.2 Allgemeine Festlegungen

Von den beteiligten Organisationen ist am 15.05.2008 beschlossen worden, alle OIDs in diesem Dokument mit Ausnahme der OID-Festlegung für Instanzen (siehe Kapitel 3.4) im Zweig 1.2.276.0.76.4 ohne weitere Unterteilung anzusiedeln.

Für alle im Folgenden dargestellten Festlegungen zur Vergabe der OIDs gilt: Die Listen zeigen die bisher festgelegten Werte und werden bei Bedarf erweitert. Dabei sind der Prozess der Registrierung und die dafür festgelegten Regeln der Vergabe zu beachten, die nicht Gegenstand dieses Dokuments sind.

3.3 Nutzung von OIDs in der Telematikinfrastruktur

Eine OID (intern oder extern) ist erst dann für die TI gültig, wenn sie im entsprechenden Register publiziert ist. Damit kann z. B. auch eine Testphase vom Wirkbetrieb abgegrenzt werden. Die jeweilige Organisation ist für die OID-Vergabe und die weiteren Verzweigungen ab dem von ihr verantworteten Knoten verantwortlich.

3.4 OID-Festlegung für Instanzen

Im Gesundheitswesen sind verschiedene Instanzen tätig. Diese Instanzen sollen durch OIDs identifizierbar sein. Unter den entsprechenden Knoten können auch instanzeigene Zweige geführt werden, in denen z. B. Dokumente, die nur in der jeweiligen Instanz benötigt werden, mit einer OID versehen werden können.

Tabelle 1: Tab_PKI_401 OID-Festlegung Instanz

3.5 OID-Festlegungen zur Verwendung in X.509-Zertifikaten

Zur Identifikation, zum Signieren und zum Verschlüsseln werden auf den in der TI eingesetzten Chipkarten Zertifikate gespeichert. Diese Zertifikate enthalten z. B. Informationen über Rollen, Institutionen, zugrunde liegende Policies und zu nutzende Algorithmen. Damit auswertende Systeme die Einhaltung der dafür gemachten Vorgaben überprüfen können, werden OIDs genutzt. Parallel dazu werden in den Zertifikaten für bestimmte Objekte auch textuelle Beschreibungen abgelegt, um eine auch für den Menschen leicht verständliche Bezeichnung verfügbar zu haben.

3.5.1 OID-Festlegung für Berufsgruppen und Institutionen

Auf der eGK werden verschiedene administrative und medizinische Daten gespeichert; außerdem erlaubt die eGK den Zugriff auf medizinische Daten, die über die TI in den jeweiligen Fachanwendungen abrufbar sind. Dabei muss sichergestellt werden, dass das Lesen, Ändern und Löschen dieser Daten nur durch im Gesetz definierte Gruppen von Berechtigten unter der Kontrolle des Karteninhabers möglich wird. Um dies technisch gewährleisten zu können, sind in den verschiedenen Zertifikaten der Zugriffsberechtigten und der zugehörenden Organisationen Felder für die Definition von Rollen festgelegt und über OIDs abgebildet.

3.5.1.1 OID-Festlegung Rolle für Berufsgruppen

In der Spezifikation [gemSpec_HBA_ObjSys] ist festgelegt, dass in den X.509-Zertifikaten des HBA die Rolle des jeweiligen Akteurs sowohl textuell (im Feld „ProfessionItem“) als auch als OID („ProfessionOID“) hinterlegt werden muss. Die Festlegung für beide Werte ist in der folgenden Tabelle enthalten.

Es wurde zusätzlich festgelegt, dass in jedem personenbezogenen Zertifikat die Rolle des jeweiligen Akteurs sowohl textuell (im Feld „ProfessionItem“) als auch als OID („ProfessionOID“) hinterlegt werden muss. Deshalb wurde auch die Rolle „Versicherter“ definiert, die in den entsprechenden Feldern der Zertifikate der Versicherten gespeichert werden muss.

3.5.1.2 Naming Authorities

3.5.1.3 OID-Festlegung für Institutionstypen für die SMC-B

Gemäß [gemSpec_SMC_ObjSys] muss in den X.509-Zertifikaten der SMC-B der Institutionstyp der jeweiligen Institution sowohl textuell („ProfessionItem“) als auch als OID („ProfessionOID“) hinterlegt werden. Die Festlegung für beide Werte ist in der folgenden Tabelle enthalten.

Die Vorgabe wurde auch für die X.509-Zertifikate weiterer Institutionen übernommen.

3.5.2 OID-Vergabe für Certificate Policies

Für den Betrieb einer Certification Authority (CA), werden verbindliche Regeln aufgestellt. Diese enthalten Vorgaben für den Betrieb der CA und für die Ausgabe, Verwaltung und Nutzung der von ihr ausgegebenen Zertifikate. Die Dokumente, in denen diese Regeln niedergelegt sind, heißen Policy-Dokumente. In den X.509-Zertifikaten wird über eine OID auf die für das jeweilige Zertifikat gültigen Policies referenziert. Damit kann jederzeit überprüft werden, welches Vertrauen einem bestimmten Zertifikat entgegengebracht werden kann. Die im deutschen Gesundheitswesen im Rahmen der TI genutzten Zertifikate dürfen nur von zugelassenen CAs ausgegeben werden, die nach genau festgelegten und vertraglich vereinbarten Policies arbeiten. Für ein bestimmtes Zertifikat kann die Einhaltung mehrerer Policies vorgeschrieben sein (z. B. Einhaltung der Basis-Policy der gematik, zusätzlich einschränkende Vorgaben durch die ergänzende Policy eines Sektors für seine Karten).

Tabelle 4: Tab_PKI_404 OID-Festlegung Certificate Policies in X.509-Zertifikaten

3.5.3 OID-Vergabe für den Zertifikatstyp

In verschiedenen Anwendungen in der TI reicht die Prüfung einer Rolle nicht aus. Es muss sichergestellt werden, dass auch die Art des Zertifikates ermittelt werden kann, da Zertifikate und die dazugehörenden Schlüssel nur für bestimmte, genau definierte Aufgaben genutzt werden dürfen. Dabei reicht die im Feld „keyusage“ des X.509-Zertifikates angegebene Festlegung unter Umständen nicht aus. Die einzelnen Zertifikatstypen der verschiedenen Karten werden deshalb über eine OID kodiert.

3.5.4 OID-Vergabe für technische Rollen

In der TI werden neben den Rollen für Personen und Institutionen auch technische Rollen definiert, an die bestimmte Berechtigungen geknüpft werden. In den entsprechenden X.509-Zertifikaten muss die technische Rolle als OID („ProfessionOID“) hinterlegt werden.

Da die in der Tabelle Tab_PKI_406-02 aufgeführten technischen Rollen nur in bestimmten Zertifikaten vorkommen können, werden neben den Rolleninformationen gültige Zertifikatsprofile benannt, in denen diese technischen Rollen auftreten dürfen. Diese Zertifikatsprofile werden in [gemSpec_PKI] definiert.

3.6 OID-Vergabe für Feldbezeichnungen in der TSL

In der TI werden für die Nutzung der Trust-service Status List (TSL) folgende Feldbezeichnungen definiert:

Tabelle 7: Tab_PKI_407 OID-Festlegung für Feldbezeichnungen in der TSL

3.7 OID-Festlegungen zur Verwendung in CV-Zertifikaten

Neben den X.509-Zertifikaten (OID-Verwendung siehe Kap. 3.5) werden in der TI auch CV-Zertifikate eingesetzt. Chipkarten der TI enthalten für die Authentisierung entsprechende Schlüsselpaare und zugehörige CV-Zertifikate.

3.7.1 OID-Festlegung für Flaglisten

Gemäß [EN 14890] und [TR-03110-3] wird die Berechtigung eines Zertifikatsinhabers, der auch im Besitz des zugehörigen privaten Schlüssels sein muss, in CV-Zertifikaten der Kartengeneration 2 durch eine Flagliste angegeben.

Tabelle 8: Tab_PKI_408 OID-Festlegung für Flag-Listen bei CV-Zertifikaten

3.8 OID-Vergabe für Sonstige Objekte

In der TI können OIDs für Objekte definiert werden, die keiner der vorher aufgeführten Kategorien zugeordnet werden können. Diese OIDs können in diesem Kapitel unter „OIDs für sonstige Objekte“ zusammengefasst werden.

Tabelle 9: Tab_PKI_409 OID-Festlegung für sonstige Objekte

3.9 OID-Vergabe für Dokumente

Es werden zunächst keine OIDs für Dokumente der gematik vergeben. Ausnahme: Policies, die über eine OID in Zertifikaten referenziert werden, siehe Kapitel 3.5.2.

4 Anhang A – Verzeichnisse

4.1 Abkürzungen

4.2 Glossar

Das Glossar wird als eigenständiges Dokument, vgl. [gemGlossar] zur Verfügung gestellt.

4.3 Abbildungsverzeichnis

4.4 Tabellenverzeichnis

4.5 Referenzierte Dokumente

4.5.1 Dokumente der gematik

Die nachfolgende Tabelle enthält die Bezeichnung der in dem vorliegenden Dokument referenzierten Dokumente der gematik zur Telematikinfrastruktur.

4.5.2 Weitere Dokumente

5 Anhang B – Nicht mehr verwendete OIDs

Gegenüber der letzten veröffentlichten Version 1.1.0 des Dokumentes wurden eine Reihe von OIDs aus dem Dokument entfernt. Diese OIDs beziehen sich auf Dienste, Anwendungen und damit verbundene technische Rollen sowie Zertifikatstypen, die für den Online-Rollout (Stufe 1) nicht relevant sind.

Im Kontext der OIDs für Policy-Dokumente betrifft dies Dokumente, die überarbeitet, gestrichen oder zusammengefasst wurden. Durch die Bindung der Dokumentenversion an eine OID sind damit für neue bzw. überarbeitete Dokumente auch neue OIDs notwendig.

Einmal zugewiesene OIDs bleiben gültig und werden vom DIMDI nicht zurückgezogen oder neu vergeben, sie können aber als "nicht mehr zu nutzen" gekennzeichnet werden.

Nachfolgend werden die nicht mehr verwendeten OIDs gelistet. Dies erlaubt es, an anderer Stelle referenzierte OIDs einfach zuzuordnen, ob sie weiterhin verwendet (Listung im Hauptdokument) oder nicht mehr verwendet (Listung im Anhang) werden.

Tabelle 10: Nicht mehr verwendete OIDs - Rolle im X.509-Zertifikat für Berufsgruppen

Tabelle 11: Nicht mehr verwendete OIDs - Institutionen im X.509-Zertifikat der SMC-B

Tabelle 12: Nicht mehr verwendete OIDs - Certificate Policies in X.509-Zertifikaten

Tabelle 13: Nicht mehr verwendete OIDs - Zertifikatstyp in X.509-Zertifikaten

Tabelle 14: Nicht mehr verwendete OIDs - technische Rolle in X.509-Zertifikaten

Tabelle 15: Nicht mehr verwendete OIDs - OID-Festlegung für Feldbezeichnungen in der TSL