C_11833_Anlage_V1.0.0
Prereleases:
1 Änderung in gemSpec_CM_KOMLE
3.2.2 Empfangen von großen Client-Mails
Der ausgelesenen Wert kann als Abgleich mit dem "size" Wert in der KIM-Attachment-Datenstruktur genutzt werden. Entspricht der Wert nicht dem dort hinterlegten Wert, dann wird der Download nicht durchgeführt.
A_23512-02 - Auswertung der KOM-LE-Version bei Nachrichten mit KAS-Content
Das Clientmodul MUSS beim Empfang einer KOM-LE-Nachricht mit einer KIM-Attachment-Datenstruktur, deren Größe den Wert 15 MiB übersteigt, prüfen, ob für den Empfänger eine Freigabe zum Empfang großer Nachrichten vorliegt. Ist dies nicht der Fall, MUSS das Clientmodul die Weiterverarbeitung der Nachricht und damit dem Abruf der KAS-Daten unterbinden. Das Clientmodul MUSS in diesem Fall eine Fehlernachricht an den Empfänger erzeugen. Als Fehlernachricht MUSS eine multipart/mixed MIME-Nachricht an das Clientsystem übermittelt werden, welche die verschlüsselte KOM-LE-S/MIME-Nachricht als eine message/rfc822 MIME-Einheit beinhaltet. So kann, nach Anpassung der KOM-LE-Version, die Nachricht an den Empfänger weitergeleitet und erneut abgerufen werden. Zusätzlich muss diese multipart/mixed MIME-Nachricht eine text/plain MIME-Einheit mit geeignetem Fehlertext enthalten. Die orig-date, from, sender, reply-to, to und cc Header-Elemente der neuen multipart/mixed Nachricht werden aus der empfangenen KOM-LE-S/MIME-Nachricht übernommen. Das subject Header-Element der neuen multipart/mixed Nachricht erhält den Wert „Die KIM-Nachricht kann nicht empfangen werden, weil der Empfang großer Nachrichten nicht aktiviert wurde“. Im Fehlertext der Nachricht muss der Empfänger darauf hingewiesen werden, dass eine Nachricht empfangen wurde, die aufgrund deren Größe gemäß der Account-Einstellung (KOM-LE-Version) nicht verarbeitet werden darf. Das Header-Element X-KIM-Fehlermeldung MUSS den Fehlercode 4018 enthalten. Es MUSS darauf hingewiesen werden, wie entsprechende Konfigurationen über den Account-Manager angepasst werden können und wie der Empfänger den Empfang durch Weiterleitung der Fehlernachricht wiederholen kann. [<=]
3.3.2.2 Verbindungsaufbau mit MTA
KOM-LE-A_2010-01 - Extrahieren von MTA-Adresse, Portnummer und Kartenaufrufkontext
Das Clientmodul MUSS den Benutzernamen, die MTA-Adresse, die zugehörige Portnummer und den Kartenaufrufkontext und, wenn vorhanden, die MTA-Adresse und die zugehörige Portnummer aus dem vom Clientsystem erhaltenen SMTP-Benutzernamen entsprechend Abbildung Abb_MTA_Nutzer_Name extrahieren. [<=]
3.3.4.1.1 Bearbeitung einer ungeschützten Nachricht
Da der Versand einer Nachricht an mehrere Empfänger erfolgen kann und das Clientmodul nicht erkennt, ob alle Empfänger ECC beherrschen, muss das Signieren einer Nachricht immer mit dem RSA-Schlüssel der SM-B erfolgen.
Zum Verschlüsseln der Nachricht bezieht das Clientmodul die erforderlichen Zertifikate aus dem Verzeichnisdienst der TI. Vor der Verwendung der Zertifikate für die Verschlüsselung muss das Clientmodul prüfen, ob der verwendete Konnektor die ECC-Kryptographie unterstützt. Ist dies nicht der Fall, dürfen im Verzeichnisdienst gefundene ECC-Zertifikate nicht für die Verschlüsselung benutzt werden. Unterstützt der Konnektor ECC, sind sowohl die RSA- als auch die ECC-Zertifikate für die Verschlüsselung zu verwenden. Durch diese Herangehensweise wird sichergestellt, dass auch Empfänger, die noch kein ECC beherrschen, die Nachricht entschlüsseln können. Dieses Prinzip gilt solange, bis alle TI-Beteiligten ECC beherrschen und somit die RSA-Zertifikate gesperrt sind. Wenn im Verzeichnisdienst der TI für den Empfänger nur ein RSA Zertifikat gefunden wird, dann wird mit RSA verschlüsseln. Wenn ein ECC- bzw. RSA- und ECC-Zertifikat gefunden wird, dann wird nur mit dem ECC-Zertifikat verschlüsselt.
A_23174-01 - Sicherstellung der Empfängeradressen
Das Clientmodul MUSS sicherstellen, dass nur die vom Clientsystem an das Clientmodul übergebenen E-Mail-Adressen die zuvor im SMTP-Kommando RCPT TO gemäß [KOM-LE-A_2176-01, A_19356-0x, KOM-LE-A_2176-0x] geprüft wurden, im Mail Header to und cc in der KOM-LE-Nachricht verbleiben.
[<=]
3.7 Administrationsmodul
Der Leistungserbringer verwendet das Administrationsmodul, um sich am Account Manager seines Fachdienstes zu registrieren
- Es wird eine serverseitig authentisierte TLS-Verbindung zwischen dem Administrationsmodul und dem Account Manager des Fachdienstes aufgebaut.
- Im Zuge des Registrierungsprozesses wird die Operation registerAccount() am Account Manager aufgerufen und folgende Parameter an den Account Manager übermittelt:
- die referenceId (wenn diese vom Anbieter übermittelt wurde),
- das initiale Passwort,
- eine E-Mail-Adresse,
- das neue Passwort (die Operation getServiceInformation der Schnittstelle I_ServiceInformation stellt die Password Policy des Anbieters bereit),
- die KIM-Version.
- optional Anwendungskennzeichen, handelt es sich um die erste E-Mail Adresse eines Verzeichnisdiensteintrags, wird das Standard Anwendungskennzeichen (StAK) "KIM-Mail" übergeben.
- optional eingeschränkte Befüllung der mail Attribute im VZD-Eintrag (Parameter "noVzdMailEntry", nur für Basis Consumer)
- Der Request wird mit dem Auth-Zertifikat der verwendeten Karte (HBA oder SMC-B) signiert
- Der KOM-LE-Anbieter trägt die angegebene E-Mail-Adresse sowie die KIM-Version in den Verzeichnisdienst ein
Konzeptionelle Hinweise zum Standard Anwendungskennzeichen:
Die Existenz eines StAKs soll es ermöglichen, eine KIM Mail auch bei nicht zur genutzten Anwendung passenden Anwendungskennzeichen zu versenden. Um dies sicherstellen zu können, wird innerhalb eines Fachdiensteintrages (FAD) im jeweiligen zu einer Telematik ID gehörenden Verzeichnisdiensteintrags ein StAK "KIM-Mail" hinterlegt. Sendersysteme können bei fehlendem passenden Anwendungskennzeichen auf den mit dem StAK markierten Eintrag im FAD des eigentlichen Empfängers zurückgreifen. Eine Änderung an den vereinbarten Anwendungskennzeichen darf daher nicht zur vollständigen Löschung eines existierenden StAK innerhalb eines FAD führen. Dahingehende notwendige Änderungen müssen durch das Administrationsmodul berücksichtigt werden, die Möglichkeit der Verlagerung des StAK innerhalb des FAD muss dem Nutzer ermöglicht werden.
3.7.1 Allgemeine Anforderungen
A_23713-01 - Clientmodul, Pflege der Anwendungskennzeichen
Das Clientmodul MUSS ein User Interface zur Pflege der Anwendungskennzeichen pro KIM-Adresse des Nutzers bereitstellen.
Die Änderungen an den Anwendungskennzeichen einer KIM-Adresse MUSS das Clientmodul über die Schnittstelle I_AccountManager_Service an den Account Manager übergeben. Es dürfen nur gültige Anwendungskennzeichen verwendet werden. Mindestens eine der KIM-Adressen der FAD im Verzeichnisdiensteintrag des Nutzers MUSS das Standard Anwendungskennzeichen "KIM-Mail" erhalten. Das Clientmodul MUSS den Wechsel zu einer anderen KIM-Adresse des Fachdiensteintrages im Verzeichnisdiensteintrag des Nutzers ermöglichen. Das Administrationsmodul MUSS in geeigneter Form die Auswahl einer E-Mail-Adresse anbieten, welche zukünftig das Standard Anwendungskennzeichen innerhalb des aktuellen Fachdiensteintrages bekommen soll. Diese getroffene Entscheidung MUSS als Bestandteil der Operation setAccount am Interface I_AccountManager_Service übergeben werden.
[<=]
Hinweis: Durch den Aufruf der Operation listAccounts, am Interface I_AccountManager_Service des Account Managers des jeweiligen KIM Fachdienstes, kann eine Liste der zu einer Telematik ID existierenden Accounts abgerufen werden. Dies ermöglicht es, die aktuell existierenden Anwendungskennzeichen in einem VZD Eintrag zu bestimmen.
3.7.2 Registrierung KOM-LE-Teilnehmer
A_19460-01 - Registrierungsdialog KOM-LE-Teilnehmer Administrationsmodul
Das Administrationsmodul MUSS die Registrierung des neuen KOM-LE-Teilnehmers im Dialog durchführen. Das Administrationsmodul MUSS prüfen ob es sich bei der zu registrierenden E-Mail-Adresse um die erste im FAD des Verzeichnisdiensteintrags handelt und, wenn dem so ist, den Nutzer darüber informieren das das Standard Anwendungskennzeichen seiner E-Mail-Adresse zugewiesen wird.
[<=]
3.7.3 Deregistrierung KOM-LE-Teilnehmer
A_26072 - Deregistrierung KOM-LE-Teilnehmer mit Standard Anwendungskennzeichen
Das Administrationsmodul MUSS die Deregistrierung des KOM-LE-Teilnehmers im Dialog durchführen. Im Verlauf der Deregistrierung MUSS der KOM-LE-Teilnehmer in geeigneter Form informiert werden, dass die Deregistrierung zur Löschung des Standard Anwendungskennzeichens führen wird. Das Administrationsmodul MUSS in geeigneter Form die Auswahl einer E-Mail-Adresse anbieten, welche zukünftig das Standard Anwendungskennzeichen innerhalb des aktuellen Fachdiensteintrages bekommen soll. Diese getroffene Entscheidung MUSS als Bestandteil der Operation deregisterAccount am Interface I_AccountManager_Service übergeben werden. [<=]
4.1.2 Transportsicherung zwischen Clientsystem und Clientmodul
A_25232-01 - TLS-Zertifikate für die Authentisierung gegenüber Clientsystemen
Das Clientmodul MUSS ein self signed Server-Zertifikat erzeugen und für den Import in ein Clientsystem bereitstellen können. Es gelten die kryptographischen Vorgaben aus [gemSpec_Krypt]. Das Zertifikat enthält den aktuellen Hostnamen des Clientmoduls, so dass eine reguläre Hostnamevalidierung möglich ist.
| Verfahren | Unterstützung |
|---|---|
| RSA-2048 | DARF NICHT unterstützt werden |
| RSA-3072 | MUSS unterstützt werden |
| ECC-256 mit NIST-Kurven |
MUSS unterstützt werden |
| ECC-256 mit brainpool-Kurven |
DARF NICHT unterstützt werden |
Die [gemSpec_Krypt] führt RSA-3072 nicht auf, macht jedoch allgemeine Vorgaben für RSA, die analog auf RSA-3072 anzuwenden sind.
Zusätzlich MUSS das Clientmodul die Möglichkeit anbieten, ein TLS-Server-Zertifikat (von z. B. einer eigenen CA) zu importieren.
Die TLS-Server-Authentisierung gegenüber dem Clientsystem erfolgt mit dem self signed Zertifikat oder alternativ mit dem importierten Zertifikat.
Das Clientmodul MUSS das self signed TLS-Server-Zertifikat automatisch vor Ablauf der Gültigkeit erneuern.
RSA-2048-Zertifikate dürfen bei der neuen Konfiguration von Zertifikaten (Generierung oder Import) nicht mehr verwendet werden. Eine Weiternutzung von bereits konfigurierten RSA-2048-Zertifikaten bis zu deren Ablauf ist zulässig.
[<=]
4.1.3 Transportsicherung zwischen Clientmodul und Konnektor
A_21223-02 - Verbindungen mit dem Konnektor bei LDAP
Bei der Verwendung des LDAP-Proxies im Konnektor MUSS das Clientmodul die Vorgaben aus [gemSpec_Kon#3.4] erfüllen.
Die folgenden Vorgaben sind einzuhalten:
- Es ist immer TLS für die LDAP Verbindungen zu verwenden,und
- für die Client-Authentifizierung bei LDAP ist nur die zertifikatsbasierte Client-Authentifizierung zu verwenden und
- die Verwendung von TLS mit oder ohne zertifikatsbasierter Client-Authentifizierung muss konfigurierbar sein.
2 Änderung in gemSpec_FD_KOMLE
3. Systemüberblick
Die Teilkomponente Account Manager prüft die Authentizität des Leistungserbringers/KOM-LE-Teilnehmers sowie dessen Registrierungs- bzw. Deregistrierungsdaten. Nach erfolgreicher Prüfung der Daten erfolgt die Registrierung bzw. Deregistrierung des KOM-LE-Teilnehmers inklusive der Aktualisierung seines Verzeichniseintrages bezüglich der E-Mail-Adresse. Weitere Funktionsumfänge des Account Managers sind die Verwaltung von Abwesenheitsnotizen, sowie das Eintragen der KIM-Version in den Verzeichnisdienst und die Verwaltung der Anwendungskennzeichen zu einer E-Mail-Adresse.
3.2. Funktionen des Account Managers
Über die Teilkomponente Account Manager des Fachdienstes wird die Kontoverwaltung eines KOM-LE-Teilnehmers durchgeführt. Zu dem Funktionsumfang gehören:
- die Verwaltung des Nutzer-Accounts
- Registrierung,
- Deregistrierung,
- Kennwortänderung,
- Wechsel der Telematik-ID,
- Löschfrist von E-Mail-Daten,
- Wechsel der eingesetzten KIM-Version,
- Anwendungskennzeichen zuweisen
- die Verwaltung von Abwesenheitsnotizen
- die Bereitstellung der PKCS#12-Dateien
A_19591-02 - Eintrag Clientmodul-Version in VZD, Account Manager
Der Account Manager MUSS die vom Clientmodul übermittelte KIM-Version (kimVersion) im Verzeichnisdienst in den KOM-LE-Fachdaten und in seiner lokalen Datenbank für die betroffene "mail"-Adresse eintragen. [<=]
A_26506 - Account Manger - Administration von Verzeichnisdiensteinträgen
Der Account Manager MUSS sicherstellen, dass die Administration von Verzeichnisdiensteinträgen durch ein KIM Clientmodul, bei Aufruf der Operation setAccount(), nur für die durch das Clientmodul aktiv übergebenen Attribute erfolgt. Für nicht geänderte Parameter MUSS der existierende Eintrag im VZD erhalten bleiben. [<=]
A_25824 - Account Manager, Standard Anwendungskennzeichen im VZD
Der Account Manager MUSS sicherstellen, dass mittels der Operationen registerAccount() oder setAccount() übermittelte Anwendungskennzeichen nicht zur vollständigen Löschung des Standard Anwendungskennzeichens "KIM-Mail" innerhalb eines Fachdiensteintrages des zugehörigen VZD Eintrages führen. Wird der Account Manager über die Operation deregisterAccount() mit der Deregistrierung eines Nutzers beauftragt, MUSS er prüfen, ob dies zur Löschung des Standard Anwendungskennzeichens innerhalb eines Fachdiensteintrages führt und dies in diesem Fall unterbinden. Der Account Manager MUSS solche nicht erlaubten Änderungen dem Administrationsmodul des KIM Clientmoduls mit dem Fehlercode 424 signalisieren. [<=]
.
4.3 Schnittstelle I_AccountManager_Service
.
Tabelle 9: Operationen vom Account Manager
| Operation |
URI |
Methode |
Request |
Response |
Beschreibung |
|---|---|---|---|---|---|
| registerAccount |
/account |
POST |
username password referenceID iniPassword kimVersion appTags noVzdMailEntry <JWT> |
<Status> |
Registrierung des Teilnehmers am KOM-LE-Fachdienst. - noVzdMailEntry ist nur für Basis Consumer vorgesehen |
| createCert | /account/{username}/cert | POST | username password certPassword commonName <JWT> |
<Status> <PKCS#12-Datei> |
Anforderung und Herunterladen der PKCS#12-Datei |
| setAccount | /account/{username} | PUT | username password(alt) password(neu) kimVersion dataTimeToLive appTags newStAKowner noVzdMailEntry <JWT> |
<Status> | Aktualisierung des Accounts: - Passwort - kimVersion - dataTimeToLive - Anwendungskennzeichen (appTags + neuer StAK Account (opt.)) - noVzdMailEntry ist nur für Basis Consumer vorgesehen |
| getAccount | /account/{username} | GET | username password <JWT> |
<Status> username kimVersion regStat deregDate appTags |
Lesen der Account Attribute. |
| revokeDeregistration | /account/{username}/revokeDeregistration | PUT | username password <JWT> |
<Status> | Rücknahme der Deregistrierung eines Accounts |
| getOTP | /account/{username}/OTP | GET | username password <JWT> |
<Status> OTP |
Liest für den KIM Account/E-Mail Adresse ein One-Time-Passwort (OTP) aus, mit dem die E-Mail-Adresse zu einer Telematik-ID (Karte) portiert werden kann. |
| setTID | /account/{username}/telematikID | POST | username password <JWT> OTP |
<Status> | Entfernt die E-Mail-Adresse vom bisherigen VZD-Eintrag und trägt die für den aktuellen VZD-Eintrag (der den Authentisierungsdaten dieser Operation setTID entspricht) ein. |
| updateOutOfOffice | /account/{username}/outofoffice | PUT | username password startDate endDate message active <JWT> |
<Status> | Einstellung der Abwesenheitsnotiz für den Account aktualisieren |
| getOutOfOffice | /account/{username}/outofoffice | GET | username password <JWT> |
<Status> startDate endDate message active |
Einstellung der Abwesenheitsnotiz für den Account lesen |
| deregisterAccount |
/account/{username} |
DELETE | username password newStAKowner <JWT> |
<Status> |
Deregistrierung des Teilnehmers am KOM-LE-Fachdienst. neuer StAK Account (opt.) |
| listAccounts | /account/{username}/telematikID | GET | username password <JWT> |
<Status> array: referenceId username kimVersion regStat deregDate appTags |
Lesen aller, für eine Telematik ID, existierenden Accounts. |
3 Änderungen an Schnittstellenbeschreibungen auf GitHub
AccountManager.yaml
Neuer Fehlercode 424 zur Signalisierung der Löschung des Standard Anwendungskennzeichen in einem Verzeichnisdiensteintrag.
Anpassung der Operation setAccount und deregisterAccount