Ihre Meinung macht den Unterschied
Jetzt Feedback zum gematik Fachportal geben!
Unterstützen Sie uns dabei, das gematik Fachportal weiter zu verbessern.
Was funktioniert gut? Wo sehen Sie Optimierungsbedarf? Nehmen Sie sich einen Moment Zeit und bringen Sie Ihre Perspektive ein.
C_12188_Anlage_D_V1.0.0
Prereleases:
C_12188_Anlage
Inhaltsverzeichnis
1 Änderung in gemSpec_Kon
Anforderung A_23536-02 wird neu erhoben.
A_23536-02 - TUC_KON_159 - "Signaturdatenelemente nachbereiten"
Der Konnektor MUSS den technischen Use Case TUC_KON_159 "Signaturdatenelemente nachbereiten" umsetzen.
Tabelle 1: TAB_KON_892 – TUC_KON_159 „Signaturdatenelemente nachbereiten"
| Element |
Beschreibung |
| Name |
TUC_KON_159 „Signaturdatenelemente nachbereiten“ |
| Beschreibung |
Es wird für das verwendete Signaturzertifikat die Statusauskunft eingeholt, überprüft und falls gefordert, in die vorab erstellte Signatur eingebettet. |
| Auslöser |
TUC_KON_150 „Dokumente QES signieren“, TUC_KON_170 Dokumente mit Komfort signieren", TUC_KON_160 „Dokumente nonQES signieren“ |
| Vorbedingungen |
keine |
| Eingangsdaten |
•
signatureMode (Signaturart: QES | nonQES)
•
Signierte Dokumente / signiertes Dokument
•
signatureType
(URI für den Signaturtyp XML-, CMS-, S/MIME- oder PDF-Signatur)
•
Zertifikatsreferenz (zu verwendende Signatur-Identität)
•
includeRevocationInfo [Boolean] - optional; Default: true
(Dieser Parameter steuert die Einbettung von OCSP-Responses in die Signatur. true: Die Sperrinformationen werden in die Signatur eingebettet.) |
| Komponenten |
Konnektor, Kartenterminal, Signaturkarte |
| Ausgangsdaten |
•
Prüfergebnis für das Zertifikat
•
Signiertes Dokument/ Dokumente mit eingebetteter OCSP-Antwort
optional/nur wenn includeRevocationInfo = true |
| Standardablauf |
1. Ermitteln des Signaturzeitpunktes aus dem Signierten Dokument
2. Einholen einer OCSP-Response zur Zertifikatsreferenz mit TUC_PKI_006 mit Referenzzeitpunkt=Signaturzeitpunkt OCSP-Graceperiod=0 Timeout-Parameter=2s und extrahieren der OCSP_creation_Time 3. Wenn includeRevocationInfo=true und signatureMode=QES: Ermitteln der Zeitdifferenz dT = Signaturzeitpunkt - OCSP_Creation_Time Wenn 0 < dT < 2s , dann führe nach dT erneut TUC_PKI_006 aus 4. Signaturprüfung
a) Wenn signatureMode=QES und/oder includeRevocationInfo=true wird das Signaturzertifikat durch Aufruf von TUC_KON_037 „Zertifikat prüfen“{
certificate = Zertifikatsreferenz;
qualifiedCheck = if_QC_present; offlineAllowNoCheck = true; gracePeriod=0; validationMode = OCSP; ocspResponse = OCSP-Response aus (2) oder (3) }
geprüft. Die OCSP-Auskunft muss ausgewertet werden. Andere Zertifikatsprüfergebnisse können aus dem Cache genommen werden.
b) sonst
Aufruf von TUC_KON_037 „Zertifikat prüfen“{
certificate = Zertifikatsreferenz;
qualifiedCheck = if_QC_present; offlineAllowNoCheck = true; validationMode = OCSP} Zertifikatsprüfergebnisse können aus dem Cache genommen werden.
5.
Falls includeRevocationInfo== true wird die OCSP-Antwort gemäß des signatureType in die Signatur für jedes Dokument eingebettet.
signatureType = XMLDSig (XAdES) Einbettung der OCSP-Response im Sinne vom AdES-X-L; die base-64 kodierte OCSP-Response wird im Feld QualifyingProperties/UnsignedProperties /UnsignedSignatureProperties/RevocationValues /OCSPValues/EncapsulatedOCSPValue (selbst DER-kodiert) gespeichert. signatureType = CMS (CAdES) Ist die Einbettung von OCSP-Responses gefordert, wird die für die Offline-Prüfung notwendige OCSP-Antwort des EE-Zertifikats im Attribut SignedData.crls.other abgelegt. signatureType = PDF/A (PAdES) OCSP-Responses werden bei PAdES nicht eingebettet. |
| keine |
|
| Fehlerfälle |
(->2) Für MGM_LU_ONLINE=Enabled gilt: Liefert die Zertifikatsprüfung (OCSP-Abfrage) die Warnung CERT_REVOKED oder CERT_UNKNOWN gemäß [gemSpec_PKI#Tab_PKI_274], dann wird der TUC mit Fehler 4123 abgebrochen. |
| Nichtfunktionale Anforderungen |
keine |
| Zugehörige Diagramme |
keine |
Tabelle 2: TAB_KON_893 Fehlercodes TUC_KON_159 „Signaturdatenelemente nachbereiten
| Fehlercode |
ErrorType |
Severity |
Fehlertext |
|---|---|---|---|
| Neben den Fehlercodes der aufgerufenen technischen Use Cases können folgende weitere Fehlercodes auftreten: |
|||
| 4123 |
Security |
Error |
Fehler bei Signaturerstellung |
Anforderung A_23536-01 entfällt.
A_23536-01 - TUC_KON_159 - "Signaturdatenelemente nachbereiten"
Der Konnektor MUSS den technischen Use Case TUC_KON_159 "Signaturdatenelemente nachbereiten" umsetzen.
Tabelle 3: TAB_KON_892 – TUC_KON_159 „Signaturdatenelemente nachbereiten"
| Element |
Beschreibung |
| Name |
TUC_KON_159 „Signaturdatenelemente nachbereiten“ |
| Beschreibung |
Es wird für das verwendete Signaturzertifikat die Statusauskunft eingeholt, überprüft und falls gefordert, in die vorab erstellte Signatur eingebettet. |
| Auslöser |
TUC_KON_150 „Dokumente QES signieren“, TUC_KON_170 Dokumente mit Komfort signieren", TUC_KON_160 „Dokumente nonQES signieren“ |
| Vorbedingungen |
keine |
| Eingangsdaten |
•
signatureMode (Signaturart: QES | nonQES)
•
Signierte Dokumente / signiertes Dokument
•
signatureType
(URI für den Signaturtyp XML-, CMS-, S/MIME- oder PDF-Signatur)
•
Zertifikatsreferenz (zu verwendende Signatur-Identität)
•
includeRevocationInfo [Boolean] - optional; Default: true
(Dieser Parameter steuert die Einbettung von OCSP-Responses in die Signatur. true: Die Sperrinformationen werden in die Signatur eingebettet.) |
| Komponenten |
Konnektor, Kartenterminal, Signaturkarte |
| Ausgangsdaten |
•
Prüfergebnis für das Zertifikat
•
Signiertes Dokument/ Dokumente mit eingebetteter OCSP-Antwort
optional/nur wenn includeRevocationInfo = true |
| Standardablauf |
1.
Signaturprüfung
a) Wenn signatureMode=QES und/oder includeRevocationInfo=true wird das Signaturzertifikat durch Aufruf von TUC_KON_037 „Zertifikat prüfen“{
certificate = Zertifikatsreferenz;
qualifiedCheck = if_QC_present; offlineAllowNoCheck = true; gracePeriod=0; validationMode = OCSP; getOCSPResponses = includeRevocationInfo}
geprüft. Eine OCSP-Auskunft muss eingeholt werden. Andere Zertifikatsprüfergebnisse können aus dem Cache genommen werden.
b) sonst
Aufruf von TUC_KON_037 „Zertifikat prüfen“{
certificate = Zertifikatsreferenz;
qualifiedCheck = if_QC_present; offlineAllowNoCheck = true; validationMode = OCSP} Zertifikatsprüfergebnisse können aus dem Cache genommen werden.
2.
Falls includeRevocationInfo== true wird die OCSP-Antwort gemäß des signatureType in die Signatur für jedes Dokument eingebettet.
signatureType = XMLDSig (XAdES) Einbettung der OCSP-Response im Sinne vom AdES-X-L; die base-64 kodierte OCSP-Response wird im Feld QualifyingProperties/UnsignedProperties /UnsignedSignatureProperties/RevocationValues /OCSPValues/EncapsulatedOCSPValue (selbst DER-kodiert) gespeichert. signatureType = CMS (CAdES) Ist die Einbettung von OCSP-Responses gefordert, wird die für die Offline-Prüfung notwendige OCSP-Antwort des EE-Zertifikats im Attribut SignedData.crls.other abgelegt. signatureType = PDF/A (PAdES) OCSP-Responses werden bei PAdES nicht eingebettet. |
| Varianten/Alternativen |
keine |
| Fehlerfälle |
(->1) Für MGM_LU_ONLINE=Enabled gilt: Liefert die Zertifikatsprüfung (OCSP-Abfrage) die Warnung CERT_REVOKED oder CERT_UNKNOWN gemäß [gemSpec_PKI#Tab_PKI_274], dann wird der TUC mit Fehler 4123 abgebrochen. |
| Nichtfunktionale Anforderungen |
keine |
| Zugehörige Diagramme |
keine |
Tabelle 4: TAB_KON_893 Fehlercodes TUC_KON_159 „Signaturdatenelemente nachbereiten
| Fehlercode |
ErrorType |
Severity |
Fehlertext |
|---|---|---|---|
| Neben den Fehlercodes der aufgerufenen technischen Use Cases können folgende weitere Fehlercodes auftreten: |
|||
| 4123 |
Security |
Error |
Fehler bei Signaturerstellung |