Ihre Meinung macht den Unterschied
Jetzt Feedback zum gematik Fachportal geben!

Unterstützen Sie uns dabei, das gematik Fachportal weiter zu verbessern.
Was funktioniert gut? Wo sehen Sie Optimierungsbedarf? Nehmen Sie sich einen Moment Zeit und bringen Sie Ihre Perspektive ein.

Hier geht es zur Umfrage

C_12671_Anlage_V1.0.0

Prereleases:

PDF HTML Excel XML
C_12671_Anlage_V1.0.0

C_12671_Anlage

Inhaltsverzeichnis

1 Änderungsbeschreibung

Die Spezifikation zum ePA-Aktensystem nimmt derzeit an einigen Stellen an, dass es genau zwei Aktensysteme gibt. Diese Stellen in der Spezifikation sind anzupassen, so dass es eine beliebige Anzahl von Aktensystemen geben kann.

2 Änderung in gemSpec_Aktensystem

2.1 Anpassung von Abschnitt "2.1 Aktensystem- und Service-Lokalisierung"

Es wird die Tabelle mit den Zuordnungen der "ePA-Anbieter-Zahl" aus dem Spezifikation entfernt., da diese außerhalb der Spezifikation veröffentlicht werden,

Folgende Zuordnungen der "ePA-Anbieter-Zahl" wurden vorgenommen:

ePA-Anbieter-Zahl Anbieter / Betreiber
1 IBM
2 Bitmarck Technik

Sobald ein neuer Anbieter/Betreiber hinzukommt, wird diesem die kleinste, nicht belegte Ziffer (>0) durch die gematik zugewiesen.

Die "ePA-Anbieter-Zahl" für einen Aktensystembetreiber ist unter https://service.gematik.de/servicedesk/customer/kb/view/729781779 veröffentlicht.

...

D. h. ein ePA-Client aus der TI (Primärsystem) kennt die für ihn zwei relevanten FQDNs (z.B. PU: epa-as-1.prod.epa4all.de und epa-as-2.prod.epa4all.de) und verwendet diese um die beiden Aktensystem zu kontaktieren. Eine dynamisch konfigurierbare Anzahl der Anbieter in einem Primärsystem wird aktuell nicht in der Spezifikation gefordert.

2.2 Anpassung in Abschnitt "3.3 Sichere Speicherung sensibler Schlüssel und Informationen im VAU-HSM"

Im VAU-HSM müssen die ENC-Zertifikate aller Aktensystembetreibers aeingebracht und gespeichert werden.

A_24611-08 - ePA-Aktensystem - Im VAU-HSM gespeicherte Schlüssel und Informationen für VAU-Betrieb

Das ePA-Aktensystem MUSS sicherstellen, dass folgende, für den Betrieb der VAU notwendigen Schlüssel und Informationen in einem HSM (als VAU-HSM bezeichnet) gespeichert werden:

  • privater Schlüssel der Authentisierungsidentität der Aktenkontoverwaltungs-VAU (u.a. genutzt für die Authentisierung der VAU beim Aufbau des VAU-Kanals)
  • ggf. private Schlüssel der Authentisierungsidentität der Befugnisverifikations-VAU
  • ggf. private Schlüssel der Authentisierungsidentitäten für Service-VAUs
  • privater Schlüssel der Verschlüsselungsidentität der VAU
  • privater Schlüssel der Signaturidentität der VAU
  • Zertifikate C.FD.ENC mit professionOID oid_epa_vau für die Verschlüsselungsidentitäten desr anderen ePA-Aktensystembetreibers
  • Zertifikat C.ZD.SIG mit professionOID oid_popp-token für die Token-Signatur-Identität des PoPP-Services
  • Masterkeys für die Ableitung der versichertenindividuellen Datenpersistierungsschlüssel
  • Masterkeys für die Ableitung der versichertenindividuellen Befugnispersistierungsschlüssel
  • Masterkeys für die Ableitung der versichertenindividuellen Überschlüsselungsschlüssel (vgl. Abschnitt "Umschlüsselung und Überschlüsselung")
  • symmetrische Schlüssel für die HMAC-Prüfung der VSDM-Prüfziffern (jeweils einen pro VSD-Dienst-Betreiber), die im Kontext der Prüfziffer Version 2 auch als gemeinsames Geheimnis bezeichnet werden.
  • symmetrischer Schlüssel für CMAC (zur Sicherung der registrierten Befugnisse)
  • Hashwertrepräsentationen der erlaubten VAU-Software und VAU-Hardware (für die Aktenkontoverwaltungs-VAU, ggf. für die Befugnisverifikations-VAU und ggf. für Service-VAUs)
  • Root-CA (nur, falls das Befugnisverifikations-Modul im VAU-HSM läuft).

[<=]

A_24612-06 - ePA-Aktensystem - Erzwingen von 4-Augen-Prinzip für Einbringen und Verwalten von Informationen ins VAU-HSM

Das ePA-Aktensystem MUSS technisch erzwingen, dass die folgenden, für den Betrieb der VAU notwendigen Schlüssel und Informationen ausschließlich im 4-Augen-Prinzip in das VAU-HSM eingebracht und verwaltet werden können:

  • privater Schlüssel der Authentisierungsidentität der Aktenkontoverwaltungs-VAU
  • ggf. privater Schlüssel der Authentisierungsidentität der Befugnisverifikations-VAU
  • ggf. private Schlüssel der Authentisierungsidentitäten für Service-VAUs
  • privater Schlüssel der Verschlüsselungsidentität der VAU
  • privater Schlüssel der Signaturidentität der VAU
  • Zertifikate C.FD.ENC mit professionOID oid_epa_vau für die Verschlüsselungsidentitäten desr anderen ePA-Aktensystembetreibers
  • Zertifikat C.ZD.SIG mit professionOID oid_popp-token für die Token-Signatur-Identität des PoPP-Services
  • symmetrische Schlüssel für HMAC der VSDM-Prüfziffer (jeweils einen pro VSD-Dienst-Betreiber), die im Kontext der Prüfziffer Version 2 auch als gemeinsames Geheimnis bezeichnet werden.
  • symmetrischer Schlüssel für CMAC (zur Sicherung der registrierten Befugnisse)
  • Hashwertrepräsentationen der erlaubten VAU-Software und VAU-Hardware (für die Aktenkontoverwaltungs-VAU, ggf. für die Befugnisverifikations-VAU und ggf. für Service-VAUs)
  • Root-CA (nur, falls das Befugnisverifikations-Modul im VAU-HSM läuft).

[<=]

A_24614-07 - ePA-Aktensystem - Einbringung von Informationen ins VAU-HSM im 4-Augen-Prinzip mit der gematik

Der Betreiber des ePA-Aktensystems MUSS sicherstellen, dass die folgenden, für den Betrieb der VAU notwendigen Schlüssel und Informationen ausschließlich im 4-Augen-Prinzip ins VAU-HSM eingebracht und im VAU-HSM verwaltet werden, bei dem eine von der gematik benannte Person beteiligt ist:

  • privater Schlüssel der Authentisierungsidentität der Aktenkontoverwaltungs-VAU
  • ggf. private Schlüssel der Authentisierungsidentität der Befugnisverifikations-VAU
  • ggf. private Schlüssel der Authentisierungsidentitäten für Service-VAUs
  • privater Schlüssel der Verschlüsselungsidentität der VAU
  • privater Schlüssel der Signaturidentität der VAU
  • Zertifikate C.FD.ENC mit professionOID oid_epa_vau für die Verschlüsselungsidentitäten desr anderen ePA-Aktensystembetreibers
  • Zertifikat C.ZD.SIG mit professionOID oid_popp-token für die Token-Signatur-Identität des PoPP-Services
  • symmetrische Schlüssel für HMAC der VSDM-Prüfziffer (jeweils einen pro VSD-Dienst-Betreiber), die im Kontext der Prüfziffer Version 2 auch als gemeinsames Geheimnis bezeichnet werden.
  • symmetrischer Schlüssel für CMAC (zur Sicherung der registrierten Befugnisse)
  • Hashwertrepräsentationen der erlaubten VAU-Software und VAU-Hardware (für die Aktenkontoverwaltungs-VAU, ggf. für die Befugnisverifikations-VAU und ggf. für Service-VAUs)
  • Root-CA (nur, falls das Befugnisverifikations-Modul im VAU-HSM läuft).

[<=]

A_24618-07 - ePA-Aktensystem - Zugriff auf Schlüssel und Informationen im VAU-HSMDas ePA-Aktensystem MUSS sicherstellen, dass auf die folgenden, für den Betrieb der VAU notwendigen und im VAU-HSM gespeicherten Schlüssel und Informationen ausschließlich über attestierte VAU-Instanzen zugegriffen werden kann:

  • privater Schlüssel der Authentisierungsidentität der VAU ausschließlich durch eine Aktenkontoverwaltungs-VAU-Instanz
  • privater Schlüssel der Authentisierungsidentität der Befugnisverifikations-VAU ausschließlich durch eine Befugnisverifikations-VAU-Instanz
  • privater Schlüssel der Authentisierungsidentität eines Service-VAU-Typs ausschließlich durch eine Service-VAU-Instanz dieses Service-VAU-Typs
  • privater Schlüssel der Verschlüsselungsidentität der VAU ausschließlich durch eine Aktenkontoverwaltungs-VAU-Instanz
  • privater Schlüssel der Signaturidentität der VAU ausschließlich durch eine Aktenkontoverwaltungs-VAU-Instanz
  • Zertifikate C.FD.ENC mit professionOID oid_epa_vau für die Verschlüsselungsidentitäten desr anderen ePA-Aktensystembetreibers ausschließlich durch eine Aktenkontoverwaltungs-VAU-Instanz
  • Zertifikat C.ZD.SIG mit professionOID oid_popp-token für die Token-Signatur-Identität des PoPP-Services
  • Masterkeys für die Ableitung der versichertenindividuellen Datenpersistierungsschlüssel ausschließlich durch eine Aktenkontoverwaltungs-VAU-Instanz
  • Masterkeys für die Ableitung der versichertenindividuellen Befugnispersistierungsschlüssel ausschließlich durch eine Aktenkontoverwaltungs-VAU-Instanz
  • Masterkeys für die Ableitung der versichertenindividuellen Überschlüsselungsschlüssel (vgl. Abschnitt "Umschlüsselung und Überschlüsselung") ausschließlich durch die Aktenkontoverwaltungs-VAU-Instanz oder durch eine dedizierte Überschlüsselungs-VAU
  • symmetrische Schlüssel für HMAC der VSDM-Prüfziffer (jeweils einen pro VSD-Dienst-Betreiber), die im Kontext der Prüfziffer Version 2 auch als gemeinsames Geheimnis bezeichnet werden, ausschließlich durch eine Aktenkontoverwaltungs-VAU-Instanz oder eine Befugnisverifikations-VAU-Instanz
  • symmetrischer Schlüssel für CMAC (zur Sicherung der registrierten Befugnisse) ausschließlich durch eine Aktenkontoverwaltungs-VAU-Instanz oder eine Befugnisverifikations-VAU-Instanz.

[<=]

2.3 Anpassung in Abschnitt "3.4.1 VAU-Token-Modul"

Es wird die Regel hsm-r7 zum Zugriff auf das ENC-Zertifikat eines anderen Aktensystembetreibers angepasst.

A_25282-04 - ePA-Aktensystem - Regeln des VAU-Token-Moduls

Das VAU-Token-Modul MUSS die in Tabelle Tab_AS_VAU_Token_Modul_Rules-?? definierten Regeln umsetzen. [<=]

abelle 1: Tab_AS_VAU_Token_Modul_Rules-?? -Prüfregeln VAU Token

Regel Beschreibung
hsm-r1 <unverändert>
hsm-r2 <unverändert>
hsm-r3 <unverändert>
hsm-r4 <unverändert>
hsm-r5 <unverändert>
hsm-r6 <unverändert>
hsm-r7 Diese Regel dient zum Auslesen des ENC-Zertifikats des eines anderen Aktensystembetreibers.
Eingangsdaten :
  • VAU-Attestierungstoken einer Aktenkontoverwaltungs-VAU
  • Identifier des Aktensystembetreibers
Ausgangsdaten:
  • Verschlüsselungszertifikat C.FD.ENC des anderen Aktensystembetreibers
Prüfschritte:
  1. prüfen der Signatur des VAU-Attestierungstokens (herstellerspezifisch)
  2. prüfen, ob die im VAU-Attestierungstoken für die Aktenkontoverwaltungs-VAU attestierte VAU-Software und VAU-Hardware dem HSM bekannt sind
Falls die Prüfungen 1) - 2) erfolgreich waren, wird das ENC-Zertifikat des anderen in den Eingangsdaten angegebenen Aktensystembetreibers zurückgeliefert.

3 Änderungen an OpenApis

Änderungen an I_Information_Service_Accounts:

Beim Anbieterwechsel bzw. beim Merge zweier Akten muss das Zielaktensystem bekannt sein, damit das passende ENC-Zertifikat des Aktensystembetreibers vom VAU-HSM für die Verschlüsselung des Export-Pakets abgerufen und genutzt werden kann.

Die Ableitung, welches Zielsystem gerade die Anfrage stellt, erfolgt auf Basis des FQDN aus dem common name des Zertifikats C.FD.TLS-C, welches für den TLS-Verbindungsaufbau genutzt wurde. Im abgebenden Aktensystem kann davon ausgehend dann, nach Öffnung der Akte über den Kostenträger, das korrekte, also dem Aufrufer zugeordnete,  ENC-Zertifikat der HSM abgerufen und für die Verschlüsselung des Exportpakets genutzt werden.

Eine analoge Assoziation von Aufrufer FQDN und ENC-Zertifikat erfolgt bei der Erstellung eines Merge-Pakets.

Eine Umsetzung dieses Verhaltens erfordert keine Änderung der Operationen der Schnittstellen I_Information_Service_Accounts und I_Health_Record_Relocation_Service.

Für die Operationen "startRelocation" und "startMerge" in I_Information_ServiceAccounts wird jedoch die Beschreibung um folgende Anforderung ergänzt:

Operation startRelocation (I_Information_Service_Accounts):

**Provider**  
........
The provider shall use the common name of the C.FD.TLS-C certificate (an FQDN), on which the mutual TLS connection is based,
as the identification of the requesting health record system in order to enable correct association of the requestor, the
_requestid_, and the encryption credentials, e.g for later hsm usage in a subsequent export package preparation.

Operation startMerge (I_Information_Service_Accounts):

**Provider**  
......
The provider shall use the common name of the C.FD.TLS-C certificate (an FQDN), on which the mutual TLS connection is based,
as the identification of the requesting health record system in order to enable correct association of the requestor, the
_requestid_, and the encryption credentials, e.g for later hsm usage in a subsequent merge package preparation.

4 Änderung in gemILF_PS_ePA

4.1 Änderung in 3.2 Aktensystem- und Service-Lokalisierung

Die Lokalisierung der Services der ePA für das Primärsystem erfolgt über die übergreifende Domäne epa4all.de. Diese Domäne kann sowohl im Internet als auch im DNS der TI aufgelöst werden und verweist immer auf IP-Adressen der TI. Für die verschiedenen Umgebungen der TI werden third-level Domänen eingerichtet: .ref (RU1), .dev (RU2), .test (TU) und .prod (PU).

Das Primärsystem muss die FQDNs der ePA-Aktensysteme wissen (diese werden fest definiert, vgl. A_24592-*gemäß https://service.gematik.de/servicedesk/customer/kb/view/729781779 gebildet).

Diese sind Host und IP-Adressen für den Endpunkt I_Information_Service und der Services in der VAU:
epa-as-<ePA-Anbieter-Zahl>.<Umgebung>.epa4all.de. (die Parameter "ePA-Anbieter-Zahl" und "Umgebung" sind dem o.a. Link zu entnehmen)

Das Vorgehen der festvorgegebenen FQDNs ist analog zum E-Rezept-Vorgehen.

...