Release: IDP_23_3

02.08.2023

Mit dem Hotfix sollen bereits geklärte Punkte des Änderungseintrags C_11480 festgeschrieben werden, damit diese als Zulassungsgrundlage dienen können.

Die Änderungen des Hotfixes sind:

  • Anpassung der Anforderung “A_23700 - Verwendung von PIN und Passwort als Faktor zur Nutzerauthentifizierung”.

Diese Anforderung ist im Änderungsantrag C_11480 vollständig neu formuliert worden (siehe Anlage). Die neue Formulierung soll im Rahmen dieses Änderungsantrags noch weiterpräzisiert werden. Der Unterschied zwischen der Formulierung in C_11480 und C_11535 betrifft nur das System-Passwort.

Die zuvor in A_23700 getroffenen Festlegungen sind bereits durch die Definition des Niveaus in A_23025 und A_23024 in Verbindung mit der BSI TR-03107-1 abgedeckt. Die Entropie eines alphanumerischen Passworts ist größer als die einer PIN. Deshalb soll die Anforderung zusätzlich um “oder System-Passwort” erweitert werden.

  • Die Änderung zur Anforderung “A_22655 - Signatur des “ID_TOKEN” des sektoralen IDP” - der Schlüssel kann entweder direkt dem Entity Statement oder einem unter signed_jwks_uri auffindbaren KeySet entnommen werden.
  • Ergänzender Hinweis zur Anforderung “A_23102 - Weitere Verfahren zur Identifikation von Nutzern” - Die gematik veröffentlicht und aktualisiert regelmäßig eine Liste der Identifikationsverfahren im Fachportal.
  • Ergänzender Hinweis zur Anforderung “A_22939 - Widerspruch zur Weitergabe einzelner Scopes” dahingehend, dass der sektorale IDP bei bekannten Anwendungen die Möglichkeiten des Nutzers einzelne selektiv Scopes abzulehnen einschränken kann, wenn ansonsten die Anwendung nicht nutzbar wäre.
  • Die Verwendung eines KeyWrapping für die ID_Token ist weder notwendig noch sinnvoll, daher soll hier das Verfahren “ECDH-ES” zur Anwendung kommen. Dies ist konsistent mit allen anderen Angaben der Spezifikation.

Zusätzlich fließen folgende Aspekte aus anderen Änderungspaketen in dieses Release ein.

Anbieter IDP_Sek_KTR ATV 1.1.1

  • C_11285 – Release Sicherheit_Maintenance_23-1 - Erweiterung der Zuordnung von Anforderungen zum Security Monitoring
  • C_11363 – Release Betr_Maintenance_23.2 - Ergänzende SL für Change Mgmt und PKI zur betriebl. Steuerung
  • C_11523 – Release Betr_Maintenance_23.3 - Generische Fassung der Bestandsdatenlieferung sekt. IDP KTR mit aktuellen Ident-Verfahren
  • C_11525 – Release Betr_Maintenance_23.3 - Verallgemeinern der A_23665 - Fristgerechte Erneuerung von Zertifikaten ohne resultierenden Incident
  • C_11216 – Release Betr_Maintenance_23.3 - Verschlüsselte Kommunikation der TI-ITSM-Teilnehmer außerhalb des TI-ITSM-Systems

Produktsteckbrief sektoraler IDP PTV 2.0.2-0

  • C_10950 - Release Betr_Maintenance_23.2 - Überarbeitung der Regeln zur Versionierung von Produkten
  • C_11312 - Release Sicherheit_Maintenance_23-1 - Zuordnung Auditanforderungen aus gemSpec_DS_Hersteller
Alle Releases