Konnektor - Fragen nach Laufzeitverlängerung.

Question

Hallo,

im Zuge der Störung heute Morgen habe ich auf unserem Konnektor auf einige Einstellungen angetroffen die mir unklar sind.

1. wird ein Fehler mit folgender Meldung angezeigt:
Im System sind erneuerte Zertifikate für die Verbindung zu den Clientsystemen vorhanden. Damit diese genutzt werden können, müssen sie erst in der Konfiguration aktiviert werden. EC_OTHER_ERROR_STATE_4

was hat es damit auf sich?

2. Ist die Option ePA 1.3 forcieren aktiviert - muss das so?

3. Lässt sich AES-NI nicht aktivieren (stellt sich beim Neustart einfach wieder auf inaktiv).

4. Ist wohl kein ECC-Zertifikat vorhanden.

VG

JM

Comments

Kann dazu Keiner was sagen?

Answer 1

Sehr geehrter Herr Müller,

1 und 4) ich tippe darauf das der Konnektor sagt das man ECC Zertifikate nutzen kann anstelle von den alten RSA Zertifikaten. Das könnten Sie zwar tun, diese werden aber nicht von macOS akzeptiert. Das haben wir vor 2 Jahren der Gematik mitgeteilt und das wurde von der Gematik bestätigt. ... Hoffen wir das das BSI die RSA Zertifikate weiterhin als sicher einstuft ...

2) Ka. tomedo kann schon ePA2 ... deswegen würde ich das mal nicht "forcieren"

3) Da müssen Sie den Konnektorhersteller fragen warum das so ist.

Comments

Das mit dem ECC-Zertifikat könnte wenn man in den Foren so Querliest noch zum Problem werden, da RSA ja wohl aktuell nach 2025 über Bord geht?

Meine Frage war aber eher dahingehend, dass überhaupt kein ECC-Zertifikat auf dem Konnektor vorhanden zu sein scheint? Ist das nicht auch für die Kommunikation/Signierung zwischen den Kartenlesegeräten, den einzelnen Chipkarten und dem Konnektor in Zukunft von Nöten?

---

Was der Konnektor intern (also in Richtung Kartenlesegeräte oder in Richtung TI nutzt) kann Ihnen und uns egal sein. Hier werden die Zertifikate (wahrscheinlich nicht veränderbar auf die Chipkarten eingebrannt) der Chipkarten genutzt. Das ist per se eine Blackbox.

Sie/Wir haben nur die Steuermöglichkeit für die Zertifikate des PVS-Clients.

Answer 2

Zu 2. also ePa 1.3 forcieren. Ich weiß jetzt nicht welchen Konnektor Sie haben, bei secunet gibt es eine Einstellung um die Verwendbarkeit von 1.3 zu forcieren, denke die meinen Sie. In dem Fall Kurzform: Wenn Sie die ePA Stufe 1 nutzen ja, sonst nein. Langform:  Das hat den Hintergrund dass man nach ursprünglichen Plänen der gematik nicht die ePA 1 mehr nutzen können sollte wenn der Konnektor ePA 2.0 und 2.5 unterstützt (also immer nur die beiden 'modernsten' Versionen). Wegen vorhersehbaren Problemen hat Secunet dann diese Option eingebaut damit niemand der ePA 1 (also Version 1.3) nutzt, dies nicht mehr kann weil der Konnektor zu weit geupdatet wurde (falls das PVS die 2.0 und 2.5 noch nicht kann z.B.) ... Hängt also von der Version ePA ab die Sie derzeit verwenden.

Comments

Ok, d.h. ich kann den Schalter rausnehmen, so dass ePA 2.5 genutzt wird?

---

Wenn unter Einstellungen > Praxis > Kartei > ePA  "Stufe 2" ausgewählt ist (und die ePA damit funktioniert) sollte es denke ich ohne Probleme abwählbar sein. Wenn da noch "Stufe 1" eingestellt ist sollte die ePA nach dem rausnehmen nicht mehr funktionieren. Ohne zu wissen ob Sie die ePA 2 Lizenz aufgespielt haben kann ich Ihnen das nicht sicher beantworten. Grundlegend sehe ich keinen Grund an der Einstellung zu deichseln. Bestenfalls ändert sich nichts, schlimmstenfalls geht etwas kaputt.

---

Ob die ePA funktioniert weiss ich nicht :) Ich hab zwar überall brav die Häkchen gesetzt...aber bisher musste ich Sie noch nicht benutzen. Das Interesse der Patienten geht hier eher so weit, dass mir viele sagen Sie hätten die Funktion direkt bei der Kasse sperren lassen...