MON r3s Rhein VHS
Apoelliptic
In diesem Talk werden wir unterschiedliche Standards der gematik GmbH und ihre problematischen Stellen unter der Luppe nehmen, mit Fokus auf die sichere Kommunikation mittels kryptografischer Verfahren auf der Basis elliptischer Kurven (EK), die wiederum sich auf die Empfehlungen des BSI stützen.
Die Telematikinfrastruktur (TI) der gematik GmbH soll alle Akteure im Gesundheitswesen miteinander verbinden.
“Um an die Telematikinfrastruktur angeschlossen werden zu können, benötigen Ärzte und Zahnärzte sowie Psychotherapeuten die folgenden von der gematik zugelassenen Produkte: Konnektor, E-Health-Kartenterminal, Praxisausweis (SMC-B), VPN-Zugangsdienst, Anpassung Praxisverwaltungssystemen, Mobiles Kartenterminal und Heilberufsausweis.” [1] Und wenn Hersteller ihre Produkte und Anbieter ihre Dienstleistungen an die TI anschliessen wollen, kann das erst nach einem Zulassungsverfahren der gematik GmbH geschehen.
Auf fer Webseite der gematik liest sich das dann folgendermaßen: “Die sichere, verschlüsselte Kommunikation zwischen bekannten Kommunikationspartnern sowie der Schutz vor dem Zugriff auf sensible Informationen sind daher das Fundament der Telematikinfrastruktur.” [2]
Kommen wir zu den Kryptographiestandards: Die Vorgaben der gematik, die sichere und verschlüsselte Kommunikation definieren, basieren auf die Empfehlungen des BSI, die unter anderem NIST Kurven wie P-256, P-384 und P-521 als vertrauenswürdig einstufen.
In diesem Talk lernen wir die gematik und ihre Produkte kennen, bevor wir uns kurz und oberflaechlich anschauen, was genau elliptische Kurven sind und wann die gut und wann eher schlecht sind sowie was deren wichtigsten Eigenschaften sind, um beim Thema anzukommen. Dazu werden die jeweils aktuellen Kryptographiestandards der gematik und BSI mit den entsprechenden Stellen von Interesse aufgezeigt.
Danach werden auch die Gegenargumentationen skizziert, wieso diese nicht so eine tolle Idee sind. Dazu gehört das bereits geäußerte Besorgnis in RFC 7748 Elliptic Curves for Security: “There is also concern in the community regarding the generation and potential weaknesses of the curves defined by NIST” [3]
Und insbesonders stellen sich die Fragen: Weshalb sind die NIST Kurven als vertrauenswürdig und verbindlich in den aktuellen Dokumenten des BSI empfohlen? Wieso werden alternative EK wie Curve25519 [4] or Curve448 [5], die von der breiten Industrie und Cryptocommunity längst aufgenommen sind, nicht in Erwägung gezogen?
[1]: https://fachportal.gematik.de/zulassungen/
[2]: https://www.gematik.de/telematikinfrastruktur/
[3]: https://tools.ietf.org/html/rfc7748
[4]: https://cr.yp.to/ecdh.html
[5]: https://eprint.iacr.org/2015/625
Additional information
| Type | Talk |
|---|---|
| Language | German |
More sessions
| 12/27/20 |
Opening RheinRuhrStage R3S
|
| 12/27/20 |
Eine wichtige Komponente von Freifunk ist die Verfügbarkeit von Firmware für viele Geräte. Diese Firmware basiert bei vielen Communities auf [Gluon](https://gluon.readthedocs.io/). Ein wichtiger Schritt vor der Veröffentlichung einer Firmware für eine Community ist das Testen des Gluon mit den eigenen Anpassungen und der eigenen Konfiguration. In diesem Talk wird eine Implementierung für das automatisierte Testen von Gluon-basierter Firmware auf echter Hardware vorgestellt.
|
| 12/27/20 |
We have ended up in a world where UNIX and Windows have taken over, and most people have never experienced anything else. Over the years, though, many other system designs have come and gone, and some of those systems have had neat ideas that were nevertheless not enough to achieve commercial success. We will take you on a tour of a variety of those systems, talking about what makes them special.
|
| 12/27/20 |
Das Internet – es wird gehandelt, sich vernetzt und gelebt. Dass dabei Straftaten passieren, gegen die rechtlich vorgegangen werden kann, ist klar. Beweismittel Nummer 1 sind oft Screenshots, doch diese sind nicht fälschungssicher und auch das deutsche Rechtssystem ist noch nicht endgültig in der Digitalisierung angekommen. Im Rahmen des Vortrags sollen praktische Beispiele für das Manipulationspotenzial aufgezeigt werden und erste Handlungsvorschläge gegeben werde, welche Optionen der ...
|
| 12/27/20 |
Die Computer- und Internetwelt ist ein Platz, an dem alle Generationen vertreten sind. Warum sollten alle Generationen dann nicht auch an der Entwicklung dieses Ortes beteiligt sein. Oftmals ist die Entwicklergemeinschaft in einen bestimmte Altersbereich vertreten heute und jüngere Personen sind außen vor, obwohl die Jugend einer Generation angehört, die praktisch mit dem Internet aufgewachsen ist. Junge Menschen können die Softwareentwicklung in neue Bahnen lenken und andere Sichtweisen mit ...
|
| 12/27/20 |
Freies Internet von der Nachbarschaftshilfe bis zur flächendekenden Grundversorgung
|
| 12/27/20 |
What happened in these 10 years, as our communities saw courageous hackers and journalists sharing skills and joining forces to expose the lies, corruption and war crimes of the World... and are now witnessing a mass-campaign of intimidation of journalists, publishers and whistleblowers? What did we lose on the way? What is at stake?
|
