SMC-B nach 2025

[frabu]

Woran erkenne ich, das meine SMC-B von 2023 auch 2026 funktionsfähig ist, die "neue Verschlüsselung" hat? Bei D-Trust und TM werde ich nur hin- und her verwiesen.

[PlanB]

https://www.gematik.de/newsroom/news-de ... sa-auf-ecc

Regelungen für den nicht-qualifizierten Bereich (nonQES):

Die Nutzung von RSA-Zertifikaten wird für den nicht-qualifizierten Bereich ebenfalls übergangsweise bis zum 30. Juni 2026 zulässig sein. Dies gilt für Institutionskarten (SMC-B-Karte). Bis zu diesem Zeitpunkt wird die gematik keine Sperrung der Zertifikate im nonQES-Bereich veranlassen und diese Informationen mit allen betroffenen TI-Produktherstellern und -anbietern teilen.

Ebenfalls zum nonQES-Bereich gehören Karten für eHealth-Kartenterminals, so genannte gSMC-KT. gSMC-KT mit RSA-Verschlüsselung dürfen noch bis zum 31. Dezember 2026 genutzt werden, da in diesem Bereich der Austausch der Karten nur eingeschränkt steuerbar ist.

Damit die höchsten Sicherheitsstandards für die TI eingehalten werden können, wird die gematik weiterhin die Empfehlung ausgeben, alle betroffenen Komponenten umgehend zu tauschen bzw. zu aktualisieren. Wie bereits beschrieben, ist eine Umstellung bei den sogenannten „RSA-only“-Konnektoren zum Jahresende zwingend erforderlich.

[RAMöller]

Woran erkenne ich, das meine SMC-B von 2023 auch 2026 funktionsfähig ist, die "neue Verschlüsselung" hat? Bei D-Trust und TM werde ich nur hin- und her verwiesen.

Sie können es am Chip erkennen:

Die Unterschiede bei SMC-B-Chips liegen hauptsächlich in den Generationen (2.0 vs. 2.1) und dem optischen Design, das sich von quadratisch zu rechteckig ändert.
Die neue Generation (2.1) verwendet die moderne elliptische Kurvenkryptographie (ECC), während ältere Generationen (2.0) ersetzt werden müssen

[Landarzt21]

Mir konnte der KV Technikmensch aus der Ferne sagen das meine SMC-B wohl kein Problem haben würde....

[FortiSecond]

Im Konnektor/Kartendienst:
Version 4.3.x = nicht geeignet (nur RSA)
4.6.x = sicher geeignet (ECC)

[frabu]

Bei mir steht Version 4.5.0_4.8.0
Also ok?

[FortiSecond]

Bei D-Trust ist die 4.5.0-Karte ECC-fähig, was dann für alle Karten mit 4.5.0 gilt, weil von gematik so spezifiziert. Sollte also gültig bleiben und auf ECC umgestellt werden können.

Technische Daten der G 2.1 Karte
• Nach gematik-Spezifikation für den Online-Produktivbetrieb gemProdT_SMC-B_PTV_4.5.0-0_V1.3.0
• Die SMC-B der G 2.1-Generation verwendet die modernere Elliptische-Kurven-Kryptografie (kurz ECC, Elliptic Curve Cryptography) als Verschlüsselungsmethode.
• Zertifikate auf der SMC-B:
· RSA und ECC X.509 nonQES (zur Authentisierung, Verschlüsselung und Signierung)
· CV-Zertifikat 1 (für Zugriff auf eGK G1 plus)
· CV-Zertifikat 2 (für Zugriff auf eGK G2)
· Gerätezertifikat (für Geräteauthentisierung)

Quelle: https://www.d-trust.net/files/dokumente ... _smc-b.pdf


Tipp zum Testen: Einfach mal den Konnektor beim Zugangsdienst mit ECC registrieren. Klappt es, ist die Karte geeignet. Dabei kann nix kaputtgehen: Auch wenn der Rest noch nicht umgestellt wird, kann SMC-B zu Zugangsdienst bereits auf ECC laufen. Ohne Probleme.

[turbotm]

Darf ich mal doof fragen,
unter Konnektor --> Kartendienst --> Version:
Kartenterminal Haupt-betriebsstätte hat Version 4.6.0
Kartenterminal Neben-betriebsstätte hat Version 4.3.0
Da ich inzwischen weiß, dass TM die Nebenbetriebsstätte gar nicht verwalten kann (und ich die Lizenzgebühren für nichts bezahle) sollte hier auch der Versionsstand egal sein. (?)

HBA von mir 4.3. --> gibt kommende Woche eine neue Arzt-Karte
HBA von den Kollegen 4.6. --> die haben ihre Karte später bekommen und anscheinend auch schon eine neue. Wurden von der ÄK auch nicht angeschrieben

ORGA Nr 1. Version 4.6., aber
ORGA Nr.2 Version 4.3. (Beide Geräte haben das neuste Software Update)
Cherry-Lesegeräte Nr. 1-3 Version 4.3.

Ich nehme an, in den GKV Lesegeräte betrifft es die SMC-KT Karte?
Betrifft das Problem der ECC Fähigkeit auch diese Geräte bzw. Karten?
Danke

[frabu]

Bei D-Trust ist die 4.5.0-Karte ECC-fähig, was dann für alle Karten mit 4.5.0 gilt, weil von gematik so spezifiziert. Sollte also gültig bleiben und auf ECC umgestellt werden können.

Technische Daten der G 2.1 Karte
• Nach gematik-Spezifikation für den Online-Produktivbetrieb gemProdT_SMC-B_PTV_4.5.0-0_V1.3.0
• Die SMC-B der G 2.1-Generation verwendet die modernere Elliptische-Kurven-Kryptografie (kurz ECC, Elliptic Curve Cryptography) als Verschlüsselungsmethode.
• Zertifikate auf der SMC-B:
· RSA und ECC X.509 nonQES (zur Authentisierung, Verschlüsselung und Signierung)
· CV-Zertifikat 1 (für Zugriff auf eGK G1 plus)
· CV-Zertifikat 2 (für Zugriff auf eGK G2)
· Gerätezertifikat (für Geräteauthentisierung)

Quelle: https://www.d-trust.net/files/dokumente ... _smc-b.pdf


Tipp zum Testen: Einfach mal den Konnektor beim Zugangsdienst mit ECC registrieren. Klappt es, ist die Karte geeignet. Dabei kann nix kaputtgehen: Auch wenn der Rest noch nicht umgestellt wird, kann SMC-B zu Zugangsdienst bereits auf ECC laufen. Ohne Probleme.

Ich habe die KoCo Box, wo bitte finde ich da den "Zugangsdienst" um versuchsweise auf ECC umzustellen?

[frabu]

In der Koco Box (s.u.) steht unter Status > Status des Vertrauensraums (TSL) > Typ: ECC-RSA

Produkttyp /-version: Konnektor ⁄ 5.54.1
Hersteller Name / Kennung: KoCo Connector ⁄ KOCOC
Produkt Name / Kennung: KoCoBox MED+ ⁄ kocobox
Produktversion: 5.5.16:4.0.0

[FortiSecond]

Ich habe die KoCo Box, wo bitte finde ich da den "Zugangsdienst" um versuchsweise auf ECC umzustellen?

VPN/Registrierung

Screenshot 2025-11-27 233102.png

[frabu]

Ich habe die KoCo Box, wo bitte finde ich da den "Zugangsdienst" um versuchsweise auf ECC umzustellen?

VPN/Registrierung

Screenshot 2025-11-27 233102.png

Es steht bei mir:

"letzte Freischaltung

aktuell freigeschaltet: RSA/ECC

RSA
Zeitpunkt: 14.02.2023 10:16:25
mit SMC-B: 80276XXXXXXXXXX

ECC
Zeitpunkt: 23.05.2023 15:07:56
mit SMC-B: 80276XXXXXXXXXXXX"


Also ist bei mir schon auf ECC umgestellt? Beides Mal (RSA und ECC) steht dieselbe SMC-B.

[frabu]

Unter Verwaltung>Clientsystem>Authentisierung Konnektor>Aktiv ist das Kreuz bei "RSA-2048" und nicht bei "ECC-256".
Also noch nicht auf ECC...

[FortiSecond]

Interessant war heute eine (nicht verbindliche) implizierte Aussage, dass die TLS-Verschlüsselung zwischen Konnektor und PVS/KIM(/ePA) ab dem 01.01.2026 nicht zwingend auf ECC gestellt sein muss, WENN das Zertifikat im Konnektor noch über den 31.12.25 hinaus gültig ist UND das Konnektorzertifikat ebenfalls weiter gültig ist.

Rein technisch gesehen gar nicht so abwegig. Denn die Kartenleser dürfen bis Ende 2026 noch RSA machen, die eHBA und SMC-B bis 30.06.26.

Ich weiß nicht, ob Konnektorfirmware noch RSA ausstellt nach dem 31.12.25, aber was noch gültig ist... könnte weiterlaufen.

ZWINGEND ist dementsprechend eigentlich... ähm... nichts per 01.01.26?
Denn eHBA und KT können auf ECC umgestellt werden, wenn der Rest noch RSA macht. Denn das PVS kommuniziert mit dem Konnektor, nicht mit eHBA, Kartenterminal, SMC-B. Da sitzt der Konnektor dazwischen, der für das PVS die Funktionen mithilfe der anderen Komponenten erledigt.

Nachher mal genauer nachsehen...

[SFeu]

Heute die Info erhalten, dass die Umstellung der Verbindung PVS-->Konnektor von RSA auf ECC nicht
notwendig wäre?! Richtig? Sonst würde die ePA nicht mehr funktionieren.

[FortiSecond]

viewtopic.php?p=71332#p71332