Einführung der Gesundheitskarte

Transkript

1 Einführung der Gesundheitskarte Prüfvorschriften Prüfvorschriften ID TEST_PVo_eGK Version: Stand: Status: freigegeben Klassifizierung: öffentlich Referenzierung: [gempvo_egk_g1] gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 1 von 48

2 Dokumentinformationen Änderungen zur Vorversion Die Listen der referenzierten Dokumente, Tabellen und Grafiken wurden aktualisiert und bereinigt. In den Anforderungstabellen wurden die Blattanforderungen auf den aktuellen Stand der Tests und Spezifikationen angepasst. In Version wurde eine redaktionelle Änderung vorgenommen (siehe Dokumentenhistorie). Inhaltliche Änderungen gegenüber der Version wurden farbig (gelb) hinterlegt. Sofern ganze Kapitel ergänzt oder überwiegend geändert wurden, ist lediglich die Überschrift farbig markiert. Dokumentenhistorie Version Stand Kap./ Seite Grund der Änderung, besondere Hinweise Bearbeitung erste Fassung gematik, AG , 5 Vervollständigung der Vorversion gematik, AG , 4, 5 Überarbeitung gematik, AG Überarbeitung für die Karten GEN-1 gematik, DK-CC Ergänzungen nach Kommentaren aus dem Testteam gematik, DK-CC zur internen QS aufbereitet gematik Einarbeitung der Kommentare gematik, DK-CC Einarbeitung der Ergebnisse der internen QS gematik, DK-CC freigegeben gematik Anpassung der Prüfspezifikation an die SRQ zu den aktualisierten egk Spezifikationen gematik, DK-Karte Einarbeitung der Kommentare aus den Fachabteilungen gematik, DK-Karte alle vorliegenden Änderungen der SRQ zu aktualisierten Spezifikationen übernommen gematik, DK-Karte Letzte Anpassungen gematik, DK-Karte freigegeben gematik redaktionell: Präzisierung der Arbeits- gematik gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 2 von 48

3 Version Stand Kap./ Seite Grund der Änderung, besondere Hinweise grundlagen: Einbeziehung der SRQ Bearbeitung gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 3 von 48

4 Inhaltsverzeichnis Dokumentinformationen...2 Inhaltsverzeichnis Zusammenfassung Einführung Zielsetzung und Einordnung des Dokumentes Zielgruppe Geltungsbereich Arbeitsgrundlagen Abgrenzung des Dokuments Prüfmethodik und Organisation Prüfobjekt Prüfverfahren Chipkartenkommandos Abbruchsituationen Performanceverhalten Testphasen und Verantwortlichkeit Anforderungsgruppen Prüfgebiet Basistest Prüfgebiet Anwendungen Prüfgebiet Unterbrechungstest Prüfgebiet Performancetest Testphasenzuordnung Anforderungen Basistest / Kommunikation Anforderungsgruppe BAS_10 Daten- und Kryptogrundlagen Anforderungsgruppe BAS_11 Objekte und Objektsysteme Anforderungsgruppe BAS_12 Zugriffskontrolle Anforderungsgruppe BAS_13 Request - Response Anforderungsgruppe BAS_14 Kanalkontext Anforderungsgruppe BAS_15 Gesicherte Kommunikation Basistest / Chipkartenkommandos...27 gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 4 von 48

5 5.2.1 Anforderungsgruppe BAS_20 Management des Objektsystems Anforderungsgruppe BAS_21 Zugriff auf Daten Anforderungsgruppe BAS_22 Benutzerverifikation Anforderungsgruppe BAS_23 Komponentenauthentisierung Anforderungsgruppe BAS_24 Kryptoboxkommandos Anforderungsgruppe BAS_25 Verschiedenes Anforderungsgruppe BAS_26 Authentisierungsprotokolle Anwendungstest / egk Anforderungsgruppe egk_30 Kartenaktivierung Anforderungsgruppe egk_31 DateiAnwendungsstruktur Anforderungsgruppe egk_32 PIN-Management Anforderungsgruppe egk_33 Key-Management Authentikationsverfahren Anforderungsgruppe egk_34 HCA - Use Cases Anwendung Anforderungsgruppe egk_35 ESIGN - Use Cases Anwendung Anforderungsgruppe egk_36 QES Use Cases (Incomplete) Anforderungsgruppe egk_37 QES Use Cases (Complete) Anwendungstest / Kartenmanagement Anforderungsgruppe egk_40 Kartenmanagement Unterbrechungstests Anforderungsgruppe UBT_50 Chipkartenkommandos Anforderungsgruppe UBT_51 egk Anwendungen Perfomancetests Anforderungsgruppe PFT_60 Testtool Anforderungsgruppe PFT_61 egk Use Cases Risiken...45 Anhang A...46 A1 Abkürzungen...46 A2 Glossar...46 A3 Abbildungsverzeichnis...46 A4 Tabellenverzeichnis...46 A5 Referenzierte Dokumente...47 gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 5 von 48

6 1 Zusammenfassung Für die Ausgabe der elektronischen Gesundheitskarte (egk), der Heilberufsausweiskarte (HBA) oder auch Health Professional Card (HPC) genannt und der Security Module Card (SMC) sowie deren Einsatz in der Telematikinfrastruktur des Gesundheitswesens ergeben sich besonders hohe Anforderungen an die Zuverlässigkeit, Sicherheit und den Datenschutz. Zur Sicherstellung dieser Anforderungen hat die gematik ein Zulassungsverfahren entwickelt, Prüfprozesse definiert sowie zentrale Testplattformen installiert. Die von Herstellern zur Zulassung eingereichten Chipkarten werden in der Reihenfolge des Eingangs (Zulassungsantrag, Karte und notwendige Datenfiles) durch die gematik den für eine Zulassung notwendigen Tests unterzogen. Grundlage für diese Tests sind die Testspezifikationen, die auf der Basis dieser Prüfvorschrift und der für die Chipkarten relevanten Spezifikationen entwickelt wurden. Die Testspezifikation bildet die Grundlage für die Erstellung der Testszenarien. Neben der für die Zulassung einzureichenden Chipkarte sind vom Hersteller Initialisierungsdateien zur Verfügung zu stellen. Diese Prüfvorschrift behandelt ausschließlich die elektronische Gesundheitskarte (egk). Für die anderen, für das Gesamtsystem notwendigen, Chipkarten existieren eigenständige Prüfvorschriften. Die funktionale Eignung einer egk wird mit dem erfolgreichen Durchlauf der Testszenarien, die auf den Anforderungsgruppen, Anforderungen (siehe Kapitel 4 und 5) und Testsspezifikationen aufbauen, erreicht. gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 6 von 48

7 2 Einführung 2.1 Zielsetzung und Einordnung des Dokumentes Die für die Ausgabe der elektronischen Gesundheitskarte (egk), des Heilberufausweises(HBA) und der Security Module Card (SMC) besonders hohen Anforderungen an die Zuverlässigkeit sind in drei Bereiche unterteilt worden: Material (elektrische und physikalische Eignung), IT-Sicherheit (sicherheitstechnische Eignung) und Funktionen (funktionale Eignung). Diese Unterteilung ist in der Verfahrensbeschreibung zur Zulassung der egk [gemzul_egk] im Kapitel 2 Aufgaben, Rollen und Ablauf der Zulassung definiert und vertieft beschrieben. Die vorliegende Prüfvorschrift baut auf der Verfahrensbeschreibung zur Zulassung der egk [gemzul_egk] und dem Testkonzept Dezentrale Komponenten [gemtko_dk] auf und beschränkt sich auf die der gematik übertragenen Zuverlässigkeitstests zur Funktionalen Eignung mit den folgenden Schwerpunkten: Komponenten-Funktionstest (KFT) und Komponenten-Leistungstest (KLT). Performancetest Konformitätstest Integrationstest und Interoperabilitätstest. Zur Sicherstellung dieser Zuverlässigkeitstests hat die gematik ein Zulassungsverfahrenentwickelt, Prüfvorschriften definiert sowie zentrale Testverfahren und Testplattformen installiert. Das vorliegende Dokument leitet aus den Festlegungen der für dieses Dokument gültigenspezifikationen (siehe Dokumentenlandkarte Fehler! Verweisquelle konnte nicht gefundenwerden.) eine Menge von Prüfvorschriften ab, aus denen in einem weiteren Schritt konkrete Testfälle / Testszenarien hervorgehen. Für den in dem Testkonzept [gemtko_dk] ebenfalls geforderten Komponenten- Interoperabilitätstest (KIT) existiert eine Prüfvorschrift auf der Kartenterminaltest-Seite. Die Basis für die Menge von Prüfanforderungen, aus denen in einem weiteren Schritt konkrete Testfälle / Testcases hervorgehen, sind die Spezifikationen P1] und P2]. gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 7 von 48

8 Nachfolgend eine grafische Übersicht zur Einordnung der Prüfvorschrift. Abbildung 1: Einordnung der Prüfvorschriften gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 8 von 48

9 2.2 Zielgruppe Das Dokument richtet sich an: Gremienmitglieder, die einen Überblick über den funktionalen Testumfang erlangen möchten, Kartenhersteller, die sich auf die Zulassung eines COS vorbereiten die ein Betriebssystem (Card Operating System -COS-) entwickeln und als egk zulassen möchten, Kartenherausgeber, die einen Überblick über den funktional ausgerichteten Testumfang zur Erlangung der Zulassung des COS bekommen möchten. Testlabore zur Erstellung von Testtools und Testszenarien für die egk. Zu den Beteiligten zählen: die mit dem Zulassungsprozess bzw. Funktionstest betrauten Mitarbeiter der gematik die Testlabore und die Hersteller von zuzulassenden Kartentypen. 2.3 Geltungsbereich Die in dieser Prüfvorschrift getroffenen Festlegungen zum Testumfang und zur Testmethodik stellen verbindliche Vorgaben für die Testspezifikation und die Testdurchführung dar. 2.4 Arbeitsgrundlagen Grundlage für die Festlegung der vorliegenden Prüfvorschriften bilden die technischen Festlegungen der gematik für die egk P1], P2] sowie die von diesen referenzierten Dokumente der gematik und sämtliche zum Zeitpunkt der Freigabe dieser PVO gültigen zugehörigen SRQs des Releasestandes Grundlage für die Festlegung der vorliegenden Prüfvorschriften bildeten die zum Zeitpunkt der Ausarbeitung gültigen technischen Festlegungen der gematik für die egk P1] und P2], sowie SRQs. Diese Dokumente enthalten alle für den Test des Betriebssystem (finite state machine) und der Anwendungsstrukturen notwendigen Testvorgaben. Sollten für den Test weitere Dokumente relevant sein, z. B. aus der Normserie ISO7816-x sind diese in den zuvor genannten Spezifikationen referenziert. 2.5 Abgrenzung des Dokuments Um die Lesbarkeit des Dokumentes zu erhalten, wird in dieser Prüfvorschrift, anders als in anderen Prüfvorschriften der gematik die, nicht auf die Ebene der Testanforderungen nicht mehr ausgeführt Testcases heruntergegangen. Die Darstellung beschränkt sich auf die darüber liegenden Ebenen der Testbereiche und Testgruppen Prüfgebiete und Anforderungsgruppen. In den Testbereichen Anforderungsgruppen wird die thematische Gliederung der egk-spezifikationen P1] und bzw. P2] aufgegriffen. Die Testgruppen Anforderungen fassen Testszenarien innerhalb dieser Testbe- gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 9 von 48

10 reiche Testcases, die sich auf ein Thema z. B. auf ein Chipkartenkommando beziehen zusammen. Nicht Gegenstände dieses Dokuments sind: die Festlegung des allgemeinen Zulassungsverfahrens für die egk, die Festlegung eines Konzepts für den Aufbau einer Testumgebung und das Testvorgehen, die Spezifikation von konkreten Testschritten, Testszenarien, Checklisten bzw. Formularen auf Basis der Prüfanforderungen. Diese Themen werden in separaten, z. T. nicht öffentlichen, Dokumenten der gematik beschrieben. gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 10 von 48

11 3 Prüfmethodik und Organisation 3.1 Prüfobjekt Mit der elektronischen Gesundheitskarte (egk) ist das Kernstück des Gesamtsystems Gegenstand dieser Prüfvorschrift. Die egk in der Hand der Versicherten ist eine Prozessorchipkarte die über die Verbindung mit einem Kartenterminal zu einem eigenständigen Rechner wird. Wie ein PC oder ein Laptop besitzt die Chipkarte ein Betriebssystem, das zum größten Teil im ROM liegt, und Anwendungen. Im Falle der egk handelt es sich bei den Anwendungen nicht um ausführbaren Code sondern um Datenstrukturen deren Inhalte im Bedarfsfalle Modifikations- und/oder Lesegeschützt sind. Die hierzu notwendigen kryptografischen Verfahren sind wiederum Bestandteil des Betriebssystems. 3.2 Prüfverfahren Die Prüfungen die die gematik im Rahmen ihres Auftrages durchzuführen hat, sind wie in [gemtko_dk] beschrieben, sogenannte Blackbox-Tests. Das heißt, die korrekte Arbeitsweise des Betriebsystems, der kryptografischen Routinen und der Zugriffsbedingungen der egk kann nur an der Schnittstelle zum Kartenterminal erkannt werden. Die egk, wie auch die anderen in der Telematikinfrastruktur zum Einsatz kommenden Chipkarten, ist bei genauer Betrachtung eine finite state machine. Für die Prüfung sind die für die Tests notwendigen Datenstrukturen in der Chipkarte anzulegen. Durch das Senden eines Chipkatenkommandos oder einer Chipkartenkommandosequenz trifft das Kommando in der egk auf unterschiedliche Zustände. Anhand der Antwort der egk kann unter Berücksichtigung des Kartenkommandos und des Zustands der egk ausgewertet werden, ob das COS der egk fehlerfrei arbeitet. Auf der Basis dieses Grundverständnisses werden zur Prüfung der egk drei Prüfverfahren zur Kontrolle eingesetzt. der Chipkartenkommandos, von Abbruchsituationen, des Performanceverhaltens, Nachfolgend sind die unterschiedlichen Prüfverfahren mit Kernaussagen beschrieben Chipkartenkommandos Im Prüfverfahren Chipkartenkommando wird eine Kommando APDU zum COS der egk gesendet. Das COS berechnet zu dieser Kommando APDU eine korrespondierende Antwort APDU. Dabei soll das COS Informationen aus der gesendeten Kommando APDU und Informationen aus seinem inneren Zustand berücksichtigen. Die Antwort APDU des COS wird vom Testsystem mit der Antwort APDU verglichen, die sich aus einer korrekten gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 11 von 48

12 Implementierung der Spezifikation ergibt. Dieser Vergleich lässt erkennen, ob der Prüfling die Spezifikationen korrekt umsetzt. Dieses Prüfverfahren kommt bei den dem Komponenten-Funktionstest zugeordneten Basistests (Kapitel 5.2) und Anwendungs- inkl. Strukturtests (Kapitel 5.3 und 5.4) zum Einsatz Abbruchsituationen Die Abbruchsituation wird durch die Unterbrechung der Stromzufuhr provoziert. Hierzu ist zunächst die durchschnittliche Ausführungszeit des Chipkartenkommandos zu ermitteln. Danach sind Zeitpunkte zu definieren an denen die Stromzufuhr unterbrochen wird. Nachdem die Stromzufuhr wieder sichergestellt ist, zeigt die egk auf ein nachfolgendes Kommando mit den Responsedaten ein Verhalten das Auszuwerten ist. Die Unterbrechung der Stromzufuhr bis einschließlich der Auswertung wird für jeden zuvor definierten Unterbrechungszeitpunkt wiederholt. Das Prüfverfahren kommt bei den dem Komponenten-Funktionstest zugeordneten Unterbrechungstests (Kapitel 5.5) zum Einsatz Performanceverhalten Die zu prüfenden Chipkartenkommandos werden in einer fest definierten Prüfumgebung Zeitmessungen unterworfen. Maßgeblich ist für jedes zu prüfende Chipkartenkommando ein ermittelter Durchschnittswert aus n Messzyklen. Die Anzahl der Messungen hängt vom Kommando ab und ist in P1] Anhang B beschrieben. Der ermittelte Durchschnittswert fließt in die Bewertung des egk COS ein. Das Prüfverfahren kommt bei den dem Komponenten-Leistungstest zugeordneten Performancetests (Kapitel 5.6) zum Einsatz. 3.3 Testphasen und Verantwortlichkeit Die nachfolgende Tabelle zeigt eine grobe zeitliche Einordnung von Komponententest und Diensttest und ihren Testphasen. Die hier vorliegende Prüfvorschrift bezieht sich auf die in der Verantwortung der gematik liegenden Testphasen Komponenten-Funktionstest (KFT) und Komponenten-Leistungstest (KLT) innerhalb des Komponententest (KT). Abbildung 2: Einordnung Tests und Testphasen gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 12 von 48

13 Tabelle 1: Überblick über die Testphasen und Verantwortlichkeiten Testphase Umfang der Prüfung Verantwortliche Org. 1 Komponenten- Funktionstest 2 Komponenten- Interoperabilitätstest 3 Komponenten- Leistungstest Testphase im Komponententest. Testfokus sind die funktionalen Anforderungen einer einzelnen Komponente. Testphase im Komponententest. Testfokus ist das Zusammenspiel mehrerer Komponenten und die Austauschbarkeit von gleichartigen Komponenten. Testphase im Komponententest. Testfokus ist das Leistungsverhalten einer einzelnen Komponente (oder auch im Zusammenspiel mit anderen Komponenten). gematik gematik gematik 4 Dienst-Funktionstest Testphase im Diensttest. Testfokus sind die funktionalen Anforderungen eines einzelnen Dienstes. gematik 5 Dienst- Interoperabilitätstest Testphase im Diensttest. Testfokus ist das Zusammenspiel mehrerer Dienste (ggf. auch mit Komponenten). Dabei werden in mehreren Stufen immer größere Systeme von integrierten Diensten betrachtet. gematik 6 Dienst-Leistungstest Testphase im Diensttest. Testfokus ist dabei das Leistungsverhalten einzelner Dienste bzw. mehrerer Dienste im Zusammenspiel. Der DLT kann auch Ausfalltests einzelner Dienste/Komponenten enthalten. gematik 7 Dienst- Sicherheitstest 8 Dienst- Monitoringtest Beim Sicherheitsrobustheitstest erfolgen Angriffsversuche, wie diese auch ein realer Angreifer durchführen würde. Dabei wird versucht, konzeptionelle Schwächen und Implementierungsfehler auszunutzen, um so vorhandene Sicherheitsfehler aufzudecken. Testphase im Diensttest. Beim Monitoringund Systemmanagementtest werden die Schnittstellen für das Monitoring und das Systemmanagement der einzelnen Dienste sowie ihr Zusammenspiel mit Betriebsleitzentrale und Leitstand getestet. gematik gematik 9 Physikalische Tests Die Materialprüfung beinhaltet die physikalischen Tests der Komponente. Der Nachweis, dass die geforderten Eigenschaften erfüllt werden, kann durch Herstellererklärungen und durch Prüfungsnachweise akkreditierter Testlabore belegt werden. 10 Betriebsaudit Betriebsaudits sind Prüfungen von kritischen und wahrscheinlichen Betriebsszenarien, auch querschnittlicher Art, mit dem Schwerpunkt Externe Prüfstellen gematik gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 13 von 48

14 Testphase Umfang der Prüfung Verantwortliche Org. Betriebsprozesse. Das Ziel von Betriebsaudits ist, alle wichtigen Anforderungen des Betriebes an die Betreiber, Provider und Hersteller von Komponenten der Telematikinfrastruktur, die sich aus den anforderungsgebenden Dokumenten (wie gem- Betr_Qu, gembetr_sla und gem_betr_lb für die jeweiligen Dienste und weitere Zulassungsanforderungen) ergeben, zu auditieren und die Erfüllung dieser Anforderungen damit zu verifizieren. gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 14 von 48

15 4 Anforderungsgruppen Der funktionale Test (in [gemzul_egk] funktionale Eignung genannt) und die für diese Prüfvorschrift relevanten Testphasen (siehe Kapitel 3.3) unterteilen sich in vier Prüfgebiete. Jedes Prüfgebiet stellt eine geschlossene Testeinheit dar. Die Prüfgebiete bauen aufeinander auf und müssen der nachfolgenden Reihenfolge entsprechen. Ein Prüfgebiet muss fehlerfrei abgeschlossen sein ehe das nächste Prüfgebiet folgen kann. Die vier Prüfgebiete der egk sind den nachfolgenden Komponententests zugeordnet: Komponenten-Funktionstest: Basistest Test der Anforderungen an ein Card Operating System (COS) auf der Basis der für diese Tests notwendigen Zugriffsbedingungen und Datenstrukturen. Die Spezifikation P1] und die in ihr beschriebenen Anforderungen u. a. zum T=1 Protokoll, das Verhalten der Chipkartenkommandos an der Schnittstelle zum Kartenterminal unter Berücksichtung aller Zugriffsbedingungen und weiteren Sicherungsmaßnahmen stellen die Grundlage für den Basistest dar. Anwendungs- und Strukturtest Tests der für eine egk vorgesehenen Anwendungsstruktur auf der Grundlage der Spezifikation P2]. Zu testen sind die in der Spezifikation beschriebenen Anwendungsstrukturen, die Einhaltung der Zugriffsbedingungen und Sicherungsstrukturen. Nicht Gegenstand dieser Tests sind - mit Ausnahmen - die Dateninhalte der Chipkartenanwendungen. Unterbrechungstest Test der Kommando- und File-Kandidaten für das Roll-Forward- und Roll- Back-Verfahren. In den Spezifikationen P1] und P2] sind die Kommandos bzw. die Datenfiles beschrieben, die grundsätzlich oder in Abhängigkeit eines Transaktionsschutz-Flags Datensicherungsbestimmungen einhalten müssen. Komponenten-Leistungstest: Performancetest Test entsprechend der Vorgaben zur Performance (siehe P1], Anhang B). Für den Performancetest wurden Use-Cases spezifiziert und Referenzzeiten definiert. Über ein Punktesystem wird die Einhaltung der Referenzzeit, für den einzelnen Use Case und insgesamt, über alle Use Cases, bewertet. Nachfolgend eine grafische Übersicht der Prüfgebiete (ohne Unterbrechungs- und Performancetests). Es ist deutlich zu erkennen, dass das Betriebssystem, abhängig vom Kartentyp, Erweiterungen aufweist. So liegt einem HBA das Betriebsystem der egk zugrunde inklusive zusätzlicher Chipkartenkommandos. Diese Prüfvorschrift befasst sich ausschließlich mit dem Betriebssystem und den Anwendungen einer egk. gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 15 von 48

16 Abbildung 2: Übersicht der Prüfgebiete Die Anforderungsgruppen werden durch eine Kennung wie in Abbildung dargestellt identifiziert. Abbildung 3: Identifizierung der Anforderungsgruppen 4.1 Prüfgebiet Basistest Das Prüfgebiet Basistest ist der Testphase Komponenten-Funktionstest zuzuordnen. Die Basistests weisen nach, ob das COS konform zu P1] implementiert wurde. Mit den erstellten Testszenarien wird die Einhaltung aller in P1] mit den Schlüsselwörtern MUSS und DARF NICHT versehenen Angaben sichergestellt. Die für den Basistest relevanten Zugriffsbedingungen und Datenstrukturen sind in der [gemspec_tlk_egk] definiert. Die Testszenarien des Basistests enthalten neben den Gutfall Positiv-Tests auch ein breites Spektrum an Tests, die das richtige Verhalten des COS prüfen, falls über die Schnittstelle zur Karte fehlerhafte Kommandos oder Kommandosequenzen angeliefert werden. Das COS muss sich korrekt verhalten, wenn die Außenwelt beispielsweise Kommandos mit fehlerhaften Inhalten anliefert, File-Strukturen nicht beachtet oder falsche Datenfiles selektiert, kryptografische Regeln verletzt, gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 16 von 48

17 versucht fehlerhafte Sicherheitszustände in der Karte zu setzen, ein Spannungsabfall auftritt, die Speichergrenzen der Karte verletzt, die Zugriffbedingungen nicht beachtet. Nachfolgend eine grafische Übersicht der Prüfgebiete zur Einordnung des Basistests. Abbildung 4: Prüfgebiet Basis egk Tabelle 2: Prüfgebiet BAS - Definition der Anforderungsgruppen Basistest Anford.- gruppe BAS_10 BAS_11 Bezeichnung Daten- und Kryptogrundlagen Objekte und Objektsysteme Testziel Zu dieser Anwendungsgruppe gehören die Datenkonvertierung, kryptografische Algorithmen und Sicherheitszertifikate. Die Funktionen sind nicht unmittelbar an der Prüfschnittstelle sichtbar, können jedoch beim erfolgreichen Test der Chipkartenkommandos als korrekt betrachtet werden. In der Chipkarte werden unterschiedliche Objekttypen abgelegt. Zu prüfen sind die Objekte und an den Objekten hängende Attribute auf korrekten Zustand. BAS_12 Zugriffskontrolle Der Zugriff auf Objekte in der Karte wie z. B. Schlüssel und Files wird durch Zugriffregeln bestimmt. Geprüft wird die Einhaltung der Zugriffsregeln durch das COS. BAS_13 Request-Response Für Chipkarten entspricht es dem Stand der Technik, dass sie Nachrichten mit einem Kommunikationspartner über einen Kanal im Halbduplex-Verfahren austauscht. Geprüft wird die Einhaltung der Spezifikation des T=1 Protokolls, über die Kommandostruktur bis hin zu extended length. BAS_14 Kanalkontext Neben dem Objektsystem, das persistent auf Chipkartenebene gespeichert wird, hat das COS auch auf der Ebene eines logischen Kanals Objekte/Attribute zu speichern. Die kanalabhängige Zuordnung der Objekte/Attribute ist zu prüfen. gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 17 von 48

18 Anford.- gruppe BAS_15 BAS_20 Bezeichnung Gesicherte Kommunikation Management des Objektsystems Testziel Die Kommunikation zwischen der Chipkarte und ihrem Kommunikationspartner ist in definierten Fällen abzusichern. Die Einhaltung von Struktur und Ablaufvorgaben in den unterschiedlichen Nutzungsvarianten gilt es zu prüfen. Überprüfung der Kommandos zur Kartenadministration. BAS_21 Zugriff auf Daten Das Schnittstellenverhalten der Basiskommandos ist anhand der zulässigen Kommandovarianten, Parametrisierungen und Fehlersituationen zu testen. BAS_22 Benutzerverifikation Überprüfung der Kommandos zum PIN-Management und die Beachtung der entsprechenden Sicherheitszustände. BAS_23 Komponentenauthentisierung Die Kommandos zur Authentisierung der externen Komponenten sowie der Karten gegenüber der externen Welt sind zu prüfen. BAS_24 Kryptoboxkommandos Überprüfung der Kommandos, die kryptografische Funktionen bereitstellen bzw. die geforderten Sicherheitszustände überwachen. Die Prüfung der kryptografischen Algorithmen (s. BAS_1002) sind Bestandteil dieser Anforderungsgruppe. BAS_25 Verschiedenes Weitere zu prüfende Kommandos, die keiner der zuvor genannten Bereiche zugeordnet sind. BAS_26 Authentisierungsprotokolle Zu Prüfen ist die schlüsselbasierte Authentisierung zwischen einer egk und einem HBA und zwischen einer egk und einer SMC. Die Prüfung der kryptografischen Algorithmen (s. BAS_1002) sind Bestandteil dieser Anforderungsgruppe. 4.2 Prüfgebiet Anwendungen Das Prüfgebiet Anwendungen ist der Testphase Komponenten-Funktionstest zuzuordnen. Die Struktur- und Anwendungstests dienen dem Nachweis der korrekten Funktionalität der für die Anwendungen geplanten Use Cases. Die Strukturen und Anwendungen inklusive der Zugriffsbedingungen entsprechen der Spezifikation P2]. Mit den erstellten Testszenarien wird die Einhaltung aller in der Spezifikation mit den Schlüsselwörtern MUSS und DARF NICHT versehenen Anforderungen sichergestellt. Von dieser Spezifikation eventuell abweichende Vorschriften befinden sich in der [gemspec_tlk_egk]. Die Testszenarien des Struktur- und Anwendungstests enthalten neben den Gutfall Positiv-Tests auch ein breites Spektrum an Tests, die das richtige Verhalten des COS sicherstellen falls über die Schnittstelle zur Karte fehlerhafte Kommandos oder Kommandosequenzen angeliefert werden. Nach dem Rollout der egk besteht die Möglichkeit, weitere / neue Anwendungen bzw. Files in die egk einzubringen. Dieses kann nur unter der Berücksichtigung der Zugriffsbedingungen der egk und in einer sicheren Umgebung geschehen. gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 18 von 48

19 Nachfolgend eine grafische Übersicht der Prüfgebiete zur Einordnung des egk- Anwendungstests. Abbildung 5: Prüfgebiet Anwendungen egk Tabelle 3: Prüfgebiet ANW - Definition der Anforderungsgruppen Anwendungstest Anford.- gruppe Bezeichnung Testziel egk_30 Kartenaktivierung Auswertung der Kartenparameter nach einem Cold/Warm Reset. egk_31 Anwendungsstruktur Prüfung des korrekten Aufbaus der Dateistruktur inkl. der Anwendungen (MF, DFs, EFs). egk_32 PIN Management Test der korrekten Personalisierung aller zum PIN- Management relevanten Daten. egk_33 Key Management Die gegenseitige Card-to-Card-Authentisierung zwischen HBA/SMC und egk wird benötigt, wenn auf Ressourcen der egk zugegriffen werden soll. Prüfen der Funktionalität. egk_34 HCA Use Cases Prüfung der Einhaltung der erforderlichen Zugriffsbedingungen auf Personendaten, Versichertendaten sowie beim Lesen und Schreiben von erezept, etickets, enotfalldaten und Protokollierungseinträgen. egk_35 ESIGN Use Cases Prüfung Zugriff auf X.509-Zertifikate, der Client/Server- Authentisierung und der Entschlüsselung von Dokumenten-Chiffrierungsschlüsseln. egk_36 egk_37 QES Use Cases (Incomplete) QES Use Cases (Complete) Prüfung der Abläufe zur Komplettierung und Nutzung der Signaturanwendung für qualifizierte elektronische Signaturen (QES). Prüfung der Abläufe, Funktionen und Nutzung der Signaturanwendung für qualifizierte elektronische Signaturen (QES). egk_40 Kartenmanagement Die File-Struktur der egk kann nach der Übergabe an den Versicherten Änderungen unterzogen werden. Es können neue Anwendungen und/oder oder Files in der Karte angelegt und/oder gelöscht werden. Die korrekte Funktionalität der Möglichkeiten ist sicher zu stellen. gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 19 von 48

20 4.3 Prüfgebiet Unterbrechungstest Das Prüfgebiet Unterbrechungstest ist der Testphase Komponenten-Funktionstest zuzuordnen. Das Ablegen von Informationen in der egk dauert einige Millisekunden. Da Chipkarten aus technischen Gründen nicht in der Lage sind Daten bei einem Ausfall der Spannungsversorgung zu puffern, ist es denkbar, dass der Ausfall zu einem Zeitpunkt geschieht, in welchem der Zustand des persistenten Speichers in einem undefinierten Zustand ist. Der Transaktionsschutz legt dann fest, wie mit diesem möglicherweise undefiniertem Zustand umzugehen ist. Praktisch bedeutet dies nach der Wiederherstellung der Spannungsversorgung entweder durch ein Roll-Forward den Vorgang abzuschließen oder wenn dies nicht möglich ist durch ein Roll-Back den Ursprungszustand der Karte wieder herzustellen. Die Anforderungen an den Transaktionsschutz und die sich daraus ergebenen Anforderungsgruppen bis Testzenarien ziehen sich durch die Spezifikationen P1] (Chipkartenkommandos) und P2] (Datenfile). Unterschieden wird zwischen Kommandos die grundsätzlich mit Transaktionsschutz ausgeführt werden, z.b. ACTIVATE, VERIFY oder nur dann mit Transaktionsschutz ausgeführt werden müssen wenn am Datenfile das Flag Transaction Mode gesetzt ist. Für diese Kommandogruppe stehen beispielsweise UPDATE BINARY, ERASE RECORD. Tabelle 4: Prüfgebiet UBT - Definition der Anforderungsgruppen Unterbrechungstests Anford.- gruppe UBT_50 UBT_51 Bezeichnung Chipkartenkommandos egk- Anwendungen Testziel Anforderungen an die Robustheit von Chipkartenkommandos gegenüber unerwarteter Deaktivierung, z.b. Spannungsabfall. Anforderungen an die Robustheit der Datenfiles gegenüber unerwarteter Deaktivierung, z.b. Spannungsabfall. 4.4 Prüfgebiet Performancetest Das Prüfgebiet Performancetest ist der Testphase Komponenten-Leistungstest zuzuordnen. Die Akzeptanz der elektronischen Gesundheitskarte und der damit verbundenen neuen Abläufe in den medizinischen Einrichtungen (Praxis, Apotheke, Krankenhaus, ) hängt stark von den Zeiten ab, die für einzelne Aktionen benötigt werden. Um im Gesamtsystem zu akzeptablen Werten zu kommen, sind für die einzelnen Komponenten Vorgaben getroffen worden, die als zulassungsrelevant in die jeweiligen Spezifikationen aufgenommen wurden. Es wurden sowohl die Rahmenbedingungen als auch die Messparameter festgelegt, um reproduzierbare und aussagekräftige Messungen zu ermöglichen. Es wurden Vorgaben für verschiedene Szenarien / Use Cases getroffen. Die ermittelten Messwerte werden über ein Punktesystem bewertet. Die Gesamtpunktzahl setzt sich aus einer gewichteten gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 20 von 48

21 Addition aller Einzelpunktzahlen zusammen. Das Betriebssystem wird nur bei erreichen einer definierte Mindestpunktzahl von der gematik zugelassen. Die Grundlage für die durchzuführenden Performancetests bilden die Anforderungen zur Performance gemäß P1] Anhang B. Tabelle 5: Prüfgebiet UBT_5x Unterbrechungstests Anford.- gruppe Bezeichnung Testziel PFT_60 Testtool Prüfen der Anforderungen an das PerformenceTesttool zur Messung der Zeiten und Ermittlung der Punkte die zum Testergebnis führen. Diese Prüfungen sind vor dem ersten Performancetest und nach jedem Softwareupdate durchzuführen. PFT_61 egk- Use Cases Der Messung und Punkteermittlung unterliegen etliche der Realität entnommenen Use Cases (siehe P1] Kap. B.6. Die Summe der Einzelergebnisse führen zur Gesamtbewertung des COS. 4.5 Testphasenzuordnung Zu jeder Anforderungsgruppe wird nachfolgend eindeutig festgelegt, in welchen Testphasen die Tests durchzuführen sind. Die nachfolgende Tabelle wurde auf die Testphasen reduziert die für eine egk relevant sind. gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 21 von 48

22 Tabelle 6: Testphasen der Anforderungsgruppen Anford.- gruppe Bezeichnung Komponententest Komponentenleistungstest BAS_10 Daten- und Kryptogrundlagen x BAS_11 Objekte und Objektsysteme x BAS_12 Zugriffskontrolle x BAS_13 Request-Response x BAS_14 Kanalkontext x BAS_15 Gesicherte Kommunikation x BAS_20 Management des Objektsystems x BAS_21 Zugriff auf Daten x BAS_22 Benutzerverifikation x BAS_23 Komponentenauthentisierung x BAS_24 Kryptoboxkommandos x BAS_25 Verschiedenes x BAS_26 Authentisierungsprotokolle x egk_30 Kartenaktivierung x egk_31 Anwendungsstruktur x egk_32 PIN Management x egk_33 Key Management x egk_34 HCA Use Cases x egk_35 ESIGN Use Cases x egk_36 QES Use Cases (Incomplete) x egk_37 QES Use Cases (Complete) x egk_40 Kartenmanagement x UBT_50 Unterbrechungstest Chipkartenkommandos x UBT_51 Unterbrechungstest egk Anwendungen x PFT_60 Performance-Testtool x PFT_61 Performancetest egk Use Cases x gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 22 von 48

23 5 Anforderungen Auf die in den nachfolgenden Tabellen ursprünglich vorhandene Spalte Wichtigkeit wird verzichtet. Die Testszenarien für eine egk orientieren sich an den Anforderungen der Spezifikationen P1], und P2]. Jede dieser Anforderungen MUSS erfüllt werden und hat die Wichtigkeit Hoch. Liefert auch nur (irgend-) ein Testszenario ein nicht erwartetes Ergebnis kann die Zulassung verweigert werden. Ergänzt werden die nachfolgenden Tabellen um die Spalte Blattanforderung. Die in dieser Spalte aufgeführten Referenzen verweisen auf die Anforderungskennung in P1] oder auf ein Anforderung in Dokument/Kapitel. Zur Identifizierung der Anforderungen wird die Kennung der Anforderungsgruppen durch eine laufende Nummer wie in Abbildung ergänzt. Abbildung 6: Identifizierung der Anforderungen 5.1 Basistest / Kommunikation Testbereich BAS_10 Datenkonvertierung Testbereich BAS_11 Kryptographische Algorithmen Testbereich BAS_12 CV-Zertifikat Anforderungsgruppe BAS_10 Daten- und Kryptogrundlagen Zu dieser Anwendungsgruppe gehören die Datenkonvertierung, kryptographische Algorithmen und Zertifikate. Die Funktionen sind nicht unmittelbar an der Prüfschnittstelle sichtbar, können jedoch beim erfolgreichen Test der Chipkartenkommandos als korrekt betrachtet werden. gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 23 von 48

24 Tabelle 7: Anforderungsgruppe BAS_10 Daten- und Kryptogrundlagen BAS_1001 BAS_1002 BAS_1003 Datentypen und Datenkonvertierung Die Richtigkeit der Datentypen und die korrekte Konvertierung der Datentypen kann nur Anhand der Testergebnisse in Verbindung mit den Chipkartenkommandos sichergestellt werden (siehe Anforderungsgruppe BAS_20ff). Kryptografische Algorithmen Die Überprüfung der kryptografischen Algorithmen geschieht in Verbindung mit den Tests der Chipkartenkommandos (siehe Anforderungsgruppe BAS_20ff, insbesondere Kryptoboxkommandos und Authentisierungsprotokolle). CVC-Zertifikatsstruktur und Inhalt* Die Überprüfung der CVC-Zertifikatstrukturen und Inhalte ist Bestandteil der Authentikations- und Kryptografiekommandos (siehe Anforderungsgruppe BAS_23 und BAS_24). N1 N12 N13 N48 N49 N66 * Inhalt und Struktur der X.509-Zertifikate sind erst bei egk Musterkarten zu prüfen Anforderungsgruppe BAS_11 Objekte und Objektsysteme Die für eine Anwendung benötigten Informationen werden in der Chipkarte in unterschiedlichen Objekttypen abgelegt. Zu prüfen sind die Objekttypen und die an den Objekten hängenden Attribute entsprechend der Vorgaben in der Spezifikation P1]. Tabelle 8: Anforderungsgruppe BAS_11 Objekte und Objektsysteme BAS_1101 BAS_1102 BAS_1103 BAS_1104 BAS_1105 Div. Attribute Der Test der für mehrere Objekttypen gleichermaßen relevanten Attribute (u. a. File-ID, SE-ID, PIN) findet im Rahmen der Chipkartenkommandotests statt. Schlüsselmaterial Prüfen der Attributstypen zur Speicherung der unterschiedlichen Schlüsseltypen sind Bestandteil der Authentikations- und Kryptographiekommandos (siehe Anforderungsgruppe BAS_23 und BAS_24). PIN-Transportschutz Prüfen der PIN-Transportschutzfunktionalität. Im Basistest werden alle sieben Transportschutzvarianten getestet. Fileobjekte und -attribute Prüfen der file-orientierten Objekttypen (Ordner, Datei) und Attribute (z.b. FCP). Passwortattribute Die Passwort (PIN) Attribute werden in Zusammenhang mit den Testfällen der Anwendungsgruppe BAS_22 geprüft. N67 N81 N82 N94 N95 N97 N98 N149 N150 N163 gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 24 von 48

25 BAS_1106 BAS_1107 BAS_1108 Schlüsselobjekte Schlüsselobjekte kommen im Rahmen kryptografischer Operationen zum Einsatz. In diesem Kontext werden sie auch den Prüfungen unterzogen. Siehe Anforderungsgruppe BAS_24. Aufbau und Strukturtiefe Die hierarchische Strukturtiefe in dem file-orientierten Objektsystem einer Chipkarte wird im Rahmen der Anforderungsgruppen BAS_20 und BAS_21 geprüft. Objektsuche Prüfen der Regeln zur Suche eines Objektes (File, PIN, Schlüssel) in einem hierarchischen Objektsystem. N164 N198 N199 N206 N207 N Anforderungsgruppe BAS_12 Zugriffskontrolle Die Daten in der Chipkarte werden in Abhängigkeit vom Chipkartenkommando durch Zugriffsregeln geschützt. Das bedeutet, dass das Betriebssystem kontrollieren muss, ob der Sicherheitsstatus für die Ausführung einer Operation ausreichend ist. Die Überprüfung der Einhaltung der Zugriffsregeln durch das COS ist Gegenstand der nachfolgenden Tabelle. Tabelle 9: Anforderungsgruppe BAS_12 Zugriffskontrolle BAS_1201 BAS_1202 BAS_1203 BAS_1404 Zugriffsart Unter Zugriffsart ist eine Liste der Kommandos zu verstehen mit denen auf ein Objekt zugegriffen werden darf. Die Einhaltung dieser Regel wird in der Anforderungsgruppe BAS_20ff geprüft. Zugriffsbedingung Jedes zugriffberechtigte Kommando kann Zugriffsbedingungen unterliegen, die zuvor erfüllt werden müssen. Die Einhaltung der Zugriffsbedingung abhängig vom Kommando wird in der Anforderungsgruppe BAS_20ff geprüft. Zugriffsregel und auswertung Die Zugriffregel kombiniert Zugriffsart und Zugriffsbedingung. Zu prüfen ist die korrekte Auswertung dieser Zugriffsregeln durch das COS. Geprüft wird die korrekte Regelauswertung in der Anforderungsgruppe BAS_20ff. Prüfen, ob ein bestimmtes Kommando erlaubt oder verboten ist. N217 N219 N220 N228 N229 N237 N234 N Anforderungsgruppe BAS_13 Request - Response Für Chipkarten entspricht es dem Stand der Technik, dass sie Nachrichten mit einem Kommunikationspartner über einen Kanal im Halbduplex-Verfahren austauscht. Geprüft wird u. a. die Einhaltung des spezifizierten T=1 Protokolls, über die Kommandostruktur bis hin zu extended length. gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 25 von 48

26 Tabelle 10: Anforderungsgruppe BAS_13 Request - Response BAS_1301 BAS_1302 BAS_1303 BAS_1304 Elektrische Schnittstelle Prüfen der Chipkarte bei Aktivierung, Deaktivierung, Protokoll gemäß ISO (Stichwort: Answer-to-Reset). Diese Tests werden mit einer speziellen, hierfür geeigneten Testumgebung durchgeführt. Die Prüfungen werden in Zusammenhang mit BAS_1303 vorgenommen. Kommandostruktur Kommandobearbeitung/Kommando Cases Eine Kommando APDU besteht aus mehreren Parametern bzw. zwei APDU Bestandteilen. Prüfen der Parameter Kombinationsmöglichkeiten, besonders der extended length Varianten. Diese Tests mit Ausnahme der extended length (Wild- CardExtended) Funktionalität ist Bestandteil der Anforderungsgruppe BAS_20ff. Übertragungsprotokoll Die Kommunikation zwischen der Chipkarte und der Außenwelt geschieht auf der Basis der Protokolls T=1 entsprechend der Norm ISO Kapitel 11. Die Einhaltung dieser Regeln wird mit einer speziellen, hierfür geeigneten Testumgebung durchgeführt. Command Chaining Prüfen einer Kette von ADPU Kommando und Antwortpaaren die nicht durch andere Kommandos unterbrochen werden darf. Diese Prüfungen werden zusammen mit dem Kommando LOAD APPLIKATION durchgeführt. N238 N255 N256 N294 N295 N298 N384 N Anforderungsgruppe BAS_14 Kanalkontext Während das Objektsystem die Informationen bündelt, die persistent in der Chipkarte zu speichern sind und in allen Kanälen gleichermaßen zur Verfügung stehen, ist im Zusammenhang mit Kanalkontext zu prüfen, dass das COS kanalspezifische Attribute beachtet. Die Spezifikation P1] fordert nur die Unterstützung des Basiskanals, so das im Zusammenhang mit der egk die Funktionalität des Kanals 0 sicher zu stellen ist. Aus diesem Grund führt nicht jede Blattanforderung zu einem Testszenario. Tabelle 11: Anforderungsgruppe BAS_14 Kanalkontext BAS_1401 BAS_1402 Logische Kanäle Die Anzahl der vom COS unterstützen Kanäle sind zu ermitteln und die Kanalunabhängigkeit der Attribute zu prüfen. Reset-Verhalten Prüfen der Attribute und Objekte zum Zeitpunkt des Resets auf Ebene der Kanäle. N299 N300 N301 gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 26 von 48

27 BAS_1403 BAS_1404 Sicherheitsstatus Prüfen der Routine zum setzten und löschen des Sicherheitsstatus des als Parameter übergebenen Authentisierungsschlüssels. PIN-Status Prüfen der Routine zum setzen und löschen des Sicherheitsstatus der als Parameter übergebenen PIN. N302 N307 N308 N Anforderungsgruppe BAS_15 Gesicherte Kommunikation Die Kommunikation zwischen der Chipkarte und ihrem Kommunikationspartner ist in Abhängigkeit von den Zugriffsbedingungen abzusichern. Secure Messaging (SM) ist in seinem Aufbau und unter verschiedenen Vorbedingungen, wie asymmetrische oder symmetrische Schlüssel zur SM-Schlüsselvereinbarung zu Testen. Tabelle 12: Anforderungsgruppe BAS_15 Gesicherte Kommunikation BAS_1501 BAS_1502 BAS_1503 SM-Layer Die Funktionsweise des Layers SecMes (Secure Messaging) ist in Zusammenhang mit der Ableitung von Sessionkeys und der Kommando APDU zu prüfen. Sicherung Request Die nach den Secure Messaging Regeln abgesicherte Kommando APDU wird der Karte übergeben. Die richtige Verarbeitung der gesicherten Nachricht durch das COS der Karte ist zu prüfen. Diese Anforderung wird im Zusammenhang mit BAS_1503 getestet. Sicherung Response Das nach den Secure Messaging Regeln durch das COS der Karte abgesicherte Response APDU wird der externen Instanz übergeben. Die richtige Anwendung der Secure Messaging Regeln ist zu prüfen. N314 N319 N320 N334 N335 N Basistest / Chipkartenkommandos Anforderungsgruppe BAS_20 Management des Objektsystems Die Chipkartenkommandos zur Modifikation des Objektsystems oder zum selektieren eine Objektes innerhalb des Objektsystems. Die nachfolgende Tabelle fasst die zu prüfenden Managementkommandos zusammen. gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 27 von 48

28 Tabelle 13: Anforderungsgruppe BAS_20 Management des Objektsystems BAS_2001 BAS_2002 BAS_2003 BAS_2004 BAS_2005 Activate Prüfen der Funktionalität File aktivieren. Deactivate Prüfen der Funktionalität File deaktivieren. Delete Prüfen der Funktionalität File löschen. Load Application Prüfen der Funktionalität Anwendung neu anlegen. Nicht geprüft wird die Funktionalität der neuangelegten Anwendung. Select Prüfen der Funktionalität Verzeichnisse und Dateien selektieren. N348 N358 N360 N370 N371 N383 N384 N404 N405 N Anforderungsgruppe BAS_21 Zugriff auf Daten Die P1] kennt zwei Objekttypen zur Ablage von Daten in der Chipkarte. Dies sind transparente Datenfiles und rekordorientierte Datenfiles. Mit den zu prüfenden Kommandos in der nachfolgenden Tabelle werden Datenfiles beschrieben, ausgelesen oder inhaltlich gelöscht. Tabelle 14: Anforderungsgruppe BAS_21 Zugriff auf Daten BAS_2101 BAS_2102 BAS_2103 BAS_2104 BAS_2105 BAS_2106 BAS_2107 Erase Binary Prüfen der Funktionalität Ersetzen (löschen) von transparenten Daten auf x 00. Read Binary Prüfen der Funktionalität Lesen von transparenten Daten. Update Binary Prüfen der Funktionalität Ändern / schreiben von transparenten Daten. Activate Record Prüfen der Funktionalität Aktivieren eines Records. Append Record Prüfen der Funktionalität Hinzufügen eines Records (Erweitern eines EFs). Deactivate Record Prüfen der Funktionalität Deaktivieren eines Records. Erase Record Prüfen der Funktionalität Ersetzen der Daten (löschen) eines Records auf x 00. N490 N508 N509 N528 N530 N551 N553 N582 N583 N604 N605 N634 N635 N654 BAS_2108 Read Record N655 N675 gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 28 von 48

29 Prüfen der Funktionalität Lesen der Daten eines Records. BAS_2109 BAS_2110 Search Record Prüfen der Funktionalität Suchen eines Records mit einer Suchzeichenfolge. Update Record Prüfen der Funktionalität Schreiben der Daten in einem Records. N676 N700 N701 N Anforderungsgruppe BAS_22 Benutzerverifikation Alle zu prüfenden Kommandos in der nachfolgenden Tabelle benutzen Passwortobjekte, z. B. zur Passwortprüfung, zum Auswechseln eines Passworts oder zum Zurücksetzen des Fehlbedienungszählers. Tabelle 15: Anforderungsgruppe BAS_22 Benutzerverifikation BAS_2201 BAS_2202 BAS_2203 BAS_2204 Change Reference Data Prüfen der Funktionalität PIN ändern. Get PIN Status Prüfen der Funktionalität PIN-Status erfragen. Reset Retry Counter Prüfen der Funktionalität Fehlbedienungszähler zurücksetzen. Verify Prüfen der Funktionalität PIN-basierte Benutzerauthentisierung. N728, N729 N753 N728, N778 N788 N728, N789 N818 N728, N819 N Anforderungsgruppe BAS_23 Komponentenauthentisierung Diese zu prüfenden Kommandos zur Komponentenauthentisierung betrachten nur das für sich stehende Kommando und nicht die Partnerkomponente. Hierdurch grenzt sich diese Anforderungsgruppe von der Anforderungsgruppe BAS_26 ab. Tabelle 16: Anforderungsgruppe BAS_23 Komponentenauthentisierung BAS_2301 BAS_2302 External/Mutual Authenticate Kommandos zur Prüfung der Authentizität einer externen Instanz. Prüfen der Funktionalität. Get Security Status Key Kommando erfragt den Sicherheitszustand von Schlüsselobjekten. Prüfen der Funktionalität. N834 N849 N851 N861 gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 29 von 48

30 BAS_2303 Internal Authenticate Kommando zur Berechnung der Authentisierungsdaten zu einem Token. Prüfen der Funktionalität. N862 N Anforderungsgruppe BAS_24 Kryptoboxkommandos Die für die egk lt. P1] notwendigen krytografischen Funktionen werden mit den nachfolgenden, zu prüfenden Kommandos, z. B. zum Erzeugen einer digitalen Signatur oder zum Umschlüssen von Daten, zur Verfügung gestellt. Tabelle 17: Anforderungsgruppe BAS_24 Kryptoboxkommandos BAS_2401 BAS_2402 BAS_2403 BAS_2404 PSO Compute Digital Signatur Kommando signiert Daten mittels eines privaten Schlüssels. Prüfen der Funktionalität. PSO Decipher Kommando zum entschlüsseln von Daten mittels eines privaten Schlüssels. Prüfen der Funktionalität. PSO Transcipher Das Kommando kombiniert die Funktionalität der Kommandos Decipher und Encipher. Prüfen der Funktionalität. PSO Verfiy Certificate Kommando zur Überprüfung der Signatur eines Zertifikates mittels eines öffentlichen Schlüssels. Prüfen der Funktionalität. N873 N889 N890 N907 N923 N947 N948 N Anforderungsgruppe BAS_25 Verschiedenes Die nachfolgend aufgelisteten und zu prüfenden Kommandos sind unterschiedlicher Art und daher nicht den zuvor genannten Anforderungsgruppen zuzuordnen. Tabelle 18: Anforderungsgruppe BAS_25 Verschiedenes BAS_2501 BAS_2502 BAS_2503 Generate Asymmetric Key Pair Kommando zum Erzeugen eines asymmetrischen Schlüsselpaares. Prüfen der Funktionalität. Get Challenge Kommando zur Anforderung einer Zufallszahl. Prüfen der Funktionalität. Manage SE Kommando zum Setzen eines SE (Security Environments). Prüfen der Funktionalität. N965 N984 N985 N993 N996 N1045 gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 30 von 48

31 5.2.7 Anforderungsgruppe BAS_26 Authentisierungsprotokolle Gegenseitige Authentisierungen sind wesentlicher Sicherheitsbestandteil des Systems. Bei den Authentisierungsprotokollen handelt es sich um eine Chipkartenkommadosequenz zwischen den drei Kartentypen egk, HBA und SMC-x. Die Abgrenzung zur Anforderungsgruppe BAS_23 ist in dieser komplexen Kommandosequenz zu sehen. Nachfolgend werden die Chipkartenkommadosequenzen aus der Sicht einer egk in Anforderungen zusammen gefasst. Tabelle 19: Anforderungsgruppe BAS_26 Authentisierungsprotokolle BAS_2601 BAS_2602 BAS_2603 BAS_2604 BAS_2606 Extern. Auth mit sym. Key ohne Sessoinkey Der HBA oder die SMC authentisiert sich mittels eines symmetrischen Schlüssels gegenüber der egk. Dabei werden keine Sessionkeys ausgehandelt. Extern. Auth mit asym. Key ohne Sessoinkey Der HBA oder die SMC authentisiert ihre Rolle mittels eines RSA-Schlüssels gegenüber der egk. Dabei werden keine Sessionkeys ausgehandelt. Intern. Auth ohne Sessionkey Die Authentizität der egk wird durch den HBA oder die SMC überprüft. Dabei werden keine Sessionkeys ausgehandelt. Mutual Auth mit sym. Key und Sessionkey Zwischen der SMC und der egk findet eine gegenseitige Authentisierung mittels eines symmetrischen Schlüssels statt. Dabei werden Sessionkeys ausgehandelt. Gegenseitige Auth mit asym. Key und Sessionkey Zwischen der SMC und der egk findet eine gegenseitige Authentisierung mittels eines RSA Schlüssels statt. Dabei werden Sessionkeys ausgehandelt. N1046 N1049, N1050 N1052 N1046 N1049, N1053 N1055 N1046 N1049, N1059 N1060 N1046 N1049, N1061 N1065 N1046 N1049, N1066 N Anwendungstest / egk Anforderungsgruppe egk_30 Kartenaktivierung Mit dem Answer-to-Reset (ATR) werden der externen Welt Kennwerte der Chipkarte übermittelt. Für die egk sind einige Werte vorgegeben deren Einhaltung geprüft werden müssen. gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 31 von 48

32 Tabelle 20: Anforderungsgruppe egk_30 Kartenaktivierung egk_3001 ATR auswerten Nach dem Stecken der egk antwortet die Karte als erstes mit dem ATR. Dieser ist auf Konsistent der Werte zu prüfen Zu prüfen ist auch die Übereinstimmung der Werte mit den Inhalten im EF.ATR soweit möglich. P2] Kap Anforderungsgruppe egk_31 DateiAnwendungsstruktur Die Spezifikation P2] schreibt die Dateistruktur und relevanten Objekte/Parameter einer egk für alle Anwendungen der egk vor. Bei der Prüfung wird besonders auf folgende Punkte geachtet: vollständige Dateistruktur inkl. der geforderten Parameter, Einhaltung der spezifizierten Zugriffsrechte, Einhaltung der vorgegebenen FCP Werte, Sicherstellung der geforderten Dateigröße. Nicht Gegenstand der Prüfung sind zu personalisierende Dateiinhalte. Tabelle 21: Anforderungsgruppe egk_31 Anwendungsstruktur egk_3101 egk_3102 egk_3103 egk_3104 egk_3105 MF-Level Elementary Files auf MF-Ebene auf Vollständigkeit und über den FCP die Datenfiles auf Korrektheit prüfen. Hinweis: Zu prüfen ist die Stimmigkeit der Inhalte des EF.ATR mit den Werten im ATR. DF.HCA Prüfen der Gesundheitsanwendung (HCA) und ihrer untergeordneten Anwendungen zum Notfalldatensatz und persönlichen Erklärungen des Versicherten, hinsichtlich der oben genannten Punkte. DF.ESIGN Prüfen der Signaturanwendung hinsichtlich der oben genannten Punkte. DF.CIA.ESIGN Prüfen der kryptografischen Informationsanwendung (Zusatz zur Signaturanwendung) hinsichtlich der oben genannten Punkte. DF.QES Die Dateistruktur der QES Anwendung für qualifizierte elektronische Signaturen abhängig von der Installationsvariante auf Vollständigkeit und über den FCP die Datenfiles auf Korrektheit prüfen P2] Kap. 6.2 P2] Kap. 6.3 P2] Kap. 6.4 P2] Kap. 6.5 P2] N19 N41 Kap gematik_pvo_egk_karten_generation1_v1_2_1.doc Seite 32 von 48