ag-gesundheitswesen AT lists.piratenpartei.de
Betreff: AG Gesundheit
Listenarchiv
- From: DS Lawfox <dslawfox AT googlemail.com>
- To: AG Gesundheit <ag-gesundheitswesen AT lists.piratenpartei.de>
- Subject: Re: [AG-Gesundheit] eGK
- Date: Fri, 14 Oct 2011 16:13:14 +0200
- List-archive: <https://service.piratenpartei.de/pipermail/ag-gesundheitswesen>
- List-id: AG Gesundheit <ag-gesundheitswesen.lists.piratenpartei.de>
Hallo Michaela und Birger und ML,
ganz so einfach funktioniert es nicht mit dem Treuhänder. Das vorgesehen - aber gesetzlich nicht festgelegte - Treuhändermodell sieht wie folgt aus und befasst sich in der Hauptsache mit Key-Recovery-Verfahren, die genau den von euch bedachten Aspekt komplett aushebeln. Der Versicherte ist nämlich genau NICHT erforderlich, um die Daten zu entschlüsseln, weil der ursprüngliche Schlüssel im Verlustfall von Dritten rekonstruiert werden kann. Und da liegt das wesentliche Sicheheits-Leck bei aller noch so schwärmerischen Verschlüsselungs-Theorie:
6.3.1 Key-Recovery-Verfahren
Das Key-Recovery-Verfahren ist in den Abbildungen 9 und 10 in seinen wesentlichen Grundzügen dargestellt. Bei diesem automatisierten Datenerhaltkonzept werden die in den Grafiken dargestellten Schritte 1 bis 15 in einer jeweils folgenden Tabelle im Einzelnen erläutert[15].
Abbildung 9: Key-Recovery-Verfahren - Teilgeheimnishinterlegung
| 1 | Der Kartenherausgeber erzeugt bei der Kartenproduktion aus dem privaten Entschlüsselungsschlüssel des Versicherten zusätzlich zwei Teilschlüssel, aus denen der zuständige Datenwiederherstellungsdienst (Data Recovery Service - DRS) den ursprünglichen Schlüssel wieder herstellen kann. |
| 2 | Ein Teilschlüssel (Teilgeheimnis 1) wird beim Kartenherausgeber hinterlegt. |
| 3 | Der andere Teilschlüssel (Teilgeheimnis 2) . . . |
| 4 | . . . wird zur ausschließlichen Verwendung durch einen zuständigen Treuhänder auf der eGK gespeichert. |
| 5 | Bei der erstmaligen Einrichtung einer freiwilligen Anwendung mit Online-Speicherung von Daten wird der Treuhänder informiert und der auf der eGK gespeicherte Teilschlüssel wird dem Treuhänder übermittelt und . . . |
| 6 | . . . dort gespeichert. Bei der Einrichtung weiterer freiwilliger Anwendungen wird der Treuhänder jeweils informiert. |
Abbildung 10: Key-Recovery-Verfahren - Umschlüsselungsprozesse
| 7 | Bei Ausgabe einer neuen eGK beauftragt der Kostenträger den Treuhänder mit der Umschlüsselung der Daten (Grund für Datenerhalt). Der Versicherte ist nicht beteiligt. |
| 8 | Der Treuhänder fordert bei den beauftragten Fachdiensten für die freiwilligen Anwendungen die Objekt Tickets des Versicherten an . . . |
| 9 | . . . und übergibt sie zusammen mit dem bei ihm hinterlegten Teilschlüssel (Teilgeheimnis 2) . . . |
| 10 | . . . dem zuständigen Data Recovery Service zur Umschlüsselung. |
| 11 | Der Data Recovery Service (DRS) fordert beim Kartenherausgeber den dort hinterlegten Teilschlüssel (Teilgeheimnis 1) an, . . . |
| 12 | . . . rekonstruiert den ursprünglichen privaten Entschlüsselungsschlüssel des Versicherten und schlüsselt die Objekt Tickets um. |
| 13 | Die umgeschlüsselten Objekt Tickets werden über den Treuhänder . . . |
| 14 | . . . an die zuständigen Fachdienste verteilt. Die Ersatzkarte wird ohne Informationen zu den vom Versicherten genutzten freiwilligen Anwendungen ausgeliefert. Bei der erstmaligen Nutzung der neuen Karte, überträgt der Treuhänder die Informationen über einen sicheren Kanal auf die Karte. |
| 15 | Nachdem der Treuhänder den Datenerhalt für alle Anwendungen erfolgreich durchgeführt hat, muss der Kostenträger über das Ergebnis des Prozesses informiert werden. |
Vorteile des automatisierten Datenerhalts mittels des Key-Recovery-Verfahrens sind:
- Es ist keine Aktivität des Versicherten erforderlich. Die Ersatzkarte kann bei Erfordernis unmittelbar produziert und zugestellt werden und ist sofort einsetzbar.
- Der Datenerhalt ist auch im Worst Case einfach und schnell möglich, also auch bei Totalverlust der alten eGK und aller anderen Datenträger und Geheimnisse des Versicherten.
- Wird ein privater Schlüssel kompromittiert, erfährt der Treuhänder noch keine Kompromittierung.
- Erst durch die beiden Teilgeheimnisse wird der Umschlüsselungsprozess möglich, was eine zusätzliche Sicherheit darstellt.
Nachteile des automatisierten Datenerhalts mittels des Key-Recovery-Verfahrens sind:
- Der Versicherte tritt die Kontrolle über den Prozess weitestgehend an den Kostenträger und die beteiligten Dienste ab.
- Der Versicherte muss einem institutionellen Treuhänder vertrauen, der zumindest Teile von privatem Schlüsselmaterial verwaltet, das potenziell (d.h. bei unerlaubtem Zusammenwirken mehrerer Beteiligter) zum Zugriff auf eigene medizinische Daten verwendet werden könnte.
- Eine Speicherung der Teilgeheimnisse 2 beim Treuhänder wird erforderlich.
6.3.2 Key-Escrow-Verfahren
Das Key-Escrow-Verfahren (s. Abb. 11) unterscheidet sich maßgeblich in folgenden Punkten vom Key-Recovery-Verfahren:
- Die Objekt-Tickets der freiwilligen Anwendungen eines Versicherten werden nicht nur mit dem öffentlichen Schlüssel des Versicherten verschlüsselt, sondern parallel dazu auch mit dem öffentlichen Schlüssel des zuständigen Treuhänders.
- Dies bedingt, dass der öffentliche Schlüssel des Treuhänders für die entsprechenden Prozesse in Verbindung mit den freiwilligen Anwendungen im Konnektor zur Verfügung steht.
- Der privaten Schlüssel des Treuhänders ist im gesicherten Bereich des Treuhänders vorzuhalten.
Abbildung 11: Key-Escrow-Verfahren - Umschlüsselungsprozesse
| 1 | Bei Ausgabe einer Ersatzkarte beauftragt der Kostenträger den Treuhänder mit der Umschlüsselung der Daten (Grund für Datenerhalt). Der Versicherte ist nicht beteiligt. |
| 2 | Der Treuhänder fordert bei den beauftragten Fachdiensten für die freiwilligen Anwendungen die Objekt Tickets des Versicherten an . . . |
| 3 | . . . und entschlüsselt nun mit seinem privaten Treuhänder-Entschlüsselungsschlüssel die Objekt Tickets. |
| 4 | Anschließend verschlüsselt der Treuhänder die Objekt Tickets für den Versicherten mit dem öffentlichen Schlüssel der Ersatzkarte des Versicherten. |
| 5 | Die umgeschlüsselten Objekt Tickets werden über den Treuhänder an die zuständigen Fachdienste verteilt. Eine entsprechende Statusmeldung wird vom Fachdienst an den Treuhänder zurückgesandt. Die Ersatzkarte wird ohne Informationen zu den vom Versicherten genutzten freiwilligen Anwendungen ausgeliefert. Bei der erstmaligen Nutzung der neuen Karte, überträgt der Treuhänder die Informationen über einen sicheren Kanal auf die Karte. |
| 6 | Nachdem der Treuhänder den Datenerhalt für alle Anwendungen erfolgreich durchgeführt hat, muss der Kostenträger über das Ergebnis des Prozesses informiert werden. |
Vorteile des automatisierten Datenerhalts mittels des Key-Escrow-Verfahrens sind:
- Es ist keine Aktivität des Versicherten erforderlich. Die Ersatzkarte kann bei Erfordernis unmittelbar produziert und zugestellt werden und ist sofort einsetzbar.
- Der Datenerhalt ist auch im Worst Case einfach und schnell möglich, also auch bei Totalverlust der alten eGK und aller anderen Datenträger und Geheimnisse des Versicherten.
- Durch die zusätzliche Verschlüsselung der Objekt Tickets mit dem öffentlichen Schlüssel des Treuhänders benötigt der Letztgenannte nicht den privaten Schlüssel des Versicherten für den Umschlüsselungsprozess.
Nachteile des automatisierten Datenerhalts mittels des Key-Escrow-Verfahrens sind:
- Der Versicherte tritt die Kontrolle über den Prozess weitestgehend an den Kostenträger und die beteiligten Dienste ab.
- Der Versicherte muss einem institutionellen Treuhänder vertrauen.
- Der öffentliche Schlüssel des Treuhänders muss im Konnektor gespeichert werden.
- Wird ein privater Schlüssel kompromittiert, so ist der Treuhänder in Gänze kompromittiert.
Gruß: Dietmar
Am 14. Oktober 2011 12:11 schrieb haarbrandt <haarbrandt AT googlemail.com>:
Michaela,
ich denke, dass auf deine Argumente im Laufe der Diskussion schon
eingegangen wurde.
Weiter oben wird auf das Prinzip des Treuhänders eingegangen. Was
spricht dagegen, die PIN bei Verwandten oder dem Hausarzt zu
hinterlegen?
Das System ist übrigens so angelegt, dass gerade nicht jemand sagen
kann "jetzt ändern wir die Zugangsbestimmungen". Auch bei
Terrorismusgefahr ist das ganze technisch nicht möglich, da
tatsächlich nur über die Kombination Karte + PIN den Erfolg bringt.
Zudem reicht das "Passwort" (PIN) nicht. Du brauchst dazu noch:
a) Heilberufsausweis + PIN
b) Kartenlesegerät
c) Konnektor
d) Gesundheitskarte des Patienten (da ist ein Bild drauf...der Arzt
wird also vermutlich Verdacht schöpfen...)
Zudem werden die kryptographischen Verfahren laufend an den Stand der
Dinge angepasst.
Gruß,
Birger
Am 14. Oktober 2011 12:02 schrieb mb <michaela_bach AT web.de>:
> Hallo,
>
> das Restrisiko erscheint mir sogar sehr hoch:
>
> bereits nach Einführung der elektronischen Gesundheitskarte wurde selbige geknackt z.B: http://www.dkgev.de/dkg.php/cat/118/aid/8335
> Auch wenn hierdurch kein größerer Schaden entstanden ist, zeigt es doch, dass hier genaus programmiert wird wie an anderer Stelle (Bundestrojaner, Personalausweis usw).
>
> Wer sagt uns denn, dass bei dem rasanten Leistungswachstum der Computer die Sicherungssysteme in ein paar Jahren immer noch "sicher" sind?
>
> Sind Daten erstmal vorhanden, lassen sie sich auch offiziell knacken" - es gibt genug Menschen, die ihr Passwort vergessen, also muss eine zentrale Stelle darauf irgendwie Zugriff haben. Der Innenminister muss doch nur erklären, dass z.B. die Terrorismusgefahr durch Offenlegung der medizinischen Daten reduziert werden kann - und schon erfolgt der Zugriff ganz legal. Usw. usw
>
> Auch können Menschen quasi indirekt (illegal) gezwungen werden, ihr Passwort herauszugeben, weil nur diejenigen Leistungen erhalten, die ihre Daten freiwillig herausgeben (z.B. Bewerbung).
>
>
> Michaela
>
>
>
>> -----Ursprüngliche Nachricht-----
>> Von: ag-gesundheitswesen-bounces AT lists.piratenpartei.de [mailto:ag-
>> gesundheitswesen-bounces AT lists.piratenpartei.de] Im Auftrag von Robert
>> Stein
>> Gesendet: Donnerstag, 13. Oktober 2011 20:17
>> An: AG Gesundheit
>> Cc: AG Gesundheit
>> Betreff: Re: [AG-Gesundheit] eGK
>>
>> Nun ja, die Diskussion ist ergebnisoffen, aber die jüngsten Beispiele
>> (Telekom, Bundestrojaner, Steuer-CDs, ...) zeigen, dass immer ein
>> Restrisiko verbleibt. Die Piraten stehen für Datenschutz, und ich sehe
>> nicht, welchen Vorteil die eGK bringen soll im Vergleich zu potentiellem
>> Missbrauch der Daten.
>>
>> Bei den Privatversicherten geht es ja auch ohne. Und das System nach GOÄ
>> und GOZ ist auch für die Patienten transparenter.
>>
>> MfG
>>
>> Robert
>>
>
>
> --
> AG-Gesundheitswesen mailing list
> AG-Gesundheitswesen AT lists.piratenpartei.de
> https://service.piratenpartei.de/listinfo/ag-gesundheitswesen
--
AG-Gesundheitswesen mailing list
AG-Gesundheitswesen AT lists.piratenpartei.de
https://service.piratenpartei.de/listinfo/ag-gesundheitswesen
- Re: [AG-Gesundheit] eGK, (fortgesetzt)
- Re: [AG-Gesundheit] eGK, Robert Stein, 15.10.2011
- Re: [AG-Gesundheit] eGK, mb, 14.10.2011
- Re: [AG-Gesundheit] eGK, haarbrandt, 14.10.2011
- Re: [AG-Gesundheit] eGK, mb, 14.10.2011
- Re: [AG-Gesundheit] eGK, haarbrandt, 14.10.2011
- Re: [AG-Gesundheit] eGK, DS Lawfox, 14.10.2011
- Re: [AG-Gesundheit] eGK, haarbrandt, 14.10.2011
- Re: [AG-Gesundheit] eGK, DS Lawfox, 15.10.2011
- [AG-Gesundheit] eGK, Dieter Schlierf, 15.10.2011
- Re: [AG-Gesundheit] eGK, mb, 15.10.2011
- Re: [AG-Gesundheit] eGK, haarbrandt, 14.10.2011
- Re: [AG-Gesundheit] eGK, DS Lawfox, 14.10.2011
- Re: [AG-Gesundheit] eGK, Thorsten Wagner, 14.10.2011
Archiv bereitgestellt durch MHonArc 2.6.19.