Verschlüsselung

EDIFACT-Nachrichten: neue Algorithmen bei S/MIME & Zertifikaten

8. Mai 2018 von Bianca Wellbrock

EDIFACT
© Сake78 (3D & photo) - Fotolia.com

Update (05/2018): Neue Frist für den Einsatz von RSASSA-PSS signierten Zertifikaten

Die Bundesnetzagentur (BNetzA) hat am 19. April 2018 die Mitteilung Nr. 8 bekanntgegeben. Darin wird deutlich, dass sämtliche EDIFACT-Nachrichten zur Kommunikation auf dem Strom-/ Gasmarkt ab dem 19. Juli 2018 mit elektronischer Verschlüsselung sowie Signatur abzusichern sind. Dabei müssen die Anforderungen der BSI TR-03116-4 (PDF) eingehalten werden.

Die BNetzA hatte das Umsetzen dieser Vorgaben in ihrer Mitteilung Nr. 3 Ziffer 2 übergangsweise ausgesetzt. Die in Mitteilung Nr. 7 genannten Voraussetzungen für die marktweite Verpflichtung zum Unterstützen von RSASSA-PSS-signierten Zertifikaten sind nun gegeben. Das hat zur Folge, dass die enthaltenen Voraussetzungen ab dem 13. Juli 2018 gegeben sein müssen: Sämtliche Marktteilnehmer müssen ab diesem Stichtag RSASSA-PSS-signierte Zertifikate für das Verifizieren unterstützen.

Ab sofort können Sie über uns RSASSA-PSS signierte Zertifikate von unserem Partner SwissSign erwerben! Bitte sprechen Sie uns an! Telefonisch an 0661 480 276 10 oder per E-Mail an support@psw.net

________________________________________________________________________________________

Im Mai 2017 haben wir zur Übergangsregelung durch den BDEW informiert. Nun ist diese Übergangszeit vorüber und es gibt Neuigkeiten zu den Algorithmen bei S/MIME und Zertifikaten.

Übergangsregeln für EDIFACT-Dateien

Seit dem 01. Juni 2017 besteht eine grundsätzliche Verschlüsselungs- und Signierpflicht von EDIFACT-Dateien. Jedoch ging vielen BDEW-Mitgliedsunternehmen die Umstellung zu plötzlich. Für das Migrieren neuer Verfahren, die den BSI-Vorgaben entsprechen, brauchten die BDEW-Mitgliedsunternehmen mehr Zeit. Mit den Übergangsregelungen war es gelungen, Unternehmen schrittweise in die Neuregelung zu führen.

Die Übergangsregeln für EDIFACT-Nachrichten können Sie im oben verlinkten Beitrag genau nachlesen.

Neuregelungen für EDIFACT-Dateien

Die Bundesnetzagentur hat ihre „Regelungen zum Übertragungsweg“ (PDF) am 12.12.2017 überarbeitet. In der Übergangsregelung hieß es noch, dass sämtliche ab Januar 2018 ausgestellten Zertifikate das Signaturverfahren RSASSA-PSS nutzen müssen. Jedoch hieß es auch, dass sich dieses Datum noch verschieben ließe, wenn bis Ende 2017 nicht genügend vertrauenswürdige öffentliche Zertifizierungsstellen gefunden werden, die Zertifikate mit diesem Signaturverfahren anbieten.

Update:

In der neuen Fassung der Bundesnetzagentur ist genau darauf Rücksicht genommen worden. Nun müssen alle Zertifikate die ab dem 01.01.2019 ausgestellt werden mit RSASSA-PSS signiert sein. Bis Ende des Jahres können bestehende Zertifikatstypen noch verwandt werden.

Für E-Mail-Signaturen greift die Regelung bereits jetzt: Ab dem 01.01.2018 darft zur Signierung einer E-Mail ausschließlich RSASSA-PSS eingesetz werden.

Das bedeutet für Sie, dass die E-Mail, die Sie versenden bereits jetzt schon mit dem RSASSA-PSS-Algorithmus signiert sein muss. Dies müssen Sie in Ihrer Signatursoftware oder E-Mail-Gateway einstellen. Bis Ende des Jahres können Sie auch noch bestehende Zerttifikatstypen verwenden. Ab dem 01.01.2019 dürfen Sie dann ausschließlich mit RSASSA-PSS signierte Zertifikate verwenden.

 

Relevant ist weiter, dass bis zum 31. Dezember 2017 auch der Algorithmus SHA-1 Verwendung finden durfte. Das hat sich mit Beginn des neuen Jahres geändert: Ab sofort muss beim Empfang verschlüsselter Nachrichten der Hash-Parameter SHA-2 für die Schlüsselverschlüsselung unterstützt werden. Warum SHA-1 verabschiedet wurde, lesen Sie bitte in diesem Beitrag nach.

Was hat sich überhaupt geändert?

Seit dem 01. Juni 2017 gelten folgende Regelungen:

  • Das spezifische Signieren und Verschlüsseln der EDIFACT-Dateien entfällt.
  • Signiert und verschlüsselt wird nach dem S/MIME-Standard v3.2. Es sind ausschließlich Kryptoalgorithmen zu nutzen, die vom BSI als aktuell und sicher eingestuft wurden. Weiter werden ausschließlich X.509-Zertifikate von zugelassenen Trustcentern angenommen.
  • Vorgegeben werden außerdem neue organisatorische Regelungen für den Umgang mit Zertifikaten und verschiedenen Fehlerfällen in der Kommunikation zwischen zwei Partnern.

EDI-konforme Zertifikate: was ist nun zu tun?

Die Bundesnetzagentur hat darauf Rücksicht genommen, dass die Umstellung auf die neuen Zertifikatsregelungen noch etwas Zeit in Anspruch nehmen wird. Daher können bis Ende des Jahres bestehende Zertifikatstypen noch verwandt werden – wenden Sie sich vertrauensvoll an uns!

Wir sind jedoch auch auf die Änderungen im Bereich S/MIME eingestellt und informieren Sie sobald wir Ihnen RSASSA-PSS signierte Zertifikate anbieten können.

Haben Sie Fragen zum Thema, scheuen Sie sich nicht, mit uns in Kontakt zu treten – wir beraten Sie gerne!

 



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu