Externe Analyse bestätigt Sicherheit der Anmelde-Kommunikation für die elektronische Patientenakte

Die gematik hat Professor Dr. Marc Fischlin, Forschungsgruppe Kryptographie und Komplexitätstheorie der Technischen Universität Darmstadt, mit einer kryptographischen Sicherheitsstudie für den Schlüsselgenerierungsdienst (SGD) der elektronischen Patientenakte (ePA) beauftragt. Diese Studie sollte die grundsätzliche Sicherheit des Verfahrens bewerten.

Herr Professor Fischlin kommt in seiner Studie zu dem Urteil, „dass die einzelnen versichertenspezifischen Schlüssel kryptographisch sicher sind. Das Sicherheitsniveau ist dabei sehr hoch, der Angreifer erhält unter kryptographischen Annahmen keine Informationen über die Schlüssel.“ Weiter schreibt er, die „verwendeten kryptographischen Komponenten zum Verschlüsseln, Signieren, Schlüsselableiten etc. im Protokoll entsprechen den aktuellen Empfehlungen der Wissenschaft und Behörden und bieten adäquaten Schutz.“

Holm Diening, Chief Security Officer in der gematik, erklärt: „Die Studie wird im vollen Umfang veröffentlicht. Wir sind überzeugt, dass Information zur Sicherheit der Verfahren, die durch die gematik entwickelt werden, einer breiten Öffentlichkeit zugänglich gemacht müssen und freuen uns auf den Austausch mit der allen Interessierten.“

Der Schlüsselgenerierungsdienst (SGD) ist ein zentrales Sicherheitselement der elektronischen Patientenakte (ePA). Der Dienst erzeugt individuelle Schlüssel zur Verschlüsselung von Akten- und Kontextschlüssel, welche dem berechtigten Nutzer den Zugriff auf die Daten der ePA ermöglichen.

pdf zum Download: Prof. Dr. Marc Fischlin, Technische Universität Darmstadt: „Kryptographische Analyse: Spezifikation Schlüsselgenerierungsdienst ePA (Version 1.4.1)“