Sehr geehrte Damen und Herren,
 
der Standard OSCI-Transport sowie die XöV-Standards nutzen eine Verschlüsselung sowohl auf Transport- als auch auf Inhaltsdatenebene. Bislang wurde hier der Betriebsmodus CBC des Verschlüsselungsalgorithmus AES eingesetzt.
 
Im Zuge zweier Schwachstellenmeldungen in den Jahren 2017 und 2018 hat die Koordinierungsstelle für IT-Standards (KoSIT) gemeinsam mit Partnern festgestellt, dass dieser Betriebsmodus zumindest für OSCI nicht mehr sicher ist. Obwohl das Schadenspotential für OSCI als „gering“ eingestuft wird, hat die KoSIT bereits am 25.06.2018 ein Schreiben veröffentlicht, in dem der Umstieg auf den aktuellen Betriebsmodus GCM des Verschlüsselungsalgorithmus AES wie folgt festgesetzt wird: • Die OSCI-Transport Bibliothek bietet für die Transportverschlüsselung ab dem 15.11.2019 ausschließlich AES-GCM an • Im Standard XInneres inklusive seiner Module (XMeld, XAusländer, XPersonenstand, XPersonenstandsregister und Basismodul) ist für die Inhaltsdatenverschlüsselung ab dem 01.11.2019 ausschließlich AES-GCM zu verwenden Die Erläuterungen und Veröffentlichungen der KoSIT finden Sie auf der KoSITWebseite www.xoev.de/downloads-2316 unter dem Punkt „OSCI 1.2“, die Handreichung vom Juni 2018 haben wir diesem Newsletter in Anlage beigefügt.

DataClearing NRW - Newsletter Nr. 35