André, R.I.P. Natenom 🕯️🖤
@jakob_thoboell @ArneBab Der ARtikel befasst sich genau 0 mit der Sicherheit der Architektur, den Zugriffen, der Übertragung und Verschlüsselung der Patentiendaten in der Patientenakte.
Der befasst sich inhaltlich mit der Ausleitung von Forschungsdaten (zu einem Forschungsdatenzentrum) - ganz anderes Thema.
Also bitte noch mal, eine Quelle, die real existierende Schwächen der Architektur benennen kann, kein öminöses im Kreis auf die jeweils nächste Sekundärquelle zeigen.
Arne Babenhauserheide
@asltf Hast du einen Beweis dafür, dass die Architektur und die Prozesse außenrum sicher genug sind, um Daten mit einem Wert von mindestens 20 Milliarden Euro zu schützen?
Das ist die zentrale Frage hier.
Der Wert dieser Akten auf dem Schwarzmarkt hätte gereicht, um das Haushaltsloch für 2025 zu stopfen.
Und sie betreffen nicht nur dich, sondern durch vererbbare Krankheiten auch kommende Generationen.
Arne Babenhauserheide
@asltf Konkretes Risiko: weißt du noch, wie lange die Gematik das letzte Mal für eine Aktualisierung von nicht mehr sicheren Systemen gebraucht hat?
Konkretes Risiko: wodurch wird festgelegt, wer wann auf die Daten zugreifen kann? Ist das noch sicher, wenn eine AfD an die Macht kommt und politische Gegner überprüfen will?
André, R.I.P. Natenom 🕯️🖤
@ArneBab @jakob_thoboell Und auch hier, kein Derailing. Benenne bitte konkrete Probleme/Risiken in der Architektur.
Wann, wo, wie (mit welchem Aufwand) Schlüsselmaterial extrahiert werden kann um auf die verschlüsselten Daten zugreifen zu können, falls man diese im großen Maßstab ausleiten konnte.
Kein ominöses, irgenwder wird immer irgendwie, irgendwann, irgendwas hacken.
Arne Babenhauserheide
@asltf Weiteres leider nicht unwahrscheinliches Risiko: schon bei Konzeption wurde vielleicht jemand eingeschleust, der versteckte Sicherheitslücken einbaut.
Für 20 Milliarden Euro an Wert kann man auch mal ein paar Jahre lang einen Maulwurf bezahlen. Es wäre regelrecht dumm (vom organisierten Verbrechen), das nicht zu versuchen.
@jakob_thoboell
Arne Babenhauserheide
@asltf Nein, es ist nicht das gleiche.
Der Unterschied, ob es eine einzelne Anweisung braucht, die Nachschlüssel rauszuholen, oder ob jede einzelne Praxis unter Druck gesetzt werden muss, ist riesig.
@jakob_thoboell
André, R.I.P. Natenom 🕯️🖤
@jakob_thoboell @ArneBab Also sollen die Arztpraxen am besten auch alle Patientenakten schreddern?
Denn das ist ja das gleiche.
Jakob Thoböll - R.I.P. Natenom
@asltf
Dennoch sollte man das einem autoritären System so schwer wie möglich machen. VOrauseilender Gehorsam ist einer der Treibstoffe autoritärer Strukturen.
@ArneBab
André, R.I.P. Natenom 🕯️🖤
@ArneBab @jakob_thoboell Ja, sorry, wenn die AfD per Gesetz Zugriff auf alle Gesundheitsdaten haben will, dann macht sie das auch dezentral.
Und bis das Gesetz in Kraft wäre, könntest du noch von deinem Widerspruchsrecht gebrauch machen.
So lange es rechtsstaatlich demokratisch ist, ist das kein Risiko. Danach ist es eh eine Skala größer das Problem.
Was meinst du mit dem ersten Satz?
Arne Babenhauserheide
@asltf nein, in der Praxis ist es auch in einem Rechtsstaat nicht gleich schwer.
Es gibt nämlich, soweit ich die Architektur verstanden habe, zentrale Nachschlüssel. Organisatorisch getrennt, aber es gibt sie an zentraler Stelle.
Da braucht es eine harmlos wirkende Verordnung (z.B. „um Gefahren von dem Land abzuwehren dürfen Bundesbehörden Gesundheitsakten entschlüsseln lassen“) und alles weitere ist nur eine Dienstanweisung.
Weisungen an Ärzte zu geben braucht deutlich mehr.
@jakob_thoboell
André, R.I.P. Natenom 🕯️🖤
@ArneBab @jakob_thoboell Mit der Einschätzung gehe ich nicht ganz mit. In einem Rechtsstaat ist das sehr wohl beides gleich schwer. Willst du sagen, diesen Rechtsstaat haben wir nicht mehr?
Und wenn der Rechtsstaat nicht mehr gegeben ist, ist es für die Autokratie beides gleich schwer.
Denn es gibt eben nicht *den* Nachschlüssel, denn es gibt eben nicht *die* zentrale Akte.
Arne Babenhauserheide
@asltf Wie liest du das hier sonst?
> Nach erfolgreicher Authentifizierung des Nutzers … wird aus einem Masterkey unter Verwendung der Nutzer-individuellen Kennung aus dem Zertifikat (Telematik-ID bzw. unveränderlicher Anteil der KVNR) und ggf. fachanwendungsspezifischen Informationen ein Schlüssel abgeleitet. Dies stellt sicher, dass ein SGD für einen Nutzer in einer Fachanwendung immer denselben Schlüssel erzeugt.
https://gemspec.gematik.de/docs/gemKPT/gemKPT_Arch_TIP/gemKPT_Arch_TIP_V2.10.0/#4.7
André, R.I.P. Natenom 🕯️🖤
@ArneBab @jakob_thoboell Na da haben wir das Problem ja identifiziert. "Es gibt nämlich, soweit ich die Architektur verstanden habe, zentrale Nachschlüssel. Organisatorisch getrennt, aber es gibt sie an zentraler Stelle."
Denn das ist schlicht falsch.
Arne Babenhauserheide
@asltf In der Beschreibung steht explizit, dass von den Nutzern nur permanentes ID-Material, kein Schlüsselmaterial gebraucht wird.
Du brauchst also gerade nicht die Schlüsselkarte *von Nutzern*.
Kannst die Schlüssel also zentralisiert neu erzeugen.
Und ich weiß, ich wiederhole mich, aber das ist wichtig: 20 Milliarden Euro sind kein Papppenstil.
Das sind knapp 8% des Gesamtschadens durch Einbruch in IT-Systeme dieses Jahr — staatliche Akteure miteingerechnet.
@jakob_thoboell
André, R.I.P. Natenom 🕯️🖤
@ArneBab @jakob_thoboell Erstens gilt das für jeden Aktensystemstandort. Gibt also immer noch nicht *den* einen.
Zweitens ist das ein HSM, den Key bekommst du da nicht raus. Das ist Sinn und Zweck von HSMs.
Ich sagte ja, bereits, wer HSMs knacken kann, wird sein Unwesen wohl eher woanders treiben.
Den HSM Backup Key von den Schlüsselträgern zu bekommen, geht in die gleiche Kategorie. Du musst die Schlüsselkarten und deren PINs zusammen bekommen.
Arne Babenhauserheide
@asltf Erstmal festhalten: sind wir uns einig, dass die Schlüssel für die Langzeitspeicherung zentral erzeugt werden, ohne dafür Interaktion mit Nutzern zu brauchen — also zentralisiert Nachschlüssel geliefert werden können?
@jakob_thoboell
André, R.I.P. Natenom 🕯️🖤
@ArneBab @jakob_thoboell Dann müsstest du die Infrastruktur also so weiter kompromittieren, dass in den VAUs gültige, signierte Programme laufen, die dir die entschlüsselten Daten raus reichen.
Wie gesagt, wer das Know-How aufbringt, verbrennt den 0day nicht für Gesundheitsdaten, die er mit weniger aufwand auch direkt bei den Ärzten verdeckt einsammeln kann, oder damit bei den Geheimdiensten hochsensible Verschlusssachen raustragen kann.
André, R.I.P. Natenom 🕯️🖤
@ArneBab @jakob_thoboell Auf die Gefahr hin, dass ich mich wiederhole, es gibt nicht *den* einzelnen SGD. Es gibt viele, je nachdem wo deine Akte liegt.
Und ja, diese Komponente gibt das Schlüsselmaterial an die VAU.
Also selbst wenn du den SGD überzeugen kannst, alle abgeleiteten Schlüssel heraus zu geben. Ist dieses "heraus" immer noch nicht zu dir, sondern in eine Security enclave (Intel-sgx, AMD Sec, ARM, o.ä.) der VAU.
Arne Babenhauserheide
@asltf Nein, es braucht als Eingabe keine Nutzerinteraktion.
Um angetriggert zu werden braucht es Authentifizierung, die ist aber nicht Teil der Schlüsselgenerierung.
Da du nicht auf die direkte Frage geantwortet hast, frage ich nochmal:
Ist es Konsens, dass zentralisiert Nachschlüssel erzeugt werden können?
(wir brauchen eine Faktenbasis, um konstruktiv diskutieren zu können)
@jakob_thoboell
André, R.I.P. Natenom 🕯️🖤
@ArneBab @jakob_thoboell Die Nutzerinteraktion ist die notwendige kryptografisch gesicherte Nutzer-ID.
Das Angriffszenario ist also, SGD1 (TI) komprommitieren *und* die SGD2 der Fachdienste zu kompromittieren um dort die Schlüssel raus zu holen.
Und dann noch die Fachdienste zu komprommittieren, um die verschlüsselten Daten abzugreifen.
Also drei voneinander unabhängige Dienste/Umgebungen. Dann hättest du im Idealfall alle Daten von einer Versicherung.
Arne Babenhauserheide
@asltf Ich meine: kann in dem Verschlüsselungskonzept ein Nachschlüssel erzeugt werden, ohne nur den Nutzern oder ihrem Hausarzt bekannte Daten zu verwenden? ⇒ das meine ich mit "keine Nutzerinteraktion".
Zentral ist es für mich dann, wenn es nur ein oder nur eine handvoll Systeme gibt, die dafür benötigt werden.
@jakob_thoboell
André, R.I.P. Natenom 🕯️🖤
@ArneBab @jakob_thoboell
Um deine Frage beantworten zu können muss ich allerdings erst mal wissen, was du unter Nutzerinteraktion und zentral verstehst.
GNU social JP is a social network, courtesy of GNU social JP管理人. It runs on GNU social, version 2.0.2-dev, available under the GNU Affero General Public License.
All GNU social JP content and data are available under the Creative Commons Attribution 3.0 license.