Zur Homepage www.HI-Tier.de Verschlüsselung
Zurück Home Nach oben Weiter
Öffentlicher Bereich für Entwickler

 

Verschlüsselung im HIT-Protokoll

Allgemein

bulletHIT/ZID unterstützt seit 2004 sichere Datenübertragung mit selbst implementierten Verschlüsselungsverfahren auf Basis von definierten Standard Algorithmen und Open Source.
bulletIm Rahmen der Anforderungen an die HIT/ZID zentrale Datenbank und Ihre Benutzer bezüglich Informationssicherheit begründet durch die DSGVO und die Zertifizierung nach BSI-Standard ist es unumgänglich, verschiedene Maßnahmen umzusetzen. Insbesondere ist die Kommunikation zwischen den Clients und dem HIT-Server mittels HIT-Protokoll unbedingt verschlüsselt durchzuführen.
bulletDie Verschlüsselung bei der Übertragung von Daten durch Programme liegt in der Verantwortung des Nutzer. Die zentrale Datenbank HIT/ZID bietet verschiedene Mechanismen zur Unterstützung an.
bulletMittelfristig wird die Nutzung des unverschlüsselten HIT-Protokolls unterbunden werden. Noch steht kein konkreter Zeitpunkt fest, aber -falls noch nicht erfolgt- stellen Sie bereits jetzt schon die Übertragung auf sichere Verfahren um!

Verschlüsselung bei Nutzung des HitBatch-Clients

Sofern Nutzer Software einsetzen, die im Hintergrund den von uns bereitgestellten HitBatch-Client verwenden, ist die Nutzung von Verschlüsselung mittels entsprechender Konfiguration und Parametereinstellungen (siehe Parameter CIPHERLEVEL und SVRPUBKEY) einfach realisierbar. Es kann hier aber zu Problemen kommen, wenn keine Updates oder Wartung bzw. Unterstützung vom Hersteller der eingesetzten Primärsoftware gegeben ist.

Verschlüsselung bei Nutzung selbstentwickelter Software

Besonders betroffen sind Nutzer von Software, die das HIT-Protokoll selbst umgesetzt haben. Hier muss entweder die Verschlüsselung in der lokalen Software implementiert werden oder es kann ein kostenfrei erhältlicher "Crypto-Proxy" zwischengeschaltet werden, siehe unten bei HitCryptoProxy.

Die Implementierung, wie bestehende HIT-Protokollbefehle und -antworten verschlüsselt werden, wird separat beschrieben.

Freigegebener PUBLIC KEY

Folgender Public Key ist ab 08.02.2017 15:30 Uhr (ohne die Zeilenumbrüche) für die Verschlüsselung der Anmeldung in HIT zu verwenden:

48015250010000010100970348B03E911DCCE5ED8F555C2116DBC4D7E96D4C1CDC4BBBAAD26BAA54
B5C834F604F9DFB391459459772FB51D00AFD0FE3A9B2DA724E62113A9E8C95BEF377CB5FCF7FEBE
42E5282A0DA50F01D5D2635DD958F9836CFB4F8B616777C0CF67DB9A5530AD679E321972E4D4F4F3
3DED057CB690417A3B42FBFCE2AD9FDD80C815AF1EC858C796D4EA2F17954E4BFAD08E3E0397FA34
122AC5951D889B06359A401E5506E50FA176B5A77FAB84E25CFCDBF2330AA173DA1156C8B79D6DB6
BFAE828B00811183E63F137648E1FC1786B52D815C248BCADDDF6A17C941414F67A23ADFE82FE761
96B64B96E36F8604FA00E8E357F5AE6C83B992D622D5E9CD9C1D00000003010001

(MD5-Hash des hexadezimal codierten Schlüssels: E599362A39B7FB4F250A64FA24906C54
 und des decodierten binären Schlüssels: ADB00F99A980B924E3BB1159F3037403)

Sie müssen auf jeden Fall die Anmelde-Antworten auf Hinweise bezüglich ungültiger Public Keys überprüfen,
da wir diesen Public Key in (un)regelmäßigen Abständen austauschen werden!

Der Schlüssel kann auch als Datei herunter geladen werden hier unter hitserver.pub bzw. unter dem alternativen Datenamen key20170208.pub.

Die Verwendung in unserem HitBatch geschieht dann mittels Parameter SvrPubKey=@<pfad>key20170208.pub

Hilfsprogramme

HitBatch

Der von uns zur Verfügung gestellte HitBatch wurde dahingehend erweitert, dass dieser auch verschlüsselt Daten austauschen kann (siehe Parameter CIPHERLEVEL und SVRPUBKEY)

Für Programmierer

Java

Für Selbstprogrammierer stehen die Sourcen des HitBatch zur Verfügung (die Klassen de.hi_tier.hitupros.HitSecurity und de.hi_tier.hitupros.crypto.HitSecurityKey werden dafür benötigt).
Achtung: seit Version 60 des HitBatch gibt es eine geänderte Paket- und Klassenstruktur, welche sich auch auf die Verschlüsselung auswirkt!

.NET Framework

Es gibt inzwischen von uns ein .NET Assembly, mit dem die Verschlüsselung in eigene Windows-Programme eingebaut werden kann.

Es gibt weder ein Assembly für .NET Core noch für .NET Standard! Uns fehlt die Manpower und Zeit, mehrere Varianten parallel zu pflegen.

HitCryptoProxy

Der HitCryptoProxyServer wurde von Baden-Württemberg kostenfrei zur allgemeinen Verwendung zur Verfügung gestellt. Dieser ermöglicht als Proxy die verschlüsselte Kommunikation zwischen der Zentralen Datenbank HIT/ZID und einem unverschlüsselt kommunizierenden Client.

Achtung: Dieser Proxy ist nur für einen internen Rechenzentrumsbetrieb und nicht als Endkundentool gedacht!

Programm inklusive Sourcecode, Dokumentation und Installationsanleitung: hitcryptoproxy.zip

Kurzanleitung zu Installation:

  1. Datei entpacken
  2. Unter hitcryptoproxy\conf die HitCryptoProxyServer.properties anpassen (PublicKey, ThreadPoolSize und evtl. Port)
  3. Unter hitcryptoproxy\bin die service.bat anpassen (meist nur ARCHITECTURE=x86, evtl. auch Umgebungsvariablen)
  4. Den Service über service.bat install installieren (benötigt administrative Rechte!)
  5. je nach Windows-Version muss dem HitCryptoProxyServer-Dienst noch erlaubt werden mit Administratorrechten ausgeführt zu werden

 

.


© 1999-2021 Bay.StMELF, verantwortlich für die Durchführung sind die  Stellen der Länder , fachliche Leitung ZDB: Frau Dr. Kaja.Kokott@hi-tier.de, Technik: Helmut.Hartmann@hi-tier.de
Seite zuletzt bearbeitet: 03. November 2021 16:34, Anbieterinformation: Impressum - Datenschutz - Barrierefreiheit