@@ -8,6 +8,7 @@ Das hier veröffentlichte Changelog bezieht sich auf die [Testinstanz von FIT-Co
## 2022-10-10
### Dokumentation
- Dokumentation zum Abruf des Event Log überarbeitet: Die Informationen des bisherigen Artikels "Status abfragen" wurden aufgeteilt in einen generischen Artikel [Event Log abrufen](getting-started/event-log/get-events.mdx) im Abschnitt "Ereignisprotokoll" und den bestehenden Artikel [Empfangsbestätigung oder Zurückweisung](sending/accept-reject.mdx). Zudem wurde ein Hinweis zur Prüfung der Authentizität und Integrität des Event Log ergänzt.
- Dokumentation der [Überprüfung des öffentlichen Schlüssels](sending/encrypt.mdx#certificateValidation) beim Verschlüsseln von Antragsdaten konkretisiert.
@@ -50,15 +50,17 @@ Eine Prüfung der Zertifikate kann in diesem Fall zu Testzwecken entfallen.
Öffentliche Schlüssel MÜSSEN vor der Verwendung zwingend im Client auf Gültigkeit geprüft werden. Diese Prüfung umfasst folgende Schritte:
- Überprüfung, dass der JSON Web Key für die Verschlüsselung geeignet ist (`"keyops": ["wrap_key"]`)
- Überprüfung, dass der JSON Web Key gemäß den [Vorgaben für kryptographische Verfahren](../details/crypto.md) eine Schlüssellänge von mind. 4096 Bit aufweist
- Überprüfung, dass der JSON Web Key gemäß den [Vorgaben für kryptographische Verfahren](../details/crypto.md) für die Verschlüsselung geeignet ist (`"keyops": ["wrap_key"]`)
- Überprüfung, dass der JSON Web Key gemäß den [Vorgaben für kryptographische Verfahren](../details/crypto.md) zur Nutzung des Verfahrens `RSA-OAEP-256` geeignet ist (`"kty":"RSA", "alg": "RSA-OAEP-256"`)
- Überprüfung, dass der öffentliche Schlüssel mit dem im JSON Web Key hinterlegten Zertifikat übereinstimmt (Attribute `n` und `e`)
- Überprüfung der Zertifikats-Kette bis zum Wurzelzertifikat (BSI)
- Überprüfung gegen eine Certificate Revocation List und/oder einen OCSP-Endpunkt mit signierten Antworten
- Überprüfung, dass das Zertifikat der Verwaltungs-PKI entstammt, d.h Überprüfung der Zertifikats-Kette bis zum Wurzelzertifikat (BSI) (Attribut `x5c`)
- Überprüfung, dass der im Zertifikat angegebene Gültigkeitszeitraum nicht überschritten wurde
- Überprüfung, dass das Zertifikat nicht zurückgezogen wurde (mittels Validierungsdienst, gegen eine Certificate Revocation List (CRL) und/oder einen OCSP-Endpunkt mit signierten Antworten)
Weitere Informationen zur Gültigkeitsprüfung finden sich in der technischen Richtlinie [BSI TR-02103](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02103/BSI-TR-02103.pdf?__blob=publicationFile&v=4) des BSI.
Der [folgende Code](https://git.fitko.de/fit-connect/examples/) kann zur Validierung der Schlüssel benutzt werden.
Der [folgende Code](https://git.fitko.de/fit-connect/examples/) kann zur Validierung der [Vorgaben für kryptographische Verfahren](../details/crypto.md) benutzt werden. Zusätzlich MUSS eine Zertifikatsprüfung inkl. Prüfung der Zertifikatskette erfolgen.
