From e2fd70a98d4e913b810fddd2ea2fc8a92ce8df7b Mon Sep 17 00:00:00 2001
From: Marco Holz <marco.holz@fitko.de>
Date: Mon, 1 Aug 2022 17:35:02 +0000
Subject: [PATCH] Improve description of E2EE

---
 docs/getting-started/encryption.mdx | 25 ++++++++++++++++---------
 1 file changed, 16 insertions(+), 9 deletions(-)

diff --git a/docs/getting-started/encryption.mdx b/docs/getting-started/encryption.mdx
index 47856361c..ace81cc31 100644
--- a/docs/getting-started/encryption.mdx
+++ b/docs/getting-started/encryption.mdx
@@ -7,22 +7,29 @@ Deshalb erfolgt eine Übertragung von Antragsdaten mit FIT-Connect ausschließli
 
 ## Warum ist Ende-zu-Ende-Verschlüsselung wichtig?
 Im Kontext von Anträgen an Behörden werden häufig personenbezogene Daten übermittelt.
-Solche Daten dürfen nach den [Vorgaben des BSI](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03107/TR-03107-1.pdf?__blob=publicationFile&v=4) nur Ende-zu-Ende-verschlüsselt übertragen werden.
-Die FIT-Connect Architektur unterstützt dafür zwei Umsetzungs-Varianten - abhängig vom Schutzbedarf der zu übermittelnden Daten.
+FIT-Connect bietet zur Absicherung der Übertragung von Antragsdaten und Antragsmetadaten eine auf asymmetrischer Kryptographie basierenden Inhaltsdatenverschlüsselung.
+Abgesehen von denen für die Übermittlung zwingend notwendigen technischen Daten können so nur die Zielbehörde bzw. das Ziel-Fachverfahren die Antragsdaten und Antragsmetadaten entschlüsseln und lesen.
 
-<img src={useBaseUrl('/images/encryption/ende-zu-ende.png')} alt="Grafik zur Veranschaulichung einer Ende-zu-Ende-Verschlüsselung" width="600" />
+Die FIT-Connect Architektur unterstützt grundsätzlich zwei Umsetzungsvarianten für die verschlüsselte Übermittlung von Antragsdaten.
+Abhängig vom Schutzbedarf der zu übermittelnden Daten sollte entschieden werden, welche Umsetzungs-Variante einzusetzen ist.
+
+Besonders schutzbedürftige personenbezogene Daten dürfen nach den [Vorgaben des BSI](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03107/TR-03107-1.pdf?__blob=publicationFile&v=4) nur Ende-zu-Ende-verschlüsselt übertragen werden.
+Für diese Daten ist es notwendig, dass die Antragsdaten bereits auf dem Endgerät der Anwender:in verschlüsselt werden (Ende-zu-Ende-Verschlüsselung).
 
-FIT-Connect verwendet zur Absicherung der Übertragung von Antragsdaten und Antragsmetadaten eine auf asymmetrischer Kryptographie basierenden Ende-zu-Ende-Verschlüsselung.
-Abgesehen von denen für die Übermittlung zwingend notwendigen Daten können so nur die Zielbehörde bzw. das Ziel-Fachverfahren die Antragsdaten und Antragsmetadaten entschlüsseln und lesen.
-Für besonders schutzbedürftige personenbezogene Daten ist es notwendig, dass die Antragsdaten bereits auf dem Endgerät der Anwender:in verschlüsselt werden.
+Für weniger kritische Daten kann alternativ auch eine Verschlüsselung der Daten im Backend des Onlinedienstes erfolgen.
+Diese Umsetzungsvariante bietet eine geringere Sicherheit als die Umsetzung der Ende-zu-Ende-Verschlüsselung ab dem Endgerät der Antragsteller:in.
+Zudem erhöhen sich in dieser Umsetzungsvariante die IT-Sicherheits- und Datenschutzanforderungen an den Betrieb des Onlinedienstes, da Antragsdaten in dieser Umsetzungsvariante im Klartext durch das Backend des Onlinedienstes verarbeitet werden.
+
+<img src={useBaseUrl('/images/encryption/ende-zu-ende.png')} alt="Grafik zur Veranschaulichung einer Ende-zu-Ende-Verschlüsselung" width="600" />
 
-Dafür stehen Anbietern von Online-Antragsverfahren eine Vielzahl von Bibliotheken zu Verfügung, um die erforderlichen Operationen im Browser der  Anwender:in auszuführen.
+Zur Verschlüsselung von Antragsdaten im Endgerät der Antragsteller:in kann das FIT-Connect-JavaScript-SDK genutzt werden.
+Das SDK garantiert dabei die korrekte Implementierung der erforderlichen kryptographischen Operationen im Browser der Antragsteller:in.
 So verlassen sämtliche Inhaltsdaten das Endgerät der Nutzer:in immer verschlüsselt.
-Beispiele wie Anträge im Rahmen von FIT-Connect verschlüsselt werden können, finden Sie unter [Verschlüsselung](../sending/encrypt.mdx).
+Beispiele, wie Anträge im Rahmen von FIT-Connect verschlüsselt werden können, finden sich unter [Verschlüsselung](../sending/encrypt.mdx).
 
 ## Grundlagen zur eingesetzten Verschlüsselung
 
-Die Ende-zu-Ende-Verschlüsselung von FIT-Connect wird mithilfe von hybrider Verschlüsselung auf Basis von [JSON Web Encryption (JWE)](https://datatracker.ietf.org/doc/html/rfc7516) umgesetzt.
+Die Inhaltsdatenverschlüsselung von FIT-Connect wird mithilfe von hybrider Verschlüsselung auf Basis von [JSON Web Encryption (JWE)](https://datatracker.ietf.org/doc/html/rfc7516) umgesetzt.
 Dieser Ansatz kombiniert die Vorteile von symmetrischer und asymmetrischer Verschlüsselung.
 Im Folgenden sollen die Grundlagen kurz erläutert werden.
 
-- 
GitLab