Şifreleme RSA'dan Eliptik Eğri Kriptografisine (ECC) geçerken, elektronik sağlık hizmeti sağlayıcı kartları (eHBA'lar) gibi çok sayıda bileşenin değiştirilmesi gerekir. Son teslim tarihinin uzatılmasından sonra bunun en geç Haziran 2026 sonuna kadar gerçekleşmesi gerekecek. Ancak halihazırda ECC kartlarına sahip olan bazı doktorlar başka bir değişimle tehdit ediliyor: D-Trust'tan alınan bilgiye göre “ECC sürecini kullanan, etkilenen Infineon çipine sahip kartlar yalnızca nitelikli elektronik imzalar için kullanılabilir.” Sorumlular kaç kişinin etkilendiğini söylemiyor.
Duyurudan sonra devamını okuyun
Gematik şöyle yazıyor: “Güvenlik açığı yalnızca belirli bir üreticinin kartının ECC şifreleme algoritmasını etkiliyor ve şu anda düzeltildi. Dolayısıyla etkilenen tüm kartlar zaten ECC ile uyumlu. RSA'dan ECC'ye geçişin bir parçası olarak kartlar, bu güvenlik açığından etkilenmeyen müşterilere teslim edildi.”
Önlemler BSI, Federal Ağ Ajansı ve Gematik arasındaki yakın koordinasyonla uygulanıyor. Düzenleyici ve teknik nedenlerden dolayı, etkilenen tüm eHBA'lar daha sonra belirtilen tarihe kadar engellenecektir.
Üreticinin belgelerinde bulunabilen SHC+Care ve D-Trust sağlayıcılarının eHBA nesil 2.1'i etkileniyor Infineon çiplerini temel alan Idemia. Eylül 2024'te, Infineon'un bu çiplere yönelik şifreleme kitaplıklarının (EUCLEAK) ECDSA uygulamasında bir güvenlik açığı öğrenildi. Gematik daha sonra Ocak 2025'te idari bir işlemle etkilenen kartların onayını geri çekti.
D-Trust, onayın iptal edilmesinin ardından hızla üretici Giesecke+Devrient'in eline geçmeyi başardı. SHC+Care, Gematik'in kararına karşı yasal işlem başlattı. Şirket, etkilenen Idemia kartlarının yetkilendirmesinin iptaline karşı dava açtı ve davayı Schleswig Sosyal Mahkemesi'nde kazandı. Daha sonra Schleswig-Holstein Eyalet Sosyal Mahkemesi cezayı onadı (dosya numarası: L 5 KR 38/25 B ER). Sosyal mahkeme ayrıca telematik altyapısının zarar görmediğini ve ciddi bir tehlikenin bulunmadığını tespit etti.
Etkilenen kartlarla geçerli ve nitelikli elektronik imzalar oluşturmak hâlâ mümkündür. Başarılı bir EUCLEAK yan kanal saldırısı, hem kimlik kartına fiziksel erişim hem de bireysel PIN bilgisinin yanı sıra özel ekipman ve uzman bilgisi gerektirecektir.
Duyurudan sonra devamını okuyun
Bu şekilde ilgili taraflar kartlarını tanırlar
D-Trust'a göre, etkilenen kartlar kolayca belirlenebiliyor: Arka tarafta “Idemia” kelimesi basılıyor. “G&D” yazan kartlar Giesecke+Devrient üreticisinden gelir ve etkilenmez. D-Trust bunları Şubat 2025'ten beri sağlıyor. D-Trust'a göre etkilenen kartlara sahip müşteriler doğrudan e-posta yoluyla bilgilendirilecek ve kendilerinin herhangi bir işlem yapmasına gerek kalmayacak. Haberler Online'ın haberine göre ilk doktorlar D-Trust tarafından bilgilendirildi.
D-Trust talep üzerine şunları söyledi: “Etkilenen eHBA'ların değişimi Ocak 2026'da başladı. Bu amaçla tüm müşterilerle kişisel olarak iletişime geçilecek ve değişim seçenekleri hakkında bilgi verilecektir.” Etkilenen kişiler “eski eHBA'larını aynı süreye sahip yeni bir kartla ücretsiz olarak değiştirebilir. Alternatif olarak, beş yıllık yeni bir kart sipariş edilebilir. Çoğu profesyonel grup için, sonraki kartlar için de %20 indirim uygulanır. Güvenlik açığından etkilenen D-Trust imzalı ve mühürlü kartlar da 2025'in sonunda değiştirilecektir” diyor D-Trust ve SSS'sine atıfta bulunuyor.
SHC'ye göre takas “verdiğimiz eHBA'nın yalnızca sınırlı bir kısmını etkiliyor.” Değişim 2025'te başladı. «Etkilenen kartların önemli bir kısmı zaten değiştirildi, geri kalanı kademeli olarak değiştirilecek». Şirket, tüm kartların geçerlilik süreleri dolmadan değiştirilmesini sağlamak istiyor. SHC, Haberler'a şunları söyledi: “Değişim, etkilenen müşterilerin hiçbir mali veya pratik dezavantaja maruz kalmayacakları şekilde gerçekleştiriliyor.”
(mak)
Bir yanıt yazın