O padrão DICOM prevê apenas quais tecnologias poderiam ser utilizadas para implementar políticas de segurança no que diz respeito à troca de objetos DICOM entre aplicativos. A forma como estas tecnologias devem ser utilizadas, os critérios e permissões de acesso devem ser ditados pelo administrador da aplicação [26].
Resumidamente, questões como controle de acesso, registros de auditoria, proteção física, manutenção da confidencialidade e integridade de dados, mecanismos para identificar os usuários e os seus direitos de acesso aos dados são responsabilidade de cada entidade envolvida e depende, exclusivamente, do nível de confiança atribuído para o parceiro.
Um dos principais mecanismos citados pela norma é a opção de fornecer autenticação mútua para todas as entidades envolvidas e a garantia do sigilo do canal de comunicação utilizado. Para esse fim, é citado o uso do protocolo TLS junto com certificados digitais. Apenas como observação inicial, a biblioteca DCM4CHE atende esse requisito, ou seja, fornece um conjunto de métodos que permite o uso do TLS em um servidor PACS.
A norma divide o gerenciamento de segurança e sistema em perfis. Para cada perfil mostra um conjunto de tecnologias que o suporta. Os seguintes perfis são citados:
2.3.4.1 Perfil do usuário
Define, basicamente, os atributos e outras questões de segurança atribuídas aos usuários frente aos objetos DICOM. O armazenamento eletrônico on-line permite a aplicativos acompanhar e verificar o status das instâncias SOP nos casos em que o local de monitoramento das políticas de segurança exija o conjunto original de dataset e cópias subsequentes. A declaração de
conformidade deve indicar de que forma o sistema restringe o acesso remoto e controla os acessos a cada objeto DICOM.
2.3.4.2 Perfil para a conexão de transporte
Um perfil de segurança para a conexão de transporte descreve as seguintes informações [26]:
• Protocolo e framework utilizados pelos mecanismos de negociação;
• Modelo utilizado para a autenticação das entidades, incluindo: autenticação da identidade, o mecanismo pelo foram autenticadas e quaisquer considerações especiais para o log de auditoria e apoio;
• Modelo utilizado para a cifra dos dados transportados, incluindo: método de distribuição de chaves sessão e protocolo de cifra e parâmetros relevantes; e
• Descrição do mecanismo de integridade utilizado para a verificação dos dados.
Segundo o padrão, uma implementação básica do DICOM deve oferecer, no mínimo, suporte ao protocolo TLS v1.0 e aos algoritmos: autenticação de entidades (RSA baseado em certificados), troca de chaves secretas (RSA), verificação de integridade de arquivos (SHA) e privacidade (3DES, AES e CBC).
A aplicação deve abrir uma porta IP qualquer para aceitar apenas conexões TLS. É recomendável que os sistemas de suporte básico TLS abram conexões IP na porta número 2792. Esta recomendação não é uma obrigação, porém o número escolhido deve ser inserido na Declaração Conformidade.
A declaração de conformidade deverá, também, indicar quais os mecanismos foram utilizados para implementar a gerência de chaves. O perfil não deve especificar como uma conexão TLS é criada, ou o significado de quaisquer certificados trocados durante a autenticação das entidades. Estas questões são deixadas para a aplicação, que provavelmente estará seguindo
algum modelo de política pré-determinada. A identidade presente no certificado digital pode ser utilizada pela aplicação para log de auditoria ou para restringir o acesso a determinados objetos.
2.3.4.3 Perfil para a assinatura digital
Um perfil de assinatura digital consiste das seguintes informações [26]:
• O papel que desempenha a assinatura digital no sistema incluindo quem ou o que a entidade da assinatura digital representa, uma descrição da finalidade da assinatura digital e as condições sob as quais a assinatura digital está incluída no DataSet;
• Uma lista de atributos que devem ser incluídos na assinatura digital;
• Os mecanismos que serão usados para gerar ou verificar a assinatura digital incluindo o algoritmo utilizado para criar o MAC (Message Authentication Code), o algoritmo de cifra utilizado pelo sistema e o tipo de certificado ou o mecanismo de distribuição da chave que será utilizado;
• Quaisquer requisitos especiais para a identificação do signatário;
• O relacionamento com outras Assinaturas Digitais, se houver; e
• Quaisquer outros elementos necessários para criar, confirmar, ou interpretar a assinatura digital.
O algoritmo RSA é à base do perfil de assinatura digital utilizado pelo DICOM para cifrar, gerar o MAC e assinar. Esse perfil não especifica um determinado conjunto de elementos de dados utilizados para assinar.
Para criar uma assinatura digital, podem ser utilizadas as funções de hash RIPEMD-160, MD5 ou SHA-1 para gerar um MAC, que é, então, cifrado utilizando uma chave privada
RSA. Todos os validadores de assinaturas digitais devem ser capazes de usar um MAC gerado por qualquer uma das três funções hash citadas.
2.3.4.4 Perfil de segurança de armazenamento de mídia
Um perfil de segurança para mídia de armazenamento tem como objetivo permitir que arquivos DICOM sejam encapsulados de forma segura, garantindo aspectos de confidencialidade e integridade. As seguintes especificações devem estar contidas em um perfil [26]:
• Que aspectos de segurança são abordados pelo perfil;
• As restrições sobre os tipos de arquivos DICOM que pode ser garantido, se houver; e
• Como os arquivos DICOM são encapsulados e protegidos. 2.3.4.5 Perfis de gerência de endereços de rede
Os perfis de gerência de rede definem como são utilizados pelos equipamentos DICOM os protocolos que fornecem endereços de rede. Desta forma, os equipamentos recebem endereços e configurações de atributos da rede como endereços de servidores DNS, WINS, roteadores, etc. Um exemplo de protocolo dinâmico utilizado para esse fim é o DHCP [26].
2.3.4.6 Perfis de tempo de sincronização
Definem como são realizadas as operações de sincronismo de hora realizadas pelos equipamentos DICOM. Manter o sincronismo de hora é essencial para a auditoria, pois fornece condições de relacionar registros em outros equipamentos baseado no tempo [26].
2.3.4.7 Perfis de gerência de configuração da aplicação
Cada perfil descreve, de maneira geral, como os protocolos de rede não DICOM conseguirão obter endereços e capacidade de outros dispositivos de comunicação que estejam utilizando o protocolo DICOM. Esse perfil não foi detalhado, tendo em vista que sua implementação não faz parte deste projeto de pesquisa [26].