L´ekaˇrsk´y email — elektronick´a v´ymˇena dat ve zdravotnictv´ı pomoc´ı S/MIME eZprava.net s.r.o. 21. ledna 2015 Abstrakt Tento dokument popisuje technick´e poˇzadavky nutn´e pro zabezpeˇcenou v´ ymˇenu dat ve zdravotnictv´ı kompatibiln´ı s referenˇcn´ı implementac´ı eZpr´ ava“ [eZprava]. ”
1
´ Uvod
Elektronick´ a komunikace ve zdravotnictv´ı vyˇzaduje vysokou m´ıru zabezpeˇcen´ı. Odes´ılatel i pˇr´ıjemce mus´ı b´ yt jednoznaˇcnˇe identifikovateln´ı, zpr´ava mus´ı b´ yt ˇciteln´a pouze pro odes´ılatele a pˇr´ıjemce nesm´ı b´ yt schopen pˇreposlat zpr´ avu tˇret´ı osobˇe jm´enem odes´ılatele. Odes´ılatel mus´ı b´ yt informov´an o doruˇcen´ı zpr´ avy do informaˇcn´ıho syst´emu pˇr´ıjemce.
2
Technick´ a specifikace
Cel´e ˇreˇsen´ı vych´ az´ı z existuj´ıc´ıch standard˚ u tak aby bylo moˇzn´e v co nejvˇetˇs´ı m´ıˇre vyuˇz´ıt existuj´ıc´ı emailovou infrastrukturu a sn´ıˇzit tak n´ aklady na implementaci a pˇritom zaruˇcit vysokou ˇsk´alovatelnost a dostupnost.
2.1
Obsah zpr´ avy
Tato specifikace nijak neomezuje obsah zpr´avy. Stejnˇe jako u emailu je tˇelo zpr´avy bud’ text a nebo HTML, v pˇr´ıloze lze pak zaslat libovoln´ y form´at dat. N´asleduj´ıc´ı odstavce jsou pouze doporuˇcen´ı vhodn´ a pro pouˇzit´ı ve zdravotnictv´ı. Zpr´ ava by mˇela b´ yt strojovˇe zpracovateln´a a z´aroveˇ n by mˇela splˇ novat poˇzadavky pro veden´ı zdravotn´ı dokumentace v ˇcistˇe elektronick´e podobˇe. Tyto poˇzadavky splˇ nuje pˇr´ıloha ve form´atu PDF 1.3 a vyˇsˇs´ı nebo PDF/A podepsan´ a kvalifikovan´ ym certifik´atem obsahuj´ıc´ı v pˇr´ıloze soubor ve form´ atu DASTA 3. D˚ uvody jsou pops´ any d´ ale. Je vhodn´e, aby zpr´ ava byla strojovˇe zpracovateln´a. Jako doporuˇcen´ y form´at strukturovan´ ych dat se v souˇcasnosti jev´ı DASTA 3 [DASTA3]. Tento form´at vznikl´ y pod z´aˇstitou Ministerstva zdravotnictv´ı 1
je podporov´ an mnoha informaˇcn´ımi syst´emy pouˇz´ıvan´ ymi ve zdravotnictv´ı. Pro veden´ı zdravotn´ı dokumentace v ˇcistˇe elektronick´e podobˇe je nutn´e splnit podm´ınky dan´e legislativou, konkr´etnˇe Pˇredpis ˇc. 372/2011 Sb. Z´akon o zdravotn´ıch sluˇzb´ach a podm´ınk´ach jejich poskytov´ an´ı (z´ akon o zdravotn´ıch sluˇzb´ach). Podle § 55 a bodu h) mus´ı b´ yt v´ ystupy ze zdravotnick´e dokumentace pˇrevediteln´e do listinn´e podoby autorizovanou konverz´ı dokumentu. Autorizovanou konverzi do listinn´e podoby lze prov´est podle Pˇredpisu ˇc. 300/2008 Sb. Z´akon o elektronick´ ych u ´konech a autorizovan´e konverzi dokumentu pouze pokud je dokument opatˇren podpisem kvalifikovan´ ym certifik´ atem a prov´ adˇec´ı vyhl´ aˇska pak urˇcuje, ˇze dokument mus´ı b´ yt ve form´atu PDF 1.3 a vyˇsˇs´ım nebo v PDF/A. Digit´ aln´ı podpis pak m˚ uˇze b´ yt souˇc´ast´ı PDF, nebo extern´ı. Zat´ımco certifik´at slouˇz´ıc´ı k podpisu a ˇsifrov´ an´ı zpr´ avy m˚ uˇze b´ yt sd´ılen mezi pracovn´ıky dan´eho pracoviˇstˇe, tak kvalifikovan´ y certifik´ at slouˇz´ıc´ı k podpisu PDF mus´ı b´ yt v´az´an pouze na konkr´etn´ıho pracovn´ıka, kter´ y PDF vytvoˇril a je za jeho obsah odpovˇedn´ y. Z d˚ uvodu dlouhodob´e archivace je pak vhodn´e aby podpis splˇ noval poˇzadavky na Advanced Electronic Signature dle [RFC5126], tzn. minim´alnˇe mus´ı b´ yt pˇr´ıtomen podepsan´ y atribut signing-certificate-v2 dle [RFC5035]. Podepsan´e soubory by mˇely b´ yt co nejdˇr´ıve opatˇreny kvalifikovan´ ym ˇcasov´ ym raz´ıtkem z d˚ uvodu nepopiratelnosti a pot´e vˇzdy kdyˇz konˇc´ı platnost certifik´atu ˇcasov´eho raz´ıtka a nebo pouˇzit´e krypˇ sen´ı popsan´e v [RFC4998] poskytuje n´avod na tografick´e pˇrestanou b´ yt povaˇzov´ any za bezpeˇcn´e. Reˇ implementaci pomoc´ı Merkleova stromu.
2.2
Form´ at zpr´ avy
Zpr´ ava pˇred zaˇsifrov´ an´ım mus´ı b´ yt ve form´atu Internet Message Format podle [RFC5322]. Hlaviˇcky ˇ Tˇelo zpr´avy mus´ı b´ zpr´ avy nesm´ı obsahovat citliv´ a data (napˇr. v pˇredmˇetu nesm´ı b´ yt uvedeno RC). yt ve form´ atu MIME [RFC2045]. Pokud zpr´ava obsahuje v pˇr´ıloze strukturovan´a data, pak by tato data mˇela b´ yt reprezentov´ ana i v ˇciteln´e podobˇe (kv˚ uli uˇzivatel˚ um, jejichˇz informaˇcn´ı syst´em, maj´ı-li nˇejak´ y, neum´ı zpracov´ avat strukturovan´ a data). Vzhledem k tomu, ˇze pˇredmˇet v hlaviˇcce emailu nesm´ı obsahovat citliv´a data, certifik´at pˇr´ıjemce i odes´ılatele m˚ uˇze b´ yt vztaˇzen k v´ıce pracoviˇst´ım a zpr´ava se m˚ uˇze t´ ykat konkr´etn´ıho pacienta, pak je vhodn´e aby v takov´ ych pˇr´ıpadech zpr´ ava obsahovala pˇr´ılohu s metadaty ve form´atu DASTA 3: • Pˇredmˇet ˇ 1 odes´ılatele • ICP ˇ pˇr´ıjemce • ICP ˇ jm´eno a pˇr´ıjmen´ı pacienta • RC,
2.3
Zabezpeˇ cen´ı zpr´ avy
Tˇelo zpr´ avy mus´ı b´ yt podeps´ ano, pot´e zaˇsifrov´ano a pot´e m˚ uˇze b´ yt znova podeps´ano kv˚ uli zabr´anˇen´ı podloudn´emu pˇrepos´ılan´ı. Zp˚ usob ˇsifrov´an´ı i podpisu je definov´an v [RFC5751], Triple wrapping 1 identifikaˇ cn´ı ˇ c´ıslo
pracoviˇstˇ e
2
(podeps´ an´ı vnˇejˇs´ı ob´ alky) je definov´ ano v [RFC2634]. Zpr´avy, kter´e nemaj´ı vnˇejˇs´ı podpis mohou b´ yt zobrazeny uˇzivateli s upozornˇen´ım, ˇze odes´ılatele zpr´avy nelze prokazatelnˇe urˇcit. Pokud vˇsak zpr´ ava obsahuje informaci o pˇr´ıjemci (napˇr. ve form´atu DASTA 3), pak vnˇejˇs´ı podopis nen´ı nutn´ y. Zcela nepodepsan´e zpr´ avy by mˇely b´ yt ignorov´any protoˇze se m˚ uˇze jednat o spam.
2.4
Transport zpr´ avy
Zpr´ avy mus´ı b´ yt odes´ıl´ any pomoc´ı SMTP [RFC5321] na emailovou adresu pˇr´ıjemce uvedenou v certifik´ atu, kter´ y byl pouˇzit k zaˇsifrov´ an´ı zpr´avy.
2.5
Zpracov´ an´ı doruˇ cen´ e zpr´ avy
Informaˇcn´ı syst´em pˇr´ıjemce mus´ı vˇzdy potvrdit u ´spˇeˇsn´e pˇrijet´ı zpr´avy odesl´an´ım Message Disposition Notification [RFC3798], disposition-type mus´ı m´ıt hodnotu processed. Toto potvrzen´ı potvrzuje pouze pˇrijet´ı zpr´ avy informaˇcn´ım syst´emem pˇr´ıjemce, ne ˇze uˇzivatel zpr´avu ˇcetl nebo ji porozumˇel. Bezpeˇcnˇejˇs´ı alternativou k MDN je Signed receipt definovan´ y v [RFC2634]. Zda je jeho pouˇzit´ı nezbytn´e je vˇec´ı dalˇs´ı diskuze.
2.6
Adres´ aˇ r uˇ zivatel˚ u
Glob´ aln´ı adres´ aˇr uˇzivatel˚ u je tvoˇren mnoˇzinou certifik´at˚ u, kde kaˇzd´ y certifik´at identifikuje zdravot´ ˇ VZP jsou souˇc´ast´ı certifik´atu podepsan´eho nick´e pracoviˇstˇe. Udaje o pracoviˇsti zrcadl´ıc´ı ˇc´ıseln´ık ICP eZprava CA nebo akreditovanou certifikaˇcn´ı autoritou. Certifik´ aty jsou dostupn´e prostˇrednictv´ım protokolu HTTP. Z´ısk´an´ı certifik´atu pˇr´ıjemce prob´ıh´ a ve dvou kroc´ıch - staˇzen´ı seznamu certifik´at˚ u a staˇzen´ı jednotliv´ ych certifik´at˚ u. Seznam certifik´at˚ u je textov´ y soubor kde je na kaˇzd´e ˇr´ adce SHA1 otisk certifik´atu. Klient tento soubor z´ısk´a na dohodnut´e adrese, pˇriˇcemˇz nutnost staˇzen´ı souboru nejprve zkontroluje pomoc´ı hlaviˇcky Last-Modified. Podle otisku lze pomoc´ı HTTP GET z´ıskat konkr´etn´ı certifik´at. Pˇri prvn´ım spuˇstˇen´ı st´ahne klient vˇsechny certifik´ aty uveden´e v seznamu, pˇri dalˇs´ım spuˇstˇen´ı pak stahuje jen nov´e certifik´aty. Kromˇe glob´ aln´ıho adres´ aˇre m˚ uˇze informaˇcn´ı syst´em uˇzivateli umoˇznit spr´avu lok´aln´ıho adres´ aˇre ˇ To umoˇzn´ı komunikaci uˇzivatele napˇr. s jedcertifik´ at˚ u, v nˇemˇz nejsou certifik´ aty v´azan´e na ICP. notliv´ ymi l´ekaˇri, pacienty ˇci firmami. 2.6.1
Dynamick´ e z´ısk´ an´ı certifik´ atu
S ohledem na budouc´ı rozvoj je vhodn´e aby bylo moˇzn´e z´ıskat certifik´at pˇr´ıjemce standardizovan´ ym zp˚ usobem pokud odes´ılatel zn´ a emailovou adresu pˇr´ıjemce. Toho lze dos´ahnout uloˇzen´ım certifik´ atu do DNS z´ aznamu typu CERT dle [RFC4398]. Toto ˇreˇsen´ı je ˇsk´alovateln´e, protoˇze cachov´an´ı certifik´ atu zajiˇst’uje infrastruktura DNS. Dotazy na certifik´at tak nemus´ı obsluhovat server pˇr´ıjemce, ale napˇr. DNS server poskytovatele internetov´eho pˇripojen´ı odes´ılatele.
3
2.7
Poˇ zadavky na kryptografick´ e funkce
V souladu s doporuˇcen´ım [NIST] mus´ı b´ yt pouˇz´ıv´any RSA kl´ıˇce o velikosti alespoˇ n 2048 bit˚ u a hashovac´ı funkce silnˇejˇs´ı neˇz SHA1, napˇr. SHA-224. Pro ˇsifrov´an´ı mus´ı b´ yt pouˇzito Three-key Triple DES nebo AES-128 a silnˇejˇs´ı.
3
Z´ avˇ er
Dokument popisuje doporuˇcen´ y obsah, form´at, zabezpeˇcen´ı, transport a zpracov´an´ı zpr´av. Nespecifikuje form´ at pˇren´ aˇsen´ ych dat ani jejich zpracov´an´ı z hlediska zdravotnick´eho informaˇcn´ıho syst´emu uˇzivatele.
Reference [RFC5322] Resnick, P. Internet Message
.
Format
[online].
Dostupn´ y
z
WWW:
[RFC2045] Freed, N., Borenstein, N. Multipurpose Internet Mail Extensions Part One: Format of Internet Message Bodies [online]. Dostupn´ y z .
(MIME) WWW:
[RFC5751] Ramsdell, B., Turner, S. Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2 Message Specification [online]. Dostupn´ y z WWW: . [RFC5321] Klensin, J. Simple Mail Transfer .
Protocol
[online].
Dostupn´ y
z
WWW:
[RFC3798] Hansen, T., Vaudreuil, G. Message Disposition Notification [online]. Dostupn´ y z WWW: . [RFC5126] Pinkas, D., Pope, N., Ross, J. CMS Advanced Electronic Signatures (CAdES) [online]. Dostupn´ y z WWW: . [RFC5035] Schaad, J. Enhanced Security Services (ESS) Update: Adding CertID Algorithm Agility [online]. Dostupn´ y z WWW: . [RFC2634] Hoffman, P. Enhanced Security Services for S/MIME [online]. Dostupn´ y z WWW: . [RFC4398] Josefsson, S. Storing Certificates in the Domain Name System (DNS) [online]. Dostupn´ y z WWW: . [RFC4998] Gondrom, T., Brandner, R., Pordesch, U. Evidence Record Syntax (ERS) [online]. Dostupn´ y z WWW: . ˇ [DASTA3] MZ CR Datov´y standard .
MZ
4
ˇ CR
[online].
Dostupn´ y
z
WWW:
[eZprava] eZprava.net s.r.o. eZpr´ ava .
[poˇc´ıtaˇcov´ y
program].
Dostupn´ y
z
WWW:
[NIST] Barker, E., Roginsky, A. Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths. Dostupn´ y z WWW: .
5