Dit is de opdracht gdcmanon die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator
PROGRAMMA:
NAAM
gdcmanon - Tool om een DICOM-bestand te anonimiseren.
KORTE INHOUD
gdcmanon [opties] file-in file-out
gdcmanon [opties] dir-in dir-out
PRODUCTBESCHRIJVING
De gdcmon tool is een implementatie van PS 3.15 / E.1 / Basic Application Level
Vertrouwelijkheidsprofiel (Implementatie van E.1.1 De-identificeren & E.1.2 Heridentificeren)
Deze tool is opgesplitst in twee zeer verschillende bedrijfsmodi:
· Een implementatie van PS 3.15, zie vlaggen -e en -d
· Een domme modus, zie –dumb
Dumb mode en PS 3.15 werken niet goed samen, je zou eigenlijk maar één type moeten gebruiken
anonimisering. Vermijd in geval van twijfel het gebruik van –dumb.
Om de PS 3.15-implementatie (vlag -d & -e) te gebruiken, hebt u een certificaat nodig
de-identificatiebewerkingen en de bijbehorende privésleutel om de heridentificatie uit te voeren
operatie. Als u alleen een eenmalige anonimisering uitvoert en dit niet correct hoeft te doen
het DICOM-bestand opnieuw identificeert, kunt u de privésleutel veilig weggooien en alleen het
certificaat. Zie de onderstaande OpenSSL-referentie voor een voorbeeld van het genereren van de private
sleutel/certificaat paar.
gdcmanon zal vroegtijdig afsluiten als OpenSSL niet correct is geconfigureerd/ingebouwd in de bibliotheek
(zie GDCM_USE_SYSTEM_OPENSSL in cmake).
PARAMETERS
bestand-in DICOM invoer bestandsnaam
file-out DICOM output bestandsnaam
or
file-in DICOM-invoerdirectory
file-out DICOM-uitvoermap
OPTIES
U moet ten minste één bedrijfsmodus specificeren uit de volgende lijst (en slechts één):
Nodig parameters
-e --de-identificeren DICOM de-identificeren (standaard)
-d --re-identify DICOM opnieuw identificeren
--dumb Stomme modus anonimisator
Waarschuwing wanneer u in de domme modus werkt, moet u ook een bewerking specificeren die moet worden uitgevoerd, zoals
'verwijder' of 'leeg' een tag, zie hieronder de domme modus opties.
specifiek opties
-i --invoer DICOM-bestandsnaam / map
-o --output DICOM bestandsnaam / map
-r --recursive verwerkt recursief (sub-)mappen.
--continue Stop niet wanneer het gevonden bestand niet DICOM is.
--root-uid Hoofd-UID.
--resources-path Bronnenpad.
-k --key Pad naar persoonlijke RSA-sleutel.
-c --certificaat Pad naar certificaat.
encryptie opties
--des DES.
--des3 Drievoudige DES.
--aes128 AES 128.
--aes192 AES 192.
--aes256 AES 256.
stom mode opties
--empty %d,%d DICOM-tag(s) om te legen
--remove %d,%d DICOM-tag(s) om te verwijderen
--replace %d,%d,%s DICOM-tag(s) om te vervangen
algemeen opties
-h-help
print deze helptekst en sluit af
-v --versie
versie-informatie afdrukken en afsluiten
-V --uitgebreid
uitgebreide modus (waarschuwing+fout).
-W --waarschuwing
waarschuwingsmodus, waarschuwingsinformatie afdrukken
-E --fout
foutmodus, afdrukfoutinformatie
-D --debuggen
foutopsporingsmodus, foutopsporingsinformatie afdrukken
milieu variabele
GDCM_ROOT_UID Hoofd-UID
GDCM_RESOURCES_PATH pad dat verwijst naar bronnenbestanden (Part3.xml, ...)
TYPISCH GEBRUIK
De-identificatie (anonimisering, versleutelen)
Het enige dat nodig is voor deze bewerking is een certificaatbestand (in PEM-formaat).
$ gdcmanon --certificaat certificaat.pem -e origineel.dcm origineel_geanonimiseerd.dcm
U kunt de optie –asn1 van gdcmdump gebruiken om de gegenereerde DataSet als ASN1-structuur te dumpen
(Zie gdcmdump(1) bijvoorbeeld).
Heridentificatie (de-anonimisering, decoderen)
Het enige dat nodig is voor deze bewerking is een privésleutel (in PEM-indeling). Het is
vereiste dat de privésleutel die voor het heridentificatieproces werd gebruikt, de werkelijke was
persoonlijke sleutel die wordt gebruikt om het certificaatbestand (certificate.pem) te genereren dat wordt gebruikt tijdens het
de-identificatie stap.
$ gdcmanon --key privatekey.pem -d origineel_geanonimiseerd.dcm origineel_kopie.dcm
U kunt dan controleren of origineel.dcm en origineel_kopie.dcm identiek zijn.
meervoudig bestanden voorbehoud
Het is erg belangrijk om de volgende refsectie te begrijpen, wanneer u meer dan anonimiseert
één enkel bestand. Wanneer u meerdere DICOM-bestanden anonimiseert, moet u de
directory invoer. U kunt het opdrachtregelprogramma gdcmanon niet meerdere keren aanroepen. Inderdaad de
tool slaat tijdens het proces alleen een hash-tabel van conversie op in het geheugen, zodat elke keer
een bepaalde waarde wordt gevonden, wordt deze altijd vervangen door dezelfde geanonimiseerde waarde (denk aan:
consistente Series Instance UID).
Stom mode
Deze functionaliteit is niet beschreven in de DICOM-standaard. Gebruikers wordt geadviseerd dat ongepast
het gebruik van die modus wordt niet aanbevolen, wat betekent dat belangrijke tag kan zijn
geleegd/verwijderd/vervangen resulterend in een illegaal/ongeldig DICOM-bestand. Alleen gebruiken als je het weet
wat ben je aan het doen. Als u een Type 1-attribuut verwijdert, is de kans groot dat uw DICOM-bestand dat ook doet
worden niet geaccepteerd in de meeste DICOM-viewers van derden. Helaas is dit vaak deze stand
dat is geïmplementeerd in de populaire DICOM Viewer, geef altijd de voorkeur aan wat de DICOM-standaard is
beschrijft, en vermijd de domme modus.
Het volgende voorbeeld laat zien hoe u de domme modus gebruikt en tegelijkertijd 5 bewerkingen uitvoert
tijd:
· Maak de tag leeg (0010,0010) Naam patiënt,
· Maak de tag leeg (0010,0020) Patiënt-ID,
· Verwijder de tag (0010,0040) Geslacht patiënt
· Verwijder de tag (0010,1010) Leeftijd patiënt
· Vervang de tag (0010,1030) Patiëntgewicht door de waarde '10'
U moet controleren welk DICOM-attribuut Type 1 en Type 1C is, voordat u dit probeert
'Leeg' or 'Verwijderen' een bepaald DICOM-attribuut. Om dezelfde reden bent u verplicht
controleer wat een geldige waarde is in een vervangingsbewerking.
$ gdcmanon --dumb --leeg 10,10 --leeg 10,20 --verwijder 10,40 --verwijder 10,1010 --vervang 10,1030,10 012345.002.050.dcm uit.dcm
Meerdere bewerkingen van de -dumb-modus kunnen plaatsvinden, gebruik gewoon de uitvoer van de vorige
operatie. Gebruik altijd gdcmdump op het invoer- en uitvoerbestand om te controleren wat er werkelijk was
behaald. U kunt een diff-programma gebruiken om alleen te controleren wat er is gewijzigd (zie gdcmdiff(1) voor
voorbeeld).
onomkeerbare anonimisering
In enkele zeer zeldzame gevallen zou men willen anonimiseren met behulp van de PS 3.15-modus om dit te doen
profiteer van de automatische conversie van alle inhoud die Patiënt zou kunnen bevatten
gerelateerde informatie.
Uiteindelijk is alle patiëntgerelateerde informatie verwijderd en in het geheim bewaard
opgeslagen in het 0400,0500 DICOM-attribuut. Maar om ervoor te zorgen dat niemand het ooit probeert
doorbreek die beveiliging met behulp van een brute-force-algoritme, men wil het volledig verwijderen
dit DICOM-attribuut. Dit maakt de DICOM:
· Volledig vrij van patiëntgerelateerde informatie (volgens PS 3.15-specificatie)
· Verwijder elk middel van mensen om het bestand met brute kracht aan te vallen om de identiteit te achterhalen
van de patiënt
In dit geval zou men eenvoudigweg kunnen doen, als eerste stap de omkeerbare anonimisering uitvoeren:
$ gdcmanon -c certificaat.pem input.dcm anonymized_reversible.dcm
en verwijder nu volledig het DICOM-attribuut dat het geheim versleutelde bevat
Patiënt gerelateerde informatie:
$ gdcmanon --dumb --verwijder 400,500 --verwijder 12,62 --verwijder 12,63 anonymized_reversible.dcm anonymized_irreversible.dcm
OPENSSL
Op de meeste systemen heeft u toegang tot OpenSSL om de privésleutel/het certificaat te genereren
paar.
Het genereren van a Privé sleutel
Opdrachtregel om een rsa-sleutel te genereren (512bit)
$ openssl genrsa -out CA_key.pem
Opdrachtregel om een rsa-sleutel te genereren (2048bit)
$ openssl genrsa -out CA_key.pem 2048
Opdrachtregel om een rsa-sleutel (2048bit) + wachtwoordzin te genereren
$ openssl genrsa -des3 -out CA_key.pem 2048
Het genereren van a Certificaat
Van uw eerder gegenereerde privésleutel kunt u nu een certificaat genereren in PEM (DER
formaat wordt momenteel niet ondersteund).
$ openssl req -new -key CA_key.pem -x509 -days 365 -out CA_cert.cer
DICOM STANDAARD:
Pagina naar de DICOM-standaard:
http://dicom.nema.org/
De DICOM-standaard op het moment van uitgave van gdcmanon is:
ftp://medical.nema.org/medical/dicom/2008/
Directe link naar PS 3.15-2008:
ftp://medical.nema.org/medical/dicom/2008/08_15pu.pdf
WAARSCHUWINGEN
Bepaalde attributen bevatten mogelijk nog steeds Protected Health Information (PHI) na een
anonimiseringsstap. Dit is meestal het geval voor het adres van de patiënt (0010,1040). De
reden is dat dit specifieke attribuut niet in de samengestelde IOD's hoort te zitten
de eerste plaats. DICOM Supp 142 bevat het (gdcmanon implementeert het echter niet).
Gebruik gdcmanon online met behulp van onworks.net-services