Wojciech Wodo Katedra Informatyki Wydział Podstawowych Problemów Techniki wojciech.wodo@pwr.edu.pl BIOMETRIA Napisz coś na klawiaturze, a powiem Ci czy jesteś tym, za kogo się podajesz Wrocław, 28.04.2016 r.
I. biometria jako źródło unikatowej informacji cechy fizyczne cechy behawioralne współczynniki FAR i FRR stopień różnorodności 2/37
biometria cechy behawioralne podpis odręczny reakcja mózgu (fala P300) TEKST tembr głosu TEKST 3/37 sposób pisania na klawiaturze (ang. keystroking) TEKST sposób chodu
biometria cechy fizyczne linie papilarne kształt małżowiny usznej TEKST tęczówka oka TEKST 4/37 układ żył palca / dłoni TEKST geometria twarzy
biometria skuteczność systemu FAR (ang. False Acceptance Rate) FRR (ang. False Rejection Rate) TEKST TEKST TEKST 5/37
biometria unikatowość cech DNA tęczówka oka układ naczyń krwionośnych podpis odręczny keystroking 6/37
biometria: porównanie cech 7/37
BADANIE EKSPLORACYJNE
badania eksploracyjne identyfikacja obaw 9/37 60 wywiadów pogłębionych metodyka Design Thinking reprezentatywne grupy weryfikacja świadomości
etapy procesu Design Thinking 10/37
badania eksploracyjne - wyniki dane prywatne / osobiste obawa przed wyciekiem obawa przed śledzeniem obawa braku dostępu 11/37 brak zaufania do rozwiązań wątpliwość co do skuteczności
koncepcje użycia systemu biometrycznego autoryzacja identyfikacja weryfikacja ciągła potwierdzenie powiązania 12/37 rejestracja wejścia / wyjścia
schemat systemu biometrycznego 13/6
kluczowe właściwości systemu biometrycznego ochrona szablonu wzorca i prywatność podejście cancelable biometrics ergonomia akwizycji danych 14/37 wykluczenia -> alternatywny dostęp
przykłady zastosowania biometrycznych systemów keystroking (ochrona + weryfikacja) eid + biometria twarzy ( biometryczny link) 15/37
biometrickeypress adapter do dowolnej klawiatury lub biometryczna klawiatura tryby ochrony i continues verification 16/37 certyfikacja CE
biometrickeypress 17/37
biometrickeypress 18/6
wyniki ochrony
biometric link between eid and its holder nieautoryzowane użycie eid powiązanie karty z użytkownikiem prewencyjne podejście 20/37
diagram systemu 21/6
elementy systemu 22/6
wykrywanie i porównywanie twarzy 23/6
II. ataki kanałami bocznymi spadki cen zaawansowanego sprzętu elektronicznego zagrożenie systemów uznawanych za zaufane pozyskiwanie danych w sposób jakiego się nie spodziewamy 24/37
najpopularniejsze ataki side-channel pobór prądu (ang. power consumption) analiza czasowa (ang. timming analyzis) promieniowane elektromagnetyczne (ang. electomagnetic radiation) 25/37
przykład: atak termowizyjny wiele systemów opartych o PINy brak konieczności ingerencji wysoka skuteczność 27/37
sprzęt termowizyjny Moduł micro-usb Seek Thermal ($250) 28/37 Kamera termowizyjna Testo Thermal Image 890 ($18 000)
przeprowadzone ataki Klawiatura komputerowa, czas: 5 sek, PIN: 8962
przeprowadzone ataki Zamek szyfrowy do drzwi, czas: 5 sek, PIN: 1268
przeprowadzone ataki Terminal płatniczy, czas: 5 sek, PIN1: 4094, PIN2: 4609
III. ochrona danych osobowych aktualna dyrektywa 95/46/WE nowe zunifikowane podejście zdefiniowanie danych biometrycznych zmiany kryteriów użycia danych wysokie kary za nieprzestrzeganie procedur ochrony danych 32/37
definicja danych biometrycznych dane biometryczne oznaczają wszelkie dane osobowe, które wynikają z konkretnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne; 33/37
ochrona danych biometrycznych: zasady Odpowiednie gwarancje, o których mowa w ust. 1 i 1a, zostają ustanowione w prawie Unii lub prawie państwa członkowskiego i służą temu, by do danych osobowych stosowane były techniczne lub organizacyjne środki ochrony zgodne z niniejszym rozporządzeniem ( ) w celu ograniczenia przetwarzania danych osobowych w myśl zasady proporcjonalności i zasady konieczności, np. pseudonimizacja danych, chyba że środki te uniemożliwiają realizację celu przetwarzania, a celu tego nie można zrealizować w inny sposób racjonalnymi środkami. 34/37
ochrona danych biometrycznych: sankcje karne Nowe rozporządzenie nie tylko przewiduje wzmocnienie współpracy rzeczników ochrony danych, ale także daje im więcej narzędzi oddziaływania na administratorów danych osobowych. GIODO będzie mógł nakładać kary administracyjne w wysokości do 20 000 000 euro lub aż do 4% rocznego światowego obrotu (w przypadku przedsiębiorstw). Odczuwalne sankcje mają pomóc w wymuszeniu przestrzegania przepisów. 35/47
IV. pola zastosowań komercyjnych biometrii eid, MRTD, weryfikacja technologie mobilne / światy wirtualne analiza klientów (wiek, emocje, ruch) 36/37
dziękuję za poświęcony czas pytania? sugestie? komentarze? cs.pwr.edu.pl/wodo wwodo.mokop.co