PROVEN BY TIME www.wasko.pl
Biometria jako metoda uwierzytelniania Dominik Pudykiewicz Departament Systemów Bezpieczeństwa WASKO S.A.
Biometria jako metoda uwierzytelniania
Agenda Uwierzytelnianie jako potwierdzanie tożsamości, Wybór cechy biometrycznej, Wzorce biometryczne, Uwierzytelnianie biometryczne oraz identyfikacja biometryczna, Bezpieczeństwo uwierzytelniania, Biometria w dokumentach system PERSON.
Czym jest i z czym wiąże się biometria we współczesnym świecie? Dzisiaj rządy wielu państwa próbują chronić swój kraj i ludzi w nim mieszkających przed atakami terrorystycznymi, przestępczością i napływem niepożądanych grup osób to właśnie temu ma służyć biometria nauka zajmująca się badaniem organizmów żywych pod kątem występowania w nich mierzalnych indywidualnych cech.
Uwierzytelnianie jako potwierdzanie tożsamości
Uwierzytelnianie, identyfikacja i autoryzacja Uwierzytelnianie (nazywane często, lecz niepoprawnie autentykacją ) to potwierdzanie tożsamości osoby, czyli określenie z pewnym prawdopodobieństwem czy tożsamość, którą deklaruje osoba jest zgodna z prawdą. Stuprocentowa pewność w przypadku uwierzytelniania nie jest w praktyce możliwe, stąd mowa o prawdopodobieństwie. Identyfikacja jest wyszukaniem osoby w pewnym zbiorze na podstawie pewnego identyfikatora lub określonych cech. Identyfikację określa się także jako dopasowanie 1:N. Nie zawsze w wyniku identyfikacji otrzymuje się dokładnie jeden wynik. Autoryzacja jest procesem weryfikacji uprawnień osoby do określonych zasobów. Autoryzację zwykle poprzedza uwierzytelnienie: najpierw kto, potem do czego ma prawo.
Uwierzytelnianie, identyfikacja i autoryzacja Każdy z wymienionych procesów odpowiada na inne pytanie.
Klasyfikacja metod uwierzytelniania Ze względu na typ informacji przekazywanej przez osobę, a wykorzystywanej do weryfikacji jej tożsamości, wyodrębniono trzy metody uwierzytelniania: Coś, co wiesz logowanie w systemach informatycznych przy pomocy loginu i hasła, Coś, co masz pewien obiekt fizyczny tzw. token uwierzytelniający to warunek uwierzytelnienia, To, kim jesteś cechy fizyczne organizmu, które podlegają rejestracji. Czynnikowa klasyfikacja metod uwierzytelniania obejmuje: Uwierzytelnianie jednoczynnikowe (ang. Single-factor Authentication) np. kod klienta i hasło, Uwierzytelnianie wieloczynnikowe /silne uwierzytelnianie/ (ang. Multi-factor Authentications, Strong Authentication) np. karta i kod PIN lub nazwa użytkownika, hasło i obraz linii papilarnych.
Bezpieczeństwo uwierzytelniania
Bezpieczeństwo uwierzytelniania Przytoczona klasyfikacja metod uwierzytelniania ma swoje odzwierciedlenie w ich bezpieczeństwie. Uwierzytelnianie wieloczynnikowe /silne uwierzytelnianie/ charakteryzuje się większym bezpieczeństwem niż jednoczynnikowe. Rozpatrując kategorię informacji uwierzytelniającej można sformułować ogólną prawidłowość: Najmniejszy poziom bezpieczeństwa zapewnia podejście coś, co masz a najwięcej to, kim jesteś.
Jakość metod uwierzytelniania Bezpieczeństwo systemu uwierzytelniania jest często wyrażane przez jego dokładność. Sposób pomiaru dokładności zależy od czynnika uwierzytelniania: Przeciętna przestrzeń ataku (ang. Average Attack Space AAS) oznacza średnią liczbę prób, jaką musi wykonać atakujący aby odgadnąć sekret, Współczynnik fałszywego odrzucenia (ang. False Rject Rate) Oznacza liczbę przypadków, w których uprawniony użytkownik jest odrzucany przez biometryczny system uwierzytelniania w stosunku do wszystkich prób, Współczynnik fałszywej akceptacji (ang. False Acceptance Rate) Oznacza liczbę przypadków, w których nieuprawniony użytkownik jest wpuszczany przez biometryczny system uwierzytelniania w stosunku do wszystkich pól.
Bezpieczeństwo i użyteczność metod uwierzytelniania Opis Zalety Wady Czas wprowadzania Dokładność Hasło Znajomość ciągu od 8 do 12 znaków Łatwość wdrożenia Może zostać zapomniane PIN Znajomość ciągu 4 znaków Możliwośc pracy off-line Może zostać zapomniane Karta inteligentna Token uwierzytelniają cy Wbudowane mechanizmy przetwarzania danych Wymaga czynika kart PKI Algorymy kryptograficzne, asymetryczna para kluczy Wzajemne uwierzytelnieni e osoby i systemu PKI stanowi pojedynczy cel ataku Biometria (linie papilarne) Zeskanowany obraz linii papilarnych Łatwość pobrania próbki Skojarzenia z kryminalistyką 7-20 sekund 5-10 sekund 7-20 sekund 7-20 sekund < 5 sekund AAS od 2 15 do 2 23 AAS 13 bitów Brak danych AAS = 1024 bity FRR od 1 do 20% FAR od 0,001 do 5% Bezpieczeństw o 2 2 5 5 4 Użyteczność 2 2 3 3 3 Źródło: Christiana Braz, Jean-Marc Robert - Security and Usability: The Case of the User Authentication Methods
Wybór cech biometrycznych
Cechy biometryczne (biometryki) Prace nad wykorzystaniem biometrii jako bezpiecznej metody weryfikacji tożsamości, skłoniły do poszukiwania takich cech organizmu, które mogłyby zostać skutecznie w tym celu wykorzystane. Biometryki można podzielić na dwie grupy: Biometryki fizjologiczne niosą informacje o cechach fizycznych organizmu w momencie dokonania pomiaru (pobrania próbki), Biometryki behawioralne /zachowawcze/ - opisują charakterystyczne cechy zachowania badanej osoby
Cechy biometryczne (biometryki) przykłady Do najczęściej wykorzystywanych cech fizycznych należą: Wśród ciekawych, lecz rzadko stosowanych rozwiązań warto wymienić cechy behawioralne, takie jak: Odcisk palca, Geometria dłoni, Geometria twarzy, Siatkówka oka, Rozpoznawanie głosu, Dynamika podpisu odręcznego, Charakterystyka pisania na klawiaturze. Tęczówka oka, Wzór naczyń krwionośnych.
Bezpieczeństwo systemu biometrycznego Od wyboru cechy biometrycznej zależy dokładność i bezpieczeństwo systemu biometrycznego. Cecha taka powinna spełniać określone właściwości, aby była przydatna do skutecznej analizy biometrycznej: Niepowtarzalność, Niezmienność, Odporność na fałszerstwa, Łatwość pobrania próbki, Możliwość automatycznej analizy. XIX- wieczna instrukcja wykonywania pomiarów metoda Bertillona
Wzorce biometryczne
Rejestracja pobranej próbki biometrycznej Pobranie próbki biometrycznej zwykle polega na zarejestrowaniu obrazu wybranego fragmentu ciała przy pomocy odpowiedniego urządzania rejestrującego, tzw. skanera biometrycznego: Układ optyczny działający w świetle widzialnym lub w podczerwieni biometria linii papilarnych, biometria żył palca lub dłoni. Skalibrowany cyfrowy aparat fotograficzny lub kamera geometria twarzy, geometria dłoni, tęczówka oka. Urządzenia audio, dyktafon, itp. biometria głosu ludzkiego.
Tworzenie wzorca biometrycznego Pobrana próbka biometryczna ma formę surowej porcji danych, nie pozwala to na porównanie jej z innymi, a więc do identyfikacji lub uwierzytelniania. Próbka ta musi zostać przekształcona w tzw. wzorzec biometryczny. Jest to mała porcja danych, która opisuje cechę biometryczną w taki sposób, że możliwe jest wydajne jej porównywanie.
Uwierzytelnianie biometryczne oraz identyfikacja biometryczna
Uwierzytelnianie biometryczne i identyfikacja biometryczna Każdy proces uwierzytelniania polega na porównaniu informacji uwierzytelniającej zapisanej w repozytorium informacji o osobach z informacją uwierzytelniająca okazaną w danym momencie przez badaną osobę. Wypełnienie tego repozytorium rekordami opisującymi poszczególne osoby odbywa się w procesie rejestracji: Rejestracja danych osobowych, Pobranie danych biometrycznych, Szyfrowanie danych biometrycznych (opcjonalnie), Zapisanie rekordu w repozytorium.
Uwierzytelnianie użytkownika w systemie biometrycznym Uwierzytelnianie użytkownika w systemie biometrycznym odbywa się według scenariusza: Pobranie identyfikatora osoby, Pobranie próbki biometrycznej, Porównanie danych biometrycznych. Załadowanie rekordu użytkownika,
Identyfikacja użytkownika w systemie biometrycznym Identyfikacja użytkownika w systemie biometrycznym obejmuje następujące kroki: Pobranie próbki biometrycznej, Dopasowanie wzorca, Identyfikacja osób.
Biometria w dokumentach
Paszporty Konieczność podążania dokumentu za postępem technologicznym, a także rosnące zagrożenie międzynarodowe, wymogły opracowanie międzynarodowych norm, których celem było ujednolicenie dokumentów podróży i wprowadzenie w nich identyfikatorów biometrycznych. ICAO (International Civil Aviation Organization) wydała zbiór rekomendacji określających specyfikację techniczną dokumentów odczytywanych maszynowo w tym także wizy i paszporty. Dokument Doc. 9303 ewoluował i zalecenia ICAO znalazły odzwierciedlenie m.in. w Normach ISO/IEC dedykowanym dokumentom. 13 grudnia 2004 r. Unia Europejska określa termin wprowadzenia biometryków w paszportach. Pierwszym polskim dokumentem biometrycznym, zawierający elektroniczny nośnik informacji, był paszport. 28 sierpnia 2006 r. każdy obywatel wnioskujący o wydanie paszportu i uprawniony do jego posiadania, mógł już otrzymać paszport biometryczny.
Jak rozpoznać dokument zawierający elektroniczny nośnik danych? Grupa ICAO o nazwie New Technologies Working Group ustaliła znak symbolizujący układ elektroniczny. Zalecono, aby ten znak był umieszczony w dolnej części przedniej okładki, poniżej słowa PASZPORT. Do sprawdzania tożsamości osoby służą różne dokumenty: Dowody osobiste, Paszporty, Karty ubezpieczeniowe, Prawa jazdy.
Technologia RFID Odczyt danych zapisanych na elektronicznym dokumencie biometrycznym jest możliwy dzięki RFID (Radio Frequency IDentification). Polskie paszporty zawierają dwie cechy biometryczne wizerunek twarzy oraz odciski palców posiadacza zabezpieczone poprzez BAC (Basic Access Control) i EAC (Extended Access Control).
Jak wykorzystać potencjał nauki? Finger Vein technologia oparta na analizie unikalnego wzorca naczyń krwionośnych palca.
Proces produkcji dokumentów w systemie PERSON System PERSON realizuje proces rejestracji danych osobowych, proces personalizacji graficznej oraz elektronicznej, jak również dystrybucję i wydawanie gotowego dokumentu identyfikacyjnego. Dokumenty identyfikacyjne wydawane przez system PERSON stanowią uniwersalny nośnik tożsamości użytkownika możliwy do zastosowania w dowolnych systemach informatycznych, identyfikator może być wykorzystany również jako nośnik danych biometrycznych.
Biometria w praktyce Uwierzytelnianie w systemach informatycznych Kontrola dostępu do pomieszczeń Zakupy bezgotówkowe
Kontakt Dominik Pudykiewicz Departament Systemów Bezpieczeństwa tel. +48 32 33 25 536 fax +48 32 33 25 511 d.pudykiewicz@wasko.pl WASKO S.A. 44 100 Gliwice, ul. Berbeckiego 6 tel. +48 32 33 25 500 fax +48 32 33 25 505 www.wasko.pl wasko@wasko.pl