Embed Size (px)
Citation preview
DRUHÁ GENERACE
ELEKTRONICKÝCH PASŮ
A
NOVÁ GENERACE
ELEKTRONICKÝCH PRŮKAZŮ
O POVOLENÍ K POBYTU
aneb
„Nebojte se biometrie“
Biometrický pas
Sumarizace vývoje ePasů
• ePasy s BAC (obličej)– Nařízení Rady (ES) č. 2252/2004
ze dne 13. prosince 2004
– Rozhodnutí Komise K (2005) 409ze dne 28. února 2005 (technické specifikace)
– Od 1. 9. 2006 do 31.3.2009
– Celkem vydáno 1 163 028 ePasů
• ePasy s EAC (obličej a otisky prstů)– Rozhodnutí Komise K (2006) 2909
ze dne 28. června 2006 (doplněné technické specifikace pro otisky prstů)
– Nařízení EP a Rady (ES) č. 444/2009ze dne 6. května 2009 (novela Nařízení č. 2252/2004)
– Od 1. 4. 2009
– Doposud vydáno 389 487 ePasů (k 1.4.2010)
Fotografie pro biometrické
pasy a jejich pořizování
Jak vypadá fotografie pro
biometrický pas?
• Pro laserové gravírování – obraz „token image“,černobílý, vzdálenost očí 60 pixelů, formát 620x796, 450 dpi
• Pro čip – obraz „full frontal image“,barevný, formát 240 x 320,velikost max. 15 kB
• Pořizování ve speciálních kabinách:– Jednotná kvalita fotografií
• Jednotné osvětlení
• Jednotné technické vybavení
• Obsluha úředníky samosprávy, nebo pracovníky MV
Zpracování pořízené fotografie,
„ICAO Compliance Checker“
Výsledná fotografie„TOKEN IMAGE“
Vzdálenost očí 60 pixelů
Výsledek kontroly shody ICAO
Snímaná oblast
Kontrola shody ICAO
(15 parametrů)
– Odraz světla na sklech brýlí
– Nehomogenní osvětlení obličeje
– Nehomogenní pozadí
– Expozice
– Ostrost
– Nepřirozené barvy
– Škála šedi
ICAO Checker
• SW nástroj pro vyhodnocení souladu
biometrických fotografií s poţadavky ICAO
• Je automaticky kontrolováno 15 parametrů
– Skloněné oči
– Přímý pohled
– Otevřená ústa
– Zavřené oči
– Červené oči
– Zakrytý obličej
– Brýle
– Neprůhledné brýle
• Úředník ručně potvrzuje 3 parametry
Pořizování fotografií malých dětí a
handicapovaných občanů
Pohled na kvalitu biometrických
fotografií v českých ePasech
• Fotografie jsou snímány naţivo ve speciálních kabinkách– Výsledkem je plně kompatibilní biometrická fotografie, která je
způsobilá pro automatizované odbavení v tzv. „e-Gate“
• To je velký kvalitativní rozdíl oproti státům, které biometrickou fotografii skenují z přinesených průkazových fotografií– Pokud tyto státy provádějí kontrolu na shodu s ICAO parametry,
jsou některé fotografie odmítnuty
– Takto pořízené biometrické fotografie mohou v budoucnu způsobovat problémy při automatizovaném odbavení
• Kvalita biometrických fotografií v českých pasech patří jednoznačně ke světové špičce!
Otisky prstů pro biometrické
pasy a jejich pořizování
V jaké podobě jsou otisky prstů
ukládány do čipu
• Ukládány jsou obrázky 2 otisků prstů ve formátu WSQ
• Uloţené otisky prstů jsou pouze obrázky, nejsou jakkoliv kódovány.
• Dětem do 12 let nejsou otisky snímány.
• Otisky prstů, sejmutých pro biometrické pasy, nejsou součástí jakékoliv permanentní databáze.
Zákon toto neumožňuje !
Snímač otisků prstů
• Byl doplněn do sestavy v kabinách
• Ţadatel sleduje proces snímání na monitoruv kabince
Jak vybíráme nejkvalitnější
otisky prstů ?
• Vybraný prst je snímán třikrát
• Všechny tři pořízené otisky prstu jsou
mezi sebou porovnány
• Automatizovaně je vybrán nejkvalitnější
otisk prstu
• Následně je otisk prstu porovnán
s nově sejmutým (čtvrtým) otiskem
Výsledky snímání otisků prstů
v praxi
• U 0,7% ţadatelů není možno
dosáhnout stupně kvality NFIQ=3,
nebo lepší, pro kterýkoliv z otisků prstů
• U 0,8% ţadatelů je možno dosáhnout
stupně kvality NFIQ=3, nebo lepší,
pouze pro 1 otisk prstu
• U 98,5% ţadatelů není problém
s dosaţením stupně kvality NFIQ=3,
nebo lepší, pro oba otisky prstů
Dosaţené výsledky v zavedení
otisků prstů
• Česká republika je čtvrtým státem světa,
který zavedl otisky prstů v e-Pasech
• Systém kontroly kvality sejmutých otisků prstů
umoţňuje zařadit pouze kvalitní otisky, které
jsou způsobilé pro automatizované odbavení
• Tímto se lišíme od jiných států EU, které ukládají
otisky v jakékoliv kvalitě
• Diskuze na toto téma v rámci EU pokračuje
Od BAC k EAC
BAC a AABAC
• Základní řízení přístupu k ochraně identifikačních údajů
v čipu, které jsou shodné s údaji na datové stránce, tzv.
„méně citlivé údaje“ – osobní údaje a fotografie.
• Symetrické klíče pro
komunikaci s čipem
jsou odvozeny ze
strojově čitelné zóny
MRZ
#HASH
Přístup k datům v čipu
AA
• Aktivní autentizace jako prostředek k detekci a
zamezení pokusů o klonování čipu
• Otisk prstu je citlivý osobní biometrický údaj
• Povinnost zavést rozšířené řízení přístupu (EAC) pro ochranu otisků prstů vyplývá z rozhodnutí Evropské komise K (2006) 2909
• Specifikace EAC dle technické zprávy BSI TR-03110 „Advanced Security Mechanism for Machine Readable Travel Documents – Extended Access Control“
• Specifikace EAC byla vyvinuta v rámci pracovní skupiny „BIG“, která je tvořena zástupci členských zemí EU
Důvody pro lepší ochranu
otisků prstů
EAC
• Rozšířené řízení přístupu k DG3 (otisky prstů) a DG4
(duhovka)
• Silnější klíče pro šifrování komunikace neţ u BAC
• EAC se skládá ze dvou kryptografických mechanismů:
– Autentizace Čipu
– Autentizace Terminálu
Od BAC k EAC
Od BAC k EACČipová autentizace
– Alternativa k Aktivní Autentizaci, ochrana proti klonování čipu
– Generuje silné SM klíče
Inspekční systém Biometrický pas
Veřejný klíč EAC (DG14)
Jednorázový veřejný klíč IS
Dohoda sdíleného tajemství
Bezpečný šifrovaný kanál
Čip není klonován
Od BAC k EAC
Inspekční systém Biometrický pas
ISpuk
DVpuk
ISprk
CVCApuk
Řetěz certifikátů DV, IS
DV IS
ISpuk
DVpuk
Terminálová autentizace
- Pouze oprávněné inspekční systémy mají přístup k otiskům prstů
- Vyuţívá PKI pro autorizaci inspekčního systému
Výzva k ověření vlastnictví ISprk
Podepsaná výzva
Přístup k otiskům prstů umožněn
Ověření řetězce certifikátů
Ověření podpisu
Od BAC k EAC - PKI Infrastruktura
• Podepisovací PKI
STC
SPOC/NIMS
DALŠÍ STÁTY
Hraniční systém
NCA
Document
Signer Personalizace
pasů
ICAO PKD
, ověřovací PKI
STC
Document
Verifier 3
Document
Verifier 2SPOC/NIMS
DALŠÍ STÁTY
CVCA
Hraniční systém
DV CZE
NCA
Document
Signer Výroba pasůVýstupní kontrola
Document
Verifier 1
ICAO PKD
Inspekční systémy na oblastních
pracovištích OAMP MV
Inspekční systémy na
obecních úřadech
Inspekční systémy
MV
MZV
Inspekční systémy na MZV
a zastupitelských úřadech
Čeho jsme v biometrických
pasech dosáhli ?
Úspěšnost řešení ČR
• Projekt jako sluţba na klíč, jehoţ výsledkem je infrastruktura pro vydávání biometrických pasů a jeden z nejkvalitnějších pasů ve světě
• ČR splnila všechny termíny i technické podmínky stanovené EU
• ČR je aktivní na mezinárodním poli– Mezinárodní testy interoperability EAC pasů v Praze
(rok 2008)
– EU akceptovala český návrh technické normy pro SPOC
• Tyto výsledky byly dosaženy ve spolupráci MV, STC a všech subdodavatelských firem
Jaký další biometrický doklad bude
následovat ?
POVOLENÍ K POBYTU CIZINCE
(PKP)
Co je PKP?
• Průkaz o povolení k pobytu pro státní příslušníky cizích zemí
• Jednotný vzor PKP podle technických specifikací EU - Nařízení Rady (ES) č. 1030/2002 ve znění Nařízení Rady (ES) č. 380/2008
• Povinnost států EU určit výrobce– ČR určila STC jako výrobce PKP
• Registrace výrobce v orgánech EU– STC je registrována v orgánech EU jako oficiální
výrobce PKP pro ČR
Milníky vývoje PKP• Samolepící štítek
– Nařízení Rady (ES) č. 1030/2002ze dne 13. června 2002
– Rozhodnutí Komise K (2002) 3069ze dne 14. srpna 2002 (technické specifikace)
– Samolepící štítek strojově čitelný s fotografií drţitele
– Od 2004
• Zahájení vydávání ePKP– Nařízení Rady (ES) č. 380/2008
ze dne 18. dubna 2008 (novela Nařízení č. 1030/2002)
– Rozhodnutí Komise K (2009) 3770ze dne 20. května 2009 (technické specifikacepro biometrické údaje)
– Plastová karta ID1 s čipem
– Rozhodnutí ČR zavést oba biometrické údaje současně
– Nejdéle od 20. 5. 2011
Štítek PKP podle vzoru EU
• Vydáván od 2004
• Ročně vydáváno 41.000 ks
Velká Británie
• Začala v roce 2009
jako první stát EU
vydávat karty ePKP s
biometrickými údaji
Design karty ePKP
• Jednotný design dle vzoru EU
Personalizovaná karta ePKP
• Bezkontaktní čip (ICAO aplikace)
• Kontaktní čip (volitelně)
Shrnutí
• STC připravila první prototypy karet ePKP
dle specifikací EU
• Předpokládá se, ţe ročně bude vydáváno
200.000 ePKP
• Jednou z moţností jak řešit vydávání
ePKP je integrace do Projektu CDBP
