Upload
oksystem
View
229
Download
3
Embed Size (px)
Citation preview
JIŽ VÍCE JAK 5 LET ŽIJEME S
BIOMETRICKÝMI DOKLADY,
UMÍME JICH VYUŽÍT?
Petr Vyleťal 19.5.2011
ÚVOD DO HISTORIE VYDÁVÁNÍ BIOMETRICKÝCH
DOKLADŮ
Biometrické doklady ve formě cestovních pasů (ePasů) jsou
vydávány od roku 2005, kdy první zemí, které je zavedlo bylo
Německo.
Česká republika vydává ePasy:
od 1.9.2006 – první generace s biometrickou fotografií;
od 1.4.2009 – druhá generace s otisky prstu.
K dnešnímu dni více jak 70 zemí vydává svým občanům
biometrické cestovní pasy nebo jiné biometrické doklady.
Navazujícím krokem je vydávání národních občanských průkazů
a elektronických povolení k pobytu:
u národních občanských průkazů není aplikování biometrie povinné;
na úrovni EU jsou aktuálně aplikovány ePKP s oběma biometrickými
prvky;
v přípravném procesu je i Evropská karta (Evropský občanský průkaz).
2
JAKÉ JSOU PŘÍNOSY A HROZBY?
Jsou vydávány
osobní/cestovní doklady s
maximální možnou mírou
zabezpečení.
Ve stádiu implementace
jsou sofistikované
verifikační mechanismy.
Definovány standardy a
doporučení pro provádění
inspekčních procedur
biometrických dokladů
(EU, ICAO, FRONTEX,
ISO....).
Existující mezinárodní
infrastruktura pro výměnu
certifikátů a klíčů (SPOC,
ICAO PKD).
3
V některých případech se
opomíjí skutečnost, že
stále jsou v platnosti i ne-
biometrické
cestovní/osobní doklady.
Přes existující
doporučení není k
inspekčním procedurám
přistupováno jednotně.
Využití biometrických
prvků a vlastních dat v
čipu ePasu se omezuje
zejména na biometrickou
fotografii.
VERIFIKACE DOKLADU A IDENTITY JEHO DRŽITELE
Analýza / verifikace cestovního dokladu:
ověřením aplikovaných (přítomných) optických bezpečnostních prvků;
ověřením elektronického zabezpečení a dat provedením definovaných
bezpečnostních procedur při komunikaci s čipem dokladu.
Ověření identity držitele dokladu:
identifikací osoby na základě biometrického porovnání obrazu obličeje
metodou 1:1 (aktuálně sejmutá podoba vůči biometrické fotografii
uložené v čipu biometrického dokladu);
identifikací prostřednictvím otisku prstu uloženého v čipu dokladu a
aktuálně sejmutého otisku prstu osoby opět metodou 1:1;
v případě víza lze aplikovat i kombinované ověření otisků prstu 1:1,
kde vízový štítek je referencí na otisky uložené v databázi, nebo
metodou 1:n na úrovni systémů AFIS;
osobní údaje držitele a data uvedené na dokladu jsou verifikovány
rovněž prostřednictvím dotazu do IS státní správy konkrétní země
(CIS, SIS…).
4
5
Optická
kontrolaElektronická
kontrola
Ověření
biometrie
Policejní
kontrola
Optická
kontrolaElektronická
kontrola
Ověření
biometrie
Policejní
kontrola
Optická
kontrolaElektronická
kontrola
Ověření
biometrie
Policejní
kontrola
Optická
kontrolaElektronická
kontrola
Ověření
biometrie
Policejní
kontrola
Optická
kontrolaElektronická
kontrola
Ověření
biometrie
Policejní
kontrola
MOŽNOSTI OVĚŘENÍ DOKLADU A IDENTITY JEHO
DRŽITELE PODLE JEHO TYPU
„staré“ pasy a OP
ePas
Víza
eID s biometrií
ePKP
OPTICKÁ KONTROLA DOKLADU
Ověřit pravost dokladu z pohledu korektnosti optických
bezpečnostních prvků lze pomocí algoritmů realizujících analýzu
skenu datové stránky na těchto úrovních:
Visual – kontrola přítomnosti prvků viditelných v normálním spektru;
IR - kontrola přítomnosti prvků viditelných v infra-červeném spektru;
UV - kontrola přítomnosti prvků viditelných v ultrafialovém spektru;
MRZ – kontrola dat uvedených v MRZ jako je např. expirace doby
platnosti dokumentu nebo chyba v kontrolních číslech a součtech -
součástí je i ověření fontu, kterým je MRZ vytištěna na kontrolovaném
CD;
Platnost – kontrola doby platnosti dokumentu.
Seal / Tamper – kontrola aplikovaných prvků na bezpečnostní fólii;
B900 – kontrola inkoustu MRZ.
6
OPTICKÁ KONTROLA DOKLADU
(NORMAL)
7
OPTICKÁ KONTROLA DOKLADU
(IR)
8
OPTICKÁ KONTROLA DOKLADU
(UV)
9
OVĚŘENÍ ELEKTRONICKÉ ČÁSTI DOKLADU
Ověření pravosti a autenticity dat v čipu elektronického dokladu je
sadou několika normativně standardizovaných kroků kroků:
BAC – Basic Access Control
PA – Pasivní Autentizace
AA – Aktivní Autentizace (jeli aplikována)
CA – Čipová Autentizace (jeli aplikována)
TA – Terminálová Autentizace – ověření terminálu pro přístup k otiskům prstu
TA
TERMINÁLOVÁ
AUTENTIZACE
CA
ČIPOVÁ
AUTENTIZACE
AA
AKTIVNÍ
AUTENTIZACE
PA
PASIVNÍ
AUTENTIZACE
ZOBRAZENÍ
DAT
BAC
BASIC ACCESS
CONTROL
10
JAKÁ JE AKTUÁLNÍ PRAKTICKÁ ZKUŠENOST?
Procesy komplexní ověření pravosti cestovního dokladu jsou
realizovány již od roku 2006 – systémy zavedeny ve většině zemí
EU (i mimo) včetně České republiky;
V případě analýzy optické části dokladu jsou identifikována jistá
omezení;
Při analýze elektronické části dokladu lze dosáhnout téměř 100%
jistoty, že informace o výsledné kontrole je validní.
Vždy je nutné brát v úvahu, že stále existují doklady bez čipu s
biometrickými prvky:
11
Biometrické doklady
39%Doklady bez
biometrie61%
OVĚŘENÍ OPTICKÝCH BEZPEČNOSTNÍCH PRVKŮ
Při analýze optických bezpečnostních prvků je důležitým
parametrem míra identifikovaných upozornění (alertů) na možnou
detekci falešného (falsa) dokladu vůči celkovému počtu
provedených inspekčních procedur:
12
OVĚŘENÍ OPTICKÝCH BEZPEČNOSTNÍCH PRVKŮ
Po analýze oprávněnosti realizovaného alertu je kalkulována míra
zjištění, které ukazují na problematický cestovní doklad:
13
OVĚŘENÍ OPTICKÝCH BEZPEČNOSTNÍCH PRVKŮ
Nejčastěji zjištěné typy alertů při elektronickém ověření optických
bezpečnostních prvků dokladu:
nekorektně vyčtená MRZ – dezinterpretace znaků z MRZ do
znakového řetězce (např. 3 x 8, B x 8 apod…);
kontrolovaný doklad není v ideálním stavu – znečistěná, zamaštěná
datová stránka, stárnutí materiálu;
častým případem je identifikace stavu, kdy doklad je po platnosti, ale
současně je jeho platnost prodloužena na jiné stránce např. vlepením
štítku (cestovní doklady Izraele).
14
OVĚŘENÍ ELEKTRONICKÉ ČÁSTI DOKLADU
Ve srovnáním s optickou kontrolou dokladu, jsou realizovány
normativně popsané procedury s jednoznačně definovanými
výsledky (ICAO, ISO 7816, BSI, ISO 14443);
Předpoklady pro korektní provedení:
vyčtení MRZ a správná interpretace OCR znaků do datového řetězce;
stabilní komunikace mezi čipem dokladu a čtecím zařízení;
dostupnost certifikátů vydavatele a výrobce dokladu (CSCA, DSCA,
CRL…) z důvěryhodného zdroje;
15
SYSTÉM EasyPASS – FRANKFURT NAD MOHANEM
V období od 08/2009 do 09/2010 systém odbavil ≈ 50 000
cestujících;
Identifikovaná míra alertů:
oCheck: Reject rate ≈ 2,5%;
eCheck: Pouze jednotky alertů (3 alerty během 6ti měsíců);
Biometrie: ≈ 5,5% FRR @ 0,1% FAR;
≈ 18 sec. je průměrný čas odbavení jednoho cestujícího
podobné parametry vykazují i jiné systémy v Evropě (Londýn,
Lisabon, Helsinky, Manchester)
16
OBECNÉ PŘEDPOKLADY PRO ÚSPĚŠNOU APLIKACI
PROCESU KONTROLY DOKLADU
Ověření elektronické části:
Dostupné certifikáty na úrovni Is (čtecích zařízení): CS certifikát národní certifikační autority NCA (CSCA);
DS certifikát, který vydává CSCA výrobci dokladů (v ČR STC), který jím
podepisuje data uložená v čipu;
CRL – Certificate Revocation List – seznam zneplatněných certifikátů.
Výměna certifikátů mezi státy: Příjemce musí ověřit důvěryhodnost dodaného certifikátu;
Celosvětově uznávané důvěryhodné úložiště ICAO Public Key Directory;
Na národní úrovni realizováno komponentou NIMS.
Ověření optické části:
existující databáze optických bezpečnostních prvků z
důvěryhodného zdroje;
pravidelný update v souladu s vydáváním nových typů cestovních
dokladů;
kvalitní snímací zařízení a algoritmus pro analýzu datové stránky
dokladu. 17
VYUŽITÍ TĚCHTO PROCEDUR MIMO BEZPEČNOSTNÍ
SLOŽKY
Popsané verifikační procedury lze aplikovat i v jiných scénářích
užití:
banky – procesy, které souvisí s ověřením identity klienta a pravosti
jeho osobního dokladu;
telefonní operátoři – ověření klienta při uzavření smlouvy;
hotely – podle zákona o pobytu cizinců mají hotely povinnost hlásit
pobyt cizinců na území ČR;
autopůjčovny – ověření pravosti osobního dokladu a řidičského
průkazu.
Možným omezením je aplikace zákona č. 101/2000 Sb. ve znění
pozdějších předpisů – ochrana osobních údajů a výměna
vybraných dat uživatelů se státními institucemi.
18
Policie Airlines
Letiště
HOMELANDSECURITY
Přístavy
Pozemní hraniční
přechody
Železnice
APLIKACE V PRAXI - KLÍČOVÉ SUBJEKTY
APLIKACE V PRAXI - KLÍČOVÉ SUBJEKTY
EU
EU
Web Check In Check In Baggage Drop-off
KontrolaBoarding
Pass
Border
Control
EU
Entry/Exit
Nástup do
letadla
Hraniční kontrola
RTP
STP
Bio Boarding
Entry/Exit
APLIKACE V PRAXI – ODBAVENÍ NA LETIŠTI
JAKÉ JSOU PŘÍNOSY A HROZBY TAKOVÉHO PŘÍSTUPU?
Příležitosti
Sdílení vybraných
procesů a snižování
provozních nákladů
Zvýšení bezpečnosti a
kontroly pohybu
cestujících
Úspora místa
Jednoznačný přínos
komfortu pro cestující
22
Hrozby / Rizika
Dopravní společnosti
(aerolinie) se chtějí
vzájemně odlišovat, a
zároveň v rámci aliance
aplikovat stejnou
proceduru na všech
letištích
Letiště / dopravní
terminály požadují stejné
procedury pro všechny
přepravce
Legislativní překážky ve
formě sdílení procedur a
výměny osobních dat
Efektivní implementace
inspekčních procedur
při ověření dokladu a
osob
VAŠE DOTAZY?
DĚKUJI ZA POZORNOSTPetr Vyleťal
+420 724 072 267
23