Seminario firme elettroniche, PEC e CNS, Ravenna, Facoltà di Giurisprudenza
biometria roma tre aprile 2014 finale
1. Biometria e documenti di identità
e di viaggio
Alessandro Alessandroni
Università Roma Tre
3 Aprile 2014
2. AGENDA
documenti biometrici:
• tipologie di documenti
• caratteristiche biometriche, formati e modalità di
memorizzazione
emissione:
• come garantire qualità dei dati biometrici memorizzati
verifica:
• come ottenere accuratezza del riconoscimento
biometrico
• resistenza agli attacchi (spoofing)
3. Principali novità rispetto al 2013
Italia
permesso di soggiorno biometrico europeo (gennaio
2014) avvio emissione con verifica al rilascio
Pronte le regole tecniche del nuovo DDU (documento
digitale unificato)
Europa
Diffusione varchi automatici (288) in 13 stati membri
Progetti europei di ricerca: nuovi scanner, spoofing,
valutazione prestazioni, evoluzione passaporto
Mondo
A fine 2014: 700 milioni di passaporti emessi da 110
stati
4. Perché documenti con
dati biometrici
Rendere più forte il legame tra titolare e
documento
Consentire il ricoscimento automatico nei varchi
di frontiera insieme al controllo automatico del
documento
6. 6
I dati biometrici previsti da ICAO
Le norme ICAO 9303 considerano 3 tipi di
caratteristiche biometriche per i documenti
elettronici:
Volto (obbligatorio)
Impronte (opzionali)
Iride (opzionale)
Per passaporti e altri documenti di viaggio è
previsto un chip RFID per la memorizzazione
dei dati biometrici
Per i visti non è prevista la presenza di chip
per evitare interferenze (Dati biometrici in
BD)
7. 7
Formato dati biometrici:
immagine o template?
secondo le norme ICAO per ciascun tipo di dato biometrico è obbligatorio
memorizzare l’immagine
la registrazione del template associato alla immagine è opzionale
il template occupa meno spazio della immagine ed è preferibile dal punto
di vista della privacy
motivi della scelta della immagine:
indipendenza dai produttori richiede le immagini o template standard
i template standard comportano prestazioni inferiori
8. Documenti elettronici
conformi ICAO in circolazione
PASSAPORTI ELETTRONICI: Nel mondo 101 stati
emettono passaporti elettronici conformi ICAO
500 milioni a fine 2012, 700 milioni a fine 2014
47 stati solo immagine dl volto
54 stati volto + 2 impronte (tutti gli stati membri UE)
0 stati con iride
PERMESSI DI SOGGIORNO
Tutti gli stati europei emettono permessi di soggiorno elettronici
conformi ICAO e UE 380/2008 con immagine volto e 2
impronte
CARTE DI IDENTITA’
Alcuni stati europei emettono carte di indentità e-MRTD
conformi ICAO (ad esempio Olanda, Svezia, Lituania, e
prossimamente Italia)
8
12. 12
Accuratezza dei
sistemi biometrici
La biometria non è “esatta” al 100%
FMR (False Match Rate): il sistema accetta chi non dovrebbe
FAR (False Acceptance Rate): il sistema non accetta chi dovrebbe
FAR e FRR sono legati tra loro ed entrambi sono funzione della
soglia di sicurezza del sistema (t)
Una soglia bassa (sistema poco sicuro) determina pochi Falsi Rifiuti ma
aumenta le False Accettazioni
Una soglia elevata (sistema molto sicuro) determina poche False Accettazioni
ma aumenta i Falsi Rifiuti
EER (Equal Error Rate)
La soglia t puo essere tarata in modo
che FRR = FAR. L’errore in questo
punto operativo prende il nome di EER.
13. 13
Principali esigenze per i dati
biometrici acquisiti e registrati
L’accuratezza dei sistemi biometrici dipende
dalla qualità dei dati acquisiti
Le prestazioni possono diminuire sensibilmente al
degradare della qualità (aumentano FAR e FRR)
Interoperabilità (standard ICAO/ISO)
Misure di Sicurezza per garantire autenticità,
integrità e riservatezza (firma digitale e altri
meccanismi crittografici)
14. 14
14
qualità del dato biometrico acquisito
dipende da:
qualità intrinseca (ad es. impronte con ridge line poco
prominenti nel caso di lavoratori manuali e persone
anziane)
stato della caratteristica biometrica da acquisire (ad
es. pelle secca o troppo umida)
comportamento dell’utente (posizionamento non
corretto del dito, espressione e orientamento del volto)
dispositivi impiegati per la acquisizione (ad es.
scanner con elevata distorsione)
ambiente (ad es. Illuminazione, impurità sulla superfice
dello scanner)
16. 16
16
qualità del dato biometrico
(ISO 29794-1)
Character: qualità basata sulle caratteristiche
intrinseche della fonte
Fidelity: fedeltà del campione rispetto alla fonte
Utility: utilità del campione nel sistema biometrico
18. Qualità dello scanner
Parametri di qualità:
•Area acquisizione
•Accuratezza risoluzione
•Distorsione geometrica
•Risposta alle frequenze
spaziali (fuoco)
•Rapporto segnale/rumore
risoluzione
•Range dinamico
Alto
impatto
medio
impatto
basso
impatto
Laboratorio DigitPA
19. Principali parametri di qualità
degli scanner
Original
Acquisition Area Output Resolution Geometric Accuracy
Spatial Frequency
Response
Signal-to-noise
Ratio
Fingerprint Gray
Range
20. 20
Esperimenti per valutare impatto dei
parametri di qualità delle impronte
The FVC2006 DB2 has been used
1680 images: 140 fingers, 12 impressions per fingers
Acquisition area: w=17.8mm, h=25.0mm
Quality parameters considered:
Acquisition area
Output resolution
Geometric accuracy
Spatial frequency response
Signal-to-noise ratio
Fingerprint gray range
From FVC2006 ten of the best performing algorithms on DB2 have
been selected (not only minutiae-based)
Experiment size
115,920 image transformations
11,192,300 fingerprint pairs compared
21.
22.
23. 23
Specifiche Scanner Impronte Digitali (single-
finger) per applicazioni PA
basate su test di laboratorio
Classe Applicazioni Area
(alt × largh)
Accuratezza
sulla
risoluzione
Distorsione
geometrica
Risposta
frequenze
spaziali
Rapporto
Segnale
Rumore
Livelli di grigio e
range dinamico
A
(10%)
Enrollment per applicazioni large-scale e per
progetti dove è importante interoperabilità tra
scanner diversi, anche di fornitori diversi
(es. Passaporto, CIE)
Verifica di identità in applicazioni large-scale
dove l’enrollment è stato eseguito con scanner
di classe A o con scanner IAFIS IQS
(es. Verifica di un Passaporto o di un Visto)
25.4mm
×
25.4mm
500dpi 1%
(IAFIS IQS)
1.5%
(IAFIS IQS)
TSI ≥ 0.20
(PIV IQS)
Dev.Std.
σ ≤ 3.5
(PIV IQS)
Formato
256 livelli grigio.
Range dinamico
almeno 150 livelli
(PIV IQS)
B
(20%)
Enrollment e verifica identità in applicazioni
medium-scale dove gli utenti possono
autenticarsi su scanner diversi
(es. CMG - Carta Ministero Giustizia)
Verifica di identità in applicazioni large-scale
in cui enrollment eseguito can scanner classe A
(es. autenticazione con CIE)
20.0mm
×
15.0mm
500dpi 1.5% 2.0% TSI ≥ 0.15
Dev.Std.
σ ≤ 5.0
Formato
256 livelli grigio.
Range dinamico
almeno 140 livelli
C
(150%)
Enrollment e Verifica di identità in applicazioni
small-scale, dove tipicamente gli utenti usano
sempre lo stesso scanner
(es. sicurezza logica o fisica in piccole
amministrazioni o singoli uffici)
16.5mm
×
12.8mm
(PIV IQS)
500dpi 2.0%
(PIV IQS)
2.5%
(PIV IQS)
TSI ≥ 0.12
Dev.Std.
σ ≤ 8.0
Formato
256 livelli grigio.
Range dinamico
almeno 130 livelli
maggiore impatto minore impatto
IAFIS PIV
28. Procedura di acquisizione impronte
A partire da un indice, tre immagini separate vengono catturate
(mettendo il dito per tre volte sullo scanner).
Per ogni immagine, il punteggio di qualità (NFIQ) viene calcolato.
Le immagini della impronta vengono confrontate tra loro
La migliore immagine, sulla base degli score di matching con le
altre, viene selezionata per la memorizzazione
Se nessuna delle tre immagini ha un punteggio di 1, 2 o 3,
l'operatore acquisisce l'impronta del dito successivo nella
sequenza: indice, medio, anulare e pollice
Questa procedura è conforme alla norma ISO/IEC 29196 -
Technical Report on guidance for biometric enrolment, § 8.3.3
single finger systems
28
29. 29
Processo acquisizione impronte di una
mano
Processo Standard
Inizio del processo di
cattura
Rilevamento dal dito
indice
NO
SI
Esito del processo di cattura
Fine del processo di cattura
SI
Esito del processo di
cattura
Esito del processo di
cattura
Rilevamento dal dito
pollice
Esito del
processo di
cattura
SI SI
NO NO NO
Rilevamento dal dito
anulare
Rilevamento dal dito medio
:
Selezione della migliore tra le
immagini scartate
30. 3030
sw controllo qualità
delle impronte acquisite
1 2 3 4 5NFIQ
Feedback immediato sulla qualità delle
impronte raccolte tramite valore NFIQ
Selezione dita con migliori impronte
Sw del NIST considerato uno standard de facto (NISTIR -7151)
32. Compressione immagine impronte
L’immagine digitale delle impronte acquisite (risoluzione 500 ppi,
area di acquisizione di un pollice quadrato, profondità 8 bit) ha una
dimensione di 250 KB; per la registrazione nel microprocessore
RF è necessaria compressione per rendere dimensione
compatibile con la capacità del chip
La riduzione di qualità non deve compromettere la accuratezza del
riconoscimento biometrico in fase di verifica.
Decisione CE 3770/2009 prescrive per le impronte il ricorso alla
compressione delle immagini attraverso l'algoritmo WSQ, e indica
in circa 12 – 15 Kbyte per dito il volume di memorizzazione
necessario per le immagini compresse delle impronte digitali.
Il fattore di compressione da utilizzare non deve essere superiore
a 15:1, come prescritto dalla norma ISO 19794-4
Non devono essere effettuate compressioni multiple che
degraderebbero significativamente l‟immagine.
32
35. Verifica al rilascio
Falsi rigetti
Bassa qualità impronte
Bassa qualità intrinseca anche del migliore dito prescelto
(in particolare: minori)
Condizioni e posizionamento (dito secco, umido, scarsa
pressione, ecc.)
Scambi dito
nonostante interfacce utente con indicazione dito
35
36. Verifica al rilascio:
come ridurre i falsi rigetti
Falsi rigetti
Bassa qualità impronte
Soluzione a breve: verifica delle due impronte in AND e
riduzione soglia (stesso FAR con drastica riduzione FRR)
A M/L: utilizzo scanner con nuove tecnologie (contactless,
ultrasuoni, OCT…)
Scambi dito
Soluzione a breve: verifica immediata delle impronte subito
dopo acquisizione
Soluzione a M/L: utiilizzo 4-4-2
36
37. 37
Scanner contactless
Scanner ottici
in alcuni casi bassa qualità immagine acquisita
dito secco, dito umido
scarsa pressione
deformazione
sono soggetti a spoofing
Altre tecnologie
Ultrasuoni
OTC
fotocamere
38. 38
Volto acquisito tramite scanner foto
Degrado dovuto a stampa/acquisizione con scanner
Rischio di sostituzione o manipolazione immagine (morphing)
A B
A B
44. Verifica dei documenti elettronici
Alle frontiere:
Postazioni fisse
Varchi automatici (Sistemi ABC)
Dispositivi mobili
Sul territorio:
Postazioni fisse
Dispositivi mobili
44
45. Verificare la genuinità e validità del
documento
Identificare il passeggero
Verificare l’ammissibilità del passeggero
sul territorio Nazionale e Schengen
Il controllo in frontiera:
(biometria)
46. SiF architettura
Prima linea
degli Uffici di Frontiera
VIS
Banca dati
visti
SIDAF
Databse degli
specimen
SDI/SIS
Archivi nazionali ed
europei di polizia
Database dei documenti
smarriti o rubati
Gestore documentale
dell’ufficio di frontiera
SIF
External DBs
47. Verifica Impronte digitali del Permesso di Soggiorno Elettronico Italiano
- Regolamento (CE) 1030/2002, del passaporto e del nuovo permesso
di soggiorno 380/2008
SIF 2: Principali funzionalità biometriche
48. Verifica dei visti uniformi Schengen alla
frontiera (tipo C e A)
• Può essere effettuata dalle postazioni I-VIS o dalle
postazioni SIF per mezzo della cooperazione
applicativa con il sistema I-VIS
• È previsto il riscontro presso il CS-VIS del visto esibito
dal viaggiatore per mezzo del numero di visto (sticker
number) con possibilità di verifica delle impronte
acquisite al momento con quelle presenti nel sistema
centrale europeo
48
49. Perché varchi automatici?
Facilitare i viaggiatori mantenendo alti i livelli di
sicurezza
Fare uso più efficiente delle guardie di frontiera
49
50. (1)
(2/5)
(3)
(4)(6)
Processo di verifica (unico passo)
1. Lettura documenti (passaporto, permesso
di soggiorno, visti) sia dati anagrafici che
biometrici
2. Verifica autenticità, integrità del documento
3. Verifica eventuale presenza
nominativo/impronte in banche dati
nazionali e/o internazionali
4. Acquisizione caratteristiche biometriche
(volto e/o impronte)
5. Verifica identità con riconoscimento
biometrico
6. Verifiche opzionali (es. antispoofing,
presenza di una sola persona nel varco,
ecc.)
7. Apertura varco in caso di esito positivo
50
54. Aeroporto Francoforte – Progetto EasyPASS
statistiche
≈ 50000 passaporti presentati ai varchi
≈ 43000 utenti passati con successo attraverso
EasyPASS (86%)
14% tasso di rifiuto (ulteriori controlli manuali
necessari da parte delle guardie di frontiera)
5.5% rifiutati a causa del fallimento del
riconoscimento del volto (@FAR 0.1%)
8.5% rifiutati dal sistema a causa di altre ragioni
(es. comportamenti non corretti dell’utente,
verifica del documento fallita, corrispondenze
segnalate su banche dati nazionali/internazionali)
54
55. Aeroporto Francoforte – Progetto EasyPASS
≈ 18s tempo medio per passare il varco
5-6s per leggere e controllare i dati sul passaporto
5-6s necessari all’utente per entrare e posizionarsi
correttamente nel gate
1s per il confronto del volto
5-6s necessari all’utente per uscire dal gate
55
56. Accuratezza del riconoscimento biometrico nei
varchi automatici (Linee guida tecniche
FRONTEX)
Volto Impronta digitale
FAR=0.1% FRR≤5% FRR≤3%
56
57. Sistemi ABC nel mondo al 15 Aprile
2013
57
eMRTD Pre-registrazione Pre-registrazione/eMRTD
Registrazione necessaria per gli stranieri
http://www.iata.org/whatwedo/stb/maps/Pages/passenger-facilitation.aspx
58. Sistemi ABC in Europa
(situazione a marzo 2013)
eMRTD Pre-registrazione Pre-registrazione/eMRTD
Fine 2013: 288 varchi in 13 stati membri
58
59. Considerazioni su aspetti biometrici
SPOOFING
Rischio di attacchi di tipo spoofing con false credenziali
biometriche del volto (foto, video, maschere) o delle impronte
I controlli di vivezza antispoofing possono aumentare i tempi di
verifica (ad esempio controllo chiusura palpebre) o fornire falsi
rigetti che si aggiungono a quelli dell’algoritmo di matching
Per il riconoscimento del volto FRR elevati da 5% fino a 15-20% in
condizioni non controllate
si cerca di migliorare con acquisizioni 3D o acquisizioni multiple
con scelta della immagine migliore tramite misure di qualità
Per le impronte problemi di posizionamento corretto di contatto
Difficoltà di verificare le prestazioni delle soluzioni di spoofing
detection
59
62. Fingerprint spoofing: contromisure
62
Hw rilevazione di caratteristiche naturali:
odore, battito e pressione del sangue, temperatura,
resistenza elettrica
Misure 3D della superfice del dito fino a una
profondità di 1,5mm con “Optical Coherence
Tomography“ (OCT)
SW
Conteggio pori
traspirazione
distorsione pelle
63. Considerazioni su aspetti biometrici
qualità acquisizione
Per il riconoscimento del volto FRR elevati dovuti
principalmente a illuminazione e posizione volto
si cerca di migliorare con:
acquisizioni 3D (face on the fly)
acquisizioni multiple con scelta della immagine migliore tramite misure di
qualità
Per le impronte problemi di posizionamento corretto di
contatto, superficie sporca
Si cerca di migliorare con sensori contactless (finger on the fly)
63
65. FIDELITY: Finger on the fly
65
VANTAGGI
Usabilità;
Tempo di acquisizione in meno di un secondo mentre la mano
è in movimento;
Nessun problema con il dito asciutto o bagnato
impatto minimo su FTE a causa cattura senza contatto;
Non ci sono impronte latenti
Le impronte vengono
acquisite facendo
scorrere la mano sopra
il sensore
67. Casi d’uso dei dispositivi mobili: verifiche...
...alla frontiera
...sul territorio
a piedi
in auto
67
68. Soluzioni presenti sul mercato:
mobili/semi-mobili
Dispositivo “tutto in uno”
Smartphone con periferiche
integrate o dispositivi collegati
-------------------------------------------
tablet con periferiche integrate o
con dispositivi collegati
-------------------------------------------
Valigetta rinforzata con notebook,
lettore full page di documenti,
scanner di impronte e fotocamera
MOBILE
SEMI- MOBILE
69. dispositivi mobili per acquisizione
impronte certificati da FBI
Ad aprile 2013, 53 dispositivi mobili sono certificati dalla FBI/IAFIS
con livelli SAP/FAP da 10 a 45
la lista è disponibile nel sito
https://www.fbibiospecs.org/IAFIS/Default.aspx
SAP 10 SAP 20
SAP 30 SAP 45
70. Aspetti critici legati alla biometria
Dispositivi per l’acquisizione
Dispositivi di dimensioni contenute possono avere impatto
negativo sull’accuratezza
Disponibilità di sw (controllo qualità, algoritmi di matching,
compressione/decompressione) per il sistema operativo
mobile
Algoritmi di matching
Versioni “light”, processori meno potenti
Test non disponibili
Aspetti legati a fattori ambientali (es. sole, luminosità)
Conseguenze su
Prestazioni (FAR, FRR)
Interoperabilità
70
71. Alcune questioni aperte
qualità degli elementi biometrici acquisiti non
soddisfacente in tutti gli stati, da migliorare (nuovi
scanner, migliori procedure e controllo qualità)
statistiche sulla qualità non disponibili e metriche
non condivise
algoritmi per impronte minori
soluzioni antispoofing (specialmente per varchi
automatici) ancora con elevati errori
modalità di combinazione delle diverse biometrie
presenti ancora da definire (multibiometria)
problemi con le PKI di firma e di verifica
71
72. AGID (ex Cnipa/DigitPA)
Linee guida per qualità e interoperabilità dati
biometrici passaporto, permesso di
soggiorno e prossimo DDU
caratteristiche dei dispositivi di acquisizione
delle foto e delle impronte
caratteristiche del sw di controllo qualità delle
immagini del volto e delle impronte
caratteristiche del sw per il riconoscimento
del volto e delle impronte
procedure di acquisizione delle impronte
aspetti di sicurezza e privacy
Test dei dispositivi di acquisizione e del
software di verifica
In corso attività per:
Norme Tecniche sistemi biometrici
Registro dei laboratori di certificazione 72