Základní přehled o biometrii v praxi a její využítí pro identifikaci, autentizaci a autorizaci osob.

1. BIOMETRIE V PRAXI
BÝT SÁM SOBĚ KLÍČEM
Andrej Probst
v1.3

2. CO JE TO BIOMETRIE?
 Biometrie je automatická metoda autentizace (také
identifikace a autorizace) založená na rozpoznávání
jedinečných biologických charakteristik subjektu - živé
osoby. Metoda vychází z přesvědčení, že některé
biologické charakteristiky (morfologické, fyziologické)
jsou pro každého živého člověka jedinečné a
neměnitelné.
http://cs.wikipedia.org/wiki/Biometrie

3. PŘÍKLADY BIOLOGICKÝCH CHARAKTERISTIK
 Otisky prstů (finger print, papil)
 Dynamický podpis (dynamic signature)
 Charakteristika hlasu (voice print)
 Krevní řečiště prstu (finger vein)
 Krevní řečiště v dlani (palm vein)
 Oční duhovka (iris)
 Obličej (face recognition)
 DNA
 …

4. BIOLOGICKÉ CHARAKTERISTIKY

5. PŘÍKLADY ČTECÍCH ZAŘÍZENÍ

6. BIOMETRII POUŽÍVÁ KAŽDÝ
 Podle hlasu rozpoznáváme, s kým hovoříme po telefonu.
 Lidi na ulici poznáváme (identifikujeme) přes obličeje,
siluety postav…
 Otcovství (identita otce) se dá prokázat (autentizace) na
základě DNA.
 Vyšetřovatelé snímají otisky prstů z místa činu a
usvědčují/identifikují pachatele.
 Smlouvy potvrzujeme svým podpisem.

7. LEGISLATIVA
 Biologické charakteristiky lze považovat za „citlivý
údaj“ ve smyslu čl. 8 Směrnice 95/46/ES, proto je
nutné biometrické údaje zpracovávat jako údaje
citlivé.
 Osoba musí souhlasit se zpracováváním svého
biometrického údaje podle § 9, písm. a) zákona č.
101/2000 Sb., o ochraně osobních údajů a o změně
některých zákonů.

8. IDENTIFIKACE, AUTENTIZACE,
AUTORIZACE

9. ZÁKLADNÍ POJMY
 Identifikace je proces zjištění a stanovení
totožnosti subjektu.
 Autentizace je proces ověření proklamované
identity subjektu.
 Autorizace je proces získávání souhlasu s
provedením nějaké operace, povolení přístupu
někam, k někomu nebo něčemu.

10. PŘÍKLAD – ZŘÍZENÍ ÚČTU NA POBOČCE
 Jdu do banky a chci si zřídit účet:
 Identifikuji se svým jménem: “Jmenuji se Andrej
Probst”.
 Autentifikuji se (svou totožnost prokážu, má totožnost
se ověří) svým občanským průkazem.
 Svůj souhlas se zřízením účtu stvrdím svým podpisem.
(Autorizuji žádost o účet).

11. PŘÍKLAD – VÝBĚR HOTOVOSTI NA ATM
 Jdu k bankomatu vybrat hotovost:
 Identifikuji se svou platební kartou. Karta má své
unikátní číslo, které je přiřazené jedinému klientu a to
mně samému.
 Autentizaci provedu PINem, který zadám na
bankomatu a který je provázaný s kartou.
 Pak už si jen zvolím sumu a vyberu hotovost. V tomto
případě jednou zadaný PIN slouží i jako autorizace
požadavky na výběr hotovosti.

12. AUTENTIZAČNÍ FAKTORY
 Něco, co vím
 Heslo, PIN
 Něco, co mám
 Karta (platební karta, čipová karta s certifikátem)
 Mobilní telefon
 Klíčenka
 Něco, co jsem
Biometrie

13. VÍCEFAKTOROVÁ AUTENTIZACE
 Prolomit jeden faktor autentizace je jednodušší než
prolomit více faktorů.
 Používat jen jeden faktor autentizace není
bezpečné.
 Nejčastěji se používají dva faktory, něco co mám a
něco, co vím.
 Biometrie se používá většinou jako druhý faktor k
něčemu, co mám nebo co vím.

14. BIOMETRIE JAKO FAKTOR
AUTENTIZACE

15. PROCES BIOMETRICKÉ AUTENTIZACE
 Pokud chceme jedince autentizovat, musíme jej
nejdříve zaregistrovat.
 Při registraci se uchovají/zapíšou biometrické
charakteristiky (otisk, šablona, vzorek), které jsou
jedinečné pro každého jednotlivce.
 Při autentizaci se porovnají biometrické
charakteristiky aktuálně nasnímané s uloženými
charakteristikami.

16. ZAJIŠTĚNÍ PODMÍNEK PŘI AUTENTIZACI
1. Biologické charakteristiky pocházejí od jedince,
který se právě autentizuje. Nesmí být podvržené
třetí osobou.
 Spojení mezi místem autentizace a místem verifikace
musí být bezpečné.
2. Získané biologické charakteristiky při autentizaci
se musí shodovat s charakteristikami získanými
při registraci.

17. VÝHODY BIOMETRIKY PŘI AUTENTIZACI
 Není potřeba si nic (heslo, PIN) pamatovat
 Není potřeba mít sebou žádné dodatečné zařízení
(karta, čtečka)
 Není možné přenést autentizaci na někoho druhého
 Metodu autentizace máte stále sebou 24x7
 Jde o těžko zfalšovatelnou autentizaci
 Nemůžete poskytnout autentizační prostředky
někomu jinému. Heslo i kartu můžete půjčit
kamarádu. Biometriku ne.

18. NEVÝHODY BIOMETRIKY PŘI AUTENTIZACI
 Když někdo ukradne něčí biologické charakteristiky,
není možné vytvořit charakteristiky nové. (Oči
máme dvě, prstů na rukách 10…). Jednou
ukradnuté charakteristiky jsou ukradnuty provždy.
 Biometrika z nás dělá univerzální klíč. Heslo je
možné změnit. Kartu je možné vyměnit. Ale oči,
prsty a další biologické části těla nevyměníme. Z
bezpečnostního hlediska není bezpečné mít jeden
klíč od více zámků.

19. PROCES REGISTRACE
 Získávají se biologické charakteristiky, z nich se
vytváří otisk.
 Pro lepší kalibraci se snímá několik krát.
 Na konci kalibrace probíhá zkušební rozpoznání.
 K autentizaci je možné přidat další funkce.
 Příklad: Máme 10 prstů. Když používáme otisky prstů,
je možné každému prstu/otisku přiradit dodatečnou
funkci. Na bankomatu by šlo například o rychlý výběr
hotovosti, dotaz na zůstatek a podobně.
 Důležité je před samotnou registraci mít ověřenou
identitu osoby, které pořizujeme biologické
charakteristiky.

20. PROCES REGISTRACE - SCHÉMA
 Nasnímané otisky se ukládají na server do
databáze.
 Na serveru je uložená vazba mezi identitou osoby a
otiskem biologických charakteristik.

21. PROCES AUTENTIZACE
 Před samotnou autentizací potřebujeme znát
identitu osoby. Osoba se může identifikovat pomocí
karty, identifikačního čísla, jména osoby, rodného
čísla, telefonního čísla…
 Autentizace může probíhat buďto na čtečce
biometrických údajů nebo na serveru, kde jsou
otisky biometrických údajů uložené.
 Prověřit je možné jen ty osoby, které jsou
registrované.

22. PROCES AUTENTIZACE – VARIANTA 1
 Čtečka zašle identifikátor na server, který nalezne
otisk z DB a ten se porovná na čtečce s
nasnímaným otiskem.
 Čtečka prověří/autentizuje osobu.

23. PROCES AUTENTIZACE – VARIANTA 2
 Čtečka zašle identifikátor osoby i biometrický otisk
na server, který nalezne otisk z DB a porovná s
otiskem ze čtečky.
 Server prověří/autentizuje osobu.

24. PROCES IDENTIFIKACE
 Biometrické údaje je možné využít i pro samotnou
identifikaci, tedy získání identity osoby.
 Potvrzení shody získaného otisku a otisku v DB je
1:N.

25. PROCES IDENTIFIKACE – VARIANTA 1
 Čtečka získá a zašle biometrický otisk na server,
který porovná otisk se všemi otisky v DB a nalezne
shodu.
 Server určí identitu osobu.

26. PROCES IDENTIFIKACE – VARIANTA 2
 Čtečka má v sobě DB s otisky. Dokáže pak bez
integrace na server identifikovat osobu.
 Čtečka určí identitu osobu.
 Potřebné je zabezpečit, že se data/otisky na čtečce
nedostanou do nepovolaných rukou.

27. PROCES INTEGRACE
 Může se stát, že několik nezávislých systému
začne používat tou samou biometrii. Abychom
nemuseli osoby registrovat do dvou systému, je
možné nezávislé systémy propojit přes integrační
prvek, jakousi proxy.
 Pak je možné osobu autentizovat v systému, kde
se neregistrovala.
 Důležité je, aby oba systémy pracovali s těmi
samými biologickými charakteristikami a
komunikace přes integrátor byla zabezpečená.

28. PROCES INTEGRACE - SCHÉMA

29. PŘESNOST BIOMETRIE
 100 % přesnost
nedosáhneme
 FAR – False acceptance
rate – akceptování
případů, které neměli být
akceptovány
 FRR – False rejection rate
– zamítnutí případů, které
neměli být zamítnuté

30. REGISTRACE BIOMETRICKÝCH ÚDAJŮ
 Při registraci se snímají biometrické údaje 3 krát
 1. krát pro vytvoření otisku
 2. krát pro opětovné vytvoření otisku a sladění s prvním
otiskem
 3. krát pro zkušební autentizaci a prověření, že otisk je
správně vytvořen

31. PODVRH S NAHRÁVKOU
 Aby se předešlo podvrhu s kopií biometrické
nahrávky, systém si pamatuje předešlé autentizace
a pokud objeví přesnou shodu s jednou z minulých
autentizací, autentizaci nepovolí.

32. RŮZNÉ DRUHY BIOMETRIE

33. KREVNÍ ŘEČIŠTĚ PRSTU (FINGER VEIN)
 Čtečky krevního řečiště v prstu kontrolují, zda je
prst “živý”.
 Existují kombinované čtečky, které dokážou získat
otisk prstu i vzorku krevního řečiště.
 Tato metoda se hodně používá v Japonsku.
 Každý prst může mít jinou funkci. Příklady na
bankomatu:
 spuštění poplachu
 rychlý výběr předdefinované sumy hotovosti

34. CHARAKTERISTIKA HLASU (VOICE PRINT)
 Při získávaní otisku hlasu je potřebné dát pozor na
okolní ruchy, které jsou v každém prostředí jiné.
Proto se někdy provádí kalibrace, která se snaží
ruchy identifikovat a následně při autentizaci
eliminovat.
 Rozpoznání osoby je možné různými způsoby:
 Zopakováním určitých slov – automatické ověření
 V průběhu konverzace – potřebný je člověk, který ověří
smysluplné reakce autentifikované osoby

35. VHODNOST POUŽITÍ DRUHŮ BIOMETRIE
Aktivita Otisk prstu
Krevní řečiště
v prstu
Hlas
Dynamický
podpis
Přímá identifikace a
autentizace
(Osobně na pobočce)
Ano Ano Ne Ano
Vzdálená identifikace a
autentizace
(Přes webový prohlížeč)
Ne Ne Ano Ne
Přímá autorizace
(Osobně na pobočce) Ano Ano Ne Ano
Vzdálená autorizace
(Přes webový prohlížeč) Ne Ne Ano Ne
Fyzický vstup
(Do budovy, místnosti) Ano Ano Ne Ne

36. POROVNÁNÍ DRUHŮ BIOMETRIE
Biometrie Bezpečnost Přesnost Náklady Rychlost
Velikost
čtečky
Krevní
řečiště prstu Vysoká Vysoká
Nízké až
střední
Vysoká
Malá až
střední
Krevní
řečiště dlaně
Střední až
vysoká
Střední až
vysoká
Nízké až
střední
Střední
Malá až
střední
Otisk prstu Střední Střední Nízké Střední Malá
Črty obličeje Nízká Nízká Střední Střední Velká
Oční
duhovka Vysoká Vysoká
Střední až
vysoké
Střední Velká

37. BIOMETRIE V ČESKÉ A SLOVENSKÉ
REPUBLICE

38. CESTOVNÍ PAS
 Podle nařízení Rady EU č. 2252/2004 o normách
pro bezpečnostní a biometrické prvky v cestovních
pasech a cestovních dokladech vydávaných
členskými státy jsou všechny členské státy EU
povinny zavést první biometrické prvky (obličej) do
nově vydávaných cestovních dokladů do konce
srpna 2006 a další biometrické prvky (otisky prstů)
do konce února 2008. Tyto biometrické
charakteristiky budou používány pro ověřování
autenticity pasů a víz a také pro ověřování identity
držitele pasu.

39. PODEPISOVÁNÍ SMLUV V GE MONEY
 Použití elektronického podepisování smluv s technologií
SignPad od léta 2009 v rámci pilotu
 Snímá se podpis samotný plus způsob podepisování (velikosti
podpisu, čas, dynamika nebo tlak ruky při podepisování)
 Cílem bylo zvýšení spolehlivosti srovnávání pravosti podpisu
s elektronickým vzorem.
 Začátek v Tesco a Sconto.
 V roce 2014 se SignPady (Xyzmo) zavedou na všech 258
pobočkách banky.
 Podepsané dokumenty budou přístupné v elektronickém
bankovnictví.
 Digitalizace usnadňuje vytváření fyzických duplikátů
dokumentů. O duplikáty smluv kvůli ztrátě žádá každý sedmý
klient.
 K listopadu 2014 elektronicky podepsalo přes 15 tisíc klientů
zhruba 190 tisíc dokumentů.
http://finparada.cz/1806-Banka-bez-papirovych-smluv.aspx

40. PODEPISOVÁNÍ SMLUV V AIR BANK
 Použití elektronického podepisování smluv s
technologií SignPad na pobočkách banky od svého
vzniku v listopadu 2011.
 Na pobočce je možné podepsat smlouvy, dodatky
nebo další dokumenty pomocí zařízení SignPad.

41. PODEPISOVÁNÍ SMLUV V TATRA BANCE
 Použití elektronického podepisování smluv s
technologií SignPad (Xyzmo) na pobočkách banky
od roku 2011.
 Tatra banka zavedla digitalizovaný podpis na
Slovensku jako první.
 Implementoval PosAm (Riešenie PosAm bSign).
 Podpisový tablet Wacom.
http://www.posam.sk/wp-content/uploads/2013/01/Softver-SS-PosAm-bSign-
SS_TB.pdf

42. PODEPSÁNÍ ÚVĚROVÉ SMLOUVY V CETELEM
 Použití dynamického biometrického podpisu pro
podepisování úvěrových smluv kdekoliv v
prodejně
 Smlouva je elektronická, podepisuje se na
speciálním tabletu
 Řešení eSign implementovala firma Anasoft
 Spuštěno v roce 2013
https://www.cetelem.sk/o-spolocnosti/tlacove-centrum/tlacove-
spravy/2013/podpisanie-uverovej-zmluvy-na-tablete/

43. HLASOVÁ BIOMETRIE V TATRA BANCE
 Tatra banka ověřuje klienty na Call centru pomocí
jejich hlasu. Klient si nemusí pamatovat žádné
hesla ani kódy.
 Spuštěno v létě 2013
http://www.inovacietb.sk/inovacie/hlasova-biometriatb/

44. PODEPISOVÁNÍ SMLUV V O2
 Použití dynamického biometrického podpisu pro
podepisování smluv s mobilním operátorem
Telefonika O2
 Smlouva je elektronická, podepisuje se na
speciálním tabletu
 Snímá se podpis samotný plus způsob
podepisování
 Spuštěno v závěru roku 2013
http://www.lupa.cz/clanky/telefonica-prechazi-na-ciste-elektronicke-smlouvy-
zvladnou-to-ale-i-jeji-zakaznici/

45. PODEPISOVÁNÍ SMLUV V RAIFFEISEN
STAVEBNÍ SPOŘITELNĚ
 Použití dynamického biometrického podpisu pro
podepisování žádostí o úvěr prostřednictvím
SignPadu
 Pilotní projekt spuštěn v druhé polovici roku 2013
http://www.finparada.cz/1865-Rychlejsi-schvalovani-zadosti-o-uvery-diky-
biometrickemu-podpisu.aspx

46. PODEPISOVÁNÍ SMLUV V POJIŠŤOVNĚ ČESKÉ
SPOŘITELNY
 Použití dynamického biometrického podpisu pro
podepisování smluv životního pojištění
prostřednictvím SignPadu
 Pilot začal v červenci 2014
 Podepsané dokumenty uloženy a zpřístupněny
klientům prostřednictvím linku a kontrolního SMS
kódu
http://www.investujeme.cz/pojistovna-ceske-sporitelny-umi-sjednat-zivotni-pojisteni-
s-digitalnim-podpisem/

47. PODEPISOVÁNÍ SMLUV V ČSOB POJIŠŤOVNĚ
 Použití dynamického biometrického podpisu pro
podepisování smluv prostřednictvím SignPadu
 Smlouvy odesílány na email klienta
 Pilot začal na podzim 2014
http://www.mesec.cz/aktuality/csob-pojistovna-uzavira-smlouvy-elektronicky-s-
biometrickym-podpisem/

48. IT ŘEŠENÍ
 Otisk prstu
 http://www.morpho.com – Morpho
 http://www.ekey.net – ekey
 http://www.supremainc.com – Suprema
 Dynamický podpis
 http://www.xyzmo.com – Xyzmo
 http://www.softpro.de – Softpro
 Hlas
 http://www.nuance.com – Nuance
 Krevní řečiště prstů
 http://www.hitachi.co.jp – Hitachi
 http://www.morpho.com – Morpho
 Krevní řečiště dlaně
 http://www.fujitsu.com - Fujitsu

49. CO DÁL STUDOVAT
 http://www.bromba.com/faq/biofaqe.htm

50. DĚKUJI ZA POZORNOST
 Twitter
@andrejprobst
 Email:
andrej_probst@hotmail.com
 Web:
www.webmasters.sk
 LinkedIn:
linkedin.com/andrejprobst
 Prezentace:
www.slideshare.net/andrej_probst