2. CO JE TO BIOMETRIE?
Biometrie je automatická metoda autentizace (také
identifikace a autorizace) založená na rozpoznávání
jedinečných biologických charakteristik subjektu - živé
osoby. Metoda vychází z přesvědčení, že některé
biologické charakteristiky (morfologické, fyziologické)
jsou pro každého živého člověka jedinečné a
neměnitelné.
http://cs.wikipedia.org/wiki/Biometrie
6. BIOMETRII POUŽÍVÁ KAŽDÝ
Podle hlasu rozpoznáváme, s kým hovoříme po telefonu.
Lidi na ulici poznáváme (identifikujeme) přes obličeje,
siluety postav…
Otcovství (identita otce) se dá prokázat (autentizace) na
základě DNA.
Vyšetřovatelé snímají otisky prstů z místa činu a
usvědčují/identifikují pachatele.
Smlouvy potvrzujeme svým podpisem.
7. LEGISLATIVA
Biologické charakteristiky lze považovat za „citlivý
údaj“ ve smyslu čl. 8 Směrnice 95/46/ES, proto je
nutné biometrické údaje zpracovávat jako údaje
citlivé.
Osoba musí souhlasit se zpracováváním svého
biometrického údaje podle § 9, písm. a) zákona č.
101/2000 Sb., o ochraně osobních údajů a o změně
některých zákonů.
9. ZÁKLADNÍ POJMY
Identifikace je proces zjištění a stanovení
totožnosti subjektu.
Autentizace je proces ověření proklamované
identity subjektu.
Autorizace je proces získávání souhlasu s
provedením nějaké operace, povolení přístupu
někam, k někomu nebo něčemu.
10. PŘÍKLAD – ZŘÍZENÍ ÚČTU NA POBOČCE
Jdu do banky a chci si zřídit účet:
Identifikuji se svým jménem: “Jmenuji se Andrej
Probst”.
Autentifikuji se (svou totožnost prokážu, má totožnost
se ověří) svým občanským průkazem.
Svůj souhlas se zřízením účtu stvrdím svým podpisem.
(Autorizuji žádost o účet).
11. PŘÍKLAD – VÝBĚR HOTOVOSTI NA ATM
Jdu k bankomatu vybrat hotovost:
Identifikuji se svou platební kartou. Karta má své
unikátní číslo, které je přiřazené jedinému klientu a to
mně samému.
Autentizaci provedu PINem, který zadám na
bankomatu a který je provázaný s kartou.
Pak už si jen zvolím sumu a vyberu hotovost. V tomto
případě jednou zadaný PIN slouží i jako autorizace
požadavky na výběr hotovosti.
12. AUTENTIZAČNÍ FAKTORY
Něco, co vím
Heslo, PIN
Něco, co mám
Karta (platební karta, čipová karta s certifikátem)
Mobilní telefon
Klíčenka
Něco, co jsem
Biometrie
13. VÍCEFAKTOROVÁ AUTENTIZACE
Prolomit jeden faktor autentizace je jednodušší než
prolomit více faktorů.
Používat jen jeden faktor autentizace není
bezpečné.
Nejčastěji se používají dva faktory, něco co mám a
něco, co vím.
Biometrie se používá většinou jako druhý faktor k
něčemu, co mám nebo co vím.
15. PROCES BIOMETRICKÉ AUTENTIZACE
Pokud chceme jedince autentizovat, musíme jej
nejdříve zaregistrovat.
Při registraci se uchovají/zapíšou biometrické
charakteristiky (otisk, šablona, vzorek), které jsou
jedinečné pro každého jednotlivce.
Při autentizaci se porovnají biometrické
charakteristiky aktuálně nasnímané s uloženými
charakteristikami.
16. ZAJIŠTĚNÍ PODMÍNEK PŘI AUTENTIZACI
1. Biologické charakteristiky pocházejí od jedince,
který se právě autentizuje. Nesmí být podvržené
třetí osobou.
Spojení mezi místem autentizace a místem verifikace
musí být bezpečné.
2. Získané biologické charakteristiky při autentizaci
se musí shodovat s charakteristikami získanými
při registraci.
17. VÝHODY BIOMETRIKY PŘI AUTENTIZACI
Není potřeba si nic (heslo, PIN) pamatovat
Není potřeba mít sebou žádné dodatečné zařízení
(karta, čtečka)
Není možné přenést autentizaci na někoho druhého
Metodu autentizace máte stále sebou 24x7
Jde o těžko zfalšovatelnou autentizaci
Nemůžete poskytnout autentizační prostředky
někomu jinému. Heslo i kartu můžete půjčit
kamarádu. Biometriku ne.
18. NEVÝHODY BIOMETRIKY PŘI AUTENTIZACI
Když někdo ukradne něčí biologické charakteristiky,
není možné vytvořit charakteristiky nové. (Oči
máme dvě, prstů na rukách 10…). Jednou
ukradnuté charakteristiky jsou ukradnuty provždy.
Biometrika z nás dělá univerzální klíč. Heslo je
možné změnit. Kartu je možné vyměnit. Ale oči,
prsty a další biologické části těla nevyměníme. Z
bezpečnostního hlediska není bezpečné mít jeden
klíč od více zámků.
19. PROCES REGISTRACE
Získávají se biologické charakteristiky, z nich se
vytváří otisk.
Pro lepší kalibraci se snímá několik krát.
Na konci kalibrace probíhá zkušební rozpoznání.
K autentizaci je možné přidat další funkce.
Příklad: Máme 10 prstů. Když používáme otisky prstů,
je možné každému prstu/otisku přiradit dodatečnou
funkci. Na bankomatu by šlo například o rychlý výběr
hotovosti, dotaz na zůstatek a podobně.
Důležité je před samotnou registraci mít ověřenou
identitu osoby, které pořizujeme biologické
charakteristiky.
20. PROCES REGISTRACE - SCHÉMA
Nasnímané otisky se ukládají na server do
databáze.
Na serveru je uložená vazba mezi identitou osoby a
otiskem biologických charakteristik.
21. PROCES AUTENTIZACE
Před samotnou autentizací potřebujeme znát
identitu osoby. Osoba se může identifikovat pomocí
karty, identifikačního čísla, jména osoby, rodného
čísla, telefonního čísla…
Autentizace může probíhat buďto na čtečce
biometrických údajů nebo na serveru, kde jsou
otisky biometrických údajů uložené.
Prověřit je možné jen ty osoby, které jsou
registrované.
22. PROCES AUTENTIZACE – VARIANTA 1
Čtečka zašle identifikátor na server, který nalezne
otisk z DB a ten se porovná na čtečce s
nasnímaným otiskem.
Čtečka prověří/autentizuje osobu.
23. PROCES AUTENTIZACE – VARIANTA 2
Čtečka zašle identifikátor osoby i biometrický otisk
na server, který nalezne otisk z DB a porovná s
otiskem ze čtečky.
Server prověří/autentizuje osobu.
24. PROCES IDENTIFIKACE
Biometrické údaje je možné využít i pro samotnou
identifikaci, tedy získání identity osoby.
Potvrzení shody získaného otisku a otisku v DB je
1:N.
25. PROCES IDENTIFIKACE – VARIANTA 1
Čtečka získá a zašle biometrický otisk na server,
který porovná otisk se všemi otisky v DB a nalezne
shodu.
Server určí identitu osobu.
26. PROCES IDENTIFIKACE – VARIANTA 2
Čtečka má v sobě DB s otisky. Dokáže pak bez
integrace na server identifikovat osobu.
Čtečka určí identitu osobu.
Potřebné je zabezpečit, že se data/otisky na čtečce
nedostanou do nepovolaných rukou.
27. PROCES INTEGRACE
Může se stát, že několik nezávislých systému
začne používat tou samou biometrii. Abychom
nemuseli osoby registrovat do dvou systému, je
možné nezávislé systémy propojit přes integrační
prvek, jakousi proxy.
Pak je možné osobu autentizovat v systému, kde
se neregistrovala.
Důležité je, aby oba systémy pracovali s těmi
samými biologickými charakteristikami a
komunikace přes integrátor byla zabezpečená.
29. PŘESNOST BIOMETRIE
100 % přesnost
nedosáhneme
FAR – False acceptance
rate – akceptování
případů, které neměli být
akceptovány
FRR – False rejection rate
– zamítnutí případů, které
neměli být zamítnuté
30. REGISTRACE BIOMETRICKÝCH ÚDAJŮ
Při registraci se snímají biometrické údaje 3 krát
1. krát pro vytvoření otisku
2. krát pro opětovné vytvoření otisku a sladění s prvním
otiskem
3. krát pro zkušební autentizaci a prověření, že otisk je
správně vytvořen
31. PODVRH S NAHRÁVKOU
Aby se předešlo podvrhu s kopií biometrické
nahrávky, systém si pamatuje předešlé autentizace
a pokud objeví přesnou shodu s jednou z minulých
autentizací, autentizaci nepovolí.
33. KREVNÍ ŘEČIŠTĚ PRSTU (FINGER VEIN)
Čtečky krevního řečiště v prstu kontrolují, zda je
prst “živý”.
Existují kombinované čtečky, které dokážou získat
otisk prstu i vzorku krevního řečiště.
Tato metoda se hodně používá v Japonsku.
Každý prst může mít jinou funkci. Příklady na
bankomatu:
spuštění poplachu
rychlý výběr předdefinované sumy hotovosti
34. CHARAKTERISTIKA HLASU (VOICE PRINT)
Při získávaní otisku hlasu je potřebné dát pozor na
okolní ruchy, které jsou v každém prostředí jiné.
Proto se někdy provádí kalibrace, která se snaží
ruchy identifikovat a následně při autentizaci
eliminovat.
Rozpoznání osoby je možné různými způsoby:
Zopakováním určitých slov – automatické ověření
V průběhu konverzace – potřebný je člověk, který ověří
smysluplné reakce autentifikované osoby
35. VHODNOST POUŽITÍ DRUHŮ BIOMETRIE
Aktivita Otisk prstu
Krevní řečiště
v prstu
Hlas
Dynamický
podpis
Přímá identifikace a
autentizace
(Osobně na pobočce)
Ano Ano Ne Ano
Vzdálená identifikace a
autentizace
(Přes webový prohlížeč)
Ne Ne Ano Ne
Přímá autorizace
(Osobně na pobočce) Ano Ano Ne Ano
Vzdálená autorizace
(Přes webový prohlížeč) Ne Ne Ano Ne
Fyzický vstup
(Do budovy, místnosti) Ano Ano Ne Ne
36. POROVNÁNÍ DRUHŮ BIOMETRIE
Biometrie Bezpečnost Přesnost Náklady Rychlost
Velikost
čtečky
Krevní
řečiště prstu Vysoká Vysoká
Nízké až
střední
Vysoká
Malá až
střední
Krevní
řečiště dlaně
Střední až
vysoká
Střední až
vysoká
Nízké až
střední
Střední
Malá až
střední
Otisk prstu Střední Střední Nízké Střední Malá
Črty obličeje Nízká Nízká Střední Střední Velká
Oční
duhovka Vysoká Vysoká
Střední až
vysoké
Střední Velká
38. CESTOVNÍ PAS
Podle nařízení Rady EU č. 2252/2004 o normách
pro bezpečnostní a biometrické prvky v cestovních
pasech a cestovních dokladech vydávaných
členskými státy jsou všechny členské státy EU
povinny zavést první biometrické prvky (obličej) do
nově vydávaných cestovních dokladů do konce
srpna 2006 a další biometrické prvky (otisky prstů)
do konce února 2008. Tyto biometrické
charakteristiky budou používány pro ověřování
autenticity pasů a víz a také pro ověřování identity
držitele pasu.
39. PODEPISOVÁNÍ SMLUV V GE MONEY
Použití elektronického podepisování smluv s technologií
SignPad od léta 2009 v rámci pilotu
Snímá se podpis samotný plus způsob podepisování (velikosti
podpisu, čas, dynamika nebo tlak ruky při podepisování)
Cílem bylo zvýšení spolehlivosti srovnávání pravosti podpisu
s elektronickým vzorem.
Začátek v Tesco a Sconto.
V roce 2014 se SignPady (Xyzmo) zavedou na všech 258
pobočkách banky.
Podepsané dokumenty budou přístupné v elektronickém
bankovnictví.
Digitalizace usnadňuje vytváření fyzických duplikátů
dokumentů. O duplikáty smluv kvůli ztrátě žádá každý sedmý
klient.
K listopadu 2014 elektronicky podepsalo přes 15 tisíc klientů
zhruba 190 tisíc dokumentů.
http://finparada.cz/1806-Banka-bez-papirovych-smluv.aspx
40. PODEPISOVÁNÍ SMLUV V AIR BANK
Použití elektronického podepisování smluv s
technologií SignPad na pobočkách banky od svého
vzniku v listopadu 2011.
Na pobočce je možné podepsat smlouvy, dodatky
nebo další dokumenty pomocí zařízení SignPad.
41. PODEPISOVÁNÍ SMLUV V TATRA BANCE
Použití elektronického podepisování smluv s
technologií SignPad (Xyzmo) na pobočkách banky
od roku 2011.
Tatra banka zavedla digitalizovaný podpis na
Slovensku jako první.
Implementoval PosAm (Riešenie PosAm bSign).
Podpisový tablet Wacom.
http://www.posam.sk/wp-content/uploads/2013/01/Softver-SS-PosAm-bSign-
SS_TB.pdf
42. PODEPSÁNÍ ÚVĚROVÉ SMLOUVY V CETELEM
Použití dynamického biometrického podpisu pro
podepisování úvěrových smluv kdekoliv v
prodejně
Smlouva je elektronická, podepisuje se na
speciálním tabletu
Řešení eSign implementovala firma Anasoft
Spuštěno v roce 2013
https://www.cetelem.sk/o-spolocnosti/tlacove-centrum/tlacove-
spravy/2013/podpisanie-uverovej-zmluvy-na-tablete/
43. HLASOVÁ BIOMETRIE V TATRA BANCE
Tatra banka ověřuje klienty na Call centru pomocí
jejich hlasu. Klient si nemusí pamatovat žádné
hesla ani kódy.
Spuštěno v létě 2013
http://www.inovacietb.sk/inovacie/hlasova-biometriatb/
44. PODEPISOVÁNÍ SMLUV V O2
Použití dynamického biometrického podpisu pro
podepisování smluv s mobilním operátorem
Telefonika O2
Smlouva je elektronická, podepisuje se na
speciálním tabletu
Snímá se podpis samotný plus způsob
podepisování
Spuštěno v závěru roku 2013
http://www.lupa.cz/clanky/telefonica-prechazi-na-ciste-elektronicke-smlouvy-
zvladnou-to-ale-i-jeji-zakaznici/
45. PODEPISOVÁNÍ SMLUV V RAIFFEISEN
STAVEBNÍ SPOŘITELNĚ
Použití dynamického biometrického podpisu pro
podepisování žádostí o úvěr prostřednictvím
SignPadu
Pilotní projekt spuštěn v druhé polovici roku 2013
http://www.finparada.cz/1865-Rychlejsi-schvalovani-zadosti-o-uvery-diky-
biometrickemu-podpisu.aspx
46. PODEPISOVÁNÍ SMLUV V POJIŠŤOVNĚ ČESKÉ
SPOŘITELNY
Použití dynamického biometrického podpisu pro
podepisování smluv životního pojištění
prostřednictvím SignPadu
Pilot začal v červenci 2014
Podepsané dokumenty uloženy a zpřístupněny
klientům prostřednictvím linku a kontrolního SMS
kódu
http://www.investujeme.cz/pojistovna-ceske-sporitelny-umi-sjednat-zivotni-pojisteni-
s-digitalnim-podpisem/
47. PODEPISOVÁNÍ SMLUV V ČSOB POJIŠŤOVNĚ
Použití dynamického biometrického podpisu pro
podepisování smluv prostřednictvím SignPadu
Smlouvy odesílány na email klienta
Pilot začal na podzim 2014
http://www.mesec.cz/aktuality/csob-pojistovna-uzavira-smlouvy-elektronicky-s-
biometrickym-podpisem/