JIŽ VÍCE JAK 5 LET ŽIJEME S

BIOMETRICKÝMI DOKLADY,

UMÍME JICH VYUŽÍT?

Petr Vyleťal 19.5.2011

ÚVOD DO HISTORIE VYDÁVÁNÍ BIOMETRICKÝCH

DOKLADŮ

Biometrické doklady ve formě cestovních pasů (ePasů) jsou

vydávány od roku 2005, kdy první zemí, které je zavedlo bylo

Německo.

Česká republika vydává ePasy:

od 1.9.2006 – první generace s biometrickou fotografií;

od 1.4.2009 – druhá generace s otisky prstu.

K dnešnímu dni více jak 70 zemí vydává svým občanům

biometrické cestovní pasy nebo jiné biometrické doklady.

Navazujícím krokem je vydávání národních občanských průkazů

a elektronických povolení k pobytu:

u národních občanských průkazů není aplikování biometrie povinné;

na úrovni EU jsou aktuálně aplikovány ePKP s oběma biometrickými

prvky;

v přípravném procesu je i Evropská karta (Evropský občanský průkaz).

2

JAKÉ JSOU PŘÍNOSY A HROZBY?

Jsou vydávány

osobní/cestovní doklady s

maximální možnou mírou

zabezpečení.

Ve stádiu implementace

jsou sofistikované

verifikační mechanismy.

Definovány standardy a

doporučení pro provádění

inspekčních procedur

biometrických dokladů

(EU, ICAO, FRONTEX,

ISO....).

Existující mezinárodní

infrastruktura pro výměnu

certifikátů a klíčů (SPOC,

ICAO PKD).

3

V některých případech se

opomíjí skutečnost, že

stále jsou v platnosti i ne-

biometrické

cestovní/osobní doklady.

Přes existující

doporučení není k

inspekčním procedurám

přistupováno jednotně.

Využití biometrických

prvků a vlastních dat v

čipu ePasu se omezuje

zejména na biometrickou

fotografii.

VERIFIKACE DOKLADU A IDENTITY JEHO DRŽITELE

Analýza / verifikace cestovního dokladu:

ověřením aplikovaných (přítomných) optických bezpečnostních prvků;

ověřením elektronického zabezpečení a dat provedením definovaných

bezpečnostních procedur při komunikaci s čipem dokladu.

Ověření identity držitele dokladu:

identifikací osoby na základě biometrického porovnání obrazu obličeje

metodou 1:1 (aktuálně sejmutá podoba vůči biometrické fotografii

uložené v čipu biometrického dokladu);

identifikací prostřednictvím otisku prstu uloženého v čipu dokladu a

aktuálně sejmutého otisku prstu osoby opět metodou 1:1;

v případě víza lze aplikovat i kombinované ověření otisků prstu 1:1,

kde vízový štítek je referencí na otisky uložené v databázi, nebo

metodou 1:n na úrovni systémů AFIS;

osobní údaje držitele a data uvedené na dokladu jsou verifikovány

rovněž prostřednictvím dotazu do IS státní správy konkrétní země

(CIS, SIS…).

4

5

Optická

kontrolaElektronická

kontrola

Ověření

biometrie

Policejní

kontrola

Optická

kontrolaElektronická

kontrola

Ověření

biometrie

Policejní

kontrola

Optická

kontrolaElektronická

kontrola

Ověření

biometrie

Policejní

kontrola

Optická

kontrolaElektronická

kontrola

Ověření

biometrie

Policejní

kontrola

Optická

kontrolaElektronická

kontrola

Ověření

biometrie

Policejní

kontrola

MOŽNOSTI OVĚŘENÍ DOKLADU A IDENTITY JEHO

DRŽITELE PODLE JEHO TYPU

„staré“ pasy a OP

ePas

Víza

eID s biometrií

ePKP

OPTICKÁ KONTROLA DOKLADU

Ověřit pravost dokladu z pohledu korektnosti optických

bezpečnostních prvků lze pomocí algoritmů realizujících analýzu

skenu datové stránky na těchto úrovních:

Visual – kontrola přítomnosti prvků viditelných v normálním spektru;

IR - kontrola přítomnosti prvků viditelných v infra-červeném spektru;

UV - kontrola přítomnosti prvků viditelných v ultrafialovém spektru;

MRZ – kontrola dat uvedených v MRZ jako je např. expirace doby

platnosti dokumentu nebo chyba v kontrolních číslech a součtech -

součástí je i ověření fontu, kterým je MRZ vytištěna na kontrolovaném

CD;

Platnost – kontrola doby platnosti dokumentu.

Seal / Tamper – kontrola aplikovaných prvků na bezpečnostní fólii;

B900 – kontrola inkoustu MRZ.

6

OPTICKÁ KONTROLA DOKLADU

(NORMAL)

7

OPTICKÁ KONTROLA DOKLADU

(IR)

8

OPTICKÁ KONTROLA DOKLADU

(UV)

9

OVĚŘENÍ ELEKTRONICKÉ ČÁSTI DOKLADU

Ověření pravosti a autenticity dat v čipu elektronického dokladu je

sadou několika normativně standardizovaných kroků kroků:

BAC – Basic Access Control

PA – Pasivní Autentizace

AA – Aktivní Autentizace (jeli aplikována)

CA – Čipová Autentizace (jeli aplikována)

TA – Terminálová Autentizace – ověření terminálu pro přístup k otiskům prstu

TA

TERMINÁLOVÁ

AUTENTIZACE

CA

ČIPOVÁ

AUTENTIZACE

AA

AKTIVNÍ

AUTENTIZACE

PA

PASIVNÍ

AUTENTIZACE

ZOBRAZENÍ

DAT

BAC

BASIC ACCESS

CONTROL

10

JAKÁ JE AKTUÁLNÍ PRAKTICKÁ ZKUŠENOST?

Procesy komplexní ověření pravosti cestovního dokladu jsou

realizovány již od roku 2006 – systémy zavedeny ve většině zemí

EU (i mimo) včetně České republiky;

V případě analýzy optické části dokladu jsou identifikována jistá

omezení;

Při analýze elektronické části dokladu lze dosáhnout téměř 100%

jistoty, že informace o výsledné kontrole je validní.

Vždy je nutné brát v úvahu, že stále existují doklady bez čipu s

biometrickými prvky:

11

Biometrické doklady

39%Doklady bez

biometrie61%

OVĚŘENÍ OPTICKÝCH BEZPEČNOSTNÍCH PRVKŮ

Při analýze optických bezpečnostních prvků je důležitým

parametrem míra identifikovaných upozornění (alertů) na možnou

detekci falešného (falsa) dokladu vůči celkovému počtu

provedených inspekčních procedur:

12

OVĚŘENÍ OPTICKÝCH BEZPEČNOSTNÍCH PRVKŮ

Po analýze oprávněnosti realizovaného alertu je kalkulována míra

zjištění, které ukazují na problematický cestovní doklad:

13

OVĚŘENÍ OPTICKÝCH BEZPEČNOSTNÍCH PRVKŮ

Nejčastěji zjištěné typy alertů při elektronickém ověření optických

bezpečnostních prvků dokladu:

nekorektně vyčtená MRZ – dezinterpretace znaků z MRZ do

znakového řetězce (např. 3 x 8, B x 8 apod…);

kontrolovaný doklad není v ideálním stavu – znečistěná, zamaštěná

datová stránka, stárnutí materiálu;

častým případem je identifikace stavu, kdy doklad je po platnosti, ale

současně je jeho platnost prodloužena na jiné stránce např. vlepením

štítku (cestovní doklady Izraele).

14

OVĚŘENÍ ELEKTRONICKÉ ČÁSTI DOKLADU

Ve srovnáním s optickou kontrolou dokladu, jsou realizovány

normativně popsané procedury s jednoznačně definovanými

výsledky (ICAO, ISO 7816, BSI, ISO 14443);

Předpoklady pro korektní provedení:

vyčtení MRZ a správná interpretace OCR znaků do datového řetězce;

stabilní komunikace mezi čipem dokladu a čtecím zařízení;

dostupnost certifikátů vydavatele a výrobce dokladu (CSCA, DSCA,

CRL…) z důvěryhodného zdroje;

15

SYSTÉM EasyPASS – FRANKFURT NAD MOHANEM

V období od 08/2009 do 09/2010 systém odbavil ≈ 50 000

cestujících;

Identifikovaná míra alertů:

oCheck: Reject rate ≈ 2,5%;

eCheck: Pouze jednotky alertů (3 alerty během 6ti měsíců);

Biometrie: ≈ 5,5% FRR @ 0,1% FAR;

≈ 18 sec. je průměrný čas odbavení jednoho cestujícího

podobné parametry vykazují i jiné systémy v Evropě (Londýn,

Lisabon, Helsinky, Manchester)

16

OBECNÉ PŘEDPOKLADY PRO ÚSPĚŠNOU APLIKACI

PROCESU KONTROLY DOKLADU

Ověření elektronické části:

Dostupné certifikáty na úrovni Is (čtecích zařízení): CS certifikát národní certifikační autority NCA (CSCA);

DS certifikát, který vydává CSCA výrobci dokladů (v ČR STC), který jím

podepisuje data uložená v čipu;

CRL – Certificate Revocation List – seznam zneplatněných certifikátů.

Výměna certifikátů mezi státy: Příjemce musí ověřit důvěryhodnost dodaného certifikátu;

Celosvětově uznávané důvěryhodné úložiště ICAO Public Key Directory;

Na národní úrovni realizováno komponentou NIMS.

Ověření optické části:

existující databáze optických bezpečnostních prvků z

důvěryhodného zdroje;

pravidelný update v souladu s vydáváním nových typů cestovních

dokladů;

kvalitní snímací zařízení a algoritmus pro analýzu datové stránky

dokladu. 17

VYUŽITÍ TĚCHTO PROCEDUR MIMO BEZPEČNOSTNÍ

SLOŽKY

Popsané verifikační procedury lze aplikovat i v jiných scénářích

užití:

banky – procesy, které souvisí s ověřením identity klienta a pravosti

jeho osobního dokladu;

telefonní operátoři – ověření klienta při uzavření smlouvy;

hotely – podle zákona o pobytu cizinců mají hotely povinnost hlásit

pobyt cizinců na území ČR;

autopůjčovny – ověření pravosti osobního dokladu a řidičského

průkazu.

Možným omezením je aplikace zákona č. 101/2000 Sb. ve znění

pozdějších předpisů – ochrana osobních údajů a výměna

vybraných dat uživatelů se státními institucemi.

18

Policie Airlines

Letiště

HOMELANDSECURITY

Přístavy

Pozemní hraniční

přechody

Železnice

APLIKACE V PRAXI - KLÍČOVÉ SUBJEKTY

APLIKACE V PRAXI - KLÍČOVÉ SUBJEKTY

EU

EU

Web Check In Check In Baggage Drop-off

KontrolaBoarding

Pass

Border

Control

EU

Entry/Exit

Nástup do

letadla

Hraniční kontrola

RTP

STP

Bio Boarding

Entry/Exit

APLIKACE V PRAXI – ODBAVENÍ NA LETIŠTI

JAKÉ JSOU PŘÍNOSY A HROZBY TAKOVÉHO PŘÍSTUPU?

Příležitosti

Sdílení vybraných

procesů a snižování

provozních nákladů

Zvýšení bezpečnosti a

kontroly pohybu

cestujících

Úspora místa

Jednoznačný přínos

komfortu pro cestující

22

Hrozby / Rizika

Dopravní společnosti

(aerolinie) se chtějí

vzájemně odlišovat, a

zároveň v rámci aliance

aplikovat stejnou

proceduru na všech

letištích

Letiště / dopravní

terminály požadují stejné

procedury pro všechny

přepravce

Legislativní překážky ve

formě sdílení procedur a

výměny osobních dat

Efektivní implementace

inspekčních procedur

při ověření dokladu a

osob

VAŠE DOTAZY?

DĚKUJI ZA POZORNOSTPetr Vyleťal

petr.vyletal@vitkovice.com

+420 724 072 267

23