Proposta de um modelo de documento de identidade robusto a

Proposta de um modelo de documento de identidade robusto a
fraudes e de baixo custo
Rodrigo G. Fernandes Távora, José Alberto S. Torres, Diogenes F. Reis Fustinoni
[email protected],[email protected],[email protected]
Abstract: On the last decade, a great number of electronic identity (eID)
projects have been launched, mainly in Europe. Nevertheless, no global eID
model has been proposed yet. This paper analyses applications and drawbacks
of the adoption of an eID model, and proposes a low-cost and secure chipless
identity document, which enables off-line biometric authentication and passive
authentication of biometric and biographic data.
Resumo: Na última década um grande número de projetos de identidade
eletrônica (eID) foi lançado, notadamente na Europa. Entretanto, até hoje
nenhum modelo global de eID foi proposto com sucesso. Este artigo analisa
aplicações e dificuldades da adoção de um modelo de eID, e propõe um
modelo de documento de identidade sem chip, robusto a fraudes e de baixo
custo, para a autenticação biometria off-line e autenticação passiva de dados
biométricos e biográficos.
1.
Introdução
As fraudes em identidade tem se tornado um dos grandes problemas dos governos. O
prejuízo em fraudes foi estimado 1,2 Bi de libras em 2011 no Reino Unido (National
Fraud Authority, 2012). Nos Estados Unidos, o prejuízo saltou de 18 para 20,9 bilhões
de dólares, de 2011 a 2012 (Pascoal & Miller, 2013). No Brasil, foram registradas
183.111 tentativas de roubo de identidade em março de 2015, como emissão de cartões
de crédito, financiamentos, compras, abertura de contas, compra de automóveis e
abertura de empresas com documentos falsos(Serasa Consumidor, 2015).É neste
contexto que os governos vêm implementando políticas de gerenciamento de
identidade, agindo como a “terceira parte” da transação, sem comprometer a segurança
ou expor dados sensíveis. Segundo Organização das Nações Unidas, 52 países no
mundo, ou 27% do universo pesquisado, já possui iniciativas para gerenciamento
eletrônico de identidades(ONU, 2012).
Na última década um grande número de projetos nacionais de eID foi lançado,
notadamente na Europa. Alguns países priorizaram aplicações de e-Gov com o serviço
de autenticação eletrônica; outros desenvolveram técnicas para garantia da privacidade
para alcançar maior adesão da população; e outros priorizaram o combate à fraude ou
terrorismo com base em uma autenticação forte com verificação biométrica. Para
disponibilizar serviços são adicionadas aplicações (applets) ao chip da eID. As mais
comuns são a verificação biométrica no chip (MoC- Match on Card), a autenticação
ativa do chip para a autenticação eletrônica, a certificação digital com funções de
assinatura digital e cifragem de dados, as aplicações ICAO (International Civil Aviation
Organization) para documentos de viagem, e uso de certificados de atributos.
Em comum entre estas diversas abordagens, o que esta pesquisa revelou é que, na
maioria dos casos, há um custo alto associado à emissão da eID e uma baixa taxa de
adesão. Nesta linha, este trabalho faz uma análise sucinta de importantes aspectos
referentes a emissão de eIDs, aponta alternativas ao emprego de eID's para a
autenticação eletrônica e propõe um modelo inovador de documento de identidade sem
chip, robusto a fraudes, de baixo custo, com recursos para autenticação presencial
biométrica off-line e autenticação passiva de dados.
Este trabalho está dividido da seguinte forma: na seção 2 são analisados
sucintamente aspectos referentes à emissão de eID´s, onde são considerados o custo de
emissão, a adesão dos usuários, o tempo médio de projeto e a padronização, e, por fim,
são apontadas alternativas à eID para a autenticação eletrônica, como o uso de
MobileID ou cartão padrão EMV (Europay Master Visa) para autenticação eletrônica.
Na seção 3 é proposto um modelo de documento de identidade sem chip, para
autenticação presencial biometria off-line com recursos de proteção do template, além
da autenticação passiva dos dados biográficos por meio de assinatura eletrônica, e
autenticação da imagem facial impressa, por meio de técnicas de hashing robusto.
2.
Análise de Custo X Adesão de eIDs
Apesar do grande número de projetos de eID já lançados, não há uma padronização
universal de protocolo de autenticação, recursos de privacidade, interfaces de comando
ou de requisitos mínimos de segurança física dos chips, de forma que cada país adota
uma solução distinta. Devido à complexidade e diversos riscos do projeto de eID, como
o comprometimento de dados dos cidadãos ou a dependência tecnológica do fornecedor,
os projetos desenvolvidos na Europa tiveram uma duração mínima de 3,5 anos (Kubicek
& Noack, 2010), e parte deles foi desenvolvida por escritórios de segurança da
informação, como o BSI (Federal Office for Information Security) da Alemanha.
A ausência de um modelo global ensejou diversos esforços de padronização,
como a especificação técnica do Cartão do Cidadão Europeu (European Citizen Card–
ECC), CEN TS 15480, pelo Comitê Europeu de Normatização (CEN) em 2007, e a
padronização de infraestrutura para interoperabilidade das eID´s na Europa, no acordo
CEN-CWA-15264. Entretanto, devido à pequena participação dos governos nessas
especificações, projetos subsequentes de eID, como o da Alemanha, não seguiram na
íntegra a especificação proposta. Hoje, esforços buscando interoperabilidade entre as
eID´s vem sendo realizados na tentativa de compatibilização de distintos protocolos de
autenticação, como nos projetos STORK (I e II) e FutureID.
Apesar da tendência do uso de eID's no longo prazo, a funcionalidade de
autenticação eletrônica não tem alcançado uma adesão razoável na Europa. Em 2009,o
percentual de uso de autenticação eletrônica com eID's nas declarações de imposto de
renda foi muito baixo (Kubicek & Noack, 2010): em torno de 7% na Bélgica, 1% na
Áustria e 0.2% na Espanha. Em 2012, esse percentual levantado na Espanha foi ainda
menor, 0,02% (Fundacion Orange, 2014). A adesão na Espanha continua baixa, em oito
anos de uso do DNIe-2, lançado em 2006, apenas 17% dos cidadãos utilizaram alguma
vez a função eletrônica (Carmen Cuesta, 2015).Na Estônia, 65% das declarações de
impostos foram feitas em 2009 usando uma infraestrutura de chave pública bancária e
não através da eID (Castro, 2011).Em 2011, apenas 20% da população Alemã optou
pela ativação opcional da função eletrônica da eID nacional(Poller, Waldmann, &
Vowé, 2012). Logo, 80% dos chips emitidos foram desabilitados.
Cabe aqui ressaltar que a baixa adesão do emprego de eIDs ocorre a despeito do
desenvolvimento do e-Gov nestes países. Na pesquisa da ONU sobre e-Gov em 2014
(United Nations , 2014), na medição do Índice Composto de Desenvolvimento de eGov, a Espanha ficou em 12º lugar, a Áustria em 20º, e a Alemanha em 21º. Na mesma
pesquisa o Brasil ficou em 57º lugar. Isto sugere que a oferta de serviços de e-Gov no
Brasil é inferior à oferta dos países citados, que ainda assim apresentam uma baixa
adesão do uso de eID´s.
A baixa adesão do uso de eID pela sociedade e a disponibilidade limitada de
serviços privados e de e-Gov são ao mesmo tempo causa e efeito um do outro. Outros
obstáculos para a adesão do usuário são (Kubicek & Noack, 2010)(Stevens, Elliott,
Hoikanen, Maghiros, & Lusoli, 2010)(Castro, 2011): o custo de leitoras, o receio do
cidadão acerca da privacidade, a disponibilidade da credencial, a usabilidade e
disponibilidade serviços privados. Os maiores obstáculos para adesão de provedores de
serviços privados, além da baixa adesão pela sociedade, são (Stevens, Elliott, Hoikanen,
Maghiros, & Lusoli, 2010)(Castro, 2011): taxas de registro e burocracia,
disponibilidade das credenciais, baixa cobertura da eID. Pode-se ainda incluir o risco de
dependência tecnológica como fator limitante à adesão de provedores de serviço. Como
observado em projetos em smartcards recentes no Brasil, a adoção de soluções
proprietárias de applet eID, middleware ou do sistema operacional do chip, sem
publicação do manual de comandos do chip (APDU), permite a cobrança de royalties
pelo fornecedor para desenvolvimento de novas aplicações, o que desestimula a
expansão de serviços.
A estimativa de custo unitário de diferentes modelos de eID's não é fácil, pois os
preços variam de acordo com a oferta e a demanda. O que se pode afirmar é que em
média o chip com contato (CC- ISO/IEC 7816) é mais barato que um chip RFID sem
contato (SC- ISO/IEC 14443), que, por sua vez, é mais barato que um chip com as duas
interfaces(dual-interface).
Até 2012, a eID mais barata foi contratada por Portugal por um valor unitário em
torno de EUR 10, para um modelo em policarbonato com chip CC. Pesquisas recentes
mostram que o custo das eID's tem caído no último ano, talvez pela saturação do
mercado de smartcard. Segundo informações do fornecedor, a eID do Uruguai, em
policarbonato e híbrida (um chip CC e um chip SC), foi contratada em 2014 por U$
2,81. É interessante observar que o documento de identidade para menores de 18 anos
em policarbonato sem chip foi contratada à mesma empresa em 2014 por U$ 0,57. Isso
demonstra que o custo da inclusão dos chips pode ser bem superior ao custo do cartão
em policarbonato. A eID de Bangladesh, em policarbonato com chip com contato, foi
contratada em 2015 por um valor unitário ainda mais baixo, aproximadamente U$1,00
(Project, Bangladesh Election Commission IDEA, 2014), mas nenhuma informação
acerca da especificação do chip foi obtida.
Para estimular o uso de serviços de e-Gov, soluções alternativas para o serviço de
autenticação eletrônica, com baixo custo de implantação para o governo, poderiam ser
adotadas. Em alguns casos, como na Áustria, a especificação dos protocolos de
autenticação de eID é neutra, podendo ser implantados em smartcard, em cartão EMV,
ou em MobileID.Cabe ressaltar que o emprego de múltiplas credenciais aumenta a
disponibilidade de acesso e estimula o uso do e-Gov.
Além do custo alto da emissão de uma eID como identidade nacional, gratuita ao
cidadão, cabe ressaltar que o e-Gov brasileiro ainda está mais focado na ampliação do
acesso aos serviços, níveis de maturidade 1 e 2 de desenvolvimento de e-Gov, do que na
ampliação da sua capacidade transacional, níveis de maturidade 3 e 4 (Torres, Peixoto,
Deus, & Junior, 2015). O cenário observado, com baixa frequência de uso de serviços
de e-Gov por cidadão (Torres, Deus, & Junior, 2014), alto custo para emissão de eID,
associado ao elevado risco de baixa adesão, aponta para a utilização de métodos
alternativos para autenticação eletrônica em substituição à eID. Nesta linha,alguns
métodos alternativos à eID são sugeridos para a autenticação eletrônica e um modelo de
documento de identidade sem chip é proposto para a autenticação presencial segura.
Com a evolução da capacidade de processamento dos chips empregados em
cartões EMV, a especificação de applets eID em cartões bancários EMV, já adotada em
países, como Áustria, Suécia, Estônia e Finlândia, é uma alternativa à emissão de eID´s
pelo governo. Além da capacidade de processamento e de memória, outro requisito
importante é o nível de segurança contra ataques físicos ao chip. A previsão de recursos
como a unidade de gerenciamento de memória (MMU-Memory Management Unit) é
interessante para a proteção de acesso aos dados referentes à applet eID.
Outra alternativa seria a autenticação por meio de chip SIM/UICC de telefonia
móvel GSM (denominado de MobileId), que é hoje uma forte tendência mundial, com
diversos projetos lançados recentemente, como na Turquia, Áustria, Bélgica, República
Tcheca, Suécia e Estônia. A proteção contra clonagem do chip, permite que o mesmo
seja empregado como fator de autenticação. A autenticação, por meio de mensagens
(SMS- Short Message Service), pode ser tão simples quanto o envio de senha OTP, ou
pela execução de protocolos por uma applet no chip, com o emprego de PIN (Personal
Identification Number). Outra opção é a execução da aplicação do cliente em
smartphone, com applet eID e chaves secretas gravadas no chip para a execução de um
protocolo criptográfico. Um esforço de padronização de segurança dos sistemas do
smartphone, TEE (Trusted Execution Environment), tem sido desenvolvido pela Global
Plataform, para a proteção do PIN, que é digitado na tela do smartphone para a
inicialização do protocolo de autenticação.
3.
Modelo de documento de identidade seguro e de baixo custo
As fraudes em concessões de benefícios públicos foram estimadas em 2013 pelo TCU
em mais de 12 bilhões de reais por mês(Amora, 2014), em parte decorrentes de falhas
na identificação do beneficiário. Com base na análise das dificuldades de adoção de
eID, para prover uma identificação robusta a fraudes, propõem-se um modelo de
identidade sem chip, com uso de código de barra 2D para armazenamento de dados. O
modelo proposto prevê o emprego da autenticação passiva de dados, de autenticação da
imagem facial impressa, de verificação biométrica presencial com proteção do template,
e de uma especificação compatível com o uso de câmeras para a leitura dos dados,
conforme apresentado na Figura 1.
Hashing perceptual da imagem facial impressa
(01000110011110011)
-
Template protegido
Verificação presencial para setor público Tinta invisível IR/UV -
Assinatura digital de dados biográficos. OCR do MRZ, BCR. Uso genérico com leitura por câmera. Figura 1: Proposta de modelo de documento de identidade sem chip, segura e de baixo
custo, com recurso de autenticação biometria presencial e autenticação passiva de
dados biométricos e biográficos.
O armazenamento de dados em códigos 2D é uma alternativa barata ao emprego
de chips. A capacidade, de cerca de 1700 bytes/pol2 (Querini & Italiano, 2012), para
códigos 2D binários com uma resolução espacial padrão de 600dpi, é suficiente para
armazenamento do template biométrico, da assinatura digital, dos certificados e,
possivelmente da imagem facial, dependendo da especificação da codificação e da
compressão. Diversos padrões de códigos 2D de domínio público, como QR (ISO/IEC
18004) (com capacidade máxima de 2,88 kB), Datamatrix (ISO/IEC 16022), PDF417
(ISO/IEC 15438) e Aztec (ISO/IEC 24778), são adequados para uso em documentos de
identidade. Outra alternativa é o uso de códigos 2D proprietários de alta capacidade,
como o Superscript, da Datastrip (até 8,41 kB), ou o código altíssima densidade
(UHDB) PDMTM,da De La Rue Internacional, que armazena até 32 kB em um cartão
ID-1, embora requeira o emprego de scanners. A Tabela 1 lista alguns documentos
nacionais e internacionais vigentes que ainda empregam códigos de barra 2D.
Tabela 1: Amostra de documentos com códigos de barra 2D vigentes.
Identidade
Dados
Padrão/ Bytes Ref.
MX (CEDI)
- 02 íris
PDF417
MX (Eleitor)
- 01 digital e dados cifrados
PDF417/1155 (Inst.Federal Electoral
do Mexico, 2013)
BR (Passaporte)
- Face (Jpeg 2000 sem cabeçalho) PDF417
e dados.
CA (Imigrante)
- Face e dados cifrados
PE (DNI)
PDF417
(RENIEC, 2012)
CL (DNI-2011)
- 01digital sem proteção
PDF417
(Gobierno do Chile,
Min. de Justicia, 2013)
ILOSeafaresIdentity
- Dados e 01digital sem proteção
PDF417/686
(ILO Office, 2006)
Visando ampliar a usabilidade, com redução do custo de leitoras, foi idealizado o
uso de câmeras de smartphones para leitura do código no verso, por meio de uma
aplicação de domínio público. Para testar a viabilidade desta solução, foram realizados
testes preliminares de leitura de códigos 2D impressos em cartões ID-1, com uso de
quadros extraídos de vídeos de câmeras com resolução VGA (480x640 pixels). Foram
obtidas altas taxas de detecção para códigos PDF417 (modo numérico, nível 3 de
correção) de até 2kbits. Uma análise complementar identificará a capacidade máxima de
leitura, variando o padrão e o nível de correção, e testando técnicas para seleção de
quadros e restauração de imagem.
No protótipo inicial, o código de barra 2D impresso no verso é empregado em
uma aplicação pública. O detalhamento dos campos da estrutura de dados depende de
definições de aplicação, da capacidade máxima do código 2D, e requer a elaboração de
uma nova norma. Entretanto, algumas definições já são feitas em alto nível com uma
estrutura distribuída em um cabeçalho e 4 grupos de dados:
1) Header: Dados sobre versão e aplicação.
2) DG1: Dados do MRZ- Machine Readable Zone (e.g. nome, data nasc.,
data/local emissão, sexo, número),estimado em torno de 500bits;
3)DG2: Hashing assinado da imagem facial impressa, ainda não definido;
4)DG3: Dados complementares ou opcionais, ainda não definidos;
5) DG4: A assinatura digital, com o certificado da chave pública do emissor.
A norma BSI TR-03137 (Digital Seal) prevê o uso de Datamatrix e usa uma
codificação de campos compacta BER/ASN.1. A norma ISO/IEC 18013-3, define dois
tipos de campos, um obrigatório com delimitadores e outro com codificação compacta
TLV/ASN.1 para campos de ordem livre. Para economia de memória,propomos 3 tipos
de campos, seguindo em parte as normas ISO/IEC 18016-3 e BSI TR-03137:
1) Campo tipo 1: obrigatórios de tamanho fixo (e.g. data de nasc., data/local
emissão, sexo), são concatenados com ordem fixa, sem delimitadores;
2) Campo tipo 2: obrigatórios de tamanho variável, são concatenados com ordem
fixa, com delimitadores;
3) Campo tipo 3: opcionais sem ordem fixa, são codificados com TLV-Tag
Length Value, com o comprimento codificado com ASN.1.
4) Tipos: Alfanumérico codificado em C.40 (16bits/3 caracteres); decimal sem
sinal codificado em BCD (4bits).
O código de barras no anverso, para uso em uma aplicação de verificação
biométrica presencial restrita ao setor público, é impresso com tinta invisível UV/IR
para permitir a compatibilidade com o padrão ICAO e armazena o template biométrico,
com recursos de proteção. O método de proteção da biometria e a estrutura de dados
deste código ainda não foram definidos. Para aumentar a eficiência da leitura óptica de
elementos, como os caracteres de leitura automática MRZ, a imagem impressa da face e
os códigos 2D, o documento sem chip deve ser confeccionado em um substrato plano e
rígido.
3.1 Autenticação passiva dos dados biográficos
A autenticação passiva armazenada, em código 2D, dos caracteres impressos lidos por
OCR (e.g. MRZ) permite verificar a autenticidade e a integridade dos dados, e previne a
fraude de substituição do texto. Essa função já existe em eIDs e em e-passaportes, mas
ainda não é difundida em documentos sem chip. Ademais, o seu emprego em uma
aplicação pública permite reduzir a necessidade de elementos de segurança no
documento físico e também o seu custo unitário.
Não foram obtidas muitas especificações acerca de assinaturas digitais em
identidades nacionais sem chip. Alguns trabalhos abordam seu uso em códigos 2D (Lee,
Kwon, Song, & Song, 2002)(Husain, Bakhtiari, & Zainal, 2014)(Kuacharoen, 2012). A
norma ICAO 9303P.3V.2 contém especificações do elemento de segurança DG.SOD,
referente à assinatura digital em e-passaportes, que são em parte aplicáveis ao
armazenamento em códigos 2D.As normas identificadas referentes à assinatura de
dados específicas para uso em códigos 2D são: 1) a norma BCBP da IATA (IATA,
2008), queprevê o uso de assinatura digital nos códigos 2D em smartphones, 2) a
Norma BSI TR-03137 (Digital Seal), que emprega ECDSA (bp256r1), com chave
privada de 256 bits, e 3) a norma ISO/IEC 18013-3, e também usa ECDSA brainpool.
Seguindo as recomendações ETSI TS 1190312 sobre assinatura digital, o
protótipo emprega ECDSA (bp256r1)e o algoritmo SHA-256 é usado para gerar
Hash(header||DG1||DG2||DG3). O certificado contém a chave pública ECDSA
compactada (257bits referentes às coordenadas X e Y do ponto da curva elíptica, onde a
coordenada Y é derivada de X, conforme norma ANSI X9.62), sua assinatura (257 bits),
e dados previstos no padrão X.509 (versão, ident. do emissor, ident. da curva, etc),
estimados em 250bits). Portanto, o DG4 totaliza em torno de 1kbit, permitindo o uso de
código 2D legível por câmeras.
A verificação da cadeia de certificados de chave pública em geral é realizada pela
consulta on-line ao repositório de chaves públicas (PKD- Public Key Directory) e à lista
de certificados revogados (RCL- Revoked Certificate List). Entretanto, a verificação de
autenticidade off-line ampliaria a usabilidade, reduzindo a necessidade de elementos de
segurança no documento. Como o certificado do emissor já fica armazenado no código
2D, para uma aplicação off-line, é proposto o armazenamento da RCL e do restante da
cadeia PKD na leitora (e.g. smartphone), com atualização periódica, juntamente com o
aplicativo de verificação dados, que teria uma validade curta.
3.2 Autenticação da imagem facial impressa
Um dos principais tipos de fraude em documentos de identidade é a substituição da
imagem facial em um substrato com dados autênticos(Fumy & Paeschke, 2011).
Denominada de personificação,essa fraude permite associar uma identidade a um
indivíduo distinto do titular. Essa fraude é facilitada pela ausência nos documentos de
identidade de contramedidas eficazes, como métodos de comparação automática ou
verificação de integridade da imagem impressa da face.
Algumas soluções de mercado não autenticam a imagem propriamente, e sim o
método de impressão (e.g. o produto Waved Microtext) ou o substrato (e.g. o uso de
random optical fibers).Um método proprietário de autenticação de documentos
impressos pela inserção de informação digital oculta (digital watermarking) foi
proposto pela Digimarc. O principal desafio para o emprego de técnicas de
watermarking em documentos impressos é a degradação da informação causada pelo
canal de impressão/leitura (print/scan).
Outra opção de autenticação de imagem, sem degradação de performance pelo
canal print-scan, é o emprego de hashing robusto, pelo qual alguns parâmetros robustos
são extraídos da imagem da face após a impressão na identidade. Esses parâmetros são
assinados e gravados em um código 2D, para a verificação de autenticidade.
Diversos trabalhos foram propostos para a autenticação de documentos utilizando
hashing robusto (Shimizu & Kim, 2007)(Smoaca, 2012)(Wua, Zhou, & Niu, 2009). A
análise da entropia do código extraído desses métodos é importante para avaliar a
segurança contra ataques de força bruta, e a taxa de colisão para faces semelhantes.
Uma alternativa para o aumento da entropia ou melhoria da performance de detecção
seria o uso conjunto de técnicas de hashing robusto e watermarking (Weng, Darazi,
Preneel, Macq, & Dooms, 2012).
3.3 Verificação biométrica off-line com proteção de template
Credenciais de autenticação, como fator de posse (e.g. smartcards) ou de conhecimento
(e.g. código PIN) são em geral vulneráveis a ataques de clonagem ou furto. Por isso o
uso de verificação biométrica é importante no combate a fraudes.
A tendência de emprego da verificação biométrica motivou a indústria a
desenvolver um método off-line seguro de verificação (1x1), feita no próprio chip
(MoC), com armazenamento da biometria em uma área bloqueada à escrita e não
exportável. Neste caso, a segurança do sistema depende do emprego de recursos
proteção do chip contra ataques físicos. Atualmente, os algoritmos de MoC, mesmo
com emprego de templates compactas, já alcançaram uma performance satisfatória,
como Falsa Rejeição=0.015@Falsa Aceitação=0.0005, para uma impressão digital.
A segurança da informação biométrica pode ser garantida por meio de requisitos
de segurança dos sistemas de coleta, armazenamento e verificação. A norma ISO/IEC
24745, sobre proteção de informação
biométrica,
define os requisitos de
irreversibilidade e não-ligabilidade do registro biométrico, além de modelos de sistema
biométrico e lista possíveis métodos de proteção do template. Esta privacidade-porprojeto impõe requisitos e contramedidas aos principais riscos de privacidade e
segurança da biometria. Entretanto, mesmo que o sistema empregado seja seguro, a
biometria pode ser capturada externamente ao sistema. O prejuízo do comprometimento
é alto, já que, ao contrário do PIN ou de um smartcard, a biometria do indivíduo não
pode ser revogada. Portanto, é comum o emprego de verificação biométrica em
conjunto com o uso de outros fatores de autenticação, como senha e cartão, para uma
autenticação presencial robusta.Cabe ressaltar que o emprego de múltiplos fatores de
autenticação oferece uma maior segurança na autenticação do usuário para acesso a
serviços eletrônicos, como e-Gov e é fator essencial para que o sistema seja enquadrado
nos dois maiores níveis de garantia de identidade (níveis 3 e 4)(NIST, 2013).
Outra alternativa de verificação off-line da biometria é a comparação na leitora
(MoR- Match on Reader) do template armazenado no documento. A identidade
especificada pela ILO armazena o template em claro, e na cédula eleitoral do México a
biometria é cifrada com uma chave simétrica (Inst.Federal Electoral do Mexico,
2013).Nenhum desses esquemas emprega métodos previstos na norma ISO/IEC 24745,
que não considera o uso exclusivo de esquemas clássicos de criptografia de dados para a
proteção de template biométrico.
Recentes avanços na comparação de biometria protegida foram obtidos pelo
emprego conjunto de códigos corretores de erro e primitivas criptográficas (Cavoukian
& Stoianov, 2014). Essas técnicas permitem a geração de templates irreversíveis.
Alguns esquemas também permitem a geração de múltiplos templates protegidos a
partir da biometria original, o que permite a revogação e re-emissão, no caso de
comprometimento. As diferentes abordagens para a proteção do template são
classificadas em: 1) aplicação de transformações da imagem (irreversíveis ou
reversíveis com uso de chave secreta) para a geração de biometria cancelável, e 2) o
emprego de criptossistemas (com geração ou regeneração de chaves). Outra abordagem
promissora é a comparação da biometria no domínio cifrado, usando criptografia
homomórfica (Bringer, Chabanne, Izabachène, Pointcheval, Tang, & Zimmer,
2007)(Tuyls & Schoenmakers, 2007)(Upmanyu, Namboodiri, Srinathan, & Jawahar,
ICB), mas sua aplicação ainda é limitada devido à alta complexidade dos algoritmos.
O uso da íris, com uma melhor definição das bordas pela pupila e pela esclera,
além do tamanho fixo do template, permite um melhor alinhamento da biometria e a
uma melhor performance.A performance obtida para a esquema de verificação de íris
com proteção de template é de FalsaRejeição=0.47%, @ FalsaAceitação<105
)(Cavoukian & Stoianov, Biometric Encryption: A positive sum Tech. that achives
strong Authentication, Security AND Privacy, 2007), o que é ligeiramente inferior à
performance do método de verificação sem a proteção de template.
Sistemas biométricos, especialmente de verificação (1x1), são vulneráveis a
diversos tipos de ataques, como spoofing, replay, substituição, reversão de biometria
pelo template, entre outros(Ratha, Connell, & R.M., 2001). A segurança do sistema
contra ataques de força bruta depende de uma análise da entropia real da chave derivada
da biometria, já que a chave auxiliar é acessível. Em geral existe uma solução de
compromisso dos cripto-sistemas biométricos: quanto melhor a performance, menor a
entropia das chaves auxiliares.A análise da entropia e da distribuição de erros é
abordada em trabalhos como (Daugman, 2001)(Rathgeb, Uhl, & Wild, 2011)(Kanade,
Camara, Petrovska-Delacretaz, & Dorizzi, 2009). Com o objetivo de permitir uma
avaliação e comparação da performance e da segurança de diferentes métodos, a norma
ISO/IEC 30136, em desenvolvimento, tem como objetivo definir métricas para
padronizar testes de performance em esquemas de proteção biométrico.
Apesar dos métodos de proteção de template biométrico não terem atingido uma
maturidade, diversos projetos de pesquisa foram realizados, como o TURBINE,que
desenvolveu módulos de softwares para a proteção de template biométrico(TURBINE,
2009). O projeto BioKeyS, coordenado pelo BSI, realizou um estudo sobre esquemas de
proteção baseados no método Fuzzy Commitment, com a realização de um piloto. Um
protótipo, baseado na norma Digital Seal (BSI), foi realizado pela Secunet, usando o
produto GenKey.O projeto Fidelity engloba a especificação do método de verificação
com proteção do template biométrico,gravado em códigos 2D, para o modelo unificado
de certidão de nascimento na comunidade Europeia (Busch, Yang, & Hogskolen, 2014).
Portanto,padrões de projetos semelhantes podem ser usados na especificação do método
de proteção de template biométrico deste modelo.
3.4 Leitura automática da identidade
A usabilidade da aplicação de verificação automática de integridade da identidade
depende do custo do equipamento de leitura. O emprego de câmeras de smartphones
permitiria ampliar o uso dessa função. Para isso, é necessária a pesquisa de métodos de
identificação automática (AIDC-Automatic Identification and Data Capture) em
documentos estruturados, robustos à variações de perspectiva e de exposição.
Além da identificação de áreas de texto, de imagem, e de códigos de barra, os
requisitos funcionais englobam o reconhecimento automático de texto no MRZ (OCR) e
dos códigos de barra (BCR). A performance do método de identificação pode ser
melhorada com o emprego de identificadores de área (SAI- Scanning Areas Identifiers),
previstas também na norma ISO/IEC 18013-3.
Testes preliminares, com uso de câmeras de vídeo VGA, apontam para a
viabilidade de identificação e decodificação de elementos bidimensionais, como código
2D, MRZ e imagem da face. Nesse sentido, técnicas de baixa complexidade
computacional, compatíveis com o emprego de smartphones, devem ser adotadas, como
SIFT(Lowe, 1999) e Viola e Jones(Viola & Jones, 2003). Estudos complementares
devem avaliar a performance destes métodos e otimizar o emprego de SAI.
4. Conclusão
O presente trabalho apresenta um protótipo inicial de documento de identidade robusto
a fraudes e de baixo custo, como alternativa à emissão de eIDs, que possuem um custo
superior e têm alcançado uma baixa taxa de adesão na Europa. A análise preliminar
apontou para a viabilidade do emprego de códigos de barra 2D para armazenamento da
assinatura digital dos dados, com o uso de ECDSA,para a assinatura digital, e uma
codificação compacta. Testes iniciais também apontam para a possibilidade do uso de
câmeras de smartphones para a identificação e leitura dos elementos da identidade,
como MRZ, a imagem da face e os códigos de barra. O uso de hashing robusto é
proposto para a autenticação da imagem facial impressa, empregando algum dos
métodos encontrados na literatura científica. O trabalho também faz uma análise sobre a
evolução da pesquisa sobre proteção de template biométrico e sobre a perspectiva de
aplicação em documentos de identidades sem chip, onde foram identificados projetos
com propostas semelhantes.Testes preliminares também apontam para a viabilidade do
emprego de algoritmos rápidos, como SIFT e Viola e Jones, para a identificação dos
elementos da imagem da identidade.
A estrutura dos dados é definida apenas em alto nível.Estudos futuros ainda são
necessários para uma especificação detalhada e para a escolha do algoritmo de
autenticação passiva da imagem impressa.
5.
Agradecimentos
Este trabalho teve o apoio da UnB, através do Termo de Cooperação 1/2013-MJ.
6.
Referências
Amora, D. (2014, 07 20). TCU aponta risco de fraude bilionária no INSS.Retrieved
from http://auditar.org.br/web/?h_pg=noticias&bin=read&id=1519
Bringer, J., Chabanne, H., Izabachène, M., Pointcheval, D., Tang, Q., & Zimmer, S.
(2007). An Application of the Goldwasser-Micali Cryptosystem to Biometric
Authentication. LNCS .
Busch, C., Yang, B., & Hogskolen. (2014). Trustworth lifecycle management for public
documents.Fidelity Project.
Carmen Cuesta. (2015). DNI-e 3.0: un paso más en el impulso de la sociedad
digital.Flash Economia Digital.
Castro, D. (2011). Explaining International Leadership: Electtronic Identification
Systems. ITIF.
Cavoukian, A., & Stoianov, A. (2007). Biometric Encryption: A positive sum Tech. that
achives strong Authentication, Security AND Privacy. Ontario Inf. and Privacy
Commissioner.
Cavoukian, A., & Stoianov, A. (2014). Privacy by Design Solutions for Biometric Oneto-Many Identification Systems. Ontario Inf. and Privacy Commissioner.
Daugman, J. (2001). The importance of being random: statistical principles of iris
recognition. Pattern Recognition, Elsevier , 279-291.
Fumy, W., & Paeschke, M. (2011). Handbook of eID Security: Concepts, Practical
Experiences, Technologies.Wiley.
Fundacion Orange. (2014). Informe anual sobre el desarollo de la sociedad de la
información en Espana.
Gobierno do Chile, Min. de Justicia. (2013). Sistema de identificación multibiométrico.
Husain, A., Bakhtiari, M., & Zainal, A. (2014). Printed Document Integrity Verification
Using Barcode. Journal Teknologi (Sciences and Eng. , pp. 99-106.
IATA. (2008). IATA resolution 792 Bar CodedD Boarding Pass - Version 3.
ILO Office. (2006). Seafarers- Identity Document Convention (Revised) No 185.
Inst.Federal Electoral do Mexico. (2013). Acordo CG293/2013. Diario Oficial.
Kanade, S., Camara, D., Petrovska-Delacretaz, D., & Dorizzi, B. (2009). Application of
Biometrics to Obtain High Entropy Cryptographic Keys. World Academy of Science,
Eng. and Tech., (pp. 251-255).
Kuacharoen, M. W. (2012). Paper-based Document Authentication using Digital
Signature and QR Code. Int. Conf. on Computer Eng. and Tech.
Kubicek, H., & Noack, T. (2010). Different countries-different paths extended
comparison of the introduction of eIDs in eight European countries. Identity in Inf.
Society , 235-245.
Lee, J.-i., Kwon, T., Song, S., & Song, J. (2002). A Model for Embedding and
Authorizing Digital Signatures in Printed Documents. ICISC, (pp. 465-477).
Lowe, D. G. (1999). Object Recognition from Local Scale-Invariant Features. Proc. of
the Int. Conf. on Computer Vision Vol 2, (pp. 1-8).
National Fraud Authority. (2012). Retrieved from Annual Fraud Indicator:
https://www.gov.uk/government/uploads/system/uploads/
attachment_data/file/118530/annual-fraud-indicator-2012.pdf
NIST. (2013). NIST Special Publication 800-63-2.
ONU. (2012). E-government Survey: E- government for the people. New York.
Pascoal, A., & Miller, S. (2013). Identity Fraud Report: Data Breaches Becoming a
Treasure Trove For Fraudsters. Javelin Strategy & Research.
Poller, A., Waldmann, U., & Vowé, S. (2012). Electronic Identity Cards for User
Authentication- Promise and Practice. IEEE Security & Privacy , pp. 46-54.
Project, Bangladesh Election Commission IDEA. (2014). Notification Award.
Querini, M., & Italiano, G. F. (2012). Facial Biometrics for 2D Barcodes. FedCSIS, (pp.
755-762).
Ratha, N., Connell, J. H., & R.M., B. (2001). Enhancing security and privacy in
biometrics-based authentication systems. IBM Systems Journal , 614-634.
Rathgeb, C., Uhl, A., & Wild, P. (2011). On Combining Selective Best Bits of IrisCodes. BioID.
RENIEC. (2012). Documento Nacional de Identidad Electrónico- DNIE Perú.
Serasa Consumidor. (2015, 05 06). Retrieved 08 10, 2015, from
http://noticias.serasaexperian.com.br/marco-registra-recorde-historico-nas-tentativasde-fraude-contra-o-consumidor-revela-indicador-serasa-experian/
Shimizu, D. M., & Kim, H. Y. (2007). Perceptual hashing for hardcopy document
authentication using morphological segmentation. Int. Symposium on Mathematical
Morphology, (pp. 77-78).
Smoaca, A. (2012). ID Photograph hashing: a global approach. HAL Id: tel-00719585 .
Stevens, T., Elliott, J., Hoikanen, A., Maghiros, I., & Lusoli, W. (2010). The State of the
Electronic Identity Market: Technologies, Infrastructure, Services and Policies. JRC
Scientific and Technical Reports, IPTS.
Torres, J., Deus, F., & Junior, R. D. (2014). Diagnóstico do governo eletrônico brasileiro
- uma análise com base no modelo de gerenciamento de identidades e no novo guia
de serviços. XIV SBSEG, (pp. 490-499).
Torres, J., Peixoto, H., Deus, F., & Junior, R. D. (2015). An Analysis of the Brazilian
Challenges to Advance in e-Government. ECEG, (pp. 282-291).
TURBINE. (2009). D 2.3.1 TURBINE SW modules for protected Biometric.
Tuyls, B., & Schoenmakers, P. (2007). Computationally secure authentication with
noisy data. In Security with Noisy Data: Private Biometrics, Secure Key Storage and
Anti-Counterfeiting. Springer Verlag.
United Nations . (2014). United Nations E-Gov Survey 2014.
Upmanyu, M., Namboodiri, A. M., Srinathan, K., & Jawahar, C. V. (ICB). Efficient
Biometric Verification in Encrypted Domain. 2009, (pp. 901-908).
Viola, P., & Jones, M. (2003). Robust real-time face detection. Proc. of Computer Vision
and Pattern Recognition, (pp. 137-154).
Weng, L., Darazi, R., Preneel, B., Macq, B., & Dooms, A. (2012). Robust Image
Content Authentication Using Perceptual Hashing and Watermarking. Advances in
Multimedia Inf. Processing, (pp. 315-336).
Wua, D., Zhou, X., & Niu, X. (2009). A novel image hash algorithm resistant to print–
scan. Signal Processing , 2415-2424.