Proposta de um modelo de documento de identidade robusto a
Transcrição
Proposta de um modelo de documento de identidade robusto a
Proposta de um modelo de documento de identidade robusto a fraudes e de baixo custo Rodrigo G. Fernandes Távora, José Alberto S. Torres, Diogenes F. Reis Fustinoni [email protected],[email protected],[email protected] Abstract: On the last decade, a great number of electronic identity (eID) projects have been launched, mainly in Europe. Nevertheless, no global eID model has been proposed yet. This paper analyses applications and drawbacks of the adoption of an eID model, and proposes a low-cost and secure chipless identity document, which enables off-line biometric authentication and passive authentication of biometric and biographic data. Resumo: Na última década um grande número de projetos de identidade eletrônica (eID) foi lançado, notadamente na Europa. Entretanto, até hoje nenhum modelo global de eID foi proposto com sucesso. Este artigo analisa aplicações e dificuldades da adoção de um modelo de eID, e propõe um modelo de documento de identidade sem chip, robusto a fraudes e de baixo custo, para a autenticação biometria off-line e autenticação passiva de dados biométricos e biográficos. 1. Introdução As fraudes em identidade tem se tornado um dos grandes problemas dos governos. O prejuízo em fraudes foi estimado 1,2 Bi de libras em 2011 no Reino Unido (National Fraud Authority, 2012). Nos Estados Unidos, o prejuízo saltou de 18 para 20,9 bilhões de dólares, de 2011 a 2012 (Pascoal & Miller, 2013). No Brasil, foram registradas 183.111 tentativas de roubo de identidade em março de 2015, como emissão de cartões de crédito, financiamentos, compras, abertura de contas, compra de automóveis e abertura de empresas com documentos falsos(Serasa Consumidor, 2015).É neste contexto que os governos vêm implementando políticas de gerenciamento de identidade, agindo como a “terceira parte” da transação, sem comprometer a segurança ou expor dados sensíveis. Segundo Organização das Nações Unidas, 52 países no mundo, ou 27% do universo pesquisado, já possui iniciativas para gerenciamento eletrônico de identidades(ONU, 2012). Na última década um grande número de projetos nacionais de eID foi lançado, notadamente na Europa. Alguns países priorizaram aplicações de e-Gov com o serviço de autenticação eletrônica; outros desenvolveram técnicas para garantia da privacidade para alcançar maior adesão da população; e outros priorizaram o combate à fraude ou terrorismo com base em uma autenticação forte com verificação biométrica. Para disponibilizar serviços são adicionadas aplicações (applets) ao chip da eID. As mais comuns são a verificação biométrica no chip (MoC- Match on Card), a autenticação ativa do chip para a autenticação eletrônica, a certificação digital com funções de assinatura digital e cifragem de dados, as aplicações ICAO (International Civil Aviation Organization) para documentos de viagem, e uso de certificados de atributos. Em comum entre estas diversas abordagens, o que esta pesquisa revelou é que, na maioria dos casos, há um custo alto associado à emissão da eID e uma baixa taxa de adesão. Nesta linha, este trabalho faz uma análise sucinta de importantes aspectos referentes a emissão de eIDs, aponta alternativas ao emprego de eID's para a autenticação eletrônica e propõe um modelo inovador de documento de identidade sem chip, robusto a fraudes, de baixo custo, com recursos para autenticação presencial biométrica off-line e autenticação passiva de dados. Este trabalho está dividido da seguinte forma: na seção 2 são analisados sucintamente aspectos referentes à emissão de eID´s, onde são considerados o custo de emissão, a adesão dos usuários, o tempo médio de projeto e a padronização, e, por fim, são apontadas alternativas à eID para a autenticação eletrônica, como o uso de MobileID ou cartão padrão EMV (Europay Master Visa) para autenticação eletrônica. Na seção 3 é proposto um modelo de documento de identidade sem chip, para autenticação presencial biometria off-line com recursos de proteção do template, além da autenticação passiva dos dados biográficos por meio de assinatura eletrônica, e autenticação da imagem facial impressa, por meio de técnicas de hashing robusto. 2. Análise de Custo X Adesão de eIDs Apesar do grande número de projetos de eID já lançados, não há uma padronização universal de protocolo de autenticação, recursos de privacidade, interfaces de comando ou de requisitos mínimos de segurança física dos chips, de forma que cada país adota uma solução distinta. Devido à complexidade e diversos riscos do projeto de eID, como o comprometimento de dados dos cidadãos ou a dependência tecnológica do fornecedor, os projetos desenvolvidos na Europa tiveram uma duração mínima de 3,5 anos (Kubicek & Noack, 2010), e parte deles foi desenvolvida por escritórios de segurança da informação, como o BSI (Federal Office for Information Security) da Alemanha. A ausência de um modelo global ensejou diversos esforços de padronização, como a especificação técnica do Cartão do Cidadão Europeu (European Citizen Card– ECC), CEN TS 15480, pelo Comitê Europeu de Normatização (CEN) em 2007, e a padronização de infraestrutura para interoperabilidade das eID´s na Europa, no acordo CEN-CWA-15264. Entretanto, devido à pequena participação dos governos nessas especificações, projetos subsequentes de eID, como o da Alemanha, não seguiram na íntegra a especificação proposta. Hoje, esforços buscando interoperabilidade entre as eID´s vem sendo realizados na tentativa de compatibilização de distintos protocolos de autenticação, como nos projetos STORK (I e II) e FutureID. Apesar da tendência do uso de eID's no longo prazo, a funcionalidade de autenticação eletrônica não tem alcançado uma adesão razoável na Europa. Em 2009,o percentual de uso de autenticação eletrônica com eID's nas declarações de imposto de renda foi muito baixo (Kubicek & Noack, 2010): em torno de 7% na Bélgica, 1% na Áustria e 0.2% na Espanha. Em 2012, esse percentual levantado na Espanha foi ainda menor, 0,02% (Fundacion Orange, 2014). A adesão na Espanha continua baixa, em oito anos de uso do DNIe-2, lançado em 2006, apenas 17% dos cidadãos utilizaram alguma vez a função eletrônica (Carmen Cuesta, 2015).Na Estônia, 65% das declarações de impostos foram feitas em 2009 usando uma infraestrutura de chave pública bancária e não através da eID (Castro, 2011).Em 2011, apenas 20% da população Alemã optou pela ativação opcional da função eletrônica da eID nacional(Poller, Waldmann, & Vowé, 2012). Logo, 80% dos chips emitidos foram desabilitados. Cabe aqui ressaltar que a baixa adesão do emprego de eIDs ocorre a despeito do desenvolvimento do e-Gov nestes países. Na pesquisa da ONU sobre e-Gov em 2014 (United Nations , 2014), na medição do Índice Composto de Desenvolvimento de eGov, a Espanha ficou em 12º lugar, a Áustria em 20º, e a Alemanha em 21º. Na mesma pesquisa o Brasil ficou em 57º lugar. Isto sugere que a oferta de serviços de e-Gov no Brasil é inferior à oferta dos países citados, que ainda assim apresentam uma baixa adesão do uso de eID´s. A baixa adesão do uso de eID pela sociedade e a disponibilidade limitada de serviços privados e de e-Gov são ao mesmo tempo causa e efeito um do outro. Outros obstáculos para a adesão do usuário são (Kubicek & Noack, 2010)(Stevens, Elliott, Hoikanen, Maghiros, & Lusoli, 2010)(Castro, 2011): o custo de leitoras, o receio do cidadão acerca da privacidade, a disponibilidade da credencial, a usabilidade e disponibilidade serviços privados. Os maiores obstáculos para adesão de provedores de serviços privados, além da baixa adesão pela sociedade, são (Stevens, Elliott, Hoikanen, Maghiros, & Lusoli, 2010)(Castro, 2011): taxas de registro e burocracia, disponibilidade das credenciais, baixa cobertura da eID. Pode-se ainda incluir o risco de dependência tecnológica como fator limitante à adesão de provedores de serviço. Como observado em projetos em smartcards recentes no Brasil, a adoção de soluções proprietárias de applet eID, middleware ou do sistema operacional do chip, sem publicação do manual de comandos do chip (APDU), permite a cobrança de royalties pelo fornecedor para desenvolvimento de novas aplicações, o que desestimula a expansão de serviços. A estimativa de custo unitário de diferentes modelos de eID's não é fácil, pois os preços variam de acordo com a oferta e a demanda. O que se pode afirmar é que em média o chip com contato (CC- ISO/IEC 7816) é mais barato que um chip RFID sem contato (SC- ISO/IEC 14443), que, por sua vez, é mais barato que um chip com as duas interfaces(dual-interface). Até 2012, a eID mais barata foi contratada por Portugal por um valor unitário em torno de EUR 10, para um modelo em policarbonato com chip CC. Pesquisas recentes mostram que o custo das eID's tem caído no último ano, talvez pela saturação do mercado de smartcard. Segundo informações do fornecedor, a eID do Uruguai, em policarbonato e híbrida (um chip CC e um chip SC), foi contratada em 2014 por U$ 2,81. É interessante observar que o documento de identidade para menores de 18 anos em policarbonato sem chip foi contratada à mesma empresa em 2014 por U$ 0,57. Isso demonstra que o custo da inclusão dos chips pode ser bem superior ao custo do cartão em policarbonato. A eID de Bangladesh, em policarbonato com chip com contato, foi contratada em 2015 por um valor unitário ainda mais baixo, aproximadamente U$1,00 (Project, Bangladesh Election Commission IDEA, 2014), mas nenhuma informação acerca da especificação do chip foi obtida. Para estimular o uso de serviços de e-Gov, soluções alternativas para o serviço de autenticação eletrônica, com baixo custo de implantação para o governo, poderiam ser adotadas. Em alguns casos, como na Áustria, a especificação dos protocolos de autenticação de eID é neutra, podendo ser implantados em smartcard, em cartão EMV, ou em MobileID.Cabe ressaltar que o emprego de múltiplas credenciais aumenta a disponibilidade de acesso e estimula o uso do e-Gov. Além do custo alto da emissão de uma eID como identidade nacional, gratuita ao cidadão, cabe ressaltar que o e-Gov brasileiro ainda está mais focado na ampliação do acesso aos serviços, níveis de maturidade 1 e 2 de desenvolvimento de e-Gov, do que na ampliação da sua capacidade transacional, níveis de maturidade 3 e 4 (Torres, Peixoto, Deus, & Junior, 2015). O cenário observado, com baixa frequência de uso de serviços de e-Gov por cidadão (Torres, Deus, & Junior, 2014), alto custo para emissão de eID, associado ao elevado risco de baixa adesão, aponta para a utilização de métodos alternativos para autenticação eletrônica em substituição à eID. Nesta linha,alguns métodos alternativos à eID são sugeridos para a autenticação eletrônica e um modelo de documento de identidade sem chip é proposto para a autenticação presencial segura. Com a evolução da capacidade de processamento dos chips empregados em cartões EMV, a especificação de applets eID em cartões bancários EMV, já adotada em países, como Áustria, Suécia, Estônia e Finlândia, é uma alternativa à emissão de eID´s pelo governo. Além da capacidade de processamento e de memória, outro requisito importante é o nível de segurança contra ataques físicos ao chip. A previsão de recursos como a unidade de gerenciamento de memória (MMU-Memory Management Unit) é interessante para a proteção de acesso aos dados referentes à applet eID. Outra alternativa seria a autenticação por meio de chip SIM/UICC de telefonia móvel GSM (denominado de MobileId), que é hoje uma forte tendência mundial, com diversos projetos lançados recentemente, como na Turquia, Áustria, Bélgica, República Tcheca, Suécia e Estônia. A proteção contra clonagem do chip, permite que o mesmo seja empregado como fator de autenticação. A autenticação, por meio de mensagens (SMS- Short Message Service), pode ser tão simples quanto o envio de senha OTP, ou pela execução de protocolos por uma applet no chip, com o emprego de PIN (Personal Identification Number). Outra opção é a execução da aplicação do cliente em smartphone, com applet eID e chaves secretas gravadas no chip para a execução de um protocolo criptográfico. Um esforço de padronização de segurança dos sistemas do smartphone, TEE (Trusted Execution Environment), tem sido desenvolvido pela Global Plataform, para a proteção do PIN, que é digitado na tela do smartphone para a inicialização do protocolo de autenticação. 3. Modelo de documento de identidade seguro e de baixo custo As fraudes em concessões de benefícios públicos foram estimadas em 2013 pelo TCU em mais de 12 bilhões de reais por mês(Amora, 2014), em parte decorrentes de falhas na identificação do beneficiário. Com base na análise das dificuldades de adoção de eID, para prover uma identificação robusta a fraudes, propõem-se um modelo de identidade sem chip, com uso de código de barra 2D para armazenamento de dados. O modelo proposto prevê o emprego da autenticação passiva de dados, de autenticação da imagem facial impressa, de verificação biométrica presencial com proteção do template, e de uma especificação compatível com o uso de câmeras para a leitura dos dados, conforme apresentado na Figura 1. Hashing perceptual da imagem facial impressa (01000110011110011) - Template protegido Verificação presencial para setor público Tinta invisível IR/UV - Assinatura digital de dados biográficos. OCR do MRZ, BCR. Uso genérico com leitura por câmera. Figura 1: Proposta de modelo de documento de identidade sem chip, segura e de baixo custo, com recurso de autenticação biometria presencial e autenticação passiva de dados biométricos e biográficos. O armazenamento de dados em códigos 2D é uma alternativa barata ao emprego de chips. A capacidade, de cerca de 1700 bytes/pol2 (Querini & Italiano, 2012), para códigos 2D binários com uma resolução espacial padrão de 600dpi, é suficiente para armazenamento do template biométrico, da assinatura digital, dos certificados e, possivelmente da imagem facial, dependendo da especificação da codificação e da compressão. Diversos padrões de códigos 2D de domínio público, como QR (ISO/IEC 18004) (com capacidade máxima de 2,88 kB), Datamatrix (ISO/IEC 16022), PDF417 (ISO/IEC 15438) e Aztec (ISO/IEC 24778), são adequados para uso em documentos de identidade. Outra alternativa é o uso de códigos 2D proprietários de alta capacidade, como o Superscript, da Datastrip (até 8,41 kB), ou o código altíssima densidade (UHDB) PDMTM,da De La Rue Internacional, que armazena até 32 kB em um cartão ID-1, embora requeira o emprego de scanners. A Tabela 1 lista alguns documentos nacionais e internacionais vigentes que ainda empregam códigos de barra 2D. Tabela 1: Amostra de documentos com códigos de barra 2D vigentes. Identidade Dados Padrão/ Bytes Ref. MX (CEDI) - 02 íris PDF417 MX (Eleitor) - 01 digital e dados cifrados PDF417/1155 (Inst.Federal Electoral do Mexico, 2013) BR (Passaporte) - Face (Jpeg 2000 sem cabeçalho) PDF417 e dados. CA (Imigrante) - Face e dados cifrados PE (DNI) PDF417 (RENIEC, 2012) CL (DNI-2011) - 01digital sem proteção PDF417 (Gobierno do Chile, Min. de Justicia, 2013) ILOSeafaresIdentity - Dados e 01digital sem proteção PDF417/686 (ILO Office, 2006) Visando ampliar a usabilidade, com redução do custo de leitoras, foi idealizado o uso de câmeras de smartphones para leitura do código no verso, por meio de uma aplicação de domínio público. Para testar a viabilidade desta solução, foram realizados testes preliminares de leitura de códigos 2D impressos em cartões ID-1, com uso de quadros extraídos de vídeos de câmeras com resolução VGA (480x640 pixels). Foram obtidas altas taxas de detecção para códigos PDF417 (modo numérico, nível 3 de correção) de até 2kbits. Uma análise complementar identificará a capacidade máxima de leitura, variando o padrão e o nível de correção, e testando técnicas para seleção de quadros e restauração de imagem. No protótipo inicial, o código de barra 2D impresso no verso é empregado em uma aplicação pública. O detalhamento dos campos da estrutura de dados depende de definições de aplicação, da capacidade máxima do código 2D, e requer a elaboração de uma nova norma. Entretanto, algumas definições já são feitas em alto nível com uma estrutura distribuída em um cabeçalho e 4 grupos de dados: 1) Header: Dados sobre versão e aplicação. 2) DG1: Dados do MRZ- Machine Readable Zone (e.g. nome, data nasc., data/local emissão, sexo, número),estimado em torno de 500bits; 3)DG2: Hashing assinado da imagem facial impressa, ainda não definido; 4)DG3: Dados complementares ou opcionais, ainda não definidos; 5) DG4: A assinatura digital, com o certificado da chave pública do emissor. A norma BSI TR-03137 (Digital Seal) prevê o uso de Datamatrix e usa uma codificação de campos compacta BER/ASN.1. A norma ISO/IEC 18013-3, define dois tipos de campos, um obrigatório com delimitadores e outro com codificação compacta TLV/ASN.1 para campos de ordem livre. Para economia de memória,propomos 3 tipos de campos, seguindo em parte as normas ISO/IEC 18016-3 e BSI TR-03137: 1) Campo tipo 1: obrigatórios de tamanho fixo (e.g. data de nasc., data/local emissão, sexo), são concatenados com ordem fixa, sem delimitadores; 2) Campo tipo 2: obrigatórios de tamanho variável, são concatenados com ordem fixa, com delimitadores; 3) Campo tipo 3: opcionais sem ordem fixa, são codificados com TLV-Tag Length Value, com o comprimento codificado com ASN.1. 4) Tipos: Alfanumérico codificado em C.40 (16bits/3 caracteres); decimal sem sinal codificado em BCD (4bits). O código de barras no anverso, para uso em uma aplicação de verificação biométrica presencial restrita ao setor público, é impresso com tinta invisível UV/IR para permitir a compatibilidade com o padrão ICAO e armazena o template biométrico, com recursos de proteção. O método de proteção da biometria e a estrutura de dados deste código ainda não foram definidos. Para aumentar a eficiência da leitura óptica de elementos, como os caracteres de leitura automática MRZ, a imagem impressa da face e os códigos 2D, o documento sem chip deve ser confeccionado em um substrato plano e rígido. 3.1 Autenticação passiva dos dados biográficos A autenticação passiva armazenada, em código 2D, dos caracteres impressos lidos por OCR (e.g. MRZ) permite verificar a autenticidade e a integridade dos dados, e previne a fraude de substituição do texto. Essa função já existe em eIDs e em e-passaportes, mas ainda não é difundida em documentos sem chip. Ademais, o seu emprego em uma aplicação pública permite reduzir a necessidade de elementos de segurança no documento físico e também o seu custo unitário. Não foram obtidas muitas especificações acerca de assinaturas digitais em identidades nacionais sem chip. Alguns trabalhos abordam seu uso em códigos 2D (Lee, Kwon, Song, & Song, 2002)(Husain, Bakhtiari, & Zainal, 2014)(Kuacharoen, 2012). A norma ICAO 9303P.3V.2 contém especificações do elemento de segurança DG.SOD, referente à assinatura digital em e-passaportes, que são em parte aplicáveis ao armazenamento em códigos 2D.As normas identificadas referentes à assinatura de dados específicas para uso em códigos 2D são: 1) a norma BCBP da IATA (IATA, 2008), queprevê o uso de assinatura digital nos códigos 2D em smartphones, 2) a Norma BSI TR-03137 (Digital Seal), que emprega ECDSA (bp256r1), com chave privada de 256 bits, e 3) a norma ISO/IEC 18013-3, e também usa ECDSA brainpool. Seguindo as recomendações ETSI TS 1190312 sobre assinatura digital, o protótipo emprega ECDSA (bp256r1)e o algoritmo SHA-256 é usado para gerar Hash(header||DG1||DG2||DG3). O certificado contém a chave pública ECDSA compactada (257bits referentes às coordenadas X e Y do ponto da curva elíptica, onde a coordenada Y é derivada de X, conforme norma ANSI X9.62), sua assinatura (257 bits), e dados previstos no padrão X.509 (versão, ident. do emissor, ident. da curva, etc), estimados em 250bits). Portanto, o DG4 totaliza em torno de 1kbit, permitindo o uso de código 2D legível por câmeras. A verificação da cadeia de certificados de chave pública em geral é realizada pela consulta on-line ao repositório de chaves públicas (PKD- Public Key Directory) e à lista de certificados revogados (RCL- Revoked Certificate List). Entretanto, a verificação de autenticidade off-line ampliaria a usabilidade, reduzindo a necessidade de elementos de segurança no documento. Como o certificado do emissor já fica armazenado no código 2D, para uma aplicação off-line, é proposto o armazenamento da RCL e do restante da cadeia PKD na leitora (e.g. smartphone), com atualização periódica, juntamente com o aplicativo de verificação dados, que teria uma validade curta. 3.2 Autenticação da imagem facial impressa Um dos principais tipos de fraude em documentos de identidade é a substituição da imagem facial em um substrato com dados autênticos(Fumy & Paeschke, 2011). Denominada de personificação,essa fraude permite associar uma identidade a um indivíduo distinto do titular. Essa fraude é facilitada pela ausência nos documentos de identidade de contramedidas eficazes, como métodos de comparação automática ou verificação de integridade da imagem impressa da face. Algumas soluções de mercado não autenticam a imagem propriamente, e sim o método de impressão (e.g. o produto Waved Microtext) ou o substrato (e.g. o uso de random optical fibers).Um método proprietário de autenticação de documentos impressos pela inserção de informação digital oculta (digital watermarking) foi proposto pela Digimarc. O principal desafio para o emprego de técnicas de watermarking em documentos impressos é a degradação da informação causada pelo canal de impressão/leitura (print/scan). Outra opção de autenticação de imagem, sem degradação de performance pelo canal print-scan, é o emprego de hashing robusto, pelo qual alguns parâmetros robustos são extraídos da imagem da face após a impressão na identidade. Esses parâmetros são assinados e gravados em um código 2D, para a verificação de autenticidade. Diversos trabalhos foram propostos para a autenticação de documentos utilizando hashing robusto (Shimizu & Kim, 2007)(Smoaca, 2012)(Wua, Zhou, & Niu, 2009). A análise da entropia do código extraído desses métodos é importante para avaliar a segurança contra ataques de força bruta, e a taxa de colisão para faces semelhantes. Uma alternativa para o aumento da entropia ou melhoria da performance de detecção seria o uso conjunto de técnicas de hashing robusto e watermarking (Weng, Darazi, Preneel, Macq, & Dooms, 2012). 3.3 Verificação biométrica off-line com proteção de template Credenciais de autenticação, como fator de posse (e.g. smartcards) ou de conhecimento (e.g. código PIN) são em geral vulneráveis a ataques de clonagem ou furto. Por isso o uso de verificação biométrica é importante no combate a fraudes. A tendência de emprego da verificação biométrica motivou a indústria a desenvolver um método off-line seguro de verificação (1x1), feita no próprio chip (MoC), com armazenamento da biometria em uma área bloqueada à escrita e não exportável. Neste caso, a segurança do sistema depende do emprego de recursos proteção do chip contra ataques físicos. Atualmente, os algoritmos de MoC, mesmo com emprego de templates compactas, já alcançaram uma performance satisfatória, como Falsa Rejeição=0.015@Falsa Aceitação=0.0005, para uma impressão digital. A segurança da informação biométrica pode ser garantida por meio de requisitos de segurança dos sistemas de coleta, armazenamento e verificação. A norma ISO/IEC 24745, sobre proteção de informação biométrica, define os requisitos de irreversibilidade e não-ligabilidade do registro biométrico, além de modelos de sistema biométrico e lista possíveis métodos de proteção do template. Esta privacidade-porprojeto impõe requisitos e contramedidas aos principais riscos de privacidade e segurança da biometria. Entretanto, mesmo que o sistema empregado seja seguro, a biometria pode ser capturada externamente ao sistema. O prejuízo do comprometimento é alto, já que, ao contrário do PIN ou de um smartcard, a biometria do indivíduo não pode ser revogada. Portanto, é comum o emprego de verificação biométrica em conjunto com o uso de outros fatores de autenticação, como senha e cartão, para uma autenticação presencial robusta.Cabe ressaltar que o emprego de múltiplos fatores de autenticação oferece uma maior segurança na autenticação do usuário para acesso a serviços eletrônicos, como e-Gov e é fator essencial para que o sistema seja enquadrado nos dois maiores níveis de garantia de identidade (níveis 3 e 4)(NIST, 2013). Outra alternativa de verificação off-line da biometria é a comparação na leitora (MoR- Match on Reader) do template armazenado no documento. A identidade especificada pela ILO armazena o template em claro, e na cédula eleitoral do México a biometria é cifrada com uma chave simétrica (Inst.Federal Electoral do Mexico, 2013).Nenhum desses esquemas emprega métodos previstos na norma ISO/IEC 24745, que não considera o uso exclusivo de esquemas clássicos de criptografia de dados para a proteção de template biométrico. Recentes avanços na comparação de biometria protegida foram obtidos pelo emprego conjunto de códigos corretores de erro e primitivas criptográficas (Cavoukian & Stoianov, 2014). Essas técnicas permitem a geração de templates irreversíveis. Alguns esquemas também permitem a geração de múltiplos templates protegidos a partir da biometria original, o que permite a revogação e re-emissão, no caso de comprometimento. As diferentes abordagens para a proteção do template são classificadas em: 1) aplicação de transformações da imagem (irreversíveis ou reversíveis com uso de chave secreta) para a geração de biometria cancelável, e 2) o emprego de criptossistemas (com geração ou regeneração de chaves). Outra abordagem promissora é a comparação da biometria no domínio cifrado, usando criptografia homomórfica (Bringer, Chabanne, Izabachène, Pointcheval, Tang, & Zimmer, 2007)(Tuyls & Schoenmakers, 2007)(Upmanyu, Namboodiri, Srinathan, & Jawahar, ICB), mas sua aplicação ainda é limitada devido à alta complexidade dos algoritmos. O uso da íris, com uma melhor definição das bordas pela pupila e pela esclera, além do tamanho fixo do template, permite um melhor alinhamento da biometria e a uma melhor performance.A performance obtida para a esquema de verificação de íris com proteção de template é de FalsaRejeição=0.47%, @ FalsaAceitação<105 )(Cavoukian & Stoianov, Biometric Encryption: A positive sum Tech. that achives strong Authentication, Security AND Privacy, 2007), o que é ligeiramente inferior à performance do método de verificação sem a proteção de template. Sistemas biométricos, especialmente de verificação (1x1), são vulneráveis a diversos tipos de ataques, como spoofing, replay, substituição, reversão de biometria pelo template, entre outros(Ratha, Connell, & R.M., 2001). A segurança do sistema contra ataques de força bruta depende de uma análise da entropia real da chave derivada da biometria, já que a chave auxiliar é acessível. Em geral existe uma solução de compromisso dos cripto-sistemas biométricos: quanto melhor a performance, menor a entropia das chaves auxiliares.A análise da entropia e da distribuição de erros é abordada em trabalhos como (Daugman, 2001)(Rathgeb, Uhl, & Wild, 2011)(Kanade, Camara, Petrovska-Delacretaz, & Dorizzi, 2009). Com o objetivo de permitir uma avaliação e comparação da performance e da segurança de diferentes métodos, a norma ISO/IEC 30136, em desenvolvimento, tem como objetivo definir métricas para padronizar testes de performance em esquemas de proteção biométrico. Apesar dos métodos de proteção de template biométrico não terem atingido uma maturidade, diversos projetos de pesquisa foram realizados, como o TURBINE,que desenvolveu módulos de softwares para a proteção de template biométrico(TURBINE, 2009). O projeto BioKeyS, coordenado pelo BSI, realizou um estudo sobre esquemas de proteção baseados no método Fuzzy Commitment, com a realização de um piloto. Um protótipo, baseado na norma Digital Seal (BSI), foi realizado pela Secunet, usando o produto GenKey.O projeto Fidelity engloba a especificação do método de verificação com proteção do template biométrico,gravado em códigos 2D, para o modelo unificado de certidão de nascimento na comunidade Europeia (Busch, Yang, & Hogskolen, 2014). Portanto,padrões de projetos semelhantes podem ser usados na especificação do método de proteção de template biométrico deste modelo. 3.4 Leitura automática da identidade A usabilidade da aplicação de verificação automática de integridade da identidade depende do custo do equipamento de leitura. O emprego de câmeras de smartphones permitiria ampliar o uso dessa função. Para isso, é necessária a pesquisa de métodos de identificação automática (AIDC-Automatic Identification and Data Capture) em documentos estruturados, robustos à variações de perspectiva e de exposição. Além da identificação de áreas de texto, de imagem, e de códigos de barra, os requisitos funcionais englobam o reconhecimento automático de texto no MRZ (OCR) e dos códigos de barra (BCR). A performance do método de identificação pode ser melhorada com o emprego de identificadores de área (SAI- Scanning Areas Identifiers), previstas também na norma ISO/IEC 18013-3. Testes preliminares, com uso de câmeras de vídeo VGA, apontam para a viabilidade de identificação e decodificação de elementos bidimensionais, como código 2D, MRZ e imagem da face. Nesse sentido, técnicas de baixa complexidade computacional, compatíveis com o emprego de smartphones, devem ser adotadas, como SIFT(Lowe, 1999) e Viola e Jones(Viola & Jones, 2003). Estudos complementares devem avaliar a performance destes métodos e otimizar o emprego de SAI. 4. Conclusão O presente trabalho apresenta um protótipo inicial de documento de identidade robusto a fraudes e de baixo custo, como alternativa à emissão de eIDs, que possuem um custo superior e têm alcançado uma baixa taxa de adesão na Europa. A análise preliminar apontou para a viabilidade do emprego de códigos de barra 2D para armazenamento da assinatura digital dos dados, com o uso de ECDSA,para a assinatura digital, e uma codificação compacta. Testes iniciais também apontam para a possibilidade do uso de câmeras de smartphones para a identificação e leitura dos elementos da identidade, como MRZ, a imagem da face e os códigos de barra. O uso de hashing robusto é proposto para a autenticação da imagem facial impressa, empregando algum dos métodos encontrados na literatura científica. O trabalho também faz uma análise sobre a evolução da pesquisa sobre proteção de template biométrico e sobre a perspectiva de aplicação em documentos de identidades sem chip, onde foram identificados projetos com propostas semelhantes.Testes preliminares também apontam para a viabilidade do emprego de algoritmos rápidos, como SIFT e Viola e Jones, para a identificação dos elementos da imagem da identidade. A estrutura dos dados é definida apenas em alto nível.Estudos futuros ainda são necessários para uma especificação detalhada e para a escolha do algoritmo de autenticação passiva da imagem impressa. 5. Agradecimentos Este trabalho teve o apoio da UnB, através do Termo de Cooperação 1/2013-MJ. 6. Referências Amora, D. (2014, 07 20). TCU aponta risco de fraude bilionária no INSS.Retrieved from http://auditar.org.br/web/?h_pg=noticias&bin=read&id=1519 Bringer, J., Chabanne, H., Izabachène, M., Pointcheval, D., Tang, Q., & Zimmer, S. (2007). An Application of the Goldwasser-Micali Cryptosystem to Biometric Authentication. LNCS . Busch, C., Yang, B., & Hogskolen. (2014). Trustworth lifecycle management for public documents.Fidelity Project. Carmen Cuesta. (2015). DNI-e 3.0: un paso más en el impulso de la sociedad digital.Flash Economia Digital. Castro, D. (2011). Explaining International Leadership: Electtronic Identification Systems. ITIF. Cavoukian, A., & Stoianov, A. (2007). Biometric Encryption: A positive sum Tech. that achives strong Authentication, Security AND Privacy. Ontario Inf. and Privacy Commissioner. Cavoukian, A., & Stoianov, A. (2014). Privacy by Design Solutions for Biometric Oneto-Many Identification Systems. Ontario Inf. and Privacy Commissioner. Daugman, J. (2001). The importance of being random: statistical principles of iris recognition. Pattern Recognition, Elsevier , 279-291. Fumy, W., & Paeschke, M. (2011). Handbook of eID Security: Concepts, Practical Experiences, Technologies.Wiley. Fundacion Orange. (2014). Informe anual sobre el desarollo de la sociedad de la información en Espana. Gobierno do Chile, Min. de Justicia. (2013). Sistema de identificación multibiométrico. Husain, A., Bakhtiari, M., & Zainal, A. (2014). Printed Document Integrity Verification Using Barcode. Journal Teknologi (Sciences and Eng. , pp. 99-106. IATA. (2008). IATA resolution 792 Bar CodedD Boarding Pass - Version 3. ILO Office. (2006). Seafarers- Identity Document Convention (Revised) No 185. Inst.Federal Electoral do Mexico. (2013). Acordo CG293/2013. Diario Oficial. Kanade, S., Camara, D., Petrovska-Delacretaz, D., & Dorizzi, B. (2009). Application of Biometrics to Obtain High Entropy Cryptographic Keys. World Academy of Science, Eng. and Tech., (pp. 251-255). Kuacharoen, M. W. (2012). Paper-based Document Authentication using Digital Signature and QR Code. Int. Conf. on Computer Eng. and Tech. Kubicek, H., & Noack, T. (2010). Different countries-different paths extended comparison of the introduction of eIDs in eight European countries. Identity in Inf. Society , 235-245. Lee, J.-i., Kwon, T., Song, S., & Song, J. (2002). A Model for Embedding and Authorizing Digital Signatures in Printed Documents. ICISC, (pp. 465-477). Lowe, D. G. (1999). Object Recognition from Local Scale-Invariant Features. Proc. of the Int. Conf. on Computer Vision Vol 2, (pp. 1-8). National Fraud Authority. (2012). Retrieved from Annual Fraud Indicator: https://www.gov.uk/government/uploads/system/uploads/ attachment_data/file/118530/annual-fraud-indicator-2012.pdf NIST. (2013). NIST Special Publication 800-63-2. ONU. (2012). E-government Survey: E- government for the people. New York. Pascoal, A., & Miller, S. (2013). Identity Fraud Report: Data Breaches Becoming a Treasure Trove For Fraudsters. Javelin Strategy & Research. Poller, A., Waldmann, U., & Vowé, S. (2012). Electronic Identity Cards for User Authentication- Promise and Practice. IEEE Security & Privacy , pp. 46-54. Project, Bangladesh Election Commission IDEA. (2014). Notification Award. Querini, M., & Italiano, G. F. (2012). Facial Biometrics for 2D Barcodes. FedCSIS, (pp. 755-762). Ratha, N., Connell, J. H., & R.M., B. (2001). Enhancing security and privacy in biometrics-based authentication systems. IBM Systems Journal , 614-634. Rathgeb, C., Uhl, A., & Wild, P. (2011). On Combining Selective Best Bits of IrisCodes. BioID. RENIEC. (2012). Documento Nacional de Identidad Electrónico- DNIE Perú. Serasa Consumidor. (2015, 05 06). Retrieved 08 10, 2015, from http://noticias.serasaexperian.com.br/marco-registra-recorde-historico-nas-tentativasde-fraude-contra-o-consumidor-revela-indicador-serasa-experian/ Shimizu, D. M., & Kim, H. Y. (2007). Perceptual hashing for hardcopy document authentication using morphological segmentation. Int. Symposium on Mathematical Morphology, (pp. 77-78). Smoaca, A. (2012). ID Photograph hashing: a global approach. HAL Id: tel-00719585 . Stevens, T., Elliott, J., Hoikanen, A., Maghiros, I., & Lusoli, W. (2010). The State of the Electronic Identity Market: Technologies, Infrastructure, Services and Policies. JRC Scientific and Technical Reports, IPTS. Torres, J., Deus, F., & Junior, R. D. (2014). Diagnóstico do governo eletrônico brasileiro - uma análise com base no modelo de gerenciamento de identidades e no novo guia de serviços. XIV SBSEG, (pp. 490-499). Torres, J., Peixoto, H., Deus, F., & Junior, R. D. (2015). An Analysis of the Brazilian Challenges to Advance in e-Government. ECEG, (pp. 282-291). TURBINE. (2009). D 2.3.1 TURBINE SW modules for protected Biometric. Tuyls, B., & Schoenmakers, P. (2007). Computationally secure authentication with noisy data. In Security with Noisy Data: Private Biometrics, Secure Key Storage and Anti-Counterfeiting. Springer Verlag. United Nations . (2014). United Nations E-Gov Survey 2014. Upmanyu, M., Namboodiri, A. M., Srinathan, K., & Jawahar, C. V. (ICB). Efficient Biometric Verification in Encrypted Domain. 2009, (pp. 901-908). Viola, P., & Jones, M. (2003). Robust real-time face detection. Proc. of Computer Vision and Pattern Recognition, (pp. 137-154). Weng, L., Darazi, R., Preneel, B., Macq, B., & Dooms, A. (2012). Robust Image Content Authentication Using Perceptual Hashing and Watermarking. Advances in Multimedia Inf. Processing, (pp. 315-336). Wua, D., Zhou, X., & Niu, X. (2009). A novel image hash algorithm resistant to print– scan. Signal Processing , 2415-2424.
Documentos relacionados
Introdução à Biometria - Advanced Source Code . Com
De uma maneira geral, a comunidade biométrica diferencia vários tipos de erros, conforme a localização lógica de sua ocorrência. As diferentes aplicações biométricas podem ter diferentes definições...
Leia mais