SICUREZZA DEI SISTEMI
BIOMETRICI
Guidi Giacomo
[email protected]
Definizione
• BIOMETRIA: è la disciplina che ha come oggetto di studio la
misurazione delle variabili fisiologiche o comportamentali tipiche
degli organismi, attraverso metodologie matematiche e statistiche.
I dati biometrici di un essere umano sono derivabili dalla
misurazione di varie caratteristiche del corpo o del
comportamento. [Wikipedia]
• SISTEMA DI RICONOSCIMENTO BIOMETRICO: sistema che
permette di identificare una persona per una o più caratteristiche
biologiche e/o comportamentali, confrontandole con
un’immagine presente nel sistema tramite degli algoritmi.
Introduzione
• Al giorno d’oggi il problema più diffuso in ogni ambito è
quello di provare la propria identità per avere accesso a
luoghi o informazioni riservate.
• Il riconoscimento dell’identità avviene tramite:
I. Qualcosa che uno POSSIEDE
II. Qualcosa che uno CONOSCE
III. Qualcosa che CONTRADDISTINGUE l’utente
Introduzione
•
Qualcosa che uno POSSIEDE:
– Smart card,chiavi,carta d’identità,ecc...
CONTRO:
1.
In caso di furto,copia o prestito chiunque potrebbe prendere il nostro posto
•
Qualcosa che uno CONOSCE:
–
Informazioni segrete,generalmente coppia username-password o PIN
PRO
1.
Facili ed economici da generare
CONTRO
1.
Attualmente dobbiamo ricordarci tante password
2.
Password sicure devono sembrare random ma sono difficili da memorizzare
3.
Tante tecniche di hacking per carpire queste informazioni riservate
•
Alcune volte vi è una combinazione di queste due tecniche per un
maggior livello di sicurezza
Introduzione
•
Qualcosa che CONTRADDISTINGUE l’utente:
– Caratteristiche biometriche
– Quello che fa implicitamente il nostro cervello per riconoscere le persone
PRO
1. Alto grado di sicurezza che la persona sia effettivamente chi dice di essere perché
ne verifichiamo le caratteristiche fisiche
2. Difficile copiare le caratteristiche di una persona
CONTRO
1. Necessita di strumenti di costo elevato
2. Non è facile costruire tecniche di riconoscimento automatico
3. Non vi è la certezza al 100% della correttezza del risultato
Cenni storici
•
•
L’inventore del primo sistema di riconoscimento biometrico fu nel
1882, l’allora capo del primo laboratorio di polizia scientifica e di
identificazione dei criminali della polizia francese, Alphonse
Bertillon.
Il suo metodo consisteva nella rilevazione delle misure fisiche dei
detenuti basandosi su due principali idee:
– l’ossatura umana non cambia più dopo il ventesimo anno d’età
– ogni scheletro è diverso per ciascun individuo.
•
•
Il sistema cadde in disuso quando il sistema a causa degli strumenti
poco precisi messi a disposizione si trovarono a schedare due uomini
con caratteristiche e misurazioni quasi uguali.
Agli inizi del ‘900 gli studi di Galton sull’univocità delle minuzie delle
impronte digitali portarono all’utilizzo di queste ultime
caratteristiche per schedare e riconoscere i criminali.
Caratteristiche biometriche (1)
•
Attualmente le caratteristiche fin’ora studiate dai sistemi di riconoscimento
biometrico si dividono in due principali categorie e sono le seguenti:
 FISIOLOGICHE:







Impronta digitale,
Geometria della mano,
Iride,
Retina,
Volto,
DNA,
ecc..
 COMPORTAMENTALI:




Firma,
Voce,
Stile di battitura,
ecc…
Caratteristiche biometriche (2)
La tabella a fianco
mostra quando nel
ciclo di vita dell’uomo
le varie caratteristiche
biometriche si
formano o si
modificano:
Caratteristiche
Biometriche
genetica
fenotipica
Comportamentale
Fingerprint (only
minutia)
o
ooo
o
Signature (dynamic)
oo
o
ooo
Facial geometry
ooo
o
o
Iris pattern
o
ooo
o
Genetica :
determinata dalla
composizione del DNA
Fenotipica:
attraverso casuali
condizioni in cui si
trova l’embrione nelle
prime fasi dello
sviluppo
Comportamentale:
attraverso le varie fasi
della vita
Retina (Vein
structure)
o
ooo
o
Hand geometry
ooo
o
o
Finger geometry
ooo
o
o
Vein structure of the
hand
o
ooo
o
Ear form
ooo
o
o
Voice (Tone)
ooo
o
oo
DNA
ooo
o
o
Odor
ooo
o
o
Keyboard Strokes
o
o
ooo
Comparison:
Password
(ooo)
Caratteristiche biometriche (3)
•
La caratteristica biometrica perfetta per il riconoscimento dovrebbe avere le seguenti
caratteristiche:
 UNIVERSALI:tutti devono averla
 UNICHE:due o più individui non possono avere la stessa uguale caratteristica
 PERMANENTE: questa non varia nel tempo
 COLLEZIONABILI: deve essere misurata quantitativamente
Fasi del riconoscimento(1)
I.
Enrollment: è la fase in cui il sistema biometrico immagazzina per la prima
volta le informazioni riguardanti le caratteristiche biometriche di un
individuo (indipendentemente su quali il sistema stia lavorando)
Generalmente nel passo di enrollment non viene immagazzinata direttamente
l’immagine catturata ma solo determinate informazioni utili al riconoscimento, detto
TEMPLATE.
PRO:
• Minore quantità di dati da memorizzare
• Favorisce la cifratura
• Se sottratto è molto più difficile ricostruirne la caratteristica in laboratorio
• Nel maching viene utilizzato il template
MEMORIZZAZIONE
Memoria del dispositivo,base dati centrale(sconsigliato,meglio dispositivi
decentralizzati),smartcard,ecc..
Fasi del riconoscimento(2)
I.
Autenticazione: tutte le susseguenti occasioni in cui vogliamo accedere al
servizio:
a)
VERIFICA (matching 1 a 1): determina se l’utente è veramente colui che dice di
essere. Deve fornire anche il dispositivo contenente le informazioni (sotto forma
di template) della propria caratteristica biometrica,ad esempio smart card,ecc..
b)
IDENTIFICAZIONE (matching 1 a molti):cerca nel database interno se l’individuo
è autorizzato ad accedere al servizio (l’individuo non dichiara a priori la propria
identità
Matching
•
•
•
Il matching delle caratteristiche biometriche deve fornire un risultato di
“match” o “non macth” ma la precisione non è garantita al 100% poiché ad
ogni acquisizione la caratteristica biometrica può variare leggermente
(problemi di acquisizione,elasticità della pelle,espressioni del volto,ecc..)
Risolviamo il problema dando uno score al risultato del match, si utilizza poi
un valore di soglia prefissata per definire se il match è positivo o negativo.
La scelta del valore di soglia è fondamentale ed è opportuno cariarlo da
applicazione ad applicazione,esso può portare a due tipi di errore:
–
–
•
•
False Match (o False Acceptance) misurazioni biometriche di persone diverse sono
erroneamente considerate appartenenti alla stessa persona;
False Non-Match (o False Rejection) misurazioni biometriche della stessa persona sono
erroneamente attribuite a persone diverse
Da cui ne deriviamo i corrispondenti Error-rate: False Match Rate(FMR) e
False Non-Match Rate (FNMR).
La scelta del valore di soglia t determina nei sistemi di riconoscimento il
livello di sicurezza del dispositivo.
FMR e FNMR
•Al crescere del valore di t che scegliamo, diminuiamo la probabilità di
accettare persone non autorizzate, ma aumentiamo la probabilità di negare
l’accesso a persone autorizzate a causa di particolari condizioni del
dispositivo al momento dell’acquisizione o del dato biometrico,ecc..
•Viceversa diminuendo il valore di t scelto le probabilità si invertono.
•Un buon punto di compromesso è il valore ERR (Equal Error Rate) che
indica il punto in cui FMR = FNMR
Errori comuni
•
Generalmente si possono riscontrare problemi ed errori nei casi di:
– VARIABILITA’ INTRACLASSE: immagini molto differenti per lo stesso individuo
– SIMILARITA’ INTERCLASSE: immagini simili di individui diversi
Parametri del sistema biometrico (1)
•
•
A. Sicurezza
– Accuratezza
• FMR (False Match Rate)
• FNMR (False Non Match Rate)
– Interazione con l’amministratore
•
•
•
• EER (Equal Error Rate)
– Resistenza a contraffazioni
• Vivezza
• Falsificazione
B.
Robustezza
– Rispetto alla stabilità della
caratteristica biometrica(template
che si modificano nel tempo)
– Rispetto ad alcuni
individui,popolazioni,lavoratori
– Rispetto all’ambiente
C. Usabilità
– Interazione con l’utente
•
•
Facilità d’uso
Praticità
Training
Enrollment
Praticità
Strumenti di amministrazione
Necessità di supervisione
– Efficienza
•
•
Nella fase di enrollment
Nella fase di identificazione/verifica
D. Accettabilità
– Della caratteristica biometrica
– Delle operazioni di enrollment e
riconoscimento
E. Varie
–
–
–
–
–
Costo
Occupazione spazio
Dimensione del template
Possibilità di integrazione
Adattabilità
Parametri del sistema biometrico(2)
Sicurezza dei sistemi biometrici(1)
DEFINIZIONE: l’insieme delle misure adottate per rendere sicure le fasi di
registrazione , memorizzazione del template, trasporto, integrazione del dato
all’interno del sistema.
POSSIBILI ATTACCHI AL SISTEMA:
I. AI DISPOSITIVI BIOMETRICI: si cerca di rubare i template memorizzati
I.
Smontando o sostituendo alcuni componenti del sistema
SOLUZIONE:Controllo fisico dei componenti
II. AI LINK: intercettazione dei dati sensibili durante il passaggio dal dispositivo
di acquisizione al compilatore che esegue il matching
I.
Ascolto della rete,cavi di collegamento,ecc..
SOLUZIONE:Crittografia,protocolli per tranzsazioni sicure SSL, utilizzo di dispositivi che
elaborano direttamente i dati senza farli viaggiare (smart card potenti)
III. AI PROCESSORI: si cerca di estrarre il template dal dispositivo
SOLUZIONE: Smart card con processori non vulnerabili (costose)
Privacy
•
Il furto o l’utilizzo improprio dei dati biometrici può causare gravi violazioni
della privacy:
I.
Studiando le caratteristiche biometriche in maniera approfondita si possono carpire
informazioni mediche importanti(HIV, allergie,ecc..)
II. Le informazioni derivate dall’acquisizione dei dati biometrici potrebbero essere usati per
scopi diversi dalla verifica o identificazione dell’indivduo
(assunzioni,concorsi,licenziamenti,ecc..)
III. L’uso spropositato delle caratteristiche biometriche può portare ad una più facile possibilità
di intercettazione e di falsificazione dei suddetti dati
•
•
Per ovviare a questi problemi è necessario quindi proteggere i dati sensibili
acquisiti e memorizzati.
Nel 2005 il garante della privacy per ovviare al problema descritto al terzo
punto ha deliberato che:
–
–
È illegittimo l'utilizzo di dati biometrici per attività come la registrazione delle presenze dei
dipendenti presso la sede di lavoro,dato che quest’ultima attività può essere svolta in modo
efficiente ed affidabile attraverso l’uso di strumenti di registrazione tradizionali, in quanto la
richiesta di acquisire dati biometrici per questi scopi appare sproporzionata,al fine di
salvaguardare del diritto alla privacy.
Eccezion fatta per finalità di controllo antiterroristico, o per il controllo degli accessi
all'interno d'impianti produttivi operanti su materiale altamente pericoloso.
Pro e Contro
In conclusione l’utilizzo dei sistemi biometrici ha:
VANTAGGI:
 L’utente non può perdere, prestare o dimenticare le proprie
caratteristiche biometriche
 Garantiscono la presenza della persona, in quanto e molto difficile
falsificare le caratteristiche fisiche di altri individui(iride,
impronte,ecc..)
SVANTAGGI:
 Non garantiscono un’accuratezza al 100% (matching non sempre
facile)
 Alcuni utenti non possono utilizzare alcune tecnologie (mutilati,ecc)
 Alcune caratteristiche mutano nel tempo
 L’accuratezza dipende anche dall’affidabilità e dalla qualità dei
dispositivi
 A volte è difficile e costoso acquisire e memorizzare i dati.
Applicazioni (1)
•
L’uso dei sistemi biometrici sta avendo una forte espansione in
numerosi campi applicativi quali: controllo accessi,identificazione in
aeroporti e frontiere,login a pc, auto e telefoni, carta d’identità, servizi
sociali,votazioni ecc..
Fingerprint:
point of sales
Hand geometry: Ben
Gurion airport
Applicazioni (2)
•
Altre applicazioni:
–
–
–
•
ICAO(International Civil Avionic Organization) inserisce le caratteristiche biometriche
dell’iride,impronta e volto per i passaporti
Identificazione vittime di disastri ambientali (vittime dello tsunami identificate dall’arcata
dentale)
Carta d’identità elettronica,Permesso di soggiorno elettronico.
Possiamo classificare le varie applicazioni in tanti gruppi a seconda delle loro
caratteristiche e del loro utilizzo.
–
–
–
–
–
–
–
COOPERATIVE VS NON COOPERATIVE;
EVIDENTI VS NASCOSTE;
ABITUALI VS NON ABITUALI;
SUPERVISIONATE VS NON SUPERVISIONATE;
AMBIENTI OPERATIVI STANDARD VS NON STANDARD;
RIVOLTO A CLIENTI O IMPIEGATI;
ADATTE AD UNA SINGOLA APPLICAZIONE O A PIU’ APPLICAZIONI;
Impronta Digitale
DEFINIZIONE: Una impronta digitale, detta anche dermatoglifo, può
essere definita come lo schema alternato di creste e valli che possono
essere facilmente rilevate sulla superficie delle dita, in particolar
modo sull'ultima falange.
PROPRIETA’:
• Uniche per ogni individuo (gemelli omozigoti hanno impronta
digitali diverse), dimostrato empiricamente;
• Persistenti nel tempo anche se possono subire modifiche temporanee
dovute a tagli,abrasioni,ecc..
• Facili da acquisire (in teoria bastano strumentazioni poco costose
anche se per avere risultati precisi e affidabili occorrono sensori
potenti e puliti)
Impronte Digitali-Struttura
Un’impronta è composta da un insieme di linee (ridge line), che scorrono
principalmente parallele, creando un pattern (ridge pattern)
Creste
Valli
Analizzando le ridge line possiamo
individuare TERMINAZIONI e BIFORCAZIONI
La forma e l’andamento delle ridge line
determinano le Macro e Micro caratteristiche
dell’impronta digitale
Impronte Digitali- Macro caratteristiche
•
Le macro singolarità fondamentali sono:
– DELTA
– LOOP
– WHORL
Impronte Digitali-Classificazione
• Ridge che
entrano da un
lato, salgono
formando una
piccola
protuberanza
ed escono dalla
parte opposta.
• Non
presentano
loop e delta.
Caratterizzata
da una o più
ridge che
entrano dal
lato
sinistro,
curvano ed
escono
nuovamente
dal lato
sinistro.
• Presenta 1
loop e 1 delta.
• Caratterizzata
da una o più
ridge che
entrano dal
lato
destro, curvano
ed escono
nuovamente
dal lato destro.
• Presenta 1
loop e 1 delta.
• Simile alla
classe arch
(plain), ma con
almeno una
ridge che
presenta
curvatura
elevata.
• Presenta 1
loop e 1 delta.
• Caratterizzata
da almeno una
ridge che
effettua
un giro
completo di 360°
attorno al centro
dell’impronta.
• Presenta 2 loop
(=1 whorl) e 2
delta
Impronte Digitali- Micro
Caratteristiche
•
Le micro caratteristiche o MINUZIE consistono nelle discontinuità
delle ridge line
•
Nel modello dell’FBI le terminazioni e le biforcazioni sono modellate
in termini di tipologia, coordinate (x,y) e dell’angolo che la tangente
alla minuzia forma con l’asse orizzontale.
Impronta Digitale-Aquisizione
•
Durante l’acquisizione dobbiamo tenere conto di alcuni parametri:
– RISOLUZIONE: è il numero di dot per inch (dpi) dell’immagine acquisita.
500 dpi è la risoluzione minima per scanner FBI-compliant
– AREA: dimensioni minime dell’immagine. Secondo le disposizione FBI deve essere
di almeno 1 x 1 inch.
– RANGE DINAMICO: numero di bit utilizzati dal dispositivo per codificare il valore
d’intensità di ciascun pixel.
– ACCURATEZZA GEOMETRICA: massima distorsione geometrica introdotta dal
dispositivo
•
Qualità dell’immagine:
Impronte Digitali - Matching
•
L’obiettivo del matching è quello di verificare la similarità tra due
impronte:
PROBLEMI:
 SCARSA SOVRAPPOSIZIONE (traslazione, rotazione, dimensioni dell’area
diverse)
 DISTORSIONE NON LINEARE DELLA PELLE
 CONDIZIONI DELLA PELLE E DEL DISPOSITIVO (pelle troppo umida o troppo
secca,umidità dell’aria,sensore sporco)
 ERRORI NELL’ESTRAZIONE DELLE CARATTERISTICHE
• Varie tecniche per effettuare il matching
 CORRELAZIONE TRA IMMAGINI
 ANALISI RIDGE PATTERN
 MINUZIE
Impronte Digitali- Sicurezza (1)
•
•
Oltre al problema della sicurezza delle informazioni memorizzate già
discusso dobbiamo tenere conto della possibilità di poter riprodurre
le impronte digitali a laboratorio:
Data un’immagine di un’impronta, è possibile con adeguate
strumentazioni riprodurla con diversi materiali:
Impronte Digitali- Sicurezza (2)
•
Negli ultimi anni la ricerca si è orientata sulla possibilità di ricostruire
le impronte digitali in laboratorio non più da immagini ma
direttamente dai template.
Impronte Digitali- Sicurezza (3)
• Sono stati creati svariati metodi e algoritmi per cercare di
risolvere il problema della contraffazione delle impronte
digitali, che cercano di sfruttare le caratteristiche intrinseche
della pelle che la differenziano dai materiali utilizzati in
laboratorio, quali:





Odore della pelle  Sensori che rilevano l’odore
Elasticità della pelle  Algoritmi per l’analisi della distorsione
Pressione sanguigna
Resistenza elettrica
Colore della pelle
Riconoscimento del volto
•
E’ la tecnica che il nostro cervello utilizza per riconoscere le persone
•
Può essere sempre utilizzata indipendentemente dal comportamento
dell’individuo che deve effettuare l’accesso:
– COOPERATIVO
– NON COOPERATIVO
– RETICENTE ED OSTILE
•
Secondo recenti direttive ISO/ICAO è la caratteristica biometrica
principale adottata nel passaporto elettronico
•
Non adatto per applicazioni che richiedono livelli di sicurezza elevati
Riconoscimento del volto –
Problematiche
•
E’ una caratteristica biometrica non persistente nel tempo
–
–
–
•
Il riconoscimento non è un operazione facile
–
–
•
ESPRESSIONI FACCIALI SEMPRE DIVERSE
OCCHIALI,CAPELLI CHE COPRONO PARTE DEL VISO
La localizzazione del volto può essere problematica
–
–
–
•
INVECCHIAMENTO
CAMBIAMENTO DI LOOK
OPERAZIONI CHIRURGICHE
VARIAZIONI D’ILLUMINAZIONE
VARIAZIONE DELLO SFONDO
PIU’ VOLTI IN UN’IMMAGINE
Soffre di variabilità
–
–
INTRA-CLASSE (varie posizioni del viso)
INTER-CLASSE (somiglianza)
Iride
•
•
•
L'iride è una membrana muscolare dell'occhio di colore variabile, con
forma e funzione di diaframma, pigmentata, situata posteriormente
alla cornea e davanti al cristallino, perforata dalla pupilla.
L’iride è la regione circolare dell’occhio tra la pupilla e la sclera (parte
bianca dell’occhio); la sua dimensione è di circa 11 mm.
La tessitura dell’iride si definisce nel corso dei primi due anni di vita
ed è caratterizzata da informazioni molto discriminanti, utili ai fini
dell’identificazione.
Iride – Vantaggi & Svantaggi
VANTAGGI:
–
–
–
–
–
UNICA anche gemelli identici hanno iridi diverse.
STABILE durante tutto l’arco della vita
TEMPLATE di piccole dimensioni
MATCHING VELOCE
SICURO rispetto a furti e ricostruzioni in laboratorio
SVANTAGGI:
– COLLABORAZIONE dell’utente
– Richiede immagini di BUONA QUALITA’
– Problemi rispetto a:
•
•
•
•
•
•
SCALATURA
ROTAZIONE
RIFRAZIONE della luce
DILATAZIONE pupilla
OCCHIALI e LENTI A CONTATTO
CIGLIA che coprono parte dell’occhio
– DISPOSITIVI costosi
– Fornisce INFORMAZIONI PERSONALI sulla salute
Bibliografia
• [Franco09] A. Franco, http://bias.csr.unibo.it/franco/SB/,
2009
• [ACMM06] A. Antonelli, R. Cappelli, D. Maio, D. Maltoni,
A new approach to fake finger detection based on skin
distortion, International Conference on Biometrics, Hong
Kong, 2006
• [CLMM07] R. Cappelli,A. Lumini, D. Maio, D. Maltoni
Fingerprint Image Reconstruction from Standard
Templates, IEEE Transactions on Pattern Analysis
Machine Intelligence , vol.29, no.9, pp.1489-1503,
September 2007.
• [Wiki10] Wikipedia , 2010