SICUREZZA DEI SISTEMI BIOMETRICI Guidi Giacomo [email protected] Definizione • BIOMETRIA: è la disciplina che ha come oggetto di studio la misurazione delle variabili fisiologiche o comportamentali tipiche degli organismi, attraverso metodologie matematiche e statistiche. I dati biometrici di un essere umano sono derivabili dalla misurazione di varie caratteristiche del corpo o del comportamento. [Wikipedia] • SISTEMA DI RICONOSCIMENTO BIOMETRICO: sistema che permette di identificare una persona per una o più caratteristiche biologiche e/o comportamentali, confrontandole con un’immagine presente nel sistema tramite degli algoritmi. Introduzione • Al giorno d’oggi il problema più diffuso in ogni ambito è quello di provare la propria identità per avere accesso a luoghi o informazioni riservate. • Il riconoscimento dell’identità avviene tramite: I. Qualcosa che uno POSSIEDE II. Qualcosa che uno CONOSCE III. Qualcosa che CONTRADDISTINGUE l’utente Introduzione • Qualcosa che uno POSSIEDE: – Smart card,chiavi,carta d’identità,ecc... CONTRO: 1. In caso di furto,copia o prestito chiunque potrebbe prendere il nostro posto • Qualcosa che uno CONOSCE: – Informazioni segrete,generalmente coppia username-password o PIN PRO 1. Facili ed economici da generare CONTRO 1. Attualmente dobbiamo ricordarci tante password 2. Password sicure devono sembrare random ma sono difficili da memorizzare 3. Tante tecniche di hacking per carpire queste informazioni riservate • Alcune volte vi è una combinazione di queste due tecniche per un maggior livello di sicurezza Introduzione • Qualcosa che CONTRADDISTINGUE l’utente: – Caratteristiche biometriche – Quello che fa implicitamente il nostro cervello per riconoscere le persone PRO 1. Alto grado di sicurezza che la persona sia effettivamente chi dice di essere perché ne verifichiamo le caratteristiche fisiche 2. Difficile copiare le caratteristiche di una persona CONTRO 1. Necessita di strumenti di costo elevato 2. Non è facile costruire tecniche di riconoscimento automatico 3. Non vi è la certezza al 100% della correttezza del risultato Cenni storici • • L’inventore del primo sistema di riconoscimento biometrico fu nel 1882, l’allora capo del primo laboratorio di polizia scientifica e di identificazione dei criminali della polizia francese, Alphonse Bertillon. Il suo metodo consisteva nella rilevazione delle misure fisiche dei detenuti basandosi su due principali idee: – l’ossatura umana non cambia più dopo il ventesimo anno d’età – ogni scheletro è diverso per ciascun individuo. • • Il sistema cadde in disuso quando il sistema a causa degli strumenti poco precisi messi a disposizione si trovarono a schedare due uomini con caratteristiche e misurazioni quasi uguali. Agli inizi del ‘900 gli studi di Galton sull’univocità delle minuzie delle impronte digitali portarono all’utilizzo di queste ultime caratteristiche per schedare e riconoscere i criminali. Caratteristiche biometriche (1) • Attualmente le caratteristiche fin’ora studiate dai sistemi di riconoscimento biometrico si dividono in due principali categorie e sono le seguenti: FISIOLOGICHE: Impronta digitale, Geometria della mano, Iride, Retina, Volto, DNA, ecc.. COMPORTAMENTALI: Firma, Voce, Stile di battitura, ecc… Caratteristiche biometriche (2) La tabella a fianco mostra quando nel ciclo di vita dell’uomo le varie caratteristiche biometriche si formano o si modificano: Caratteristiche Biometriche genetica fenotipica Comportamentale Fingerprint (only minutia) o ooo o Signature (dynamic) oo o ooo Facial geometry ooo o o Iris pattern o ooo o Genetica : determinata dalla composizione del DNA Fenotipica: attraverso casuali condizioni in cui si trova l’embrione nelle prime fasi dello sviluppo Comportamentale: attraverso le varie fasi della vita Retina (Vein structure) o ooo o Hand geometry ooo o o Finger geometry ooo o o Vein structure of the hand o ooo o Ear form ooo o o Voice (Tone) ooo o oo DNA ooo o o Odor ooo o o Keyboard Strokes o o ooo Comparison: Password (ooo) Caratteristiche biometriche (3) • La caratteristica biometrica perfetta per il riconoscimento dovrebbe avere le seguenti caratteristiche: UNIVERSALI:tutti devono averla UNICHE:due o più individui non possono avere la stessa uguale caratteristica PERMANENTE: questa non varia nel tempo COLLEZIONABILI: deve essere misurata quantitativamente Fasi del riconoscimento(1) I. Enrollment: è la fase in cui il sistema biometrico immagazzina per la prima volta le informazioni riguardanti le caratteristiche biometriche di un individuo (indipendentemente su quali il sistema stia lavorando) Generalmente nel passo di enrollment non viene immagazzinata direttamente l’immagine catturata ma solo determinate informazioni utili al riconoscimento, detto TEMPLATE. PRO: • Minore quantità di dati da memorizzare • Favorisce la cifratura • Se sottratto è molto più difficile ricostruirne la caratteristica in laboratorio • Nel maching viene utilizzato il template MEMORIZZAZIONE Memoria del dispositivo,base dati centrale(sconsigliato,meglio dispositivi decentralizzati),smartcard,ecc.. Fasi del riconoscimento(2) I. Autenticazione: tutte le susseguenti occasioni in cui vogliamo accedere al servizio: a) VERIFICA (matching 1 a 1): determina se l’utente è veramente colui che dice di essere. Deve fornire anche il dispositivo contenente le informazioni (sotto forma di template) della propria caratteristica biometrica,ad esempio smart card,ecc.. b) IDENTIFICAZIONE (matching 1 a molti):cerca nel database interno se l’individuo è autorizzato ad accedere al servizio (l’individuo non dichiara a priori la propria identità Matching • • • Il matching delle caratteristiche biometriche deve fornire un risultato di “match” o “non macth” ma la precisione non è garantita al 100% poiché ad ogni acquisizione la caratteristica biometrica può variare leggermente (problemi di acquisizione,elasticità della pelle,espressioni del volto,ecc..) Risolviamo il problema dando uno score al risultato del match, si utilizza poi un valore di soglia prefissata per definire se il match è positivo o negativo. La scelta del valore di soglia è fondamentale ed è opportuno cariarlo da applicazione ad applicazione,esso può portare a due tipi di errore: – – • • False Match (o False Acceptance) misurazioni biometriche di persone diverse sono erroneamente considerate appartenenti alla stessa persona; False Non-Match (o False Rejection) misurazioni biometriche della stessa persona sono erroneamente attribuite a persone diverse Da cui ne deriviamo i corrispondenti Error-rate: False Match Rate(FMR) e False Non-Match Rate (FNMR). La scelta del valore di soglia t determina nei sistemi di riconoscimento il livello di sicurezza del dispositivo. FMR e FNMR •Al crescere del valore di t che scegliamo, diminuiamo la probabilità di accettare persone non autorizzate, ma aumentiamo la probabilità di negare l’accesso a persone autorizzate a causa di particolari condizioni del dispositivo al momento dell’acquisizione o del dato biometrico,ecc.. •Viceversa diminuendo il valore di t scelto le probabilità si invertono. •Un buon punto di compromesso è il valore ERR (Equal Error Rate) che indica il punto in cui FMR = FNMR Errori comuni • Generalmente si possono riscontrare problemi ed errori nei casi di: – VARIABILITA’ INTRACLASSE: immagini molto differenti per lo stesso individuo – SIMILARITA’ INTERCLASSE: immagini simili di individui diversi Parametri del sistema biometrico (1) • • A. Sicurezza – Accuratezza • FMR (False Match Rate) • FNMR (False Non Match Rate) – Interazione con l’amministratore • • • • EER (Equal Error Rate) – Resistenza a contraffazioni • Vivezza • Falsificazione B. Robustezza – Rispetto alla stabilità della caratteristica biometrica(template che si modificano nel tempo) – Rispetto ad alcuni individui,popolazioni,lavoratori – Rispetto all’ambiente C. Usabilità – Interazione con l’utente • • Facilità d’uso Praticità Training Enrollment Praticità Strumenti di amministrazione Necessità di supervisione – Efficienza • • Nella fase di enrollment Nella fase di identificazione/verifica D. Accettabilità – Della caratteristica biometrica – Delle operazioni di enrollment e riconoscimento E. Varie – – – – – Costo Occupazione spazio Dimensione del template Possibilità di integrazione Adattabilità Parametri del sistema biometrico(2) Sicurezza dei sistemi biometrici(1) DEFINIZIONE: l’insieme delle misure adottate per rendere sicure le fasi di registrazione , memorizzazione del template, trasporto, integrazione del dato all’interno del sistema. POSSIBILI ATTACCHI AL SISTEMA: I. AI DISPOSITIVI BIOMETRICI: si cerca di rubare i template memorizzati I. Smontando o sostituendo alcuni componenti del sistema SOLUZIONE:Controllo fisico dei componenti II. AI LINK: intercettazione dei dati sensibili durante il passaggio dal dispositivo di acquisizione al compilatore che esegue il matching I. Ascolto della rete,cavi di collegamento,ecc.. SOLUZIONE:Crittografia,protocolli per tranzsazioni sicure SSL, utilizzo di dispositivi che elaborano direttamente i dati senza farli viaggiare (smart card potenti) III. AI PROCESSORI: si cerca di estrarre il template dal dispositivo SOLUZIONE: Smart card con processori non vulnerabili (costose) Privacy • Il furto o l’utilizzo improprio dei dati biometrici può causare gravi violazioni della privacy: I. Studiando le caratteristiche biometriche in maniera approfondita si possono carpire informazioni mediche importanti(HIV, allergie,ecc..) II. Le informazioni derivate dall’acquisizione dei dati biometrici potrebbero essere usati per scopi diversi dalla verifica o identificazione dell’indivduo (assunzioni,concorsi,licenziamenti,ecc..) III. L’uso spropositato delle caratteristiche biometriche può portare ad una più facile possibilità di intercettazione e di falsificazione dei suddetti dati • • Per ovviare a questi problemi è necessario quindi proteggere i dati sensibili acquisiti e memorizzati. Nel 2005 il garante della privacy per ovviare al problema descritto al terzo punto ha deliberato che: – – È illegittimo l'utilizzo di dati biometrici per attività come la registrazione delle presenze dei dipendenti presso la sede di lavoro,dato che quest’ultima attività può essere svolta in modo efficiente ed affidabile attraverso l’uso di strumenti di registrazione tradizionali, in quanto la richiesta di acquisire dati biometrici per questi scopi appare sproporzionata,al fine di salvaguardare del diritto alla privacy. Eccezion fatta per finalità di controllo antiterroristico, o per il controllo degli accessi all'interno d'impianti produttivi operanti su materiale altamente pericoloso. Pro e Contro In conclusione l’utilizzo dei sistemi biometrici ha: VANTAGGI: L’utente non può perdere, prestare o dimenticare le proprie caratteristiche biometriche Garantiscono la presenza della persona, in quanto e molto difficile falsificare le caratteristiche fisiche di altri individui(iride, impronte,ecc..) SVANTAGGI: Non garantiscono un’accuratezza al 100% (matching non sempre facile) Alcuni utenti non possono utilizzare alcune tecnologie (mutilati,ecc) Alcune caratteristiche mutano nel tempo L’accuratezza dipende anche dall’affidabilità e dalla qualità dei dispositivi A volte è difficile e costoso acquisire e memorizzare i dati. Applicazioni (1) • L’uso dei sistemi biometrici sta avendo una forte espansione in numerosi campi applicativi quali: controllo accessi,identificazione in aeroporti e frontiere,login a pc, auto e telefoni, carta d’identità, servizi sociali,votazioni ecc.. Fingerprint: point of sales Hand geometry: Ben Gurion airport Applicazioni (2) • Altre applicazioni: – – – • ICAO(International Civil Avionic Organization) inserisce le caratteristiche biometriche dell’iride,impronta e volto per i passaporti Identificazione vittime di disastri ambientali (vittime dello tsunami identificate dall’arcata dentale) Carta d’identità elettronica,Permesso di soggiorno elettronico. Possiamo classificare le varie applicazioni in tanti gruppi a seconda delle loro caratteristiche e del loro utilizzo. – – – – – – – COOPERATIVE VS NON COOPERATIVE; EVIDENTI VS NASCOSTE; ABITUALI VS NON ABITUALI; SUPERVISIONATE VS NON SUPERVISIONATE; AMBIENTI OPERATIVI STANDARD VS NON STANDARD; RIVOLTO A CLIENTI O IMPIEGATI; ADATTE AD UNA SINGOLA APPLICAZIONE O A PIU’ APPLICAZIONI; Impronta Digitale DEFINIZIONE: Una impronta digitale, detta anche dermatoglifo, può essere definita come lo schema alternato di creste e valli che possono essere facilmente rilevate sulla superficie delle dita, in particolar modo sull'ultima falange. PROPRIETA’: • Uniche per ogni individuo (gemelli omozigoti hanno impronta digitali diverse), dimostrato empiricamente; • Persistenti nel tempo anche se possono subire modifiche temporanee dovute a tagli,abrasioni,ecc.. • Facili da acquisire (in teoria bastano strumentazioni poco costose anche se per avere risultati precisi e affidabili occorrono sensori potenti e puliti) Impronte Digitali-Struttura Un’impronta è composta da un insieme di linee (ridge line), che scorrono principalmente parallele, creando un pattern (ridge pattern) Creste Valli Analizzando le ridge line possiamo individuare TERMINAZIONI e BIFORCAZIONI La forma e l’andamento delle ridge line determinano le Macro e Micro caratteristiche dell’impronta digitale Impronte Digitali- Macro caratteristiche • Le macro singolarità fondamentali sono: – DELTA – LOOP – WHORL Impronte Digitali-Classificazione • Ridge che entrano da un lato, salgono formando una piccola protuberanza ed escono dalla parte opposta. • Non presentano loop e delta. Caratterizzata da una o più ridge che entrano dal lato sinistro, curvano ed escono nuovamente dal lato sinistro. • Presenta 1 loop e 1 delta. • Caratterizzata da una o più ridge che entrano dal lato destro, curvano ed escono nuovamente dal lato destro. • Presenta 1 loop e 1 delta. • Simile alla classe arch (plain), ma con almeno una ridge che presenta curvatura elevata. • Presenta 1 loop e 1 delta. • Caratterizzata da almeno una ridge che effettua un giro completo di 360° attorno al centro dell’impronta. • Presenta 2 loop (=1 whorl) e 2 delta Impronte Digitali- Micro Caratteristiche • Le micro caratteristiche o MINUZIE consistono nelle discontinuità delle ridge line • Nel modello dell’FBI le terminazioni e le biforcazioni sono modellate in termini di tipologia, coordinate (x,y) e dell’angolo che la tangente alla minuzia forma con l’asse orizzontale. Impronta Digitale-Aquisizione • Durante l’acquisizione dobbiamo tenere conto di alcuni parametri: – RISOLUZIONE: è il numero di dot per inch (dpi) dell’immagine acquisita. 500 dpi è la risoluzione minima per scanner FBI-compliant – AREA: dimensioni minime dell’immagine. Secondo le disposizione FBI deve essere di almeno 1 x 1 inch. – RANGE DINAMICO: numero di bit utilizzati dal dispositivo per codificare il valore d’intensità di ciascun pixel. – ACCURATEZZA GEOMETRICA: massima distorsione geometrica introdotta dal dispositivo • Qualità dell’immagine: Impronte Digitali - Matching • L’obiettivo del matching è quello di verificare la similarità tra due impronte: PROBLEMI: SCARSA SOVRAPPOSIZIONE (traslazione, rotazione, dimensioni dell’area diverse) DISTORSIONE NON LINEARE DELLA PELLE CONDIZIONI DELLA PELLE E DEL DISPOSITIVO (pelle troppo umida o troppo secca,umidità dell’aria,sensore sporco) ERRORI NELL’ESTRAZIONE DELLE CARATTERISTICHE • Varie tecniche per effettuare il matching CORRELAZIONE TRA IMMAGINI ANALISI RIDGE PATTERN MINUZIE Impronte Digitali- Sicurezza (1) • • Oltre al problema della sicurezza delle informazioni memorizzate già discusso dobbiamo tenere conto della possibilità di poter riprodurre le impronte digitali a laboratorio: Data un’immagine di un’impronta, è possibile con adeguate strumentazioni riprodurla con diversi materiali: Impronte Digitali- Sicurezza (2) • Negli ultimi anni la ricerca si è orientata sulla possibilità di ricostruire le impronte digitali in laboratorio non più da immagini ma direttamente dai template. Impronte Digitali- Sicurezza (3) • Sono stati creati svariati metodi e algoritmi per cercare di risolvere il problema della contraffazione delle impronte digitali, che cercano di sfruttare le caratteristiche intrinseche della pelle che la differenziano dai materiali utilizzati in laboratorio, quali: Odore della pelle Sensori che rilevano l’odore Elasticità della pelle Algoritmi per l’analisi della distorsione Pressione sanguigna Resistenza elettrica Colore della pelle Riconoscimento del volto • E’ la tecnica che il nostro cervello utilizza per riconoscere le persone • Può essere sempre utilizzata indipendentemente dal comportamento dell’individuo che deve effettuare l’accesso: – COOPERATIVO – NON COOPERATIVO – RETICENTE ED OSTILE • Secondo recenti direttive ISO/ICAO è la caratteristica biometrica principale adottata nel passaporto elettronico • Non adatto per applicazioni che richiedono livelli di sicurezza elevati Riconoscimento del volto – Problematiche • E’ una caratteristica biometrica non persistente nel tempo – – – • Il riconoscimento non è un operazione facile – – • ESPRESSIONI FACCIALI SEMPRE DIVERSE OCCHIALI,CAPELLI CHE COPRONO PARTE DEL VISO La localizzazione del volto può essere problematica – – – • INVECCHIAMENTO CAMBIAMENTO DI LOOK OPERAZIONI CHIRURGICHE VARIAZIONI D’ILLUMINAZIONE VARIAZIONE DELLO SFONDO PIU’ VOLTI IN UN’IMMAGINE Soffre di variabilità – – INTRA-CLASSE (varie posizioni del viso) INTER-CLASSE (somiglianza) Iride • • • L'iride è una membrana muscolare dell'occhio di colore variabile, con forma e funzione di diaframma, pigmentata, situata posteriormente alla cornea e davanti al cristallino, perforata dalla pupilla. L’iride è la regione circolare dell’occhio tra la pupilla e la sclera (parte bianca dell’occhio); la sua dimensione è di circa 11 mm. La tessitura dell’iride si definisce nel corso dei primi due anni di vita ed è caratterizzata da informazioni molto discriminanti, utili ai fini dell’identificazione. Iride – Vantaggi & Svantaggi VANTAGGI: – – – – – UNICA anche gemelli identici hanno iridi diverse. STABILE durante tutto l’arco della vita TEMPLATE di piccole dimensioni MATCHING VELOCE SICURO rispetto a furti e ricostruzioni in laboratorio SVANTAGGI: – COLLABORAZIONE dell’utente – Richiede immagini di BUONA QUALITA’ – Problemi rispetto a: • • • • • • SCALATURA ROTAZIONE RIFRAZIONE della luce DILATAZIONE pupilla OCCHIALI e LENTI A CONTATTO CIGLIA che coprono parte dell’occhio – DISPOSITIVI costosi – Fornisce INFORMAZIONI PERSONALI sulla salute Bibliografia • [Franco09] A. Franco, http://bias.csr.unibo.it/franco/SB/, 2009 • [ACMM06] A. Antonelli, R. Cappelli, D. Maio, D. Maltoni, A new approach to fake finger detection based on skin distortion, International Conference on Biometrics, Hong Kong, 2006 • [CLMM07] R. Cappelli,A. Lumini, D. Maio, D. Maltoni Fingerprint Image Reconstruction from Standard Templates, IEEE Transactions on Pattern Analysis Machine Intelligence , vol.29, no.9, pp.1489-1503, September 2007. • [Wiki10] Wikipedia , 2010