Sistemi Biometrici (SB)
Lezione 3: Le Biometriche
Docente: Michele Nappi
pp
[email protected]
www.dmi.unisa.it/people/nappi
089-963334
Sicurezza dei Sistemi Biometrici
Test di violabilità di sistemi biometrici in commercio hanno
di
dimostrato
t t che
h molti
lti sono vulnerabili
l
bili a:
• Digital spoofing
o Attacchi replay: un hacker ruba l’immagine digitalizzata e se ne
serve in un’altra occasione
o Attacchi di manipolazione del valore di soglia tipico di ciascun
sistema (obiettivo: aumentare il FAR)
o Inserimento nel sistema di un "cavallo di Troia" per fornire dati
erronei al programma di estrazione dei parametri biometrici
dall’immagine scansionata.
o Alterazione del risultato finale del processo biometrico: l’inserimento
e l’analisi dei dati sono corretti, ma il risultato generato dal sistema è
alterato
o Physical spoofing
o S
Simulazione
u a o e fisica
s ca de
della
ab
biometrica
o e ca
08/04/2010
SB - Nappi
2
Sicurezza dei Sistemi Biometrici
(cont.)
Digital Spoofing
m Authentication © 2002. Used by permission
Physical Spoofing
From Authentication © 2002. Used by permission
08/04/2010
SB - Nappi
3
Sicurezza dei Sistemi Biometrici
(cont.)
Cosa succede se vengono rubati i dati biometrici di un individuo?
o La possibilità di utilizzare questa caratteristica biometrica risulta
compromessa per sempre:
o “II pollici sono solo due.
due Se qualcuno ruba i tuoi dati biometrici,
biometrici saranno
persi per sempre. Niente potrà ricostituirli”
o Se qualcuno rubasse le caratteristiche biometriche del nostro volto, della
nostra retina o iride sarebbe ancora peggio: non ne abbiamo altre!
o Vulnerabilità dei sistemi biometrici: le implementazioni delle tecniche
biometriche sono scarse, non esistono criteri unificati a livello mondiale per
la valutazione della sicurezza dei sistemi biometrici.
o Per garantire la sicurezza dei dati biometrici occorre
o Adozione di crittosistemi e relativi segreti
g
a tutela del dato biometrico
(Strong cryptography and crypto-card based solutions)
o La memorizzazione del dato biometrico è molto sensibile occorre adottare
tecniche per la sua difesa, in quanto una volta rubato il dato non è
rigenerabile
rigenerabile.
08/04/2010
SB - Nappi
4
Impronte Digitali (Fingerprint)
• Le impronte digitali sono uniche per ciascuna persona (I cinesi
le utilizzazono come strumento di riconoscimento già a partire
dal 500 B.C.)
• Lo studio sistematico avvenne a partire dal 1888 grazie a Sir
F. Galton che introdusse le minuzie (Galton Features)
• Negli anni ‘80 è stato messo a punto uno schema descrittivo
– Ogni impronta possiede:
• Alcuni tratti caratterizzanti (global classification): archi, cerchi (cappi) e
spire/spirali
• Molte altre dette (local classification) minuzie (singolarità)
08/04/2010
SB - Nappi
5
Fingerprint (cont.)
• Le caratteristiche
globali non sono
sufficienti per il
riconoscimento
• Si utilizzano solo per
classificare
(clastering) le
impronte (divisione in
classi)
08/04/2010
SB - Nappi
6
Fingerprint (cont.)
•
L caratteristiche
Le
tt i ti h llocalili dette
d tt
minuzie (singolarità) si
utilizzano solo per il
riconoscimento all’interno della
classe prodotta dalle
caratteristiche globali
08/04/2010
SB - Nappi
7
Fingerprint (cont.)
Vantaggi:
Svantaggi:
•
•
•
•
•
•
•
• Efficienza
Universalità
Unicità
Permanenza (Stabilità)
Misurabilità
Accettabilità
Efficacia
Acquisizione
– Attiva e Passiva
– Basso costo dei sensori
– memoria della chiave di
ricerca:
i
256 b
bytes
t – 1.2k
1 2k
• Risoluzione: 500 dpi
– Tempo di ricerca
• Stabilità
– Abrasioni, Rughe…
– Sporco,
S
Sudore…
S d
– Disidradazione (over 65)
• Insidia
– Relativamente facile da
duplicare (Physical
spoofing)
fi )
08/04/2010
SB - Nappi
8
Fingerprint: Stabilità?
08/04/2010
SB - Nappi
9
Physical spoofing:
Metodo di Matsumoto
• Only a few dollars’
dollars worth of materials
08/04/2010
SB - Nappi
10
Physical spoofing:
Metodo di Matsumoto (cont.)
You can place the “gummy finger” over your real
finger. Observers aren’t likely to detect it when
you use it on a fingerprint reader
reader.
08/04/2010
SB - Nappi
11
Iride
• Scansione dell’iride
– Zona colorata intorno alla
pupilla
– La struttura complessa
dell’iride costituisce la
chiave di autenticazione
08/04/2010
SB - Nappi
12
Iride (cont.)
•
La parte colorata dell’occhio umano,
con le sue circa 300 caratteristiche
misurabili, è forse l’unica caratteristica
misurabili
fisica maggiormente peculiare di un
individuo:
– Non è passibile di cambiamenti nel
corso del tempo
– Non può essere modificata
artificialmente
tifi i l
t
– La probabilità di trovare sulla Terra due
iridi uguali è praticamente nulla(una su
dieci seguito da 78 zeri )
– Ogni iride umano ha infatti una struttura
unica al punto che persino l’iride destra
e sinistra della stessa p
persona sono
differenti
08/04/2010
SB - Nappi
13
Iride (cont.)
– Impossibile da rigenerare
artificialmente, ma può
essere asportata
chirurgicamente e
trapiantata
– Lenti a contatto e traumi
non hanno effetto sulla sua
morfologia
f
– È situata in una posizione
più esterna alla retina,, p
p
per
cui i metodi per la
scansione dell’iride
risultano essere più
semplici e meno invasivi.
08/04/2010
SB - Nappi
14
Iride (cont.)
• Metodi di rilevazione
dell iride
dell’iride
– Un sensore, collocato a circa 40
centimetri di distanza dalla persona
esaminata, inizia a fotografare i
margini dell’occhio; quindi
quindi,
attraverso un certo numero di
scansioni successive, si individuano
i contorni dell’iride come una corona
circolare.
i l
– Poi si seleziona un quadratino alla
volta di quest’area
quest area che rappresenta
l’area da decodificare. II disegno di
questa regione é convertito in un
codice di 512 byte, il cosiddetto Iris
Code che,
che confrontato con quelli
archiviati nel database, identifica la
persona.
08/04/2010
SB - Nappi
15
Iride (cont.)
Vantaggi:
Svantaggi:
• Universalità
• Unicità
• Permanenza
((Stabilità))
• Misurabilità
• Efficacia
• Insidia
• Efficienza
– Memoria della chiave di
ricerca:
i
256 512 b
256–512
bytes
t
• Risoluzione: 200/500 dpi
– Tempo di ricerca
• Accettabilità
• Acquisizione
– Attiva
– Elevato costo dei sensori
– Physical spoofing:
mediante chirurgia
08/04/2010
SB - Nappi
16
Retina
• Scansione della retina
– Mappatura dei capillari sul
fondo oculare
08/04/2010
SB - Nappi
17
Retina (cont.)
•
•
•
•
•
È basato sull'acquisizione e la verifica
della mappa
pp vascolare della retina
dell'occhio umano: ci sono circa 180
caratteristiche misurabili
Simon e Goldstein nel 1935 mostrarono
che la forma delle vene nella retina sono
uniche
i h per ognii iindividuo
di id
La rete vascolare della retina è una delle
caratteristiche che presenta un indice di
variabilità nel tempo moderatamente
basso
È situata in una posizione più interna
rispetto all’iride, per cui i metodi per la
scansione sono più invasivi.
I
Impossibile
ibil d
da rigenerare
i
artificialmente,
tifi i l
t
ma può essere asportata chirurgicamente
e trapiantata
08/04/2010
SB - Nappi
18
Retina (cont.)
(
)
• L’acquisizione
q
delle p
proprietà
p
della retina utilizza
un raggio di luce che effettua la scansione della
retina. I raggi
gg riflessi p
producono un’immagine
g
in
intensità della struttura rilevata.
• Abbiamo due metodi differenti di acquisizione
della retina:
– metodo attivo: ll’utente
utente deve effettuare dei movimenti con la
testa (20-40cm) affinché il dispositivo di scansione possa
individuare la posizione corretta;
– metodo passivo: l’utente resta fermo e una serie di
dispositivi di scansione in cooperazione individuano la
posizione corretta
corretta.
08/04/2010
SB - Nappi
19
Retina (cont.)
(
)
Vantaggi:
•
•
•
•
•
•
Universalità
U
i
lità
Unicità
Permanenza ((Stabilità))
Misurabilità
Efficacia
I idi
Insidia
– Physical spoofing: mediante
chirurgia
•
Svantaggi:
•
•
•
Efficienza
– Memoria della chiave di
ricerca: 96-256 bytes
• Risoluzione: 100/200 dpi
•
– Tempo di ricerca
08/04/2010
SB - Nappi
Efficienza
– Memoria della chiave di ricerca:
96-256 bytes
• Risoluzione: 100/200 dpi
– Tempo di ricerca
Accettabilità
– Maggior
gg cooperazione
p
rispetto
p
all’iride
Stabilità
– Alcune patologie possono
alterare la mappa
Acquisizione
– Attiva
Atti
– Elevato costo dei sensori
20
Geometria della Mano
•
Consiste nel riconoscimento delle persone mediante la verifica delle
misure e della conformazione della mano e consente un discreto
coefficiente di univocità
•
Caratteristiche: forma, locazione e dimensione di mano, dita e
nocche
•
Misura le caratteristiche fisiche della mano:
– Lunghezza delle dita
– Larghezza della mano
– Spessore delle dita
08/04/2010
SB - Nappi
21
Geometria della Mano
•
•
(cont.)
Le misure
L
i
fi
fisiche
i h d
della
ll mano sono catturate
tt t d
da un DISPOSITIVO
CCD e la sagoma della mano viene memorizzata
tridimensionalmente. La mano viene posta su un piano dove vi sono
5 pioli per posizionarla nel modo giusto
Due immagini acquisite:
– Dall’alto
– Di lato
08/04/2010
SB - Nappi
22
Geometria della Mano (cont.)
(
)
Vantaggi:
gg
•
•
•
•
Universalità
Misurabilità
Accettabilità
Effi i
Efficienza
– Memoria della chiave di
y
ricerca: 10 bytes
Svantaggi:
• Unicità
• Insidia
– Relativamente facile da
duplicare (Physical spoofing)
• Efficacia
• Stabilità
– Alcune p
patologie
g p
possono
alterare la morfologia
• Risoluzione: 72/100 dpi
– Tempo di ricerca
• Acquisizione
– Attiva
08/04/2010
SB - Nappi
23
Firma
•
Tecnica riconosciuta ai fini dell’autenticazione
dell autenticazione
•
La firma è soggetta ad un riflesso
condizionato non facilmente riproducibile,
soprattutto in real time
•
La firma è utilizzata anche in processi di
riconoscimento
i
i
t
•
Si definiscono schemi di caratterizzazione per
la dinamica dei movimenti durante la firma:
–
–
–
–
–
angolazione della penna
pressione esercitata con la p
p
penna
tempo di esecuzione
velocità e accelerazioni
proprietà geometriche
08/04/2010
SB - Nappi
24
Firma (cont.)
•
•
•
•
Eccessiva variabilità intraclasse
Può essere dimenticata (a differenza di altre biometriche)
Nella modalità di acquisizione off line contano solo le caratteristiche
morfologiche (forma geometrica) che sono facili da duplicare
Nella modalità on line (più difficile da realizzare mediante hardware
speciale) si considerano altre caratteristiche (velocità,
accelerazione inclinazione delle penna
accelerazione,
penna…)) più difficili da replicare
08/04/2010
SB - Nappi
25
Firma (cont.)
08/04/2010
SB - Nappi
26
Firma (cont.)
(
)
Vantaggi:
•
•
•
•
Universalità
Misurabilità
Accettabilità
Insidia
Svantaggi:
• Unicità
• Efficienza
– Memoria della chiave di ricerca:
500
00 b
bytes – 1000 b
bytes
– Tempo di ricerca
• Insidia
– Relativamente facile da
duplicare (modalità off line)
– Difficile da duplicare
(modalità on line)
• Efficienza
• Risoluzione: 72/100 dpi
• Efficacia
Effi
i
• Stabilità
• Acquisizione
– Attiva e Passiva (on line
e off line)
08/04/2010
– Variabilità intraclasse
• Acquisizione
SB - Nappi
– Costo dei dispositivi on line
(acquisizione attiva)
27
Riconoscimento Vocale
• D
Determinazione
t
i
i
di un modello
d ll acustico
ti di
dipendente
d t d
dall
linguaggio e dal soggetto
• Il modello acustico riflette:
– anatomia (dimensione e conformazione della bocca e della
gola),
– comportamento (timbro di voce, modo di parlare)
• Richiede complesse elaborazioni del segnale acustico
(analisi di spettro
spettro, periodicità
periodicità, etc
etc...))
• Le caratteristiche della voce di un parlante sono
dovute sia a differenze fisiologiche, sia al particolare
stato d’animo in cui si trova.
08/04/2010
SB - Nappi
28
Riconoscimento Vocale(cont.)
• Dipendenti dal Testo: esiste un insieme prefissato di
frasi per enrollment ed identificazione
• Con digitazione del Testo: esiste un insieme prefissato di
parole, ma l’utente ne digita alcune e poi le pronuncia
• Indipendenti dal Testo: il soggetto viene riconosciuto a
prescindere dalla frase pronunciata
08/04/2010
SB - Nappi
29
Voce (cont.)
(
)
Vantaggi:
•
•
•
•
Universalità
Misurabilità
Accettabilità
Acquisizione
– Attiva e Passiva
– Costo dei
dispositivi
Svantaggi:
•
•
Unicità
Efficienza
– Memoria della chiave di ricerca:
3K-5K
3K
5K
– Tempo di ricerca
•
Insidia
– Relativamente facile da duplicare
(Physical Spoofing)
•
•
Efficacia
Stabilità
– Variabilità intraclasse (condizioni
fisiologiche, emotività, rumori di
f d etc.)
fondo
t )
•
Acquisizione
– Difficile la modalità passiva
08/04/2010
SB - Nappi
30
Orecchio
• Mediante foto – il più
studiato
• Mediante punti di
interesse – usato per
l’autenticazione di
c
criminali
a
• Termografia – in fase di
sperimentazione
08/04/2010
SB - Nappi
31
Orecchio (cont.)
Sistema
Si t
Iannarelli
I
lli
Termografia
08/04/2010
SB - Nappi
32
Orecchio (cont.)
(
)
Vantaggi:
•
•
•
•
Universalità
Unicità
Efficacia
Stabilità
Svantaggi:
•
Efficienza
– Memoria della chiave di ricerca:
500-1000 byte
– Tempo di ricerca
•
Insidia
– Media difficoltà nella duplicazione
((Physical
y
Spoofing)
p
g)
•
Acquisizione
– Attiva
– Parziali occlusioni (capelli,
(capelli
orecchini…)
– Bassa variabilità
• Misurabilità
• Acquisizione
•
Accettabilità
– Forte cooperazione dell’utente
– Costo dei dispositivi
08/04/2010
SB - Nappi
33
Volto
• Verifica o riconoscimento dell’identità
q
dell’input:
p
• Acquisizione
– Immagine fissa o video
– Colori o Toni di grigio
g g
– Tecniche 2D/3D (Verifica)
(
)
• Stereo
• Con illuminazione
controllata
08/04/2010
SB - Nappi
34
Volto
(cont.)
• Face Detection (C’è un
volto??)
• Face Segmentation (Dov’è
(Dov è
il volto (still image)???)
• Face Tracking ((Dov’è il
volto (video image)???)
08/04/2010
SB - Nappi
35
Volto
08/04/2010
(cont.)
SB - Nappi
36
Volto (cont.)
(
)
Vantaggi:
Svantaggi:
• Universalità
U i
lità
• Efficienza
• Unicità
– Memoria della chiave di
ricerca: 84 bytes – 2k
– Tempo di ricerca
• Efficacia
– Verifica
• Misurabilità
• Accettabilità
• Acquisizione
– Sosia
Effi
i
• Efficacia
– Riconoscimento
• Stabilità
– Variabilità intraclasse
• Insidia
– Facile da raggirare (Physical
spoofing)
– Costo dei dispositivi
p
– Attiva e Passiva
08/04/2010
SB - Nappi
37
08/04/2010
SB - Nappi
Slide prodotta da J.L. Dugelay (Eurecom-France)
38
Aspetti Normativi
• N
Nella
ll progettazione
tt i
e iinstallazione
t ll i
di un
Sistema Biometrico occorre un’analisi
preliminari di alcuni aspetti:
– Tutela dei dati personali
– Individuazione dei soggetti interessati e delle
risorse per le quali abilitare l’accesso
– Analisi dell’impatto psicologico sui soggetti
interessati
– Aspetti inerenti agli standard
– Cos
Costi e Prestazioni
es a o
08/04/2010
SB - Nappi
39
Aspetti Normativi (cont.)
Tutela della Privacy
• Alla luce della normativa vigente in Italia
Italia,
una applicazione biometrica deve
rispettare a pieno i principi di
– Liceità
– Necessità
– Proporzionalità
– Finalità
08/04/2010
SB - Nappi
40
Aspetti Normativi (cont.)
•
Alcuni istituti di credito hanno inoltrato al Garante una richiesta
relativa a trattamenti di dati personali consistenti con l’associazione
di dati biometrici (impronte digitali e immagini) dei clienti con altri
personali noti agli
g istituti.
dati p
•
Il Garante, nel caso i 4 principi precedenti siano rispettati, ha
g
chiare:
stabilito regole
– gli utenti devono essere informati adeguatamente della presenza dei
sistemi di acquisizione
– presenza di modalità alternative di accesso
– modalità di raccolta dei dati
F t http://www.garanteprivacy.it/garante/doc.jsp?ID=1246675
Fonte:
htt //
t i
it/
t /d j ?ID 1246675
08/04/2010
SB - Nappi
41
Aspetti Normativi (cont.)
Mi
Misure
di Si
Sicurezza
• I sistemi devono prevedere l’immediata cifratura dei dati
• I sistemi
i t i devono
d
garantire
ti un elevato
l
t lilivello
ll di sicurezza
i
• I dati devono essere trattati con sistemi di cifratura
“robusti”
robusti con l’utilizzo
l utilizzo di crittografia
• Presenza di un “vigilatore dei dati” depositario delle
g
chiavi crittografiche
Conservazione dei Dati
• I dati cifrati devono essere conservati p
per un p
periodo non
superiore ad una settimana poi DEVONO essere
eliminati definitivamente
08/04/2010
SB - Nappi
42
Aspetti Normativi (cont.)
• P
Possono d
decifrare
if
e accedere
d
alle
ll iinformazioni
f
i i raccolte
lt
soltanto le autorità giudiziarie e le forze dell’ordine con
riferimento a specifiche
p
attività di indagine
g
• Ciascun istituto di credito è tenuto ad inviare entro il 31
Maggio 2006 l’elenco degli sportelli nei quali i dispositivi
sono già
ià attivati
tti ti prima
i
d
dell d
decreto
t
• Ogni istituto che intende installare o aggiornare le
apparecchiature deve inoltrare una specifica richiesta di
verifica preliminare al Garante prima dell’attivazione
• Indicazione della documentazione che ogni
g sportello
p
deve fornire, conservare e aggiornare in previsione di
verifiche future svolte a campione dal Garante
08/04/2010
SB - Nappi
43
Scelte Progettuali
•
•
•
•
•
•
Scelta della caratteristica biometrica
Memorizzazione dei template e sua tutela
Manutenzione del sistema
Test e valutazione
Caratteristiche ambientali
Standard (interoperabilità tra sistemi
biometrici)
08/04/2010
SB - Nappi
44
Biometria: SI o NO?
08/04/2010
SB - Nappi
45
Biometria: SI o NO? (cont.)
08/04/2010
SB - Nappi
46
Biometria: SI o NO? (cont.)
• O
Occorre valutare
l t
l’impatto
l’i
tt sia
i fi
fisico
i che
h
emozionale che il sistema biometrico produrrà
non solo sugli utenti, ma anche sugli
amministratori diretti o indiretti
• Stimare il g
grado di collaborazione da parte degli
g
utenti rappresenta un dato di fondamentale
importanza.
• Un utente poco cooperativo può rappresentare
un grosso ostacolo per l’installazione biometrica
producendo livelli intollerabili di falsi rifiuti
• La percezione fisica (grado di invasività) può
avere un impatto notevole sull’accettazione
08/04/2010
SB - Nappi
47
Biometria: SI o NO? (cont.)
• E’ opportuno
t
considerare
id
il numero d
deglili utenti
t ti che
h
possono risultare impossibilitati ad utilizzare un
particolare tipo
p
p di biometria
• Bambini e anziani, per esempio, presentano una certa
difficoltà nell’autenticazione biometrica
• Si arriva a parlare di una “golden window” cioè una
finestra di età ottimale nella quale la biometria raggiunge
i risultati più apprezzati (questo crea problemi nel caso
del passaporto biometrico)
• Inoltre ci sono da considerare anche i fattori q
quali la
disabilità, considerazioni culturali e condizioni fisiche
08/04/2010
SB - Nappi
48
Il Passaporto Biometrico
08/04/2010
SB - Nappi
49
Il Passaporto Biometrico (cont.)
08/04/2010
SB - Nappi
50
Il Passaporto Biometrico (cont.)
08/04/2010
SB - Nappi
51
Il Passaporto Biometrico (cont.)
08/04/2010
SB - Nappi
52