UNIVERZITA KARLOVA V PRAZE Filozofická fakulta Ústav informačních studií a knihovnictví
Samostatná práce
Základy státní informační politiky
Přednášející Ročník Téma
: : :
Vypracoval
:
PhDr. Hana Slámová, Ph.D. II., forma kombinovaná Využití biometrie v elektronických zabezpečovacích systémech Jan Šefl
Praha 2013
Ú VOD Vzhledem k potřebě ochrany nejen majetku, ale i svého soukromí a svých dat, člověk vymýšlí stále bezpečnější způsoby ověření své totožnosti v různých systémech, které využívá. Je to logický následek poklesu cen elektroniky, dostupností nových technologií široké veřejnosti a především stoupající technické znalosti a úrovně většiny obyvatelstva vyspělých zemí. V dnešní době, je možné duplikovat telefonní čísla například pro ověření finančních transakcí, zfalšovat výšku, tón a dikci hlasu a ukrást uložená hesla a piny. Je tak třeba, aby ověření totožnosti, nebo identity uživatele systému bylo co nejpřesnější, s co nejmenší pravděpodobností chybovosti ve vyhodnocení. Výrobci různých systémů, proto museli zvolit cestu jednoznačného ověření uživatele podle znaků, které se jen těžko budou dát zfalšovat, nebo odcizit oprávněnému uživateli. V této seminární práci se budeme věnovat ověření uživatele elektronických zabezpečovacích systémů (dále jen EZS) pomocí biometrie. Pro řádný úvod a vymezení tématu, bude třeba nejprve definovat pojem biometrie a pojem elektronické zabezpečovací systémy (dále jen EZS). Dále vysvětlíme, k čemu slouží EZS a proč využívá data biometrického měření. Následně přiblížíme používané metody měření biometrických znaků a zhodnotíme, v jakém prostředí jsou které z nich využitelné. V této oblasti zabezpečení, hrají samozřejmě značnou roli finance, které může uživatel investovat do systému, a tak pravděpodobně zjistíme, že s dostatkem investičních nákladů, bude možné využít a zabudovat téměř všechny metody měření biometrických znaků do EZS, nicméně i přesto budou některé © ABBAS, a.s. znaky vhodnější z hlediska uživatelova komfortu, než jiné. Budeme www.biometricke-ctecky.cz tedy u jednotlivých metod brát na zřetel i využitelnost pro běžného uživatele v standardních podmínkách provozu a před závěrem se pokusíme věnovat možnostem oklamání a falšování biometrických údajů. Cílem této práce není zabíhat do technických detailů měření a získávání dat a rozebírat tak nepřesnosti a chyby vznikající nedokonalostí technologie. Cílem je základní obeznámení s moderními možnostmi zabezpečení prostor, majetku i dat a zhodnocení pozitivních i negativních stránek této možnosti identifikace osob.
V YMEZENÍ
POJMŮ
Biometrie – vědní obor zabývající se studií a zkoumáním živých organismů (především pak člověka) a měřením jeho fyziologických a behaviorálních charakteristik. Pojem biometrie je odvozený z řeckých slov bios a metron = život a měřit, tedy doslovně by zněl překlad měření živého.[1] Verifikace – Uživatel zadá svoji identitu (pomocí hesla nebo karty) a následně poskytne své biometrické údaje, které se porovnají s daty uloženými v databázi nebo pro vyšší zabezpečení přímo na kartě. V databázi může být velké množství biometrických předloh, ale záznam je porovnáván pouze s tím, jenž je výstupem z ověření identity pomocí čipové karty nebo hesla. Verifikace je tedy porovnání 1:1.[2] Identifikace – Nepožaduje se, aby uživatel udal svoji identitu před tím, než bude jeho biometrická informace porovnána. Uživatel tedy poskytne své biometrické údaje, a ty se porovnají s celou databází otisků, dokud nedojde k nalezení shody. Výstupem je pak identita uživatele (např. ID nebo jméno). Identifikace je často označována jako 1:N, protože se jeden biometrický údaj porovnává s velkým množstvím ostatních.[2] -1-
Elektronický zabezpečovací systém – komplex vnitřních a vnějších technických prostředků, tvořících zabezpečovací řetězec, v nejčastějším složení: ústředna, zdroj elektrické energie, poplachové smyčky, zařízení k aktivaci systému, detektory, signalizační zařízení.[3]
E LEKTRONICKÝ
ZABEZPEČ O VACÍ SY STÉM
Elektronických zabezpečovacích systémů existuje nepřeberné množství typů a provedení. Definovat tak různorodý a složitý komplex vzájemně propojených prvků, součástí a algoritmů, není jednoduchý úkol. Výše uvedená definice, není sice příliš obsáhlá, ale jasně popisuje nejčastější složení EZS, které se v současnosti běžně používá. Pro účely této práce není třeba rozebírat, jak se technicky řeší EZS, nebo na jakém principu společně jednotlivé prvky komunikují. Je třeba ale říci, k čemu EZS slouží a proč se v ní využívá biometrických měření. EZS slouží většinou k zabezpečení určeného prostoru (od jedné místnosti, přes celé budovy až ke komplexu budov a volných prostorů) před vniknutím nepovolaných, nebo nežádoucích osob, nebo k vymezení pohybu osob jen v rámci jim zpřístupněných prostor. Při pokusu nebo proniknutí takovéto nežádoucí osoby mimo vymezené prostory spustí EZS odpovídající reakci – neodemčení dveří, vyhlášení hlasitého, nebo tichého alarmu, nebo například uzavření a uzamčení přístupových i únikových cest – pokud se zjistí přítomnost nežádoucí osoby již v chráněných prostorách. Z tohoto pokusu o shrnutí účelu EZS, si již můžeme odvodit, že hlavním, až by se dalo říci základním požadavkem na systém, je určení kdo má a kdo nemá právo přístupu do určitých prostor. Pokud se již nějaký prostor chrání EZS, je pravděpodobné, že se v tomto prostoru nachází např. zboží, nebo informace, které by neměly být přístupné každému. Z názvu a prvotní definice, je také patrné, že systém je realizován pomocí elektronických součástek a následně digitálního, nebo zdigitalizovaného signálu. A tak i informace o tom, kdo má povolení ke vstupu se musí podávat ve formě základní digitální informace. Základní ověření identity uživatele se realizuje na klávesnici, pomocí zadání osobního kódu. Toto ověření má tu očividnou nevýhodu, že pokud se kód dostane do rukou nepovolané osoby, systém sám nemá možnost dalšího ověření a osobu vpustí. Další možností je ověření pomocí čipové karty, nebo klíčenky (např. USB token). Zde opět vyvstává riziko odcizení takovéhoto identifikátoru a proniknutí nepovolané osoby do vymezených prostor. Zkopírovat takovouto klíčenku nebo čipovou kartu bývá obtížné vzhledem k bezpečnostním opatřením a různému druhu šifrování a komunikace pomocí plovoucího kódu. Pro zvýšení bezpečnosti, je možné tyto dvě možnosti ověření kombinovat a uživatelé se nejdříve identifikují kartou, nebo klíčenkou a poté zadají osobní kód. Cílem přístupových systémů do prostoru, který je střežen EZS, je tak bezpečně rozpoznat jednotlivé uživatele pomocí jednoznačně identifikujících znaků, které jsou charakteristické vždy právě pro jednoho uživatele a není pravděpodobně možné je odcizit, či zkopírovat a zabezpečit tak přístup do vymezených prostor pouze povolaným osobám. Zajímavostmi, které se pro přístup do střeženého prostoru také mohou využít, je například zadání kódu na © The Ballroom http://www.theballroomblog.com jednom tlačítku v podobě krátkých a dlouhých stisků (tzv. -2-
Morseova abeceda, kdy kód ke vstupu se může měnit a sdělovat ústně, ale heslo se pak zadává v podobě kódu), nebo vyklepání kódu v podobě určitého rytmu na dveře. Tyto možnosti ověření však nejsou příliš bezpečné a slouží spíše větším skupinám pro přístup do společného prostoru – např. vchodu domu, kde nehrozí větší újma, pokud by vešel i nepovolaný návštěvník. Pokud zabrousíme více do historie, nalezneme zmínky o snahy, či dokonce úspěšné ověřování povolaných osob do omezených prostor. Příkladem mohou být v knihovnách zařízení závaží, které otevřou jinak utajený vchod po vyjmutí jedné konkrétní knihy, utajené vchody za zrcadly, či obrazy, nebo například vyvinutí tlaku na určité místo na stěně. Zde se samozřejmě nejedná o součást EZS, nicméně i v současnosti existují požadavky takovéhoto typu na „skryté“ vchody, či únikové cesty, ačkoli provedení je samozřejmě sofistikovanější, aby se zamezilo nechtěnému prozrazení vchodu, např. zvídavým čtenářem, který vytáhne knihu, o kterou jinak nikdo nejeví žádný zájem. Tyto příklady však demonstrují zřejmou věc – že snaha o rozlišení povolaných a nepovolaných návštěvníků určitých prostor není jen současný trend, ale je to dlouhodobá snaha.
M ĚŘENÍ
BIOMETRICKÝCH ZNAKŮ
Jak je již patrné z výše uvedeného vymezení pojmu biometrie, můžeme rozlišit dvě základní skupiny biometrických znaků a tedy i měření – jsou to fyziologické a behaviorální. Většina fyziologických biometrických charakteristik je po dobu života člověka neměnná. Do této skupiny patří nejznámější a v současnosti asi nepoužívanější biometrický údaj – otisk prstů, nebo přesněji řečeno otisk papilárních linií prstů, dále geometrie ruky, tvar článku prstu a pěsti, struktura žil a zápěstí, oční sítnice, oční duhovka, geometrie tváře, identifikace pachu, DNA, bioelektrické pole a další. Druhá skupina znaků – behaviorální – se může v průběhu života u člověka změnit. Do této skupiny patří např. dynamika podpisu, dynamika chůze, charakteristika hlasu, dynamika uchopení a stisku a další. Behaviorální biometrická charakteristika se může v průběhu života změnit, ale jedná se většinou o změny neuvědomělé, které se uskuteční např. nečekanou životní událostí (nejčastější je změna charakteristiky hlasu, kdy člověk začne mluvit zcela odlišně – např. začne koktat, nebo zadrhávat, změní se mu výška hlasu atd.). Změnit ale behaviorální charakteristiku vědomě, nebo napodobit takovou charakteristiku jiného člověka, je téměř vyloučeno, protože nuance, které se měří, porovnávají a vyhodnocují pro identifikaci jedince, jsou tak drobné, že jsou za hranicemi smyslového vnímání člověka. Změna fyziologické biometriké charakteristiky, se pak dá změnit ve své podstatě, pouze násilně – buď nezávisle na lidské vůli (např. nehoda kdy si člověk může nevratně poškodit některý měřený údaj – geometrii ruky, obličeje, oko), nebo se člověk může cíleně sebepoškodit, nicméně tento případ se příliš nevztahuje k cílům této seminární práce – vztahoval by se spíše do oblasti, kdy dotyčný nechce být identifikován např. z důvodu kriminální činnosti, nebo z důvodu určité paranoie před sledováním. Pro primární ověření oprávnění přístupu a totožnosti jednotlivého uživatele přes EZS, můžou být využity měření charakteristik jak fyziologických, tak behaviorálních. Behaviorální znaky, však můžou sloužit i jako sekundární, nebo průběžné ověření uživatele, který již vstoupil do prostoru zabezpečeného EZS. Např. po tom, co se uživatel identifikuje pomocí otisku papilárních linií, může být sledována dynamika jeho chůze (může být zcela automaticky bez součinnosti uživatele), nebo může být sledována i dynamika psaní na klávesnici, která je charakteristická pro každého uživatele a může se tak zabezpečit, aby u konkrétního PC pracovali pouze uživatelé, kteří na to mají povolení. Podstatou ověření konkrétního uživatele pomocí biometrických dat, je vždy prvotní sejmutí dat, jejich uložení a následné porovnání těchto dat s tady uživatele, který žádá o přístup do zabezpečené oblasti. Principy ověření dat se dají rozdělit na dvě základní metody – -3-
verifikace a identifikace. Verifikace je vhodná spíše pro přístup do oblastí s přísnějším režimem zabezpečení a s přístupem menšího počtu osob, zatímco identifikace se používá spíše v přístupnějších prostorách s volnějším pohybem uživatelů. Prakticky je však možné používat obě metody v jakémkoliv typu zabezpečení EZS. Pořízení prvotního referenčního záznamu, se kterým budou porovnávány vstupy, musí být dobře kvalitativně zpracováno v důvěryhodném prostředí.
M ETO DY
MĚŘENÍ BIOMETR ICKÝCH ZNAKŮ
Fyziologické charakteristiky: a) Otisk papilárních linií – jedna z nejvíce používaných biometrických identifikací. Je oblíbená zvláště pro stálost v čase a pro jednoduché snímání porovnávaných dat. Možnost sejmutí otisku je na více místech těla – nejběžnější na prstech u rukou, ale je možné porovnávat a snímat i otisky dlaní, či nohou. Pro identifikaci jednotlivých uživatelů se využívá specifických zakřivení papilárních linií – zvláště pak třech hlavních vzorů – vír, smyčka a oblouk – viz. obrázek níže.
Tři lavní vzory otisku papilárních linií
b) Geometrie ruky – zařízení pro snímání je citlivé na polohu ruky, často se využívá podložka s polohovými kolíky a snímá se pak délka, tloušťka, šířka a povrch ruky. Geometrie ruky není tak unikátní biometrický znak, jako uvedený otisk papilárních linií a proto se využívá v systémech s menším stupněm zabezpečení. c) Tvar článku prstu a pěsti – měření se provádí na článcích prstů při sevřené pěsti. Podle potřeb se může snímat až 35 parametrů. Platí zde to samé jako u geometrie ruky – využívá se v systémech s menším stupněm zabezpečení. d) Struktura žil a zápěstí – tato metoda patří mezi novější, snímání se provádí na hřbetu ruky tak, že se vytvoří obraz stromové struktury žil. Tato metoda se vyznačuje tím, že se provádí bezdotykově a je prakticky nemožné ji zfalšovat, jelikož žíly nejsou vidět a není podle čeho napodobovat. Je experimentálně prokázáno, že systém cév se u dospělého člověka téměř nemění. Systém snímání rozliší i živou ruku od mrtvé – teče v ní krev. e) Oční sítnice – měření se provádí infračervenou LED diodou, kdy je uživatel nucen se dívat do předem určeného bodu. Sítnice je složena z nervových buněk, které se naskenují a převedou do digitální podoby. Tato metoda je extrémně spolehlivá a přesná, a tak se používá v systémech s vysokým stupněm zabezpečení. Pro některé uživatele může být ale nepříjemný, nebo nesplnitelný požadavek pohledu do jednoho místa. f) Oční duhovka – při měření je opět potřeba infračervené osvětlení a hledět do určeného místa – kamery. Vzorkování duhovky je náhodné do té míry, že i jeden člověk má každou duhovku jinou. Míra spolehlivosti této metody je vysoká, používá se stejně jako Oční sítnice v systémech s vysokým stupněm zabezpečení, ale nevýhoda hledění do jednoho místa je tu také, stejně jako u oční sítnice. -4-
g) Geometrie tváře – v současné době velice diskutovaná metoda vzhledem ke snaze jednoznačně identifikovat konkrétní osobu pomocí kamerového záznamu, nebo fotografie. Způsoby snímání by se daly rozdělit např. podle toho, jestli bude proces zcela automatický, nebo bude vyžadovat součinnost uživatele. Při automatickém systému se vytvoří fotografie a ta se porovná s uloženými daty. Při snímání v součinnosti s uživatelem, se vytvoří 3D model celé tváře, z toho se odečtou přesné hodnoty znaků tváře a ty se pak porovnávají s uloženými daty. Druhá metoda je přesnější s menší chybovostí, vyžaduje však, aby uživatel přiložil hlavu do vyznačeného prostoru. Další fyziologické biometrické charakteristiky mohou být např. pohyb očí, vrásnění článků prstů, povrchová topografie rohovky, DNA (kontrola v reálném čase zatím není možná), bioelektrické pole, ušní boltec, atd. Behaviorální charakteristiky: a) Dynamika podpisu – metoda zkoumá tlak, tvar a tah při psaní podpisu. Může být i v kombinaci s porovnáním geometrie podpisu, ale základní charakteristika zkoumá dynamiku. Dynamika podpisu se na rozdíl od statického obrazu nedá naučit a je tak prakticky nemožné toto ověření oklamat. Nevýhoda je, že jsou lidé, kteří mají různé pohybové postižení a nejsou schopni zopakovat svou dynamiku podpisu. b) Dynamika chůze – stejně jako u dynamiky podpisu, kde se zkoumá určitý stereotyp pohybu rukou, zde je předmětem měření stereotyp pohybu celého těla. Metoda opět není využitelná u každého – lidé s postižením pohybového aparátu nemůžou být touto metodou identifikováni. c) Charakteristika hlasu – tato metoda porovnává uložené vzorky hlasu – konkrétní namluvené věty, nebo fráze. Imitátor by tedy musel mít nejen perfektně naučenou výšku a dynamiku mluvy, ale musel by i vědět, jakou frázi pro přístup do systému má použít. Měření je citlivé zvláště na okolní prostředí, a tak v laboratorních podmínkách má tato metoda velmi dobré výsledky identifikace konkrétního uživatele, ale v běžném prostředí je prozatím využitelná jen málo – kvůli okolnímu hluku. d) Dynamika uchopení a stisku – uživatel pevně stiskne předem určený předmět konkrétního tvaru a podle dynamiky úchopu a stisku je jednoznačně identifikován. Tato metoda je plánována využít např. i pro střelné zbraně, kdy by měly být snímače umístěny do pažby a neoprávněný uživatel by pak nemohl ze zbraně vystřelit. Všechny blíže popsané charakteristiky, ať už z kategorie fyziologických, nebo behaviorálních, jsou v současné době použitelné v EZS. Některé – jako např. dynamika hlasu mají své omezení v místě použití a vyžadují kontrolované prostředí. Dle předpokladu v úvodu, je možné s dostatkem investic zabudovat kteroukoli metodu ověření do EZS. Do dražších metod patří snímání struktura žil a zápěstí, oční sítnice a oční duhovka. Ostatní metody jsou v dnešní době dostupné široké veřejnosti a není problém si je nechat implementovat do EZS.
O KLAMÁNÍ
A FALŠOVÁNÍ BIOMETRICKÝCH ÚDAJŮ
Není možné sumárně konstatovat, že biometrické údaje se dají, nebo nedají falšovat. Existují metody, jak některé z biometrických údajů získat. Nebudeme zde rozebírat extrémní případy, kdy se EZS oklame na úkor např. končetiny, nebo oka uživatele, které neoprávněný uživatel násilím uzme.
-5-
Otisk papilárních linií, je možné získat dvěma způsoby: první z nich je, že otisk např. na sklenici se sejme na fólii pomocí grafitového, nebo aluminiového prášku (stejně, jako ho snímají kriminalisté v daktyloskopii), poté se přiloží na fotocitlivou desku a tím se získá otisk prstu. Druhá možnost je údajně udělat otisk do pružné plastické hmoty (např. modelína), do této formy se nalije želatina, která se nechá vychladnout a tak získáme umělý otisk. Výrobci systémů na měření papilárních linií se snaží zabudovat určité pojistky proti těmto způsobům oklamání senzorů - jako např. tepelné čidlo, aby ověřili organičnost přiloženého prstu, nicméně se tato metoda neosvědčila jako spolehlivá. Praktický příklad z nedávné doby proběhl prostředím internetu po vydání páté generace telefonu od společnosti Apple, která zabudovala čtečku tisku prstů do tlačítka v těle telefonu a během dvou dnů prodeje, se již podařilo uživatelům čtečku obelstít. U metody měření a vyhodnocování geometrie tváře záleží na použité technice měření a snímání hodnot. U vyhodnocování dvourozměrného záznamu (fotografie, video), je možnost ošálit údaje poměrně velká. Zvláště pokud záznamy nejsou zachyceny v ideálním prostředí – např. kamerový systém na letišti, nebo ve městě a tváře tak nejsou v dobrém úhlu ke kameře, stačí, aby si člověk namaloval výrazné stíny okolo očí, nebo měl nepřirozenou grimasu, či měl nasazenou škrabošku a systém nemá dostatek údajů na jednoznačnou identifikaci uživatele. © Cité des sciences et de V Případě trojrozměrného modelu tváře a tím pádem i situace, l´industrie která se spíše týká problematiky oklamání přístupového systému http://www.universcience.fr EZS, se již také objevily úspěšné pokusy o oklamání systému měření, kdy byla vyrobena velice precizní silikonová maska obličeje včetně skleněných očí.
Z ÁVĚR Ze zjištěných dat, lze říci, že pro identifikaci přístupu uživatele do systému, nebo prostor střežených EZS, je využití biometrických charakteristik v současnosti již úspěšně prověřenou metodou a její využití se dá doporučit. Nicméně pro ověření identifikace uživatele je vhodné využívat vícenásobnou identifikaci, tedy neověřovat pouze jednou metodou, ale zkombinovat jich více dohromady, ať už budou všechny biometrické, nebo kombinovaně i pomocí hesla, či karty. Pro všechny uživatele není vhodná každá metoda a ne každý uživatel je ochoten, přikládat prst, nebo celou ruku na plochu, kde se denně vystřídá několik desítek, nebo stovek dalších uživatelů. Stejně tak, jako nemusí být příjemné, nebo proveditelné hledět upřeně na jedno místo (např. lidé s brýlemi). Cílem dalšího vývoje nyní bude, vymyslet takový systém měření a vyhodnocování, který bude využitelný pro co největší objem různých uživatelů, tak, aby identifikace byla jednoznačná, rychlá a odolná vůči podvodům. Využití biometrických měření má v současném světě velmi široké uplatnění a to ať už se jedná o sféru soukromou, komerční, či státní. Ceny jednotlivých komponent na ověření údajů jsou více než přijatelné a nabídka na trhu je široká. Představa automatické kontroly, bez nutnosti kooperace s uživatelem (např. pomocí rozpoznávání obličeje, a tím pádem automatické ohlášení nepovolaných osob v sekcích budovy), je však stále ještě nespolehlivé, navzdory rychlému postupu a vývoji těchto technologií. Jako ve všech oborech Informačních technologií a elektroniky, i zde platí pravidlo, že stejně rychle, jako se vyvíjejí systémy a inovace pro měření biometrických charakteristik, stejně tak rychle a možná mnohdy i rychleji vyvíjejí někteří uživatelé metody, jak se proti nim bránit, jak falšovat údaje a mást čtecí zařízení.
-6-
I přes všechny výhody, které technologie biometrického měření skýtá, vyvstává stále častěji otázka, jak velký zásah do soukromí, je uchovávání těchto charakteristik, ať už v databázích forenzních, nebo v databázích v komerční sféře, např. u docházkového systému. Začíná se také zvažovat, pokud by se takováto databáze dostala do nepovolaných rukou, jaké by to mělo následky.
L ITERATURA [1]ŠČUREK, Radomír. Biometrické metody identifikace osob v bezpečností praxi. Ostrava, 2008. Dostupné z: http://www.fbi.vsb.cz/export/sites/fbi/040/.content/syscs/resource/PDF/biometricke_metody.pdf. Studijní text. Vysoká škola báňská - Technická univerzita Ostrava. [2]Biometric Line. ABBAS, a.s. Biometric Line [online]. 2011 - 2013 [cit. 2013-12-18]. Dostupné z: http://www.biometricke-ctecky.cz/ [3]HALOUZKA, Kamil. Fyzická bezpečnost: Téma: Elektrická zabezpečovací signalizace, vstupní systémy, biometrická kontrola vstupu [online]. Brno, 2012 [cit. 2013-12-18]. Dostupné z: https://moodle.unob.cz/mod/resource/view.php?id=10792. Učební text. Univerzita obrany. [4]ČeskéStavby.cz. POJAR, Petr. ČeskéStavby.cz [online]. 31.08.2012. 2012 [cit. 2013-1218]. Dostupné z: http://www.ceskestavby.cz/clanky/kam-smeruje-biometrie-21323.html [5]ČERNÁ, Lucie. Možnosti zneužití biometrických údajů z pohledu informační etiky na příkladu e-pasů. Brno: Masarykova univerzita, Filozofická fakulta, Ústav české literatury a knihovnictví, Kabinet informačních studií a knihovnictví, 2010. 49 s. Vedoucí diplomové práce: PhDr. Michal Lorenz.
-7-
