Biometria e Certificação

Digital no Documento

de Identidade

ICCyber 2009Natal, Setembro de 2009

MAURICIO MIRABETTI

ABRID – Associação Brasileira das

Empresas de Tecnologia em

Identificação Digital

O Documento de Identidade

Conceito básico de criptografia e Certificação Digital

O Direito de Uso - Autenticação do Usuário

O 3º. Fator de Autenticação e a Biometria

Agenda

O Documento de Identidade

Documento: Tudo o que funciona como comprovação de um fato, incluindo

uma condição ou um título

O documento tem então que ser seguro,

de forma a transmitir segurança nas

informações que carrega, e emitido por

quem possa atestá-las por direito...

Document

o seguro

O que é uma identidade segura ?

• Conjunto de elementos gráficos que

dificultem a fraude

• Personalização dos dados variáveis

e imagens com alta segurança a laser

• Meio de armazenamento seguro,

dificultando fraudes, com excelentes

características de qualidade e alta

segurança de dados

• Base material com tecnologia aplicada

• Matéria-prima de difícil acesso a fraudadores

•Alta resistência à intempéries, a stress

mecânico e químico, garantindo durabilidade

MATERIAL

INFORMAÇÕES PROCESS

O

Cartões de Segurança em Policarbonato

Conjunto de elementos que dificultam a

fraude

Alta resistência às intempéries, stress

mecânico, químico e boa estabilidade

dimensional

Material desenvolvido especialmente para

gravação laser

Pressão e

alta temperatura

Camadas de

Policarbonato

+Base segura

para

documentos

=

Nível 1: Características de segurança

podem ser checadas sem qualquer

equipamento: Relevo tátil.

Elementos gráficos de segurança –

Níveis de Verificação de Segurança

Nível 2: Equipamento Simples (Lentes

especiais ou lampadas UV) é usada

para detecção

Nível 3: Características de Segurança

que podem ser verificadas em

laboratório forense ou Leitores de

Smart Card

Relevo Táctil

OVD (metalizado)

OVD = Optical Variable Device

Projeto exclusivo desenvolvido

pelo fabricante sob medida

para cada cliente

LaserSTEP®

Elementos gráficos de segurança –

Nível 1

Fundo de Segurança

Impressão em Íris

Elementos gráficos de segurança –

Nível 2

Micro Letra com erro técnico

Luz Ultravioleta

Luz Infra vermelho

Código MRZ

Código de Barras 2D

Chip

Características únicas do cartão

(A serem verificadas em

Laboratório Forensic

ou utilizando-se Leitores de Smart

Cards)

Elementos gráficos de segurança –

Nível 3

O Chip Microprocessado em Documentos de Identidade

Diversos documentos que atestam um título ou condição, e

portanto uma identidade, dotados de chips são utilizados todos

os dias:

– Cartões bancários de crédito e débito

– Cartões de certificação digital

– Cartões de pagamentos de benefícios

O acesso aos dados são protegidos no chip de diversas

maneiras:

– Chaves de hardware, criptografia, senhas, identificação

biométrica, etc

O chip confere aos Documentos de Identidade o atributo de

“inteligentes” pois oferecem um meio de provar a autenticidade

do documento e de seu usuário legítimo.

Conceitos de Certificação Digital – Criptografia de Chave

Pública

Criptografia que se utiliza de um par de chaves: uma chave pública e

uma chave privada, correspondentes entre si.

– A chave pública é distribuída livremente

– A chave privada deve ser de conhecimento apenas de seu proprietário.

Uma mensagem cifrada com a chave pública pode somente ser

decifrada pela sua chave privada correspondente, e vice-versa.

Benefícios:

Confidencialidade: informações cifradas com a chave pública de

alguém, só serão acessíveis pela chave privada.

Autenticidade: a chave privada é usada para cifrar/assinar

mensagens; se a chave pública correspondente permitir a verificação

da assinatura, garante-se que somente o proprietário da chave

privada o teria feito.

Integridade: Uma mensagem assinada com a chave privada, se

alterada durante sua transmissão, impedirá a verificação usando a

chave pública.

Conceitos de Certificação Digital - Confidencialidade

1. Paulo passa sua chave

pública a José

2. José usa esta chave

pública para cifrar

mensagem

3. José envia mensagem

cifrada para Paulo

4. Paulo decifra a

mensagem com sua

chave privada

Conceitos de Certificação Digital – Autenticidade e Integridade

1. Paulo cifra a

mensagem com

sua chave privada

2. Paulo envia a

mensagem original

e o texto cifrado

para José

3. José decifra com a

chave pública de

Paulo e compara

com a mensagem

original

Conceitos de Certificação Digital – Interceptação e Fraude - I

1. Paulo passa sua chave

pública a José, mas é

interceptada por Marco

2. Marco, se passando por

Paulo, envia sua chave

pública para José

3. José cifra a mensagem

com a chave pública de

Marco, que ele pensa ser

a chave pública de Paulo

4. A mensagem de José a

Paulo é novamente

interceptada por Marco

Conceitos de Certificação Digital – Interceptação e Fraude - II

5. Marco decifra a

mensagem usando sua

chave privada

6. Marco altera a mensagem

original

7. Marco cifra a nova

mensagem usando a

chave pública de Paulo

8. Marco envia a nova

mensagem, manipulada,

para Paulo

Conceitos de Certificação Digital – Interceptação e Fraude - III

9. Paulo decifra a

mensagem

alterada usando

sua chave privada,

e acredita ter sido

enviada por José,

configurando a

fraude

Conceitos de Certificação Digital – Infra-Estrutura de Chaves

Públicas

A chave pública enviada

ao José ter que ter sido

enviada por Paulo

A Infra-Estrutura de

Chaves Públicas serve

para garantir isso

A Autoridade

Certificadora (CA) verifica

a identidade de Paulo

(presencialmente ou não)

e assina digitalmente a

chave pública de Paulo,

criando o Certificado

Digital de Chave Pública

Conceitos de Certificação Digital – Envio e Verificação do

Certificado

Paulo envia sua chave pública a

José juntamente com o Certificado

Digital de Chave Pública

José verifica a assinatura do

Certificado Digital usando a chave

pública da Autoridade Certificadora

José se assegura de que possui a

chave pública original de Paulo

Documentos de Identidade e a Autenticação do Usuário

Os Documentos de Identidade Inteligentes devem garantir a

autenticação do usuário de forma segura.

Isto é feito através de 3 fatores de autenticação:

– O que só você tem / possui

– O que só você sabe

– Quem é você

O uso do chip em Documentos de Identidade possibilita a

verificação com segurança dos três fatores

Autenticação em 3 Fatores com Cartões Inteligentes – I

O que só você tem / possui

Cartão fabricado e emitido pelo órgão /

instituição oficial (ou a pedido destes) com

dados personalizados.

Entregue pessoalmente ou no endereço

informado pelo portador do documento.

Fabricado e personalizado com recursos

de segurança que garantam ou dificultem

falsificações, adulterações e fraudes.

Autenticação em 3 Fatores com Cartões Inteligentes - II

O que você só sabe

Código de segurança secreto,

de conhecimento somente do

usuário legítimo, verificado pelo

chip no momento da

autenticação do portador

Exemplos: senhas de cartões

de crédito e débito, de cartões

de certificação digital

Problema: o que você tem e o

que você sabe podem ser

delegados...

Autenticação em 3 Fatores com Cartões Inteligentes - III

Quem é você

A verificação biométrica da

identidade do legítimo portador

do documento só é possível pelo

uso dos recursos do chip.

O sistema operacional do chip

executa internamente a função

de verificação entre a referência

armazenada durante a emissão

do documento, e a biometria

apresentada durante o uso do

documento.

O processo de geração do template biométrico

Captura

Tratamento da imagem

Binarização

Extração das minúcias

Geração do template

A importância da segurança no uso da biometria

Aquilo que se tem, pode ser eventualmente reposto

Aquilo que se sabe, pode ser trocado

Aquilo que se é, não pode ser delegado ou alterado!!!

Templates biométricos são representações eletrônicas

das minúcias das impressões digitais:

– Coordenada da minúcia (X,Y)

– Tipo da minúcia (terminação, bifurcação, lago, crista, ilha,

espora e cruzamento)

– Ângulo

O template biométrico não pode se tornar informação

pública, por isso o processo de captura biométrica para

geração dos templates deve ser feita em ambiente

seguro.

Os conceitos de MOC, FAR, FRR e padrões biométricos

MOC – Matching-on-Card: processo automatizado pelo qual

o sistema operacional do chip do documento de identidade

verifica internamente os templates biométricos de referência

e o apresentado.

FAR – False Acceptance Rate: percentual de validações

positivas da biometria de um “impostor” comparada à do

usuário legítimo (≤ 0,0001%, ou seja, 1 em 1 milhão)

FRR – False Rejection Rate: percentual de rejeições

incorretas da verificação biométrica do usuário legítimo (≤

0,01%, ou seja, 1 em cada 10.000)

Padrões: ISO/IEC 19794, ANSI/INCITS 378, ou proprietários

Identificação vs Verificação de Identidade

Identificação: a comparação 1:N é executada

– A impressão digital coletada (ou parte dela) é comparada por um

processo automatizado contra todas as referências previamente

armazenadas, buscando responder à questão “A quem pertence esta

impressão digital?”.

– Estes sistemas especialistas são chamados AFIS (Automated

Fingerprint Identification System), e são frequentemente utilizados em

aplicações criminais.

Verificação de Identidade: comparação 1:1

– A impressão digital coletada é comparada por um processo

automatizado contra uma referência previamente armazenada no

documento de identidade, buscando responder à questão “Você é

realmente quem diz ser?“

O Brasil e os Documentos de Identidade

ANOREG

Associação dos Notários e Registradores do

Brasil

CFC

Conselho Federal de Contabilidade

OAB

Ordem dos Advogados do Brasil

PGJG

Procuradoria Geral do Jaboatão dos Guararapes

MPRO

Ministério Público do Estado de Rondônia

O Brasil e o Documento de Identidade

Apresenta todos os recursos de segurança considerados

como fundamentais à quaisquer projetos de identificação

Segurança na identificação: 30% tecnologia, 70% processo

A biometria aliada à certificação digital em documentos que

apresentam diversos elementos de alta segurança, garantem

um excelente nível de confiabilidade

O Brasil é o país que mais rapidamente adquire maturidade

para grande projetos de documentos de identificação

inteligentes

Obrigado pela atenção!

Perguntas?

MAURICIO MIRABETTIMAURICIO.MIRABETTI@GI-DE.COM