CFSEC Security Architects

Expectativas positivas para o mercado de biometria

Nelson Correa — Mon, 25 May 2009 02:09:19 +0000

A Biometria vem sendo uma tecnologia de segurança de adoção mais acelerada nos últimos anos. Seu custo começou a cair a partir do momento que o mercado deixou de ser só as agências governamentais e passou a contar com o mundo corporativo privado.

A empresa independente de pesquisa do Reino Unido, International Biometric Group, publicou no final de 2008 seu relatório sobre as tendências do mercado de Biometria Global para 2009-2014. O faturamento global está projetado para crescer de 3,42 bilhões de dólares em 2009, para 9,37 bilhões de dólares em 2014.

Ainda segundo o relatório do IBG, espera-se que a biometria de impressão digital fique com 45,9% do mercado, excluindo-se as soluções de AFIS. Apesar da forte evolução, o mercado de iris só deve chegar em 500 milhões de dólares em 2012, basicamente equipando forças armadas ou organizações governamentais. Mesmo tendo nascido fora dos Estados Unidos ou Europa, o mercado de veias, que encontra sua maior força no Japão, deve chegar a ter 10% do total exceto AFIS até 2014.

É neste mercado de forte crescimento de investimentos que a CFSEC Security Architects vem se especializando nos últimos anos. Desde os serviços de consultoria para ajuda na definição da melhor tecnologia com o melhor percentual de retorno de investimento, até as parcerias com alguns dos mais inovadores fabricantes e desenvolvedores de tecnologias biométricas.

Experimente, converse conosco e entenda como a CFSEC pode lhe ajudar a aumentar a segurança dos seus processos de gestão de identidades ou na garantia do não repúdio e reforço da autenticação com single sign on com as mais novas tecnologias biométricas.

Creative Commons (by-nc-nd) CFSEC/h7>

Biometria será adotada para o voto na Bolívia

Nelson Correa — Tue, 14 Apr 2009 17:27:41 +0000

A Bolívia, país sulamericano que se divide entre os Andes e a Floresta Amazônica, adotou hoje a biometria como forma de assegurar um maior nível de segurança no cadastramento de eleitores, e durante as votações nos pleitos eleitorais.

Essa definição faz parte da nova lei eleitoral aprovada depois da greve de fome do presidente Evo Morales. Umas das preocupações da oposição era com possíveis eleitores “fantasmas”. A forma de se eliminar a possibilidade de eleições facilmente fraudáveis, foi a adoção de um novo censo eleitoral que usará os atuais documentos aceitos na Bolívia, como: a cédula de identidade, o Registro Único Nacional ou o Livreto de Serviço Militar, para cadastrar biográfica e biometricamente os menos de 5 milhões de eleitores (dentre 10 milhões de habitantes).

Os eleitores terão cadastrados biometricamente as impressões de digitais (fingerprint). Não está claro nas notícias dos jornais online bolivianos, mas não acreditamos que a fotografia do eleitor e também sua assinatura servirão como elemento para autentiação biométrica. O mais provável é que sejam colhidos digitalmente para confecção de documentos. É lamentável que ainda não se usem as fotos para Reconhecimento Facial biométrico.

A Bolívia é um país pequeno, e esse AFIS (Automated Fingerprint Identification System) é menor do que alguns que poderemos ver em breve, no Brasil, em corporações privadas.

Creative Commons (by-nc-nd) CFSEC/h7>

GlobalPlatform define modelo para Match-on-Card

Nelson Correa — Mon, 13 Apr 2009 19:58:46 +0000

A GlobalPlatform é uma organização que define padrões tecnológicos para smartcards, formada pelos principais players mundiais desse mercado, como por exemplo: Datacard, Visa Inc, STMicroelectronics, ActivIdentity, Gemalto, Giesecke & Devrient, MasterCard Worlwide, NTT Corp, Oberthur Card Systems, Sun Microsystems, Toshiba Corporation, dentre vários outros. A GlobalPlatform também participa como membro de mais de duas dezenas de organizações como: ISO/WG4, INCITS, Java Card Forum, NIST, OMTP, Smart Card Alliance e outros.

É com esse respaldo do mercado mundial de cartões que a GlobalPlatform publicou no início de abril/2009 o documento que dá o direcionamento tecnológico para os smartcards que terão embarcada a tecnologia de Match-on-Card. Muitos esforços têm sido despendidos na viabilização da tecnologia que mantém a privacidade e o alto nível de segurança para as transações biométricas, com a comparação (ou match) biométrica ocorrendo e sendo processada dentro do chip do smartcard.

O NIST (National Institute of Standards and Technology) dos Estados Unidos também tem colocado muito esforço nessa definição para que a tecnologia de Match-on-Card possa ser usada o mais rapidamente possível nos cartões do programa PIV (Personal Identity Verification), que serão os cartões usados para carregarem dados biométricos dos funcionários e terceiros que serão autenticados para ingressarem em áreas e prédios governamentais.

Ano passado (2008), o NIST conduziu o Secure Biometrics Match-on-Card (SBMOC) Feasibility Study, onde definiu condições para a autenticação biométrica segura via Match-on-Card, com contato e sem contato, incluindo padrões de criptografia e tempos máximos de processamento. O documento pode ser encontrado aqui.

O white paper, The GlobalPlatform Value Proposition for Biometric Match-on-Card Verification, da GlobalPatform pode ser baixado aqui. Certamente será este o modelo que a indústria de cartões irá adotar para a Biometria Match-on-Card.

Creative Commons (by-nc-nd) CFSEC/h7>

Biometria na legislação brasileira

Nelson Correa — Fri, 10 Apr 2009 03:58:42 +0000

A biometria, conforme definição da ISO/IEC em seu vocabulário harmonizado, é o reconhecimento automatizado de indivíduos, baseado em suas características comportamentais e biológicas (Biometrics = automated recognition of individuals based on their behavioural and biological characteristics). É uma tecnologia relativamente nova em todo o mundo, e aqui no Brasil, vem sendo adotada há um pouco mais de dez anos, mas foi nos últimos 3 anos que começou a ganhar velocidade de adoção.

Dada a sua juventude, não temos legislação específica para tratar o uso da biometria em nosso país. Já existem procedimentos operacionais, normas legais e estudo de leis específicas para os Detrans estaduais, Denatran e mais recentemente, para a legislação eleitoral, por conta das urnas biométricas que já estão sendo testadas pelo TSE desde 2008.

Aprofundando um pouco a pesquisa, podemos encontrar uma afirmação em documento de profissionais de odontologia sobre a Medida Provisória 2.200-2 de agosto de 2001, que instituiu a Infra-estrutura de Chaves Públicas Brasileira – ICP-Brasil, e o uso de arquivos digitais na odontologia. Neste documento, eles lembram que o Art. 37 – parágrafo primeiro – Lei 6.015/73 reconhece a impressão digital como forma de identificação pessoal irrefutável. Ou seja, qualquer indivíduo poderá ser identificado ou verificado por suas impressões digitais.

Ainda pesquisando, achamos na revista Jus Vigilantibus, excelente artigo dos advogados Antonio Baptista Gonçalves e Roseli Ribeiro. E lá eles chegam à mesma constatação: “juridicamente, por se tratar de um assunto novo, não há uma legislação brasileira própria sobre a matéria”. Mas lembram que deve-se então aplicar o artigo 5º inciso X da Constituição Federal, que trata, dentre outras coisas, que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. Ou seja, se uma empresa cadastrar uma característica biométrica de um indivíduo, ela tem a responsabilitade de garantir que essa informação não vaze ou seja usada de forma que viole a intimidade, a vida privada, a honra e a imagem daquele indivíduo.

Finalizando nossa busca, no site de Patricia Peck Pinheiro Advogados, outro artigo muito bom da própria advogada Patrícia Peck, reforça o artigo 5º inciso X da Constituição Federal, e completa sugerindo que em qualquer cadastramento de dados biométricos, deve-se tomar autorização prévia, “uma vez que a inviolabilidade da pessoa consiste na tutela do aspecto físico, como é perceptível visivelmente”. Além disso, ela recomenda que se proteja e que se defina um tempo de guarda máximo, a partir do encerramento da relação entre as partes.

Concluindo, até a presente data, o melhor procedimento legal para o uso da biometria na relação de empresas com indivíduos é a definição de uma política de segurança com avaliação do risco para os templates biométricos, a adoção de controles de segurança que minimizem os riscos, com controle e registro do uso dos dados biométricos somente por pessoas e sistemas autorizados, além de um documento que será apresentado ao indivíduo para a anuência da coleta de suas características biométricas. Por fim, sugiro que nunca, sob hipótese alguma, guarde-se as imagens das características biométricas tomadas dos indivíduos, somente dos templates gerados pelos algoritmos biométricos a partir destas imagens, que deverão ser descartadas imediatamente após esse processamento.

Creative Commons (by-nc-nd) CFSEC/h7>

Apple adota biometria

Nelson Correa — Fri, 03 Apr 2009 11:42:38 +0000

Apple também vai surfar a onda das novas soluções tecnológicas de biometria. No último dia 26 de março de 2009, o órgão governamental norte-americano que regula patentes, o US Patent & Trademark Office, publicou uma patente da mais famosa empresa de Cupertino, California, a Apple Inc., relacionada a biometria que será embarcada em todos seus futuros equipamentos, dos famosos iPhone aos MacBooks.

Os gadgets da Apple poderão autenticar seus usuários através da biometria. Eles prevêem as soluções tradicionais de reconhecimento biométrico como: impressões digitais (fingerprint) e reconhecimento facial (face recognition), mas abrem o leque quanto à adoção de novas formas de autenticação biométrica, como: características da pele e do canal auricular. Para o iPhone, eles pensam em usar reconhecimento de voz.

A intenção da Apple não é novidade. Milhões de celulares foram vendidos na Ásia nos últimos meses com leitores de impressão digital. Alguns dos principais fabricantes de laptops (Dell, Hp, Lenovo) já embarcam sensores de leitura para impressões digitais em seus equipamentos. Alguns dão os primeiros passos com webcams e reconhecimento facial.

O que todos procuram é manter restrito aos usuários autorizados, o acesso às informações e aos equipamentos, usando a tecnologia biométrica, pela praticidade e conforto que ela proporciona para o usuário.

Normas ISO/IEC relacionadas à biometria

Nelson Correa — Thu, 02 Apr 2009 14:05:25 +0000

No artigo Autenticação: identificação ou verificação? nós comentamos sobre a sxistência do JTC1 SC37, que é o grupo que define as normas adotadas para a padronização da biometria, dentro do comitê técnico de tecnologia da informação. Nesse artigo de hoje, vamos mostrar o resultado do trabalho do JTC1 SC37, listando as normas já aprovadas e as que estão em processo de desenvolvimento e/ou aprovação.

Para os órgãos governamentais que queiram se basear nos padrões ISO/IEC para especificar suas licitações, é de conhecimento obrigatório. São elas:

PUBLICADAS

ISO/IEC 19784-1:2006
Information technology — Biometric application programming interface — Part 1: BioAPI specification

ISO/IEC 19784-1:2006/Amd 1:2007
BioGUI specification

ISO/IEC 19784-2:2007
Information technology — Biometric application programming interface — Part 2: Biometric archive function provider interface

ISO/IEC 19785-1:2006
Information technology — Common Biometric Exchange Formats Framework — Part 1: Data element specification

ISO/IEC 19785-2:2006
Information technology — Common Biometric Exchange Formats Framework — Part 2: Procedures for the operation of the Biometric Registration Authority

ISO/IEC 19785-3:2007
Information technology — Common Biometric Exchange Formats Framework — Part 3: Patron format specifications

ISO/IEC 19794-1:2006
Information technology — Biometric data interchange formats — Part 1: Framework

ISO/IEC 19794-2:2005
Information technology — Biometric data interchange formats — Part 2: Finger minutiae data

ISO/IEC 19794-3:2006
Information technology — Biometric data interchange formats — Part 3: Finger pattern spectral data

ISO/IEC 19794-4:2005
Information technology — Biometric data interchange formats — Part 4: Finger image data

ISO/IEC 19794-5:2005
Information technology — Biometric data interchange formats — Part 5: Face image data

ISO/IEC 19794-5:2005/Amd 1:2007
Conditions for taking photographs for face image data

ISO/IEC 19794-5:2005/Cor 1:2008

ISO/IEC 19794-5:2005/Cor 2:2008

ISO/IEC 19794-6:2005
Information technology — Biometric data interchange formats — Part 6: Iris image data

ISO/IEC 19794-7:2007
Information technology — Biometric data interchange formats — Part 7: Signature/sign time series data

ISO/IEC 19794-8:2006
Information technology — Biometric data interchange formats — Part 8: Finger pattern skeletal data

ISO/IEC 19794-9:2007
Information technology — Biometric data interchange formats — Part 9: Vascular image data

ISO/IEC 19794-10:2007
Information technology — Biometric data interchange formats — Part 10: Hand geometry silhouette data

ISO/IEC 19795-1:2006
Information technology — Biometric performance testing and reporting — Part 1: Principles and framework

ISO/IEC 19795-2:2007
Information technology — Biometric performance testing and reporting — Part 2: Testing methodologies for technology and scenario evaluation

ISO/IEC TR 19795-3:2007
Information technology — Biometric performance testing and reporting — Part 3: Modality-specific testing

ISO/IEC 19795-4:2008
Information technology — Biometric performance testing and reporting — Part 4: Interoperability performance testing

ISO/IEC 24708:2008
Information technology — Biometrics — BioAPI Interworking Protocol

ISO/IEC 24709-1:2007
Information technology — Conformance testing for the biometric application programming interface (BioAPI) — Part 1: Methods and procedures

ISO/IEC 24709-2:2007
Information technology — Conformance testing for the biometric application programming interface (BioAPI) — Part 2: Test assertions for biometric service providers

ISO/IEC 24713-1:2008
Information technology — Biometric profiles for interoperability and data interchange — Part 1: Overview of biometric systems and biometric profiles

ISO/IEC 24713-2:2008
Information technology — Biometric profiles for interoperability and data interchange — Part 2: Physical access control for employees at airports

ISO/IEC TR 24714-1:2008
Information technology — Biometrics — Jurisdictional and societal considerations for commercial applications — Part 1: General guidance

ISO/IEC TR 24722:2007
Information technology — Biometrics– Multimodal and other multibiometric fusion

ISO/IEC TR 24741:2007
Information technology — Biometrics tutorial

EM DESENVOLVIMENTO

ISO/IEC 19784-1:2006/FPDAmd 2
Framework-free BioAPI

ISO/IEC 19784-1:2006/FPDAmd 3
Support for the interchange of certificates and security assertions and other security aspects

ISO/IEC CD 19784-4
BioAPI — Biometric Application Programming Interface — Part 4: Biometric sensor function provider interface

ISO/IEC 19785-1:2006/FPDAmd 1
Support for Additional Data Elements

ISO/IEC 19785-2:2006/FPDAmd 1
Addditional Registrations

ISO/IEC 19785-3:2007/FPDAmd 1
Support for Additional Data Elements

ISO/IEC FCD 19785-4.2
Information technology — Common Biometric Exchange Formats Framework — Part 4: Security Block format specifications

ISO/IEC CD 19794-1
Information technology — Biometric data interchange formats — Part 1: Framework

ISO/IEC CD 19794-2
Information technology — Biometric data interchange formats — Part 2: Finger minutiae data

ISO/IEC 19794-2:2005/FPDAmd 1
Detailed Description of Finger Minutiae location, Direction and Type

ISO/IEC 19794-2:2005/CD Cor 1

ISO/IEC WD 19794-3
Information technology — Biometric data interchange formats — Part 3: Finger pattern spectral data

ISO/IEC CD 19794-4
Information technology — Biometric data interchange formats — Part 4: Finger image data

ISO/IEC 19794-4:2005/CD Cor 1

ISO/IEC CD 19794-5
Information technology — Biometric data interchange formats — Part 5: Face image data

ISO/IEC 19794-5:2005/FPDAmd 2
Three dimensional face image data interchange format

ISO/IEC WD 19794-6
Information technology — Biometric data interchange formats — Part 6: Iris image data

ISO/IEC CD 19794-8
Information technology — Biometric data interchange formats — Part 8: Finger pattern skeletal data

ISO/IEC CD 19794-11
Information technology — Biometric data interchange formats — Part 11: Signature/sign processed dynamic data

ISO/IEC WD 19794-13
Information technology — Biometric data interchange formats — Part 13: Voice Data

ISO/IEC WD 19794-14
Information technology — Biometric data interchange formats — Part 14: DNA Data

ISO/IEC NP 19794-N
Information technology — Biometric data interchange formats — Part N: Face Identity Data

ISO/IEC CD 19795-5
Information technology — Biometric performance testing and reporting — Part 5: Framework for biometric device performance evaluation for access control

ISO/IEC CD 19795-6
Biometric Performance Testing And Reporting — Part 6: Testing Methodologies for Operational Evaluation

ISO/IEC CD 19795-7
Biometric Performance Testing and Reporting — Part 7: Testing of ISO/IEC 7816-based Verification Algorithms

ISO/IEC 24708:2008/NP Amd 1
Support for interchange of certificates and security assertions and other security aspects

ISO/IEC CD 24709-3
Information technology — Conformance testing for the biometric application programming interface (BioAPI) — Part 3: Test assertions for BioAPI frameworks

ISO/IEC WD 24709-4
Information technology — Conformance testing for the biometric application programming interface (BioAPI) — Part 4: Test assertions for biometric applications

ISO/IEC FCD 24713-3
Information technology — Biometric profiles for interoperability and data interchange — Part 3: Biometrics-based verification and identification of seafarers

ISO/IEC WD TR 24714-2
Information technology — Biometrics — Jurisdictional and societal considerations for commercial applications — Part 2: Specific technologies and practical applications

ISO/IEC WD 24779-1
Pictograms, Icons and Symbols for use with Biometric Systems — Part 1: Overview

ISO/IEC WD 24779-2
Pictograms, Icons and Symbols for use with Biometric Systems — Part 2: Fingerprint applications

ISO/IEC FCD 29109-1
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 1: Generalized conformance testing methodology

ISO/IEC FCD 29109-2
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 2: Finger minutiae data

ISO/IEC NP 29109-3
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 3: Titre manque

ISO/IEC FCD 29109-4
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 4: Finger image data

ISO/IEC CD 29109-5
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 5: Face image data

ISO/IEC WD 29109-6
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 6: Iris image data

ISO/IEC WD 29109-9
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 9: Vascular image data

ISO/IEC FCD 29109-10
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 10: Hand geometry silhouette data

ISO/IEC NP 29109-11
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 11: Signature/sign processed dynamic data

ISO/IEC NP 29109-13
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 13: Speech data interchange format for speaker recognition

ISO/IEC WD 29109-14
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 14: DNA data

ISO/IEC WD 29120-1
Information technology — Machine Readable Test Data for biometric testing and reporting — Part 1: Framework and components

ISO/IEC NP 29120-2
Information technology — Machine Readable Test Data for biometric testing and reporting — Part 2: Test Input Data

ISO/IEC NP 29120-3
Information technology — Machine Readable Test Data for biometric testing and reporting — Part 3: Test Reports

ISO/IEC NP 29120-4
Conformance Testing Methodology for Biometric Data Interchange formats defined in ISO/IEC 19794. — Part 4: Biometric test certificates

ISO/IEC FCD 29141
Information technology — Biometrics — Tenprint capture using biometric application programming interface (BioAPI)

ISO/IEC NP 29144
the Role of Biometrics in Identity Management

ISO/IEC CD 29159-1
Biometric Calibration, augmentation and fusion data — Part 1: Fusion information format

ISO/IEC CD 29164
BioAPI Lite

ISO/IEC FCD 29794-1.2
Information technology — Biometric sample quality — Part 1: Framework

ISO/IEC DTR 29794-4
Information Technology – Biometric Sample Quality — Part 4: Finger Image Data

ISO/IEC DTR 29794-5
Information Technology – Biometric Sample Quality — Part 5: Face Image Data

(*) ISO – International Organization for Standardization em seu Comitê Técnico JTC 1 (Joint ISO/IEC Technical Committee), subcomitê SC 37 que trata dos padrões internacionais relacionados à biometria (criado em 2002).

Creative Commons (by-nc-nd) CFSEC/h7>

Autenticação: identificação ou verificação?

Nelson Correa — Wed, 01 Apr 2009 01:53:36 +0000

Esses termos são encontrados em qualquer literatura sobre biometria. Muitas vezes, fornecedores diferentes usam os mesmos termos com definições e objetivos diferentes. Uma das melhores definições disponíveis na literatura de segurança e biometria é a de Hossein Bidgoli, em sua coleção “Handbook of information security” (Published by John Wiley and Sons, 2006 – ISBN 0471222011, 9780471222019).

Bidgoli não quer criar as definições ideais, mas tenta somente explicar o que cada termo significa na literatura sobre biometria. Normalmente usamos a palavra autenticação, como uma descrição genérica do processo de autorização para que um indivíduo tenha acesso a ativos ou serviços.

Esse processo, como definiu a U.K.’s e-Government Unit (2002) pode ser dividido em dois estágios:

Registro: é o processo onde o indivíduo ganha uma credencial, como um username ou certificado digital, para ser usado no processo de autenticação. O ideal é que este indivíduo possa provar com documentos e presença física que ele é quem diz ser no momento do registro.

Autenticação: é o processo em que a identidade eletrônica é verificada e validade por um sistema de informação, para uma determinada situação, usando a credencial que foi emitida no registro.

Isso é “chover no molhado” para o mundo de segurança da informação. Dificilmente outras definições de autenticação serão muito diferentes dessa que foi definida acima. Mas quando entramos no mundo da biometria, os termos verificação e identificação assumem significados especiais.

Verificação: é o processo biométrico que vai determinar a validade de uma identidade apresentada. Conceitualmente isso pode ser entendido como o processo de comparar um a um (1:1) a amostra da característica biométrica apresentada com o template biométrico que foi registrado para determinar se são do mesmo indivíduo. Por exemplo: colhe-se a impressão digital do dedo indicador da mão direita de um indivíduo. No processo de verificação, ele apresenta sua digital do dedo indicador da mão direita para comparação com aquele que foi colhido no registro. Como resultado, teremos somente duas respostas: sim, é o mesmo indivíduo, ou não, são indivíduos distintos.

Identificação: é o processo biométrico que identifica um indivíduo, por suas características biométricas, dentro de uma base de dados registrada. Conceitualmente esse é um processo de comparação de um para muitos (1:N), onde se apresenta uma amostra da característica biométrica e, busca-se em uma base de templates biométricos registrados, a qual indivíduo pertence aquela amostra. Como resultado, teremos somente uma resposta: um único indivíduo em que a comparação da amostra com o template é aceita.

Mas para que não haja mais dúvidas quanto aos termos e seus significados, a ISO – International Organization for Standardization em seu Comitê Técnico JTC 1 (Joint ISO/IEC Technical Committee), subcomitê SC 37 que trata dos padrões internacionais relacionados à biometria (criado em 2002), vem publicando desde 2002 o Harmonized Biometric Vocabulary, que teve sua 10ª edição lançada em dezembro de 2008. Este documento coloca definitivamente uma pedra nas várias definições e oferece ao mercado uma nomenclatura única e oficial.

No Vocabulário Biométrico Harmonizado da ISO/IEC, encontramos as seguintes definições para os termos em questão:

Autenticação: esse termo já foi usado como sinônimo de aplicação para verificação biométrica, função de verificação biométrica, mas também para sinônimo de aplicação de identificação biométrica e função de identificação biométrica. Usar este termo como sinônimo de verificação biométrica ou identificação biométrica não é mais aceito. O ideal é que se entenda autenticação no ambiente da biometria, como: reconhecimento biométrico.

Registro: o ato ou processo de registro ou de ser registrado. O mesmo que enrolment, que é o ato de capturar uma característica biométrica e arquivá-la em uma base de dados ou em local privativo ao próprio indivíduo (ex. smartcard)

Identificação: o mais comumente usado hoje é: identificar, que é o processo de busca biométrica em uma base de dados biométricos capturados, para achar e indicar um identificador de referência biométrica atribuído a um único indivíduo.

Verificação: o mais comumente usado hoje é: verificar, que é o processo de confirmar uma determinada característica biométrica através de comparações biométricas.

A partir de agora, estas serão as definições que usaremos na CFSEC Security Architects para os termos discutidos acima.

Creative Commons (by-nc-nd) CFSEC/h7>

Identificando o eleitor biometricamente

Nelson Correa — Fri, 20 Mar 2009 23:35:11 +0000

Ontem, 19/03/2009, a mídia divulgou a intenção do Tribunal Superior Eleitoral (TSE) de dar um salto dos 43 mil eleitores que participaram da experiência de votação com autenticação biométrica por impressão digital do eleitor, em 2008, para o interessante universo de 4 milhões de eleitores votando em urnas com autenticação biométrica nas eleições de 2010.

E esse tema foi notícia, porque o presidente do TSE foi pedir ao presidente da república e ao seu ministro do planejamento, verba orçamentária de 250 milhões de reais para equipar 100 mil urnas eletrônicas para o ano que vem (2010).

Existem várias tentativas de criação de cadastros nacionais com dados biométricos, todos patinando em jogo de interesses, vaidades e até mesmo, pouca competência. O único que vem caminhando, devagar é verdade, mas com avanços concretos, é o do TSE, para o cadastro dos eleitores.

Em diversos países do terceiro mundo (ex.: Angola) como também em países em desenvolvimento (ex.: México), tem-se usado a necessidade de elevar a garantia de prevenção de fraudes que o processo eleitoral exige, como o viabilizador do cadastro nacional com dados biométricos.

Aqui no Brasil não está sendo diferente. Todavia, aquele jogo de interesses, vaidades e até mesmo incompetência, têm forçado o TSE a comer esse mingau quente pelas beiradinhas. Desde 2004 que o TSE analisa o uso de biometria para identificar o usuário, mas como nunca conseguiu prioridade para seu projeto, começou em 2005 buscando leitores biométricos para suas urnas eletrônicas antes de qualquer outra definição tecnológica.

Com determinação e muita força de vontade, o TSE tem construído sua solução, infelizmente começaram a obra pelo telhado. E isso pode aumentar os gastos neste projeto. Como assim? O lógico, se tivessem o apoio da presidência da república, seria definir primeiro a tecnologia e o modelo para o cadastro único do eleitor, a tecnologia AFIS (Automated Fingerprint Identification System).

Aí sim, depois de definida essa tecnologia, que é o cerne de um projeto dessa envergadura, vai-se ao mercado buscar leitores biométricos para serem usados nas urnas eletrônicas e os softwares que farão a confirmação biométrica que cada eleitor que se apresente para votar é realmente aquele que deveria ser.

A principal vantagem da adoção da biometria no processo eleitoral, é que não se possa nunca, usar o voto de eleitores que não compareceram à votação, através de uso de seus dados eleitorais fraudulentamente.

Distante ainda do formato ideal, a biometria é o hoje, a única tecnologia que pode prevenir esse tipo de fraude.

Creative Commons (by-nc-nd) CFSEC/h7>

Revolução na coleta de impressões digitais

Nelson Correa — Wed, 18 Mar 2009 14:49:29 +0000

Um dos maiores mercados de biometria é o de soluções AFIS (Automated Fingerprint Identification System), ainda hoje tendo como principais consumidores, organismos governamentais, como por exemplo: cadastros civis e criminais de países, estados ou cidades.

É também na área de AFIS que tivemos as maiores evoluções tecnológicas do mercado de biometria nos últimos anos. Dentre elas, os leitores de digitais conhecidos como “livescans”. O desafio era, além de melhorar a qualidade, aumentar a velocidade de coleta das impressões digitais.

Com apoio e investimento do US Department of Homeland Security a Universidade de Kentucky (USA) está trabalhando no desenvolvimento de um livescan sem necessidade de contato dos dedos e mãos com o área de captura de imagem e, melhor, sem precisar de intervenção humana.

O grande objetivo é desenvolver um equipamento livescan, de alta resolução e que capture em menos de 10 segundos os dez dedos da mão sem ajuda ou intervenção de outra pessoa.

E o projeto vai andando bem. A Universidade de Kentucky desenvolveu um sistema de luzes 3-D que está apresentando excelentes resultados. A qualidade de imagens em 3-D vai varrer do mapa os leitores 2-D atuais quando se tratar de soluções AFIS.

O que é melhor é que esse projeto não é o único que tem o apoio do Departamento de Justiça norte-americano. Atualmente, outras três tecnologias estão sendo desenvolvidas em paralelo com o apoio do DOJ.

Essa é uma demonstração clara que as tecnologias para reconhecimento biométrico estão na pauta de prioridades para os próximos anos.

Fonte: Michael Cooney do Blog Layer 8 em Network World

Creative Commons (by-nc-nd) CFSEC/h7>

Como aferir a eficácia de um sistema de autenticação biométrica?

Nelson Correa — Tue, 09 May 2006 01:59:11 +0000

As empresas têm olhado para a biometria de uma forma como nunca olharam antes. Hoje, essa tecnologia não é mais vista como algo impensável para um futuro próximo nas agendas dos executivos de segurança da informação. Todavia, notícias como a que foi publicada recentemente pelo IDG News Service (07/03/2006 – aqui), que comenta como um pesquisador conseguiu roubar uma digital no scanner biométrico vendido pela Microsoft (apresentado na Blackhat Europe 2006 ? aqui), trazem apreensão, dúvidas e incertezas.

Para trazer mais compreensão e ajudar a separar o joio do trigo, vamos começar a mostrar alguns aspectos importantes da tecnologia biométrica, que certamente ajudarão na tomada de decisão para adoção de soluções. Até porque, a proliferação de hardware (leitores / scanners) tem sido uma realidade. Um leitor, à princípio, é um equipamento muito simples. Mas só à princípio.

Um dos primeiros elementos significativos no entendimento da precisão de sistemas biométricos é a performance como contra-ponto da segurança. Para entender como chegamos no equilíbrio, dois acrônimos são determinantes: FAR e FRR.

FAR que significa em inglês False Acceptance Rate, está relacionado com o erro do sistema ao permitir o acesso de indivíduos que não estão autorizados. FRR em inglês significa False Rejection Rate, e tem a ver com o erro do sistema de não autorizar o acesso de um indivíduo que possui autorização legítima para este acesso.

Quanto maior for a necessidade de segurança, menor deverá ser o FAR. Quanto maior for a necessidade de performance, menor deverá ser o FRR. O acesso a um CPD, que normalmente é feito por poucas pessoas, pode ter um FRR mais alto para que se tenha um FAR muito baixo.

Teoricamente, o ponto ideal estará próximo do EER, que em inglês quer dizer Equal Error Rate, ou proporção de erro equilibrada. Se um sistema biométrico tem EER de 0,1%, isso significa que o sua eficácia será 99,9%. No mundo real, dificilmente uma solução usará o EER, mas certamente é à partir dele que serão dosadas as necessidades de segurança e performance.

Esse é só o começo, pois é o software e os algorítmos que irão determinar se o seu processo de autenticação biométrico é efetivamente para oferecer segurança ou só conforto.

Creative Commons (by-nc-nd) CFSEC/h7>