Le tecnologie biometriche per il controllo delle frontiereccs.ele.uniroma3.it/pdf/biometria roma tre...
71
Le tecnologie biometriche per il controllo delle frontiere lezioni apprese e problemi aperti Alessandro Alessandroni Università Roma Tre 29 maggio 2013
Transcript of Le tecnologie biometriche per il controllo delle frontiereccs.ele.uniroma3.it/pdf/biometria roma tre...
Le tecnologie biometriche per il controllo delle frontiere
lezioni apprese e problemi aperti
Alessandro Alessandroni
Università Roma Tre
29 maggio 2013
AGENDA
1 – i documenti biometrici: • tipologie di documenti
• caratteristiche biometriche, formati e modalità di memorizzazione
2 – la fase di emissione: • come garantire qualità e interoperabilità dei dati
biometrici memorizzati e la loro autenticità, integrità e riservatezza
3 – la fase di verifica: • come ottenere accuratezza/efficienza del
riconoscimento biometrico
PARTE 1
I DOCUMENTI BIOMETRICI
4
Perché i documenti biometrici
Rendere più forte il legame tra titolare e documento
“The only way … to tie the person irrevocably to their travel document is to have a physiological characteristic of that person associated with their travel document in a tamper-proof manner. This physiological characteristic is, of course, a biometric” (ICAO*)
Consentire il ricoscimento automatico a supporto dell’operatore addeto alla verifica
nei varchi automatici
*International Civil Aviation Organization
Evoluzione dei documenti di viaggio (ICAO)
carta MRTD (MRZ) e-MRTD(chip+biometria)
<1980 1981 2004
MRZ
MRZ: Machine Readable Zone
MRTD: Machine Readable Travel Document
Esigenza di standard per la
interoperabilità globale
Per i documenti di viaggio la esigenza che i documenti
prodotti da ciascuno stato siano leggibili e verificabili
dai sistemi di verifica degli altri stati comporta la
necessità di standard internazionali
La esigenza di interoperabilità globale è la principale
motivazione della standardizzazione delle specifiche
dei documenti a lettura ottica/elettronica
Lo standard di riferimento per passaporti, visti e altri
documenti utilizzabili per attraversare le frontiere è il
documento ICAO DOC 9303 che, a sua volta, fa
riferimento a standard internazionali, principalmente
ISO/IEC e a alcuni standard nazionali
6
7
Raccomandazioni ICAO 9303 2006
Parte 1: passaporti leggibili a macchina Vol.1: passaporti con dati leggibili a macchina
registrati in formato OCR Vol.2: specifiche per passaporti elettronici con
capacità di identificazione biometrica
Parte 2 visti leggibili a macchina
Parte 3 documenti di viaggio ufficiali leggibili a macchina Vol.1:MRTD con dati leggibili a macchina registrati
in formato OCR Vol.2: specifiche per e-MRTD(*) con capacità di
identificazione biometrica (*) ad es.: permessi di soggiorno, documenti di
identità
7
8
I dati biometrici previsti da ICAO
Le norme ICAO 9303 considerano 3 tipi di caratteristiche biometriche per i documenti elettronici: Volto (obbligatorio) Impronte (opzionali) Iride (opzionale)
Per passaporti e altri documenti di viaggio è previsto un chip RFID per la memorizzazioen dei dati bioemtrici
Per i visti non è prevista la presenza di chip per evitare interferenze
9
Formato dati biometrici: immagine o template?
secondo le norme ICAO per ciascun tipo di
dato biometrico è obbligatorio memorizzare
l’immagine
la registrazione del template associato alla
immagine è opzionale
il template occupa meno spazio della immagine
ed è preferibile dal punto di vista della privacy
motivi della scelta della immagine:
indipendenza dai vendor richiede immagine o
template standard
i template standard comportano prestazioni inferiori
Documenti elettronici
conformi ICAO in circolazione
PASSAPORTI ELETTRONICI: Nel mondo 101 stati emettono passaporti elettronici conformi ICAO 483,929,100 in circolazione (11.2012) 47 stati solo foto (almeno PA)
54 stati foto + impronte Di cui 27 conformi norme UE (BAC/PACE, PA, EAC) compreso
passaporto italiano
0 stati con iride
PERMESSI DI SOGGIORNO Tutti gli stati europei emettono o stanno per emettere permessi
di soggiorno elettronici conformi ICAO e UE 380/2008
CARTE DI IDENTITA’ - Alcuni stati europei emettono carte di indentità e-MRTD
conformi ICAO (ad esempio Olanda, Svezia, Lituania..)
10
Passaporto elettronico emesso dagli
stati membri dell’UE
Emesso a partire dal 2006 dal singolo stato in base a normativa nazionale rispettando i requisiti minimi comuni stabiliti dalla normativa comunitaria
Normativa comunitaria fa riferimento a:
norme ICAO DOC9303 parte 1, vol.1 e 2
A patire dal 2009 obbligatori elementi biometrici secondari (impronte digitali), opzionali per ICAO
obbligatori protocolli di sicurezza oltre alla PA: BAC (opzionale per ICAO) per evitare skimming a eavesdropping EAC per:
controllo termianle autorizzato all’accesso alle impronte (TA) controllo autenticità del chip (CA)
PKI di verifica
11
Elementi biometrici ICAO/UE
tipo ICAO UE standard
Volto Obbligatorio Obbligatorio ISO/IEC 19794-5
(immagine)
Impronte digitali Opzionale Obbligatorio ISO/IEC 19794-4
(immagine)
Iride Opzionale(*) - ISO/IEC 19794-6
(immagine)
12
* AD OGGI NEL MONDO NESSUNO STATO EMETTE PASSAPORTI CON
IMMAGINE DELL’IRIDE; 47 STATI SOLO VOLTO E 54 CON VOLTO + 2 IMPRONTE
Misure di sicurezza ICAO/UE
misura ICAO UE beneficio
PA
(passive
authentication)
Obbligatorio Obbligatorio Prova autenticità e
integrità dei dati
memorizzati nel chip
BAC
(basic access
control)
Opzionale Obbligatorio Previene skimming
e eavesdropping
CA
(chip
authentication)
Opzionale
Obbligatorio Prova chip non
sostituito
TA
(terminal
authentication)
Opzionale Obbligatorio Previene accessi a
impronte da parte
terminali non
autorizzati 13
14
Passaporto Elettronico (UE)
In vigore in Italia e nella EU a partire da Ottobre 2006 e da giugno 2009 con 2 impronte
Le informazioni immagazzinate in un chip di tipo
RFId (ISO/IEC 14443) presente nella copertina
Informazioni biometriche in formato interoperabile: Immagine del volto (ISO 19794-5)
immagini di due impronte (ISO 19794-4) per maggiori 12 anni
meccanismi di sicurezza garantiscono: autenticità, integrità, riservatezza dei dati registrati
Linee guida AGID (dic. 2008) per procedure acquisizione, specifiche e test dispositivi di acquisizione e software biometrico
15
Permesso di soggiorno elettronico (UE)
Emesso in Italia dal 2006 basato su chip a contatto con 2 impronte in formato template
Il nuovo permesso conforme al Regolamento CE n. 380/2008 già emesso da altri stati UE verrà emesso a breve con caratteristiche elettroniche/biometriche analoghe al passaporto
Smart card con microprocessore RF (ISO/IEC 14443)
Informazioni biometriche in formato interoperabile:
Immagine del volto (ISO 19794-5)
immagini di due impronte (ISO 19794-4)
Adeguati meccanismi di sicurezza garantiscono: autenticità, integrità, riservatezza
Linee guida AGID (dic. 2010) per procedure di acquisizione e specifiche dispositivi di acquisizione e software biometrico
(http://www.digitpa.gov.it/tecnologie-biometriche)
16
Sistema europeo dei visti
il visto è uno sticker che si applica sul passaporto con un link al sistema centralizzato europeo VIS (Visa Information System)
presso i consolati o le ambasciate all'atto della richiesta di visto si acquisiscono la foto e le 10 impronte del richiedente e si trasferiscono nel VIS in formato immagine
Accesso alla base dati da postazioni alle frontiere per verifica identità
Avvio operativo giugno 2011 nei consolati del Nord Africa
AGID supporta il MAE e il ministero Interno per le specifiche tecniche dei dispositivi biometrici di acquisizione e la verifica della qualità dei dati acquisiti
17
Schema VIS/BMS
PARTE 2
LA FASE DI EMISSIONE
19
Principali esigenze per i dati
biometrici acquisiti e registrati
Interoperabilità
Qualità al fine della accuratezza del
riconoscimento in fase di verifica
Misure di Sicurezza per garantire autenticità,
integrità e riservatezza,
AGID (ex Cnipa/DigitPA)
Linee guida per qualità e interoperabilità dati biometrici passaporto, permesso di soggiorno e prossimo DDU
Scelte per gli elementi biometrici caratteristiche dei dispositivi di
acquisizione delle foto e delle impronte caratteristiche del sw di controllo qualità
delle immagini del volto e delle impronte procedure di acquisizione delle impronte caratteristiche del sw per il riconoscimento
del volto e delle impronte aspetti di sicurezza e privacy
Test dei dispositivi di acquisizione e del software di matching
20
21 21
qualità del dato biometrico acquisito
dipende da:
stato della caratteristica biometrica da acquisire (ad es.
pelle secca)
tecnologie impiegate per la acquisizione (ad es.
scanner con elevata distorsione)
comportamento dell’utente (posizionamento non
corretto del dito o posa del volto non corretta)
ambiente (ad es. Illuminazione o impurità sulla
superfice dello scanner)
22
Effetto sulla qualità delle impronte
acquisite dell’età
12 anni
Qualità dello scanner
Parametri di qualità:
•Area acquisizione
•Accuratezza risoluzione
•Distorsione geometrica
•Risposta alle frequenze spaziali (fuoco)
•Rapporto segnale/rumore risoluzione
•Range dinamico
Alto
impatto
medio
impatto
basso
impatto
Laboratorio DigitPA
Principali parametri di qualità
degli scanner
Original
Acquisition Area Output Resolution Geometric Accuracy
Spatial Frequency
Response
Signal-to-noise
Ratio
Fingerprint Gray
Range
25
Esperimenti per valutare impatto dei
parametri di qualità delle impronte The FVC2006 DB2 has been used
1680 images: 140 fingers, 12 impressions per fingers
Acquisition area: w=17.8mm, h=25.0mm
Quality parameters considered:
Acquisition area
Output resolution
Geometric accuracy
Spatial frequency response
Signal-to-noise ratio
Fingerprint gray range
From FVC2006 ten of the best performing algorithms on DB2 have
been selected (not only minutiae-based)
Experiment size
115,920 image transformations
11,192,300 fingerprint pairs compared
28
Esempio di misurazione della
distorsione geometrica
29
Specifiche Scanner Impronte Digitali (single-
finger) per applicazioni PA
basate su test di laboratorio
Classe Applicazioni Area
(alt × largh)
Accuratezza
sulla
risoluzione
Distorsione
geometrica
Risposta
frequenze
spaziali
Rapporto
Segnale
Rumore
Livelli di grigio e
range dinamico
A
(10%)
Enrollment per applicazioni large-scale e per
progetti dove è importante interoperabilità tra
scanner diversi, anche di fornitori diversi
(es. Passaporto, CIE)
Verifica di identità in applicazioni large-scale
dove l’enrollment è stato eseguito con scanner
di classe A o con scanner IAFIS IQS
(es. Verifica di un Passaporto o di un Visto)
25.4mm
×
25.4mm
500dpi 1%
(IAFIS IQS)
1.5%
(IAFIS IQS)
TSI ≥ 0.20
(PIV IQS)
Dev.Std.
σ ≤ 3.5
(PIV IQS)
Formato
256 livelli grigio.
Range dinamico
almeno 150 livelli
(PIV IQS)
B
(20%)
Enrollment e verifica identità in applicazioni
medium-scale dove gli utenti possono
autenticarsi su scanner diversi
(es. CMG - Carta Ministero Giustizia)
Verifica di identità in applicazioni large-scale
in cui enrollment eseguito can scanner classe A
(es. autenticazione con CIE)
20.0mm
×
15.0mm 500dpi 1.5% 2.0% TSI ≥ 0.15
Dev.Std.
σ ≤ 5.0
Formato
256 livelli grigio.
Range dinamico
almeno 140 livelli
C
(150%)
Enrollment e Verifica di identità in applicazioni
small-scale, dove tipicamente gli utenti usano
sempre lo stesso scanner
(es. sicurezza logica o fisica in piccole
amministrazioni o singoli uffici)
16.5mm
×
12.8mm
(PIV IQS)
500dpi 2.0%
(PIV IQS)
2.5%
(PIV IQS) TSI ≥ 0.12
Dev.Std.
σ ≤ 8.0
Formato
256 livelli grigio.
Range dinamico
almeno 130 livelli
maggiore impatto minore impatto
IAFIS PIV
30
Tipo di scanner:
single-finger o 4-4-2
31
4-4-2: slap e segmentazione
32
Pro e contro
4-4-2
CONTRO Posizionamento corretto più
difficile
Errori di segmentazione
Ingombrante
Costo 1-2000 euro
PRO Tempi inferiori (30 secondi
per 3 slap)
No errori di sequenza
Single finger
PRO Migliore posizionamento del
dito
Costo 2-300 euro
Poco ingombrante
CONTRO Tempi di acquisizione (10-15
per 2 e 60-75 per 10)
Possibili errori di sequenza (duplicazioni, scambio)
per i visti per passaporto e permesso di soggiorno
33
Corretto posizionamento delle dita
Procedura di acquisizione impronte
A partire da un indice, tre immagini separate vengono catturate
(mettendo il dito per tre volte sullo scanner).
Per ogni immagine, il punteggio di qualità (NFIQ) viene calcolato.
Le immagini della impronta vengono confrontate tra loro
La migliore immagine, sulla base degli score di matching con le
altre, viene selezionata per la memorizzazione
Se nessuna delle tre immagini ha un punteggio di 1, 2 o 3,
l'operatore acquisisce l'impronta del dito successivo nella
sequenza: indice, medio, anulare e pollice
Questa procedura è conforme alla norma ISO/IEC 29196 -
Technical Report on guidance for biometric enrolment, § 8.3.3
single finger systems
34
35
Processo acquisizione impronte di una
mano
Processo Standard
Inizio del processo di cattura
Rilevamento dal dito indice
NO
SI
Esito del processo di cattura
Fine del processo di cattura
SI
Esito del processo di cattura
Esito del processo di cattura
Rilevamento dal dito pollice
Esito del processo di
cattura
SI SI
NO NO NO
Rilevamento dal dito anulare
Rilevamento dal dito medio
:
Selezione della migliore tra le immagini scartate
36 36
sw controllo qualità delle impronte acquisite
1 2 3 4 5 NFIQ
Feedback immediato sulla qualità delle impronte raccolte tramite valore NFIQ
Selezione dita con migliori impronte
Sw del NIST considerato uno standard de facto (NISTIR -7151)
37
Correlazione tra qualità (NFIQ) e
accuratezza nel matching (Sagem)
Compressione immagine impronte
L’immagine digitale delle impronte acquisite (risoluzione 500 ppi,
area di acquisizione di un pollice quadrato, profondità 8 bit) ha una
dimensione di 250 KB; per la registrazione nel microprocessore
RF è necessaria compressione per rendere dimensione
compatibile con la capacità del chip
La riduzione di qualità non deve compromettere la accuratezza del
riconoscimento biometrico in fase di verifica.
Decisione CE 3770/2009 prescrive per le impronte il ricorso alla
compressione delle immagini attraverso l'algoritmo WSQ, e indica
in circa 12 – 15 Kbyte per dito il volume di memorizzazione
necessario per le immagini compresse delle impronte digitali.
Il fattore di compressione da utilizzare non deve essere superiore
a 15:1, come prescritto dalla norma ISO 19794-4
Non devono essere effettuate compressioni multiple che
degraderebbero significativamente l‟immagine.
38
39
Aspetti ambientali
Posizionamento scanner (altezza, stabilità,
inclinazione)
Umidità, temperatura, illuminazione, polvere
Pulizia superficie
Risultati qualità impronte registrate
(30/01/2012)
NFIQ=1
NFIQ=3
NFIQ=2
Indice destro Indice
sinistro
98% NFIQ = 1,2,3
96% dito= indice
40
41
All.A: Esempi e linee guida per le foto
ISO/IEC 19794-5:2005(E)
42
All.A:Esempi e linee guida per le foto
ISO/IEC 19794-5:2005(E)
43 43
Esempio software controllo conformità
ICAO
44
Effetto della compressione sulle
prestazioni di riconoscimento
PARTE 3
LA FASE DI VERIFICA
Verifica dei documenti elettronici
Alle frontiere:
Postazioni fisse
Varchi automatici (Sistemi ABC)
Dispositivi mobili
Sul territorio:
Postazioni fisse
Dispositivi mobili
46
SiF architettura Prima linea
degli Uffici di Frontiera
VISBanca dati
visti
SIDAFDatabse degli
specimen
SDI/SISArchivi nazionali ed
europei di polizia
Database dei documenti
smarriti o rubati
Gestore documentale
dell’ufficio di frontiera
SIF
External DBs
Verificare la genuinità e validità del
documento
Identificare il passeggero
Verificare l’ammissibilità del passeggero
sul territorio Nazionale e Schengen
Il controllo in frontiera:
Verifica Impronte digitali del Permesso di Soggiorno Elettronico Italiano - Regolamento (CE) 1030/2002 e prossimamente del passaporto e del nuovo permesso di soggiorno 380/2008
SIF: Principali funzionalità biometriche
Verifica dei visti uniformi Schengen alla
frontiera (tipo C e A)
• Può essere effettuata dalle postazioni I-VIS o dalle
postazioni SIF per mezzo della cooperazione
applicativa con il sistema I-VIS
• È previsto il riscontro presso il CS-VIS del visto esibito
dal viaggiatore per mezzo del numero di visto (sticker
number) con possibilità di verifica delle impronte
acquisite al momento con quelle presenti nel sistema
centrale europeo
50
Perché varchi automatici?
Facilitare i viaggiatori mantenendo alti i livelli di
sicurezza
Fare uso più efficiente delle guardie di frontiera
51
(1)
(2/5)
(3)
(4) (6)
Processo di verifica (unico passo)
1. Lettura documenti (passaporto, permesso di soggiorno, visti) sia dati anagrafici che biometrici
2. Verifica autenticità, integrità del documento
3. Verifica eventuale presenza nominativo/impronte in banche dati nazionali e/o internazionali
4. Acquisizione caratteristiche biometriche (volto e/o impronte)
5. Verifica identità con riconoscimento biometrico
6. Verifiche opzionali (es. antispoofing, presenza di una sola persona nel varco, ecc.)
7. Apertura varco in caso di esito positivo
52
Aeroporti Regno Unito - Stansted –
Londra (unico passo) (1/2)
53
Aeroporti Regno Unito - Stansted - Londra (2/2)
54
Esempio di processo di verifica
(2 passi)
55
Aeroporto Francoforte – Progetto
EasyPASS
56
Aeroporto Francoforte – Progetto EasyPASS
statistiche
≈ 50000 passaporti presentati ai varchi
≈ 43000 utenti passati con successo attraverso EasyPASS (86%)
14% tasso di rifiuto (ulteriori controlli manuali necessari da parte delle guardie di frontiera)
5.5% rifiutati a causa del fallimento del riconoscimento del volto (@FAR 0.1%)
8.5% rifiutati dal sistema a causa di altre ragioni (es. comportamenti non corretti dell’utente, verifica del documento fallita, corrispondenze segnalate su banche dati nazionali/internazionali)
57
Aeroporto Francoforte – Progetto EasyPASS
≈ 18s tempo medio per passare il varco
5-6s per leggere e controllare i dati sul passaporto
5-6s necessari all’utente per entrare e posizionarsi
correttamente nel gate
1s per il confronto del volto
5-6s necessari all’utente per uscire dal gate
58
Accuratezza del riconoscimento biometrico nei
varchi automatici (Linee guida tecniche
FRONTEX)
Volto Impronta digitale
FAR=0.1% FRR≤5% FRR≤3%
59
Sistemi ABC nel mondo al 15 Aprile
2013
60
eMRTD Pre-registrazione Pre-registrazione/eMRTD
Registrazione necessaria per gli stranieri
http://www.iata.org/whatwedo/stb/maps/Pages/passenger-facilitation.aspx
Sistemi ABC in Europa
(situazione a marzo 2013)
eMRTD Pre-registrazione Pre-registrazione/eMRTD
61
Sperimentazione pilota di varchi automatici di
attraversamento delle Frontiere Esterne
Iniziativa della Polizia di Stato – Direzione Centrale dell’Immigrazione e della Polizia delle Frontiere.
L'azione, finanziata dal Fondo per le frontiere esterne Piano annuale 2012, si propone di valutare l'impatto e i benefici di adottare e-gate per verificare l'identità dei cittadini europei con passaporto elettronico ai valichi di frontiera.
Tre diversi sistemi saranno testati e confrontati per un periodo di 9 mesi presso l'aeroporto internazionale di Milano Malpensa.
Il progetto pilota consentirà alle guardie di frontiera di Milano Malpensa e alla Società che gestisce l’Aeroporto (SEA) di valutare l'usabilità, le prestazioni, i costi e i benefici di tali sistemi.
Il progetto si concluderà a giugno 2014 e verrà svolto in partnership con un ente di ricerca scientifica e tecnologica, che supporterà l'Amministrazione nella conduzione e nella valutazione dell'esperienza.
62
Considerazioni su aspetti biometrici
I controlli di vivezza antispoofing possono aumentare i tempi di verifica (ad esempio controllo chiusura palpebre) o fornire falsi rigetti che si aggiungono a quelli dell’algoritmo di matching
Mancano dati di performance completi e comparabili
Per il riconoscimento del volto FRR elevati che si cerca di migliorare con acquisizioni 3D o acquisizioni multiple con scelta della immagine migliore tramite misure di qualità
Per le impronte problemi di posizionamento corretto di contatto
Assenza di procedure standard di verifica
Soluzioni eterogenee
Esigenza di armonizzazione almeno a livello comunitario
63
FIDELITY: Face on the fly
64
Casi d’uso dei dispositivi mobili: verifiche...
...alla frontiera
...sul territorio
a piedi
in auto
65
Soluzioni presenti sul mercato:
mobili/semi-mobili
Dispositivo “tutto in uno”
Smartphone con periferiche integrate o dispositivi collegati
-------------------------------------------
tablet con periferiche integrate o con dispositivi collegati
-------------------------------------------
Valigetta rinforzata con notebook, lettore full page di documenti, scanner di impronte e fotocamera
MOBILE
SEMI- MOBILE
dispositivi mobili per acquisizione
impronte certificati da FBI
Ad aprile 2013, 53 dispositivi mobili sono certificati dalla FBI/IAFIS
con livelli SAP/FAP da 10 a 45
la lista è disponibile nel sito
https://www.fbibiospecs.org/IAFIS/Default.aspx
SAP 10 SAP 20
SAP 30 SAP 45
Aspetti critici legati alla biometria
Dispositivi per l’acquisizione Dispositivi di dimensioni contenute possono avere impatto
negativo sull’accuratezza
Disponibilità di sw (controllo qualità, algoritmi di matching, compressione/decompressione) per il sistema operativo mobile
Algoritmi di matching Versioni “light”, processori meno potenti
Test non disponibili
Aspetti legati a fattori ambientali (es. sole, luminosità)
Conseguenze su Prestazioni (FAR, FRR)
Interoperabilità
68
Report tecnico JRC/AGID
dicembre 2011
Alcune questioni aperte
qualità degli elementi biometrici acquisiti non
soddisfacente in tutti gli stati, da migliorare
statistiche sulla qualità non disponibili e metriche
non condivise
soluzioni antispoofing (specialmente per varchi
automatici) ancora con elevati errori
modalità di combinazione delle diverse biometrie
presenti ancora da definire (multibiometria)
problemi con le PKI di firma e di verifica
70
fine
Domande?
71
