Kdy začne vaše tělo patřit vašemu supermarketu?

Výrobci zařízení na snímání biometrických údajů se začínají orientovat na menší komerční subjekty. Přináší to obrovská rizika, která si ale zatím málokdo uvědomuje.

Kolik máte v peněžence karet? Já tam mám kromě občanky a řidičského průkazu dvě různé slevové karty do restaurací, jednu do kina, pět do různých prodejních sítí, kopírovací kartu, zdravotní pojišťovnu a asistenční službu pro automobilisty. Zkuste si představit,  že by místo každé z nich byl načten nějaký biometrický údaj – otisk palce, záznam hlasu, geometrie obličeje, zornička, duhovka, rytmus chůze… uživatelům by se uvolnilo místo v pěněžence, nebylo by zapotřebí řešit ztráty a duplikáty a firmy by vše měly lépe pod kontrolou.

Připadá vám to nemyslitelné? Přesto lze tak nějak popsat vizi převládající na veletrhu a konferenci Connect:ID, která nedávno proběhla ve Washingtonu a kde se sešla většina světové špičky kolem prokazování a ochrany osobní identity. Za OPTAGLIO jsme předváděli nové technologie pro zabezpečení pasů a dalších fyzických dokladů proti padělání. Většina firem ale ukazovala biometrické čtečky, informační systémy pro ukládání biometrických údajů a (to je možná nejvíc na pováženou) analytické nástroje schopné vyhledávat osoby, typy chování nebo cokoliv jiného napříč různými systémy a databázemi.

Čtečka duhovky do každé domácnosti

Pokud bychom chtěli popsat nějaké základní trendy, daly by se shrnout do tří bodů.

  • Neustále přibývá biometrických údajů, podle kterých lze jednoznačně identifikovat a autentizovat člověka. Už to zdaleka není jen otisk palce. Prsty, duhovka, zornička, hlas, geometrie obličeje, pohyby… letos přibyl rytmus chůze a rytmus srdečního tepu. Skoro bychom mohli říci, že na těle už není místo, které by se nedalo “snímat“.
  • Čtečky jsou stále dostupnější, stále menší a stále levnější. Přibývá doplňků, kterými lze rozšířit běžný smartphone, notebook s kamerou apod.
  • Protože nákupní možnosti velkých vládních úřadů jsou z podstatné části vyčerpány, případně jsou tyto zakázky omezeny na poměrně úzký okruh dodavatelů, usilují firmy o prodej menším subjektům – nemocnicím, radnicím, univerzitám…. ale především komerčním firmám. Tomu se přizpůsobují obchodní modely. Už nemusíte kupovat desítky načítacích kiosků. Dodavatel vám prodá tři mašinky, místo serveru postačí běžný notebook.

To logicky vede ke stavu, jaký jsme popsali výše. A samozřejmě také s nedozírnými dopady na bezpečnost uživatelů. Nejspíš by bylo jen otázkou času, kdy nějaká parta hackerů postupně získá veškeré údaje o těle uživatele. Protože řada z nich je kopírovatelná, fakticky by to znamenalo, že až do konce života bude hrozit riziko krádeže identity. Na rozdíl od karty není možné vyměnit prsty, hlasivky ani duhovku.

Nesnesitelná lehkost  likvidace soukromí

Nelze ani počítat s tím, že by uživatelé takový systém odmítli. V jednotlivých případech tomu tak nejspíš bude. Stačí ale připomenout dosavadní komerční projekty, kde se biometrické údaje načítají (např. vzorek hlasu ve slovenské Tatrabance) a kde jen velmi málo uživatelů odmítlo službu využívat. K tomu přistupuje skutečnost, že načítání biometrických údajů je stále jednodušší. „Paní Hovorková, podívejte se do kamery!“ Ani není zapotřebí sundat brýle, za pár vteřin je hotovo. A třeba geometrii obličeje odečtete z fotografie.

Lze tedy čekat rostoucí tlak na odebírání biometrických údajů, prodej databází a jejich automatické vytěžování pro nejrůznější účely. S bezpečností si výrobci vesměs hlavu nelámou. Vlastně až na přímý dotaz odpověděl představitel odvětvového svazu, že bylo vydáno doporučení, aby „zabezpečení bylo na nejvyšší možné úrovni.“ To je celé. Jediný skeptický hlas zazněl z amerického ministerstva vnitra (homeland security), jehož představitelka jasně uvedla, že jakýkoliv přenos biometrických dat (byť zašifrovaných) přes veřejné telekomunikační sítě pokládá za absolutně nepřijatelné.

Samoregulace nefunguje

Nemůžeme to výrobcům zazlívat. Chtějí prodat a nemohou myslet na všechny následky. Navíc, každý z nich je pozici, když neprodám já, prodá někdo jiný.

Tady by teoreticky měla nastoupit samoregulace prováděná odvětvovými svazy. Jenže komerční subjekty zpravidla nejsou ve vedení různých sdružení zastupovány moudrými pány, co léta šéfovali třeba bezpečnostním projektům nebo technologickému vývoji. Místo nich firmy posílají lidi z obchodu nebo marketingu, tedy ty, kdo jsou nejvíc zainteresováni na prodeji. Takže stanoviska odvětvových svazů směřují spíš k podceňování rizik.

Čímž se dostáváme k roli vlád. Namísto bezmyšlenkového „podpora nové technologie za každou cenu“ je totiž zapotřebí zajistit,

  1. aby si lidé uvědomovali, o co jde,
  2. aby zabezpečení informací nebylo třeba úplně dokonalé, ale aspoň na velmi slušné úrovni,
  3. aby existovalo nějaké únikové řešení, které umožní pokračovat v normálním životě těm, jejichž biometrické údaje byly odcizeny.

Libor Šustr
Publikováno v časopise Sales, Marketing a Media

Why identification is not authentication

Universal enthusiasm toward biometry leads to dramatic underestimation of some risks. It has been already discussed on this blog, and the discussion will go on.

Today we remind a proven principle of information security. If this principle was not ignored, the recent troubles would not appear.

A user is coming, looking into the security camera, his facial features are registered. The system evaluates data, the door opens, money is given, or another action is completed. What kind of process was performed? A what results from it?

Traditional information security theory defines two separate processes with different goals, outputs and performance indicators: identification and authentication.

Identification aims at learning identity of a person. A reception nurse asks a client on his/her name. If there are individuals with the same name, she also asks for the birth date. A front office clerk asks for name and address. The identification is often performed through a simple recognizing a person.

Sometimes it is complete. Sometimes another process, authentication, starts. It aims at proving that the person is really who he/she claims to be. There are big differences in robustness of authentication process, dependent on kind of risk. The risk of free tram ride does not need the same measures like access to a secret weapon. But in any case, it is true that the three basic methods are available (listed below). It is important to find the right authentication solution based on a balance between security, comfort, and effectivity for each authentication case.

Identification thus aims at learning; authentication aims at bringing evidence. Consequently, there are differences even in the implementation of the same technology. Let us consider biometry. There is a security video solution in a Moscow bank, which reads your face features after entering the door, identifies you a and sends all relevant information to the computer of your banker before you reach his/her desk. At football stadium in Poznan, you come with your ticket, and the security system needs to make sure that it is you.  They need to eliminate the risk that a convinced criminal hooligan comes with your ticket. Therefore you have to stand up in front of the camera, the picture is compared with your picture in the database and if everything is o.k., the gate opens for you.

What are main findings? For example using biometry for personal identification does not enhance the security. On the contrary, it leads to its deterioration. Biometric data are stored, no system protection is perfect… The user runs the risk although there is no need to prove anything. Why? Is this comfort enhancement so important?

Another conclusion says that authentication should not be based on just one method, such as biometry. Authentication should be based on a combination of:

–    Knowledge (PIN, password, etc.)

–    Ownership (a card, token, badge, etc.)

–    Body (e.f. fingerprint)

Optimal security level should comport with risks in particular situation /process. However, it is still true that three methods should be used.

Conclusions for document protection. Documents for identification include useful information, but it is expected that nobody could be motivated to counterfeit or tamper them. Example: application for a medical investigation. Documents for authentication are supposed to be attacked by falsifiers so that they need reliable protection.

It leads to another proven security principle. It is not good to protect everything „a bit.“ Focusing on the protection of the main assets is critical.

Optaglio v prvním pololetí zabezpečilo 20 milionů dokladů

Bezpečnostní prvky pro více než 20 milionů identifikačních průkazů, cestovních pasů a dalších průkazů dodala na globální trhy česká firma Optaglio v prvním pololetí letošního roku. Proti stejnému období roku 2016 to představuje nárůst o více než 30%. Ve všech případech se jednalo o polykarbonátové doklady. Optaglio, které je světovou jedničkou v nejpokročilejších bezpečnostních hologramech, tak potvrdilo i pozici leadera ve speciálních řešeních pro polykarbonát.

Ve světě jednoznačně převládá trend přechodu od papírových osobních dokladů k takovým, které jsou vyrobeny z plastu (polykarbonátu) a obsahují čip se strojově čitelným záznamem biometrických údajů. Může se jednat o samostatnou kartu nebo plastovou stránku v papírovém pase. Většina analýz se shoduje, že do roku 2022 bude na světě jen několik států setrvávajících u papírových dokladů.

„Samozřejmě existují i jiné zajímavé technologie než polykarbonát. Vývoj jde rychle, výrobci kompozitních karet mohou překvapit a nikdo nemůže ani vyloučit, že také PVC čeká renesance. Ale v této chvíli karbonát jednoznačně vládne. Ani v několika nejbližších letech se to nezmění,“ říká senior manažer vývojového centra ve společnosti Optaglio Tomáš Karenský. „V náš prospěch hovoří, že jsme neupravovali technologii původně určenou pro papírové doklady. Už s několikaletým předstihem jsme připravovali úplně nové produkty cíleně zaměřené na polykarbonát.Teď sklízíme ovoce, ale nespíme. Připravujeme další zásadní inovaci, mohla by být k dispozici ještě do konce letošního roku.“

Produktová řada Optaglio OVMesh určená právě pro polykarbonát, umožňuje mimo jiné:

  • Integrovat do karty bezpečnostní hologram bez použití lepidla nebo jiného cizorodého materiálu.
  • Vytvářet hologramy složené z miniaturních částí, mezi nimiž proteče při výrobě karty roztavený polykarbonát. V případě pokusu o vyjmutí se hologram rozpadne.
  • Kombinovat v kartě hologramy a mikrohologramy – tedy mikroskopické kovové částice (od 40 mikrometrů), přičemž na každé z nich je umístěn plný hologram se všemi vizuálními efekty.

Zákazníky jsou tiskárny cenin a dodavatelé  identifikačních karet v Evropě a Asii. Od letošního roku jim Optaglio nabízí i stroje umožňující, aby výrobci karet integrovali hologramy i vlastními silami.

V letech 2011 – 13 byla společnost OPTAGLIO dodavatelem bezpečnostních prvků i pro občanské průkazy České republiky.

Optaglio dodává pokročilé hologramy, které nemohou být žádným způsobem okopírovány a které obsahují optické efekty nenapodobitelné jinou technologií. Veškerý vývoj probíhá v Optaglio Labs v Lochovicích ve středních Čechách, kde bylo vybudováno nejmoderněji vybavené výzkumné pracoviště v Evropě. V areálu v Lochovicích jsou umístěny i veškeré výrobní kapacity.

 

Optaglio delivered protection for 20 million personal documents in H1

LOCHOVICE (July 13, 2017) – Optaglio, the global leader in high-resolution security holograms, today announced it delivered security elements for 20 million polycarbonate ID cards, passports and driving licenses in the first half of this year. It means more than 30% growth in comparison with the same period of 2016. OPTAGLIO thus strengthened its position of a leader in polycarbonate focused solutions.

A trend towards polycarbonate documents with machine-readable biometric data now prevails around the world.  More and more governments issue either polycarbonate cards or paper documents with polycarbonate page. Most of the market analysts say that up to 2022, only a few nations will insist on entirely paper-based documents.

„Of course, polycarbonate is not the only interesting technology. The market moves fast; composite cards producers can surprise us and renaissance of PVC cannot be ruled out. However, at this moment, polycarbonate is the king. We do not expect a change in the forthcoming years,“ says Dr. Tomáš Karenský, senior research manager in OPTAGLIO. „We have not adapted a technology originally focused on paper. Several years ago, we started an entirely new development project narrowly focused on polycarbonate. Now we can benefit from this decision, but we are not sleeping. Another major innovation is under development. Very likely the product will be available by the end of this year.

Product line Optaglio OVMesh focused on polycarbonate cards enables:

  • Integrating security holograms into polycarbonate cards to create a single polycarbonate unit without any heterogeneous adhesive.
  • Producing holograms that consist of thousands of tiny pieces. During the card lamination, the melted polycarbonate flows between these pieces. Any removal attempt thus results in irreversible dissolution of the hologram.
  • Combining holograms with microholograms, microscopic metallic dots sometimes called „holographic dust.“ There are a full hologram and letters engraved on each dot.

Most of Optaglio production for polycarbonate cards is now delivered to security printing companies and card producers in Asia and Europe. This year OPTAGLIO also starts to offer application machines so that the clients can perform entire production process in-house.

Optaglio technologies are developed in OPTAGLIO LABS in Lochovice, Czech Republic, with close cooperation with several European universities. Optaglio was founded by a group of scientists from Czech Academy of Science, and it still adopts an approach focused not just on product innovation but also on deep research of underlying physical and chemical issues.

 

Proč identifikace není autentizace

Všeobecné nadšení biometrií vede k tomu, že jsou dramaticky podceňována některá rizika. Tomu jsme se už na tomto blogu věnovali opakovaně a ještě budeme věnovat.

Dnes připomeneme jednu starou zásadu informační bezpečnosti. Kdyby nebyla ignorována, současné problémy by vůbec nemusely vzniknout.

Člověk přijde, podívá se do kamery a rysy jeho obličeje jsou načteny. Systém provede vyhodnocení, dveře se otevřou, peníze jsou vydány nebo proběhne jiná akce. Jaký proces byl ale vlastně realizován? A co z toho vyplývá?

Klasická teorie informační bezpečnosti hovoří o dvou oddělených procesech a různými cíli, výstupy a charakteristikami: identifikace a autentizace.

Při identifikaci zjišťujeme identitu osoby. Sestřička v ordinaci se zeptá pacienta a ten oznámí své jméno, pokud jsou v kartotéce dvě osoby stejného jména, tak doplní ještě ročník narození. Úředník u okénku se zeptá na jméno a adresu. A mnohdy probíhá identifikace tak, že člověka docela obyčejně poznáme.

Někdy je tím vše ukončeno, jindy navazuje další proces – autentizace. Tam je zapotřebí prokázat, že člověk je opravdu tím, kým se tváří být. Proces autentizace pochopitelně může být různě důkladný podle míry rizika. Pokud hrozí, že člověk pojede načerno tramvají, není účelné aplikovat srovnatelné nástroje jako při přístupu k tajným zbraním. Ale pořád platí, že by měly být využity všechny tři výše uvedené metody.

Pro každý konkrétní případ je zapotřebí najít řešení založené na tom správném poměru bezpečnosti, pohodlí a efektivity.

Cílem identifikace je tedy zjistit, cílem autentizace je prokázat. To znamená, že i nasazení téže technologie může vypadat různě. Vezměme třeba biometrii. V jedné moskevské bance je nasazeno kamerové řešení, které načte váš obličej, jakmile vstoupíte na pobočku a než dojdete k okénku, má bankéř v počítači veškeré údaje o vašem účtu, půjčkách, stížnostech apod. Nemusíte nic říkat, vše je připraveno. Na fotbalovém stadionu v Poznani přijdete se vstupenkou ke vchodu, ale ostraha stadionu se potřebuje přesvědčit, že jste to to opravdu vy a že s vaší vstupenkou nepřišel notorický výtržník. Postojíte tedy před kamerou, záběr je porovnán s vaší fotografií v databázi a pokud obstojíte, vrata se otevřou.

Co z toho vyplývá? Např. to, že používání biometrických údajů k identifikaci osob bezpečnost nezvyšuje, nýbrž snižuje. Načítají se biometrická data, žádné úložiště není dokonale bezpečné… a toto zvýšené rizika podstupuje uživatel i tam, kde není třeba prokazovat totožnost. Proč vlastně? Je zvýšení pohodlí tak významné, aby to vyvážilo rizika?

Dalším důsledkem je připomenutí, že pokud už se přistupuje k autentizaci, je krajně nevhodné, aby načítání biometrických údajů bylo jedinou autentizační metodou. Teorie říká, že by měly být aplikovány tři druhy metody zároveň:

Míra zabezpečení pochopitelně záleží na rizicích.. Ale pořád platí, že by měly být využity všechny tři výše uvedené metody.

To má důsledky i pro zabezpečení dokladů. Doklady sloužící k identifikaci obsahují informace, ale nepřepokládá se, že by je někdo chtěl falšovat či padělávat, proto nepotřebují ochranu. To je třeba žádanka na odborné vyšetření vystavená lékařem.

Doklady sloužící k autentizaci naopak budou čelit útokům a musí být tudíž vysoce odolné vůči padělání.

Což vede k další tradiční poučce informační bezpečnosti. Není účelné chránit úplně všechno´“tak trochu.“ Je důležité soustředit se na to, co je opravdu důležité.

You can replace neither a document nor a person. For the time being

Security documents experts around the world met in London last week. At SDW event, you could see lectures and presentations, meet innovations, take part in discussions. We will be returning to main points of SDW at our blog. In this article, we focus on a fundamental presentation by Silvia Kolligs-Tuffery from European Commission where an anti-counterfeiting action plan is currently under preparation.

Her speech was a positive surprise for everybody, who expected a boring bureaucrat and endless list of rules and documents. Mr. Kolligs-Tuffery is a policewoman who seems to understand her work, is experienced enough and can view issues from a broader perspective. We try to sum up the basic philosophy explained by her because it is relevant for document producers and document issuers.

The important thing is between people, explains the EU policewoman. A person needs to be sure that another person is what he/she claims to be. A document is just a tool for making it easier.

In some situations, identity can be checked by a machine (e.g. automated entrance control), but often it is not possible for reasons such as enforcement application. Can a computer decide about someone’s arrest? Can it decide about using of strength in case of resistance?

There is a discussion about enforcement automation in the USA. It has been suggested that some areas can be guarded with drones. If you enter a forbidden zone, a flying chick would be able to check your identity and possibly arrest you. It would be equipped with a gun in case you try to resist. However, European legislation will no follow this direction.

Identity check is a process between two persons and the key tasks is to ensure that a „bodyguard“ ( a favorite term of Mrs. Kolligs-Tuffery) can do his job. It is about motivation and skills. In this area, we meet two groups of possible difficulties.

Firstly. Poor documents.  If the anti-counterfeit protection level is too low and portrait photography too doubtful, a bodyguard feels frustrated and digress to only a formal check. Attackers that would be otherwise identified through suspicious attributes will not be detained.

Secondly. Automated check, e.g. through comparison with a database information. Providing a bodyguard with such tools is great. However, if it is too easy, our bodyguard starts to rely on a machine, and his work is more and more reduced to entering data into a system. The process between two people disappears, the bodyguard can be replaced by a robot.

To sum up. We need reliable documents and excellent training. Reliability of document means here that identification of a forgery is easy even for „ordinary bodyguard.“ Such documents should be issued by all EU member states and states connected with EU with agreements. Training is critical so that the guard can check security elements on the documents. However, analysis behavior and identify suspicious signs are even more important.

It is also important to separate automated check from a personal check by a bodyguard. Both are critical. Integrating into a single comprehensive control would mean that both lost their meaning.

By the way, are you sure that police officers in your country know key protective elements on documents they often meet? Can they check them?

Dokument ani člověka nenahradíš. Zatím

Do Londýna se minulý týden sjeli z celého světa lidé zabývající se bezpečnostními dokumenty. Byla pronesena řada přednášek, proběhla spousta zajímavých diskuzí a bylo představeno leccos nového. Budeme se k tomu na blogu Optaglio vracet. Dnes něco o poměrně zásadní prezentaci Silvia Kolligs-Tuffery z Evropské komise, kde připravují evropský „akční plán“ proti falšování dokumentů.

Kdo čekal suchou úřednici a nesmyslná byrokratická nařízení, byl mile překvapen. Paní Kolligs-Tuffery je policistka, která působí dojmem, že své práci rozumí, má dost praktických zkušeností a především je schopna se na věc podívat z širší perspektivy. A právě tu se pokusíme shrnout, protože by jí měli být vědomi výrobci dokladů, jejich vystavitelé i ti, kdo s nimi pracují.

Za prvé. Kontrola dokladu nemá význam sama o sobě. To důležité probíhá mezi lidmi. Jde o to, že jeden člověk si potřebuje ověřit, že jiný člověk je opravdu tím, za koho se prohlašuje. Doklad je pouze jedním z nástrojů, jak toto ověření usnadnit.

Jsou situace, kdy je kontrolu možné svěřit stroji (třeba automatické otevírání vstupů), ale v řadě situací to možné není. Mimo jiné proto, že může dojít na nasazení vynucovacích prostředků. A budou roboti rozhodovat o zatýkání? Mohou rozhodnout o použití síly, pokud se podezřelá osoba vzpírá?

V USA skutečně běží diskuze o tom, zda je možné automatizovat používání síly. Už se např. objevil koncept areálů hlídaných drony. Pokud vejdete do zakázané zóny, bude takový létající drobeček schopen ověřit vaši totožnost, a v případě, že tam nemáte co dělat (nebo si to dron bude myslet), tak vás zadrží. A pozor, měl by být vyzbrojen kulometem. Evropská legislativa ale zatím podobným směrem nepůjde.

Ověřování totožnosti tedy probíhá mezi dvěma lidmi a zadání zní: zajistit, že „bodyguard“ (oblíbené slovo paní Kolligs-Tufery) udělá vše správně. Tedy motivovat ho a dát mu potřebné schopnosti. Tady narážíme na dvě skupiny možných problémů a omezení.

Za prvé. Mizerné doklady. Je-li třeba cestovní pas příliš snadno padělatelný a fotografie příliš nejasná, cítí se bodyguard bezmocný. Nezbývá mu než uvěřit identitu téměř každému, rezignuje a kontroly začnou probíhat zcela formálně. Projde i takový útočník, který vykazuje podezřelé znaky.

Za druhé. Automatická kontrola, třeba porovnáním s nějakou databází. Je skvělé, když má bodyguard k dispozici podobnou oporu. Ale pokud vše funguje až příliš dobře, bodyguard začne spoléhat na stroje a jeho práce bude postupně redukována na zadávání dat do systému. Už se nejedná o proces mezi dvěma lidmi a o to, zda se bodyguard nechá přesvědčit, že druhá strana je tím, kým je. Takže zase špatně. To už by bylo klidně možné nahradit člověka robotem.

Co z toho vyplývá? Potřebujeme dobrý doklad a dobré školení. Dobrý doklad je takový, který dokáže bodyguard snadno odlišit od jakéhokoliv padělku. Takové doklady by měly postupně začít vydávat všechny členské státy EU a případně další státy, které jsou s EU spojeny relevantními smlouvami. Školení je důležité k tomu, aby bodyguard dokázal správně kontrolovat ochranné prvky na dokladu, ale především, aby si dokázal správně všímat osoby a rychle zaznamenat cokoliv podezřelého.

Dalším poznatkem je, že má smysl oddělovat automatizovanou kontrolu a kontrolu živým bodyguardem. Obě jsou důležité. Spojením do jedné se ztrácí smysl obou.

Mimochodem, vědí čeští policisté, jaké jsou hlavní ochranné prvky dokladů, se kterými se běžně setkávají? Dokážou je zkontrolovat?