CFSEC Security Architects » Sistemas Biométricos

Expectativas positivas para o mercado de biometria

Nelson Correa — Mon, 25 May 2009 02:09:19 +0000

A Biometria vem sendo uma tecnologia de segurança de adoção mais acelerada nos últimos anos. Seu custo começou a cair a partir do momento que o mercado deixou de ser só as agências governamentais e passou a contar com o mundo corporativo privado.

A empresa independente de pesquisa do Reino Unido, International Biometric Group, publicou no final de 2008 seu relatório sobre as tendências do mercado de Biometria Global para 2009-2014. O faturamento global está projetado para crescer de 3,42 bilhões de dólares em 2009, para 9,37 bilhões de dólares em 2014.

Ainda segundo o relatório do IBG, espera-se que a biometria de impressão digital fique com 45,9% do mercado, excluindo-se as soluções de AFIS. Apesar da forte evolução, o mercado de iris só deve chegar em 500 milhões de dólares em 2012, basicamente equipando forças armadas ou organizações governamentais. Mesmo tendo nascido fora dos Estados Unidos ou Europa, o mercado de veias, que encontra sua maior força no Japão, deve chegar a ter 10% do total exceto AFIS até 2014.

É neste mercado de forte crescimento de investimentos que a CFSEC Security Architects vem se especializando nos últimos anos. Desde os serviços de consultoria para ajuda na definição da melhor tecnologia com o melhor percentual de retorno de investimento, até as parcerias com alguns dos mais inovadores fabricantes e desenvolvedores de tecnologias biométricas.

Experimente, converse conosco e entenda como a CFSEC pode lhe ajudar a aumentar a segurança dos seus processos de gestão de identidades ou na garantia do não repúdio e reforço da autenticação com single sign on com as mais novas tecnologias biométricas.

Creative Commons (by-nc-nd) CFSEC/h7>

GlobalPlatform define modelo para Match-on-Card

Nelson Correa — Mon, 13 Apr 2009 19:58:46 +0000

A GlobalPlatform é uma organização que define padrões tecnológicos para smartcards, formada pelos principais players mundiais desse mercado, como por exemplo: Datacard, Visa Inc, STMicroelectronics, ActivIdentity, Gemalto, Giesecke & Devrient, MasterCard Worlwide, NTT Corp, Oberthur Card Systems, Sun Microsystems, Toshiba Corporation, dentre vários outros. A GlobalPlatform também participa como membro de mais de duas dezenas de organizações como: ISO/WG4, INCITS, Java Card Forum, NIST, OMTP, Smart Card Alliance e outros.

É com esse respaldo do mercado mundial de cartões que a GlobalPlatform publicou no início de abril/2009 o documento que dá o direcionamento tecnológico para os smartcards que terão embarcada a tecnologia de Match-on-Card. Muitos esforços têm sido despendidos na viabilização da tecnologia que mantém a privacidade e o alto nível de segurança para as transações biométricas, com a comparação (ou match) biométrica ocorrendo e sendo processada dentro do chip do smartcard.

O NIST (National Institute of Standards and Technology) dos Estados Unidos também tem colocado muito esforço nessa definição para que a tecnologia de Match-on-Card possa ser usada o mais rapidamente possível nos cartões do programa PIV (Personal Identity Verification), que serão os cartões usados para carregarem dados biométricos dos funcionários e terceiros que serão autenticados para ingressarem em áreas e prédios governamentais.

Ano passado (2008), o NIST conduziu o Secure Biometrics Match-on-Card (SBMOC) Feasibility Study, onde definiu condições para a autenticação biométrica segura via Match-on-Card, com contato e sem contato, incluindo padrões de criptografia e tempos máximos de processamento. O documento pode ser encontrado aqui.

O white paper, The GlobalPlatform Value Proposition for Biometric Match-on-Card Verification, da GlobalPatform pode ser baixado aqui. Certamente será este o modelo que a indústria de cartões irá adotar para a Biometria Match-on-Card.

Creative Commons (by-nc-nd) CFSEC/h7>

Autenticação: identificação ou verificação?

Nelson Correa — Wed, 01 Apr 2009 01:53:36 +0000

Esses termos são encontrados em qualquer literatura sobre biometria. Muitas vezes, fornecedores diferentes usam os mesmos termos com definições e objetivos diferentes. Uma das melhores definições disponíveis na literatura de segurança e biometria é a de Hossein Bidgoli, em sua coleção “Handbook of information security” (Published by John Wiley and Sons, 2006 – ISBN 0471222011, 9780471222019).

Bidgoli não quer criar as definições ideais, mas tenta somente explicar o que cada termo significa na literatura sobre biometria. Normalmente usamos a palavra autenticação, como uma descrição genérica do processo de autorização para que um indivíduo tenha acesso a ativos ou serviços.

Esse processo, como definiu a U.K.’s e-Government Unit (2002) pode ser dividido em dois estágios:

Registro: é o processo onde o indivíduo ganha uma credencial, como um username ou certificado digital, para ser usado no processo de autenticação. O ideal é que este indivíduo possa provar com documentos e presença física que ele é quem diz ser no momento do registro.

Autenticação: é o processo em que a identidade eletrônica é verificada e validade por um sistema de informação, para uma determinada situação, usando a credencial que foi emitida no registro.

Isso é “chover no molhado” para o mundo de segurança da informação. Dificilmente outras definições de autenticação serão muito diferentes dessa que foi definida acima. Mas quando entramos no mundo da biometria, os termos verificação e identificação assumem significados especiais.

Verificação: é o processo biométrico que vai determinar a validade de uma identidade apresentada. Conceitualmente isso pode ser entendido como o processo de comparar um a um (1:1) a amostra da característica biométrica apresentada com o template biométrico que foi registrado para determinar se são do mesmo indivíduo. Por exemplo: colhe-se a impressão digital do dedo indicador da mão direita de um indivíduo. No processo de verificação, ele apresenta sua digital do dedo indicador da mão direita para comparação com aquele que foi colhido no registro. Como resultado, teremos somente duas respostas: sim, é o mesmo indivíduo, ou não, são indivíduos distintos.

Identificação: é o processo biométrico que identifica um indivíduo, por suas características biométricas, dentro de uma base de dados registrada. Conceitualmente esse é um processo de comparação de um para muitos (1:N), onde se apresenta uma amostra da característica biométrica e, busca-se em uma base de templates biométricos registrados, a qual indivíduo pertence aquela amostra. Como resultado, teremos somente uma resposta: um único indivíduo em que a comparação da amostra com o template é aceita.

Mas para que não haja mais dúvidas quanto aos termos e seus significados, a ISO – International Organization for Standardization em seu Comitê Técnico JTC 1 (Joint ISO/IEC Technical Committee), subcomitê SC 37 que trata dos padrões internacionais relacionados à biometria (criado em 2002), vem publicando desde 2002 o Harmonized Biometric Vocabulary, que teve sua 10ª edição lançada em dezembro de 2008. Este documento coloca definitivamente uma pedra nas várias definições e oferece ao mercado uma nomenclatura única e oficial.

No Vocabulário Biométrico Harmonizado da ISO/IEC, encontramos as seguintes definições para os termos em questão:

Autenticação: esse termo já foi usado como sinônimo de aplicação para verificação biométrica, função de verificação biométrica, mas também para sinônimo de aplicação de identificação biométrica e função de identificação biométrica. Usar este termo como sinônimo de verificação biométrica ou identificação biométrica não é mais aceito. O ideal é que se entenda autenticação no ambiente da biometria, como: reconhecimento biométrico.

Registro: o ato ou processo de registro ou de ser registrado. O mesmo que enrolment, que é o ato de capturar uma característica biométrica e arquivá-la em uma base de dados ou em local privativo ao próprio indivíduo (ex. smartcard)

Identificação: o mais comumente usado hoje é: identificar, que é o processo de busca biométrica em uma base de dados biométricos capturados, para achar e indicar um identificador de referência biométrica atribuído a um único indivíduo.

Verificação: o mais comumente usado hoje é: verificar, que é o processo de confirmar uma determinada característica biométrica através de comparações biométricas.

A partir de agora, estas serão as definições que usaremos na CFSEC Security Architects para os termos discutidos acima.

Creative Commons (by-nc-nd) CFSEC/h7>