1. JIŽ VÍCE JAK 5 LET ŽIJEME S
BIOMETRICKÝMI DOKLADY,
UMÍME JICH VYUŽÍT?
Petr Vyleťal 19.5.2011

2. ÚVOD DO HISTORIE VYDÁVÁNÍ BIOMETRICKÝCH
DOKLADŮ
 Biometrické doklady ve formě cestovních pasů (ePasů) jsou
vydávány od roku 2005, kdy první zemí, které je zavedlo bylo
Německo.
 Česká republika vydává ePasy:
 od 1.9.2006 – první generace s biometrickou fotografií;
 od 1.4.2009 – druhá generace s otisky prstu.
 K dnešnímu dni více jak 70 zemí vydává svým občanům
biometrické cestovní pasy nebo jiné biometrické doklady.
 Navazujícím krokem je vydávání národních občanských průkazů
a elektronických povolení k pobytu:
 u národních občanských průkazů není aplikování biometrie povinné;
 na úrovni EU jsou aktuálně aplikovány ePKP s oběma biometrickými
prvky;
 v přípravném procesu je i Evropská karta (Evropský občanský průkaz).
2

3. JAKÉ JSOU PŘÍNOSY A HROZBY?
 Jsou vydávány  V některých případech se
osobní/cestovní doklady s opomíjí skutečnost, že
maximální možnou mírou stále jsou v platnosti i ne-
zabezpečení. biometrické
 Ve stádiu implementace cestovní/osobní doklady.
jsou sofistikované
verifikační mechanismy.  Přes existující
 Definovány standardy a doporučení není k
doporučení pro provádění inspekčním procedurám
inspekčních procedur přistupováno jednotně.
biometrických dokladů
(EU, ICAO, FRONTEX,  Využití biometrických
ISO....). prvků a vlastních dat v
 Existující mezinárodní čipu ePasu se omezuje
infrastruktura pro výměnu zejména na biometrickou
certifikátů a klíčů (SPOC, fotografii.
ICAO PKD).
3

4. VERIFIKACE DOKLADU A IDENTITY JEHO DRŽITELE
 Analýza / verifikace cestovního dokladu:
 ověřením aplikovaných (přítomných) optických bezpečnostních prvků;
 ověřením elektronického zabezpečení a dat provedením definovaných
bezpečnostních procedur při komunikaci s čipem dokladu.
 Ověření identity držitele dokladu:
 identifikací osoby na základě biometrického porovnání obrazu obličeje
metodou 1:1 (aktuálně sejmutá podoba vůči biometrické fotografii
uložené v čipu biometrického dokladu);
 identifikací prostřednictvím otisku prstu uloženého v čipu dokladu a
aktuálně sejmutého otisku prstu osoby opět metodou 1:1;
 v případě víza lze aplikovat i kombinované ověření otisků prstu 1:1,
kde vízový štítek je referencí na otisky uložené v databázi, nebo
metodou 1:n na úrovni systémů AFIS;
 osobní údaje držitele a data uvedené na dokladu jsou verifikovány
rovněž prostřednictvím dotazu do IS státní správy konkrétní země
(CIS, SIS…).
4

5. MOŽNOSTI OVĚŘENÍ DOKLADU A IDENTITY JEHO
DRŽITELE PODLE JEHO TYPU
„staré“ pasy Policejní Optická Elektronická Ověření
a OP kontrola kontrola kontrola biometrie
Policejní Optická Elektronická Ověření
ePas kontrola kontrola kontrola biometrie
Policejní Optická Elektronická Ověření
Víza
kontrola kontrola kontrola biometrie
ePKP Policejní Optická Elektronická Ověření
kontrola kontrola kontrola biometrie
eID s Policejní Optická Elektronická Ověření
biometrií kontrola kontrola kontrola biometrie
5

6. OPTICKÁ KONTROLA DOKLADU
 Ověřit pravost dokladu z pohledu korektnosti optických
bezpečnostních prvků lze pomocí algoritmů realizujících analýzu
skenu datové stránky na těchto úrovních:
 Visual – kontrola přítomnosti prvků viditelných v normálním spektru;
 IR - kontrola přítomnosti prvků viditelných v infra-červeném spektru;
 UV - kontrola přítomnosti prvků viditelných v ultrafialovém spektru;
 MRZ – kontrola dat uvedených v MRZ jako je např. expirace doby
platnosti dokumentu nebo chyba v kontrolních číslech a součtech -
součástí je i ověření fontu, kterým je MRZ vytištěna na kontrolovaném
CD;
 Platnost – kontrola doby platnosti dokumentu.
 Seal / Tamper – kontrola aplikovaných prvků na bezpečnostní fólii;
 B900 – kontrola inkoustu MRZ.
6

7. OPTICKÁ KONTROLA DOKLADU
(NORMAL)
7

8. OPTICKÁ KONTROLA DOKLADU
(IR)
8

9. OPTICKÁ KONTROLA DOKLADU
(UV)
9

10. OVĚŘENÍ ELEKTRONICKÉ ČÁSTI DOKLADU
 Ověření pravosti a autenticity dat v čipu elektronického dokladu je
sadou několika normativně standardizovaných kroků kroků:
BAC – Basic Access Control
PA – Pasivní Autentizace
AA – Aktivní Autentizace (jeli aplikována)
CA – Čipová Autentizace (jeli aplikována)
TA – Terminálová Autentizace – ověření terminálu pro přístup k otiskům prstu
BAC PA AA CA TA
ZOBRAZENÍ
BASIC ACCESS PASIVNÍ AKTIVNÍ ČIPOVÁ TERMINÁLOVÁ
DAT
CONTROL AUTENTIZACE AUTENTIZACE AUTENTIZACE AUTENTIZACE
10

11. JAKÁ JE AKTUÁLNÍ PRAKTICKÁ ZKUŠENOST?
 Procesy komplexní ověření pravosti cestovního dokladu jsou
realizovány již od roku 2006 – systémy zavedeny ve většině zemí
EU (i mimo) včetně České republiky;
 V případě analýzy optické části dokladu jsou identifikována jistá
omezení;
 Při analýze elektronické části dokladu lze dosáhnout téměř 100%
jistoty, že informace o výsledné kontrole je validní.
 Vždy je nutné brát v úvahu, že stále existují doklady bez čipu s
biometrickými prvky:
Biometrické
Doklady bez doklady
biometrie 39%
61%
11

12. OVĚŘENÍ OPTICKÝCH BEZPEČNOSTNÍCH PRVKŮ
 Při analýze optických bezpečnostních prvků je důležitým
parametrem míra identifikovaných upozornění (alertů) na možnou
detekci falešného (falsa) dokladu vůči celkovému počtu
provedených inspekčních procedur:
12

13. OVĚŘENÍ OPTICKÝCH BEZPEČNOSTNÍCH PRVKŮ
 Po analýze oprávněnosti realizovaného alertu je kalkulována míra
zjištění, které ukazují na problematický cestovní doklad:
13

14. OVĚŘENÍ OPTICKÝCH BEZPEČNOSTNÍCH PRVKŮ
 Nejčastěji zjištěné typy alertů při elektronickém ověření optických
bezpečnostních prvků dokladu:
 nekorektně vyčtená MRZ – dezinterpretace znaků z MRZ do
znakového řetězce (např. 3 x 8, B x 8 apod…);
 kontrolovaný doklad není v ideálním stavu – znečistěná, zamaštěná
datová stránka, stárnutí materiálu;
 častým případem je identifikace stavu, kdy doklad je po platnosti, ale
současně je jeho platnost prodloužena na jiné stránce např. vlepením
štítku (cestovní doklady Izraele).
14

15. OVĚŘENÍ ELEKTRONICKÉ ČÁSTI DOKLADU
 Ve srovnáním s optickou kontrolou dokladu, jsou realizovány
normativně popsané procedury s jednoznačně definovanými
výsledky (ICAO, ISO 7816, BSI, ISO 14443);
 Předpoklady pro korektní provedení:
 vyčtení MRZ a správná interpretace OCR znaků do datového řetězce;
 stabilní komunikace mezi čipem dokladu a čtecím zařízení;
 dostupnost certifikátů vydavatele a výrobce dokladu (CSCA, DSCA,
CRL…) z důvěryhodného zdroje;
15

16. SYSTÉM EasyPASS – FRANKFURT NAD MOHANEM
 V období od 08/2009 do 09/2010 systém odbavil ≈ 50 000
cestujících;
 Identifikovaná míra alertů:
 oCheck: Reject rate ≈ 2,5%;
 eCheck: Pouze jednotky alertů (3 alerty během 6ti měsíců);
 Biometrie: ≈ 5,5% FRR @ 0,1% FAR;
 ≈ 18 sec. je průměrný čas odbavení jednoho cestujícího
 podobné parametry vykazují i jiné systémy v Evropě (Londýn,
Lisabon, Helsinky, Manchester)
16

17. OBECNÉ PŘEDPOKLADY PRO ÚSPĚŠNOU APLIKACI
PROCESU KONTROLY DOKLADU
Ověření elektronické části:
 Dostupné certifikáty na úrovni Is (čtecích zařízení):
 CS certifikát národní certifikační autority NCA (CSCA);
 DS certifikát, který vydává CSCA výrobci dokladů (v ČR STC), který jím
podepisuje data uložená v čipu;
 CRL – Certificate Revocation List – seznam zneplatněných certifikátů.
 Výměna certifikátů mezi státy:
 Příjemce musí ověřit důvěryhodnost dodaného certifikátu;
 Celosvětově uznávané důvěryhodné úložiště ICAO Public Key Directory;
 Na národní úrovni realizováno komponentou NIMS.
Ověření optické části:
 existující databáze optických bezpečnostních prvků z
důvěryhodného zdroje;
 pravidelný update v souladu s vydáváním nových typů cestovních
dokladů;
 kvalitní snímací zařízení a algoritmus pro analýzu datové stránky
dokladu. 17

18. VYUŽITÍ TĚCHTO PROCEDUR MIMO BEZPEČNOSTNÍ
SLOŽKY
 Popsané verifikační procedury lze aplikovat i v jiných scénářích
užití:
 banky – procesy, které souvisí s ověřením identity klienta a pravosti
jeho osobního dokladu;
 telefonní operátoři – ověření klienta při uzavření smlouvy;
 hotely – podle zákona o pobytu cizinců mají hotely povinnost hlásit
pobyt cizinců na území ČR;
 autopůjčovny – ověření pravosti osobního dokladu a řidičského
průkazu.
 Možným omezením je aplikace zákona č. 101/2000 Sb. ve znění
pozdějších předpisů – ochrana osobních údajů a výměna
vybraných dat uživatelů se státními institucemi.
18

19. APLIKACE V PRAXI - KLÍČOVÉ SUBJEKTY
Železnice Letiště
HOMELAND
SECURITY
Policie Airlines
Pozemní hraniční
Přístavy přechody

20. APLIKACE V PRAXI - KLÍČOVÉ SUBJEKTY
EU
EU

21. APLIKACE V PRAXI – ODBAVENÍ NA LETIŠTI
Kontrola
Baggage Boarding Border EU Nástup do
Web Check In Check In letadla
Drop-off Pass Control Entry/Exit
Hraniční
kontrola
RTP
Bio Boarding
Entry/Exit
STP

22. JAKÉ JSOU PŘÍNOSY A HROZBY TAKOVÉHO PŘÍSTUPU?
Příležitosti Hrozby / Rizika
 Sdílení vybraných  Dopravní společnosti
procesů a snižování (aerolinie) se chtějí
provozních nákladů vzájemně odlišovat, a
zároveň v rámci aliance
 Zvýšení bezpečnosti a aplikovat stejnou
kontroly pohybu proceduru na všech
cestujících letištích
 Letiště / dopravní
terminály požadují stejné
 Úspora místa
procedury pro všechny
přepravce
 Jednoznačný přínos  Legislativní překážky ve
komfortu pro cestující formě sdílení procedur a
výměny osobních dat
 Efektivní implementace
inspekčních procedur
při ověření dokladu a
osob
22

23. VAŠE DOTAZY?
DĚKUJI ZA POZORNOST
Petr Vyleťal
petr.vyletal@vitkovice.com
+420 724 072 267
23