centro universitÁrio senac adonai martinho moreira
TRANSCRIPT
CENTRO UNIVERSITÁRIO SENAC
Adonai Martinho Moreira
ANÁLISE DE CARACTERÍSTICAS E SEGURANÇA EM BIOMETRIA
São Paulo
2006
ADONAI MARTINHO MOREIRA
ANÁLISE DE CARACTERÍSTICAS E SEGURANÇA EM BIOMETRIA
Trabalho de conclusão de curso apresentado ao Centro Universitário Senac – Lapa, como exigência para obtenção da Pós Graduação em Segurança de Redes e Sistemas.
Orientador Prof. Marcelo Lau
São Paulo
2006
Moreira, Adonai Martinho
Análise de características e segurança em biometria /
Adonai Martinho Moreira – São Paulo, 2006.
87 f.
Trabalho de Conclusão de Curso – Centro Universitário
Senac – Lapa. – Pós Graduação em Segurança de Redes e
Sistemas.
Orientador: Prof. Marcelo Lau
1. Segurança 2. Biometria I. Título
Aluno: ADONAI MARTINHO MOREIRA
Título: ANÁLISE DE CARACTERÍSTICAS E SEGURANÇA EM
BIOMETRIA
Trabalho de conclusão de curso apresentado ao Centro Universitário Senac – Lapa, como exigência para obtenção da Pós Graduação em Segurança de Redes e Sistemas.
Orientador Prof. Marcelo Lau
A banca examinadora dos Trabalhos de Conclusão em
sessão pública realizada em __/__/_____, considerou o(a)
candidato(a):
1) Examinador(a)
2) Examinador(a)
3) Presidente
São Paulo
2006
Dedico este trabalho aos meus pais, por sua
dedicação e apoio durante todos os
momentos da minha vida.
AGRADECIMENTOS
Ao Centro Universitário Senac, agradeço a oportunidade que me foi dada de ser
aluno do curso de Pós Graduação desta instituição.
Ao Prof. Marcelo Lau, por suas orientações que foram fundamentais para a
consecução deste trabalho.
“Um homem não entra duas vezes no
mesmo rio; da segunda vez não é o
mesmo homem nem o mesmo rio.”
(Heráclito de Éfeso)
RESUMO
Este trabalho aborda os diversos tipos de sistemas biométricos existentes,
com um histórico dos primeiros relatos do uso da biometria, até os dias atuais,
abordando o avanço tecnológico, principalmente através da informática, e
também inclui algumas aplicações práticas da biometria e os aspectos de
segurança relacionados a esses sistemas.
São descritas características e comparações dos tipos de sistemas
biométricos atuais, bem como uma avaliação com base na participação de
mercado dos sistemas biométricos. Alguns estudos de caso são apresentados,
baseados em novas tecnologias emergentes de sistemas biométricos de
identificação.
Palavras-chave: biometria, sistemas biométricos, identificação, segurança.
ABSTRACT
This work treats about the several types of identification biometrics systems
available, focusing in their origin, with a time line report, concerning the known first
description of the use of biometrics, and the present use of automation in
biometrics systems, resultant from the technology advance, mainly through the
data processing area, and also it includes some applications in the biometrics field
and security aspects related to biometrics systems.
A description of biometrics characteristics and a comparison between the
different types of biometrics systems are presented, and also an evaluation related
to market share of biometric systems is cited in this work. Some case studies are
presented, based on emerging technologies of identification biometrics systems.
Keywords: biometrics, biometrics systems, identification, security.
LISTA DE ILUSTRAÇÕES
Figura 1: Diagrama de Frenologia.........................................................................18
Figura 2: Técnica de identificação antropométrica de Bertillon (1893)..................19
Figura 3: Impressão digital ...................................................................................20
Figura 4: Impressão da geometria da mão e digitais em contrato de trabalho......20
Figura 5: Olho humano ........................................................................................22
Figura 6: Impressões digitais ................................................................................23
Figura 7: Diagrama ilustrativo dos processos de registro e verificação ................38
Figura 8: Características da impressão digital (minutiae) .....................................40
Figura 9: Estrutura do olho....................................................................................42
Figura 10: Estrutura da Íris....................................................................................42
Figura 11: Linhas demarcando a região da íris .....................................................42
Figura 12: Representação ilustrativa do IrisCode®...............................................43
Figura 13: Imagem capturada da retina ................................................................44
Figura 14: Análise gráfica de amostra do reconhecimento da fala........................45
Figura 15: Posicionamento da mão para reconhecimento ....................................46
Figura 16: Imagem da silhueta da mão captura pela câmera ...............................46
Figura 17: Posicionamento com espelho ..............................................................47
Figura 18: Medidas das distâncias........................................................................47
Figura 19: Reconhecimento da face .....................................................................48
Figura 20: Termograma facial ...............................................................................48
Figura 21: Detalhamento das características de uma assinatura..........................49
Figura 22: Representação gráfica da taxa de Crossover ......................................56
Figura 23: Fases de um sistema biométrico genérico...........................................64
Figura 24: Participação de mercado dos sistemas biométricos por tecnologia (2006) ... 70
Figura 25: Participação de mercado dos sistemas biométricos por tecnologia (2003) ... 71
Figura 26: PalmSecure®.......................................................................................76
Figura 27: Mapeamento dos vasos sanguíneos na palma da mão.......................77
LISTA DE TABELAS
Tabela 1: Comparação entre os sistemas biométricos .........................................52
Tabela 2: Comparação de valores no teste de aquisição de padrão ....................57
Tabela 3: Resultados - Taxas de falsa aceitação Vs. falsa negação (FAR X FRR)........ 57
Tabela 4: Comparação dos sistemas biométricos.................................................62
Tabela 5: Tabela comparativa dos sistemas biométricos......................................62
SUMÁRIO
1 INTRODUÇÃO ...............................................................................................................12
1.1 Objetivo.......................................................................................................................13
1.2 Justificativa................................................................................................................13
1.3 Metodologia de pesquisa .......................................................................................13
1.4 Estrutura do trabalho ..............................................................................................14
2 DESENVOLVIMENTO ..................................................................................................16
2.1 Conceitos sobre biometria ....................................................................................16
2.2 Origens e História da Biometria ...........................................................................17
2.2.1 Primeiros registros da utilização da biometria....................................................17
2.2.2 Histórico da evolução da biometria ......................................................................20
2.2.3 A evolução da biometria no Brasil ........................................................................29
3 SEGURANÇA DA INFORMAÇÃO E OS SISTEMAS BIOMÉTRICOS ..............32
3.1 Tipos de autenticação.............................................................................................33
3.2 A biometria como forma de autenticação .........................................................34
3.2.1 Processo de identificação biométrica ..................................................................34
3.2.1.1 Aquisição e Registro ...........................................................................................35
3.2.1.2 Armazenamento do registro padrão .................................................................35
3.2.1.3 Comparação e Correspondência ......................................................................36
3.2.1.4 Trilha de auditoria ................................................................................................37
3.2.2 Diferença entre identificação e verificação .........................................................37
3.3 Classificação dos sistemas biométricos ...........................................................39
3.4 Metodologias dos sistemas biométricos...........................................................39
3.4.1 Impressão digital .....................................................................................................39
3.4.2 Reconhecimento de Íris .........................................................................................41
3.4.3 Reconhecimento da retina.....................................................................................43
3.4.4 Reconhecimento da voz.........................................................................................44
3.4.5 Reconhecimento da geometria da mão...............................................................46
3.4.6 Reconhecimento da face .......................................................................................47
3.4.7 Reconhecimento de assinatura ............................................................................48
4 AVALIAÇÃO DOS SISTEMAS BIOMÉTRICOS......................................................50
4.1 Características comparativas dos sistemas biométricos .............................50
4.2 Modalidades de testes de sistemas biométricos ............................................53
4.3 Métricas de avaliação de desempenho ..............................................................54
4.4 Comparação de desempenho dos sistemas biométricos.............................56
4.5 Análise de vulnerabilidades dos sistemas biométricos................................63
4.6 Fatores que podem interferir no desempenho dos sistemas biométricos .......... 67
5 TECNOLOGIAS EMERGENTES DOS SISTEMAS BIOMÉTRICOS ...................70
5.1 Panorama mundial do mercado dos sistemas biométricos .........................70
5.2 O futuro da tecnologia biométrica.......................................................................72
5.3 Estudos de caso de aplicações de sistemas biométricos ............................76
5.3.1 Aplicação de sistema biométrico de reconhecimento vascular .......................76
5.3.2 Aplicações futuras de sistemas biométricos no Brasil: Salas de aula e eleições .... 78
6 CONCLUSÃO ................................................................................................................80
6.1 Trabalhos futuros.....................................................................................................82
REFERÊNCIAS.................................................................................................................84
12
1 INTRODUÇÃO
Atualmente, a constante preocupação em proteger os ativos das empresas,
principalmente a informação, considerada por muitos especialistas da área de TI
como o ativo mais importante de uma corporação, tem fomentado uma crescente
demanda por sistemas que possam controlar, de forma eficaz, o acesso às
informações importantes para a sobrevivência das empresas, em um mundo cada
vez mais globalizado e competitivo. As pesquisas avançam dia a dia, na busca de
novas tecnologias, visando oferecer ao mercado não só equipamentos, mas
também soluções customizáveis e adequadas às necessidades de uma
corporação, visando garantir a segurança da informação.
Entre as opções atualmente disponíveis no mercado, os sistemas
biométricos de segurança têm sido adotados por um número crescente de
corporações, não somente na área de TI, mas em vários outros segmentos,
independentemente do tamanho da empresa. Esses sistemas visam garantir
principalmente a identificação de uma pessoa, mas muitas outras aplicações
surgem a cada dia, e muitas soluções são projetadas utilizando biometria
principalmente para autenticação de usuários, visando garantir integridade, a
confidencialidade e a disponibilidade das informações.
Mas, apesar da característica biométrica de cada pessoa ser única, uma
solução empregando determinado tipo de sistema biométrico pode não ter o
resultado esperado, seja por uma escolha errada da modalidade para o nível de
segurança pretendido, ou até mesmo pelo fato do sistema não apresentar um
desempenho adequado, devido a limitações do próprio equipamento, até mesmo
decorrentes de limitações da infra-estrutura envolvida, como redes ou banco de
dados mal dimensionados para a aplicação e ambiente físico inadequado. Por
isso é importante obter informações sobre determinado sistema biométrico,
baseado em análises comparativas de determinadas características, visando
determinar qual a tecnologia adequada para determinado tipo de aplicação, seja
esta aplicação para identificação visando o controle de acesso físico a locais
restritos, ou mesmo aplicações de controle acesso lógico, com controle de
autenticação de usuário.
13
1.1 Objetivo
Os objetivos deste trabalho são:
• Apresentar as origens e analisar evolução da biometria na história, com
apresentação de uma linha tempo, ao redor do mundo e no Brasil;
• Enquadrar os sistemas biométricos de identificação no contexto da
segurança da informação, através da classificação, descrição do processo
de autenticação e metodologias de identificação através das características
biométricas empregadas nos diversos sistemas;
• Avaliar e comparar os sistemas biométricos, com a apresentação de
métricas de desempenho e aspectos relacionados à segurança da
informação com o levantamento de vulnerabilidades e;
• Analisar o panorama atual dos sistemas biométricos no mercado mundial e
também no Brasil, citando as tecnologias emergentes dos sistemas
biométricos.
1.2 Justificativa
Este trabalho tem o propósito de identificar e analisar as metodologias de
avaliação dos sistemas biométricos, buscando identificar suas características e
comportamento, tanto do ponto de vista operacional, quanto de segurança.
Através do mapeamento de falhas e de vulnerabilidades, é possível identificar
neste trabalho se determinado tipo de sistema biométrico é viável para
determinada aplicação, dependendo dos resultados de uma análise comparativa.
1.3 Metodologia de pesquisa
Para alcançar os objetivos deste trabalho, foi utilizada como base de
estudos e pesquisa uma extensa bibliografia, onde o assunto principal é a
biometria, para composição dos tópicos contidos neste trabalho. Como existe um
vasto material sobre biometria disponível na Internet, a qual foi a principal fonte
14
para obter informações sobre este assunto, houve a preocupação em selecionar
artigos e publicações de fontes confiáveis, tais como instituições ligadas à
pesquisa e desenvolvimento de sistemas biométricos, bem como organismos que,
apesar de não estar relacionados especificamente ao assunto biometria, mas
fazem referência à biometria como forma de garantir ou preservar a segurança,
seja a segurança das informações ou controle de acesso físico.
1.4 Estrutura do trabalho
Com a finalidade de consecução dos objetivos deste trabalho, a estrutura
foi organizada nos parágrafos a seguir.
O capítulo dois introduz os conceitos básicos sobre biometria, bem como
trata das suas origens, relacionando os primeiros registros que se tem
conhecimento sobre uso da biometria desde a antiguidade, traçando uma linha no
tempo até os dias atuais, no mundo e também da evolução da biometria no Brasil.
No capítulo três são abordados conceitos relacionados à segurança da
informação, tais como confidencialidade, integridade e disponibilidade, bem como
autenticação. Dentro deste contexto, é feita uma descrição do processo de
identificação e autenticação dos sistemas biométricos, e também uma
classificação desses sistemas, e são apresentados os tipos de sistemas
biométricos e as metodologias que estes sistemas empregam, para executar o
processo de identificação e autenticação citado anteriormente.
O capítulo quatro apresenta uma avaliação dos sistemas biométricos,
através de um método comparativo, onde determinadas características são
avaliadas para cada tipo de sistema, permitindo desta forma que se possa
qualificar cada sistema dentro de parâmetros que podem auxiliar na escolha de
determinado sistema, considerando o objetivo da aplicação. Um sistema
biométrico genérico é apresentado, visando à identificação de pontos de
vulnerabilidades dentro do processo de identificação e autenticação.
15
No capítulo cinco é apresentado um panorama do mercado mundial de
aplicações de sistemas biométricos, considerando os diversos tipos disponíveis e
sua participação no mercado. Também são abordadas as tecnologias emergentes
dos sistemas biométricos, com a apresentação de estudos de caso incluindo uma
aplicação com uma das novas tecnologias, bem como futuras aplicações que
estão em fase de projeto para futura implantação.
Na parte final do trabalho é apresentada a conclusão, bem como algumas
indicações de futuros trabalhos acadêmicos que poderão ser elaborados, de
modo a complementar um tema tão abrangente, como é a biometria.
16
2 DESENVOLVIMENTO
2.1 Conceitos sobre biometria
O termo Biometria é originário do grego (bios= vida, metron= medida) e
refere-se ao estudo dos sistemas e métodos para identificação ou
reconhecimento de indivíduos ou seres humanos, através da verificação e registro
de suas características físicas ou comportamentos, que são únicos, ou seja, uma
determinada característica, como por exemplo, a impressão digital, que não se
repete em dois ou mais indivíduos.
Alguns exemplos de características físicas, que são utilizadas para
identificação biométrica são (The Biometric Consortium):
• Impressão digital;
• Íris;
• Retina;
• Voz;
• Geometria da mão;
• Face e;
• Assinatura.
À medida que a tecnologia evolui, novas técnicas para verificação, tais
como reconhecimento de vasos sanguíneos e DNA, são utilizados como
elementos para identificação biométrica.
A História mantêm registros da utilização da biometria há milhares de anos,
conforme será descrito nos capítulos seguintes deste trabalho.
17
2.2 Origens e História da Biometria
2.2.1 Primeiros registros da utilização da biometria
Desde a antiguidade, o homem já utiliza a biometria como um meio para
identificação. As primeiras formas que se tem notícia, sobre evidência de uso da
biometria, nos remete a aproximadamente 31.000 anos no passado (NSTC,
2006), quando uma caverna foi encontrada com gravuras nas paredes, as quais
se acredita tenham sido feitas por homens da pré-história. E ao redor destas
pinturas também foram encontradas impressões de mãos, como se o autor ou
autores daquelas pinturas quisesse assinar o que haviam feito. A história também
registra relatos do explorador e escritor espanhol João de Barros, sobre o uso de
impressões digitais pelos mercadores chineses para o estabelecimento de
negócios; os pais chineses também utilizavam impressões digitais e impressões
dos pés para diferenciar os filhos um do outro (NSTC, 2006).
Provavelmente a mais antiga e comum forma de identificação é o
reconhecimento da face (NSTC, 2006). Há relatos que os antigos egípcios, na
época dos faraós, já utilizavam as características físicas (Ashbourn, 2000), tais
como sinais particulares na face ou cicatrizes, para confirmar, por exemplo, se a
pessoa que fosse retirar ou comercializar provisões ou mantimentos em algum
armazém ou depósito de mercadorias ao longo do rio Nilo, era na realidade o
verdadeiro reclamante ou proprietário da mercadoria armazenada, ou até mesmo
para apontar algum registro negativo sobre esta pessoa, em relação à sua
honestidade (Ashbourn, 2000). Isto era realizado através de registros obtidos
através da descrição física, que eram utilizados como uma referência, para uma
posterior comparação com as características fisionômicas da pessoa que se
apresentasse como mercador ou retirar alguma mercadoria. Antigos reis da
Babilônia também utilizavam impressões digitais como provas de autenticidade de
determinadas gravuras e trabalhos em cerâmica (Ashbourn, 2000).
A partir do século do XVIII, com o crescimento acelerado das cidades, e
com o advento da revolução industrial, surgiu a necessidade do emprego de um
método formal para a identificação. Os mercadores não mais permaneciam em
18
suas cidades para efetuar os seus negócios, e as populações também se
deslocam com freqüência de uma cidade para outra, em busca de novas
oportunidades e melhores condições de sobrevivência. Desta maneira, as
autoridades não podiam mais contar somente com a sua experiência e
conhecimento locais para identificar as pessoas, já que a população de cada
região tinha sua própria característica (NSTC, 2006).
No início do século XIX, um médico fisiologista alemão denominado Franz
Joseph Gall (1758-1828) instituiu uma disciplina denominada frenologia (do grego:
phrenos= mente e logos= estudo), através do estudo das formas variadas e
características do crânio, onde havia a teoria de haver uma correlação entre cada
tipo de formato de crânio e o tipo de disfunção mental ou tendências de
comportamento (Ashbourn, 2000).
Figura 1: Diagrama de Frenologia1
Essa teoria acabou desacreditada com o tempo, por falta de um
embasamento científico que a comprovasse na prática. Ainda assim, continuou o
interesse em utilizar as características físicas do indivíduo como forma de
identificação ou classificação.
No século XIX surgiu uma nova ciência denominada antropometria (do
grego antropos = homem; metron = medida). Essa ciência trata das medidas
1 Fonte: Phrenology: the History of Brain Localization. Disponível em http://www.cerebromente.org.br/n01/frenolog/frenologia.htm
19
físicas do ser humano, tais como altura, peso, dentre outras, com o objetivo de
classificação dos indivíduos conforme essas medidas.
Foi o francês Alphonse Bertillon (1853-1914), no período em que trabalhou
no serviço de identificação no quartel-general da polícia de Paris na França, por
volta de 1880, aprimorou a técnica, que ficou conhecida com antropometria
judiciária. Bertillon desenvolveu um sistema para identificar criminosos, através
medidas de anatomia, e que se difundiu por toda a França. Essas características
fisiológicas humanas eram também associadas às tendências criminosas do
indivíduo, e sempre que possível essa associação era levada em consideração
(Ashbourn, 2000).
Figura 2: Técnica de identificação antropométrica de Bertillon (1893).2
Em 1823, um cientista tcheco denominado Jan Evangelista Purkinje (1787-
1869), durante suas pesquisas e observação das glândulas sudoríparas nas
depressões entre as ranhuras da superfície da pele dos dedos, chegou à
conclusão que, as formas daquelas ranhuras e sulcos possuíam padrões
aparentemente únicos, entre os diferentes indivíduos. A partir daí, o conceito de
2 Fonte: Biography – Alphonse Bertillon. Disponível em: http://www.medienkunstnetz.de/artist/alphonse-bertillon/biography/
20
que a impressão digital ser uma característica única nos indivíduos tornou
amplamente aceita pela comunidade científica (Ashbourn, 2000).
Figura 3: Impressão digital 3
2.2.2 Histórico da evolução da biometria
Conforme estudo realizado pelo NSTC – National Science and Technology
Council – Subcommittee on Biometrics – órgão do governo dos Estados Unidos,
alguns dos fatos relevantes sobre a evolução da biometria e dos sistemas
biométricos a partir do século XIX pode ser analisada, conforme linha do tempo a
seguir:
• 1858 – Registro da primeira captura de imagem da geometria da mão.
A primeira captura ou gravação (impressão) da geometria da mão e
digitais que se tem registro foi efetuada por Sir William Herschel,
trabalhando pelo Serviço Civil na Índia, no verso do contrato de
trabalho de cada operário nativo, para distinguí-los uns dos outros,
de forma a garantir a identidade verdadeira de cada um, no
momento de pagamento de salários.
Figura 4: Impressão da geometria da mão e digitais em contrato de trabalho.4
3 Fonte: Handbook of Fingerprint Recognition. Disponível em http://bias.csr.unibo.it/maltoni/handbook/ 4 Fonte: The History of Fingerprints. Disponível em http://www.onin.com/fp/fphistory.html
21
• 1870 - Bertillon desenvolve a antropometria para uso na identificação
O francês Alphonse Bertillon aprimora a técnica da antropometria,
através das medidas de partes do corpo humano, descrição física e
fotografia. Bertillon percebeu que, criminosos reincidentes, quando
eram detidos repetidas vezes, forneciam nomes diferentes; mas
através da comparação das medidas anteriormente registradas, ele
comprovaria a verdadeira identidade do indivíduo.
• 1892 – Galton desenvolve um sistema de classificação de impressões
digitais
O inglês Francis Galton (1822–1911) apresenta um estudo
minucioso sobre as impressões digitais, no qual ele apresenta um
sistema que utilizava as impressões digitais dos dez dedos das
mãos. O minutiae, características peculiares de cada impressão
digital, é utilizada até os dias atuais.
• 1896 – Henry implementa o sistema de identificação pelas impressões
digitais
O inglês Edward Henry, que trabalhava como inspetor geral do
Departamento de Polícia de Bengal, na Índia, tinha necessidade de
implantar um método de identificação dos indivíduos e criminosos, e
que viesse a substituir a antropometria. Ele, em consulta a Francis
Galton sobre o sistema de classificação pelas impressões digitais,
resolveu implementá-lo para identificar os criminosos. Um dos
subordinados de Henry, Azizul Haque, desenvolveu e aprimorou um
método de classificação e registro da informação (impressões
digitais), trazendo rapidez e eficiência na procura desses registros,
para a comparação, trazendo agilidade na identificação. Mais tarde,
Henry estabeleceu o primeiro arquivo britânico de impressões
digitais, em Londres. O Sistema de Classificação Henry, como ficou
conhecido, foi o precursor dos sistemas de identificação e
classificação utilizados por muitos anos pelo FBI (agência federal de
investigação dos Estados Unidos) e outros organismos de
22
investigações criminais ao redor do mundo que utilizam o sistema de
identificação pelas dez impressões digitais.
• 1903 – Penitenciárias dos Estados Unidos começam a utilizar impressões
digitais para identificação
As impressões digitais começam a ser implantadas nas
penitenciárias americanas, para identificação dos criminosos.
• 1936 – Surge a proposta de um novo conceito para identificação:
reconhecimento pela análise da íris. Um oftalmologista denominado Frank Burch propõe um novo
conceito de uso de padrões da íris como método para identificar
indivíduos.
Figura 5: Olho humano 5
• 1960 – O processo de reconhecimento da face torna-se semi-automático
Em atendimento a uma encomenda do governo dos Estados Unidos,
Woodrow Wilson Bledsoe (1921-1995) desenvolveu um sistema
semi-automático para reconhecimento da face. O administrador
deste sistema deveria localizar características tais como olhos,
orelhas, nariz e boca, através de análise de fotografias. Com esses
dados eram determinados pontos e a distância entre eles, e os
registros eram armazenadas. Essas informações eram conferidas
posteriormente para comprovação de identidade.
5 Fonte: Iris Recognition for Personal Identification. Disponível em http://www.ces.clemson.edu/~stb/ece847/fall2004/projects/proj27.doc
23
• 1960 – Criação do primeiro modelo de produção acústica da fala
O professor sueco Gunnar Fant publica um estudo com um modelo
que descreve os componentes fisiológicos responsáveis pela
produção acústica da fala, baseado na análise de raios X de
indivíduos no momento de produção de sons fonéticos pré-definidos.
Este trabalho foi muito útil para entender os principais componentes
biológicos responsáveis pela produção da fala, que se tornou
indispensável para o surgimento de sistemas biométricos de
reconhecimento da fala.
• 1963 – Laboratórios Hughes publica trabalho de pesquisa sobre
automatização no reconhecimento de impressão digitais
Este trabalho abordou estudos sobre a quantidade de informação
necessária, de minutiae da impressão digital, de modo a obter a
correspondência de duas impressões digitais, oriundas do mesmo
dedo de um indivíduo, através de um sistema automático de
reconhecimento - AFIS6 (Pankanti; Prabhakar; Jain, 2002).
Figura 6: Impressões digitais7
(a) - Impressões digitais oriundas do mesmo dedo.
(b) - Impressões digitais oriundas de dedos diferentes.
6 AFIS – Automatic Fingerprint Identification System 7 Fonte: On the Individuality of Fingerprints. Disponível em: http://biometrics.cse.msu.edu/Publications/Fingerprint/PankantiPrabhakarJain_FpIndividuality_CVPR01.pdf
24
Na Figura 6(a), o sistema automático de reconhecimento de digitais
identifica e faz a correspondência entre duas impressões tiradas do
mesmo dedo. Na primeira impressão (esquerda) foram identificados
39 minutiae, e na segunda (direita), são identificados 42 minutiae.
Foram encontradas 36 correspondências. Na Figura 6(b), são
reconhecidas duas impressões digitais de dedos diferentes; na
primeira (esquerda), foram identificados 64 minutiae, e na segunda
(direita) foram identificados 65 durante o processo de
reconhecimento. Detectadas 25 falsas correspondências.
• 1965 – Inicia-se a pesquisa sobre o reconhecimento automático de
assinaturas
A Aeronáutica dos Estados Unidos desenvolve o primeiro sistema
de reconhecimento automático de assinatura.
• 1969 – FBI inicia processo de automatização do reconhecimento de
impressões digitais
O FBI, Agência Federal de Investigação dos Estados Unidos inicia o
processo de automatização do seu sistema de reconhecimento, já
que o sistema utilizado pelo organismo estava demandando muitas
horas de trabalho e número cada vez maior de pessoas para que o
trabalho de identificação pudesse ser realizado. Para isto, o FBI
contrata o NIST – National Institute and Standards Technology
(órgão do governo dos Estados Unidos) para estudar o então
processo de identificação através das impressões digitais utilizado,
visando a automatização. Nesta fase, o NIST se deparou com dois
desafios: o primeiro era efetuar a varredura de cartões com
impressões digitais e identificar o minutiae (características da
impressão) e o segundo, comparar e fazer a correspondência com
os registros pré-gravados anteriormente.
• 1970 – Avançam as pesquisas para o processo de automatização do
sistema reconhecimento da face
O Dr. Joseph Perkell aperfeiçoa o modelo de produção acústica da
fala, que foi desenvolvido em 1960. Nesta nova abordagem, é obtida
25
uma melhor compreensão das características de comportamento e
componentes biológicos da fala.
• 1970 – Surge o primeiro modelo comportamental dos componentes da fala
O modelo original de produção acústica da fala desenvolvido em
1960 foi aperfeiçoado sob a liderança do Dr. Joseph Perkell, que
utilizou raios X móveis, e incluiu a língua e a mandíbula na análise.
Este novo modelo proporcionou um melhor entendimento sobre o
comportamento complexo e a biologia dos componentes da fala.
• 1974 – O primeiro sistema comercial de reconhecimento da geometria das
mãos é disponibilizado
Dentre as aplicações para este novo sistema, pode-se citar controle
de acesso físico e identificação pessoal.
• 1975 – FBI institui fundo para o desenvolvimento de sensores e tecnologia
para extração de impressões digitais
Através do investimento em tecnologia, o primeiro protótipo de um
scanner de impressões digitais (minutiae) é produzido, utilizando
técnica capacitiva para efetuar a captura. Neste estágio, somente as
características das digitais eram armazenadas, devido ao alto custo
dos equipamentos de armazenamento (memória). Nas décadas
seguintes, o NIST focou o desenvolvimento de equipamentos para
digitalização de impressões digitais, compressão de imagem e
comparação. Este esforço conduziu ao desenvolvimento do primeiro
algoritmo de comparação (matching) utilizado pelo FBI, o M40.
Outros avanços no desenvolvimento desta tecnologia se sucederam.
• 1976 – Desenvolvimento do primeiro protótipo para o reconhecimento da
voz
A empresa americana Texas Instruments desenvolve o primeiro
protótipo de um sistema para o reconhecimento de voz, que foi
26
testado pela Força Aérea dos Estados Unidos e pela MITRE
Corporation8.
• 1977 – Patente de sistema de captura de assinatura dinâmica é obtida
A empresa Veripen Incorporate9 adquire a patente do sistema de
captura dinâmica de assinaturas. Tal sistema é capaz de obter
digitalmente as características dinâmicas da assinatura de um
indivíduo.
• 1980 – NIST estabelece grupo de pesquisas da fala
O NIST estabelece um grupo de pesquisas da fala, com o objetivo
de promover o estudo e o uso das técnicas de processamento da
voz.
• 1985 – Patente para identificação através do reconhecimento da geometria
da mão é obtida
David Sidlauskas desenvolve e adquire a patente do conceito de
reconhecimento da geometria da mão.
• 1986 – Publicado o primeiro padrão de intercâmbio de dados de minutiae
de impressões digitais O NBS (National Bureau of Standards), órgão do governo dos
Estados Unidos, mais tarde denominado NIST, em colaboração com
o ANSI (American National Standards Institute), publicam um padrão
para troca de informações de impressões digitais (ANSI/NBS-ICST
1-1986), e o primeiro utilizado pelas agências de investigações
criminais por todo o mundo.
8 MITRE Corporation – Empresa sediada nos Estados Unidos, sem fins lucrativos, gestora de órgãos de pesquisa do governo Americano, e cuja principal finalidade é explorar novas tecnologias, para o interesse público. 9 Veripen Incorporate – empresa sediada em Nova Iorque, Estados Unidos – desenvolveu uma caneta para ler e verificar assinaturas.
27
• 1986 – Patente reconhecendo o uso da íris para identificação é obtida
Dois oftalmologistas, o Dr. Leonard Flom e o Dr. Aran Safir,
adquirem a patente do conceito desenvolvido por eles sobre a
utilização da íris para reconhecimento e identificação.
• 1988 – Primeiro sistema semi-automático para reconhecimento da face é
lançado
Um departamento da polícia de Los Angeles (Estados Unidos da
América) inicia o uso de imagens de vídeo de pessoas suspeitas
para formar uma base de dados, para reconhecimento e busca de
criminosos.
• 1988 – Desenvolvida uma técnica denominada Eigenface para
reconhecimento da face
Os pesquisadores Kirby e Sirovich utilizam uma técnica de álgebra
linear padrão, o princípio de análise de componentes, para
resolução de um problema de reconhecimento de face.
• 1991 – Técnica para reconhecimento da face em tempo real torna-se uma
realidade
Dois pesquisadores, Turk e Pentland descobriram que utilizando a
técnica Eigenface, o erro residual poderia ser utilizado para detectar
e reconhecer faces em imagens, tornando possível o
reconhecimento de faces em tempo real.
• 1992 – The Biometric Consortium10 é estabelecido no governo dos Estados
Unidos
• 1993 – Iniciado o desenvolvimento de um protótipo de sistema de
reconhecimento de íris
10 The Biometric Consortium. Disponível em http:// www.biometrics.org
28
• 1994 – Patente do primeiro algoritmo para reconhecimento da íris é obtida
O Dr. John Daugman adquire a patente pelo seu algoritmo para
reconhecimento de íris.
• 1997 – Publicado primeiro padrão comercial para interoperabilidade
biométrica
O HA-API, considerado o primeiro padrão comercial genérico de
interoperabilidade, e teve como escopo a facilidade de integração,
independente do fabricante.
• 1999 – Lançado estudo para compatibilidade de máquinas de leitura de
documentos e biometria
• 2000 – Divulgada primeira pesquisa sobre padrão de reconhecimento
vascular
Esta pesquisa11 aborda a tecnologia empregada no primeiro sistema
comercial para reconhecimento vascular que foi disponibilizado em
2000.
• 2002 – Estabelecido o Comitê para padrões biométricos ISO/IEC
• 2003 – Estabelecido o Fórum Europeu de Biometria
• 2004 – Departamento de Defesa dos Estados Unidos (DoD) implementa o
ABIS (Automated Biometric Identification System), sistema responsável
para auxiliar o governo americano na identificação de prováveis ameaças.
Trata-se de um sistema para captura de várias características biométricas,
tais como impressões digitais, voz, íris.
11 Fonte: Biometric Identification System by Extracting Hand Vein Patterns. Disponível em http://icpr.snu.ac.kr/resource/wop.pdf/J01/2001/038/R03/J012001038R030268.pdf
29
2.2.3 A evolução da biometria no Brasil
A implantação da Biometria no Brasil ocorreu no início do século XX,
quando o governo brasileiro adota o sistema de impressões digitais para
identificação, nas carteiras de identidade.
Essa decisão foi tomada graças ao trabalho liderado pelo Dr. Félix
Pacheco, no Rio de Janeiro, que era a capital da República na época (Wikipedia).
O Dr. Felix foi amigo do Dr. Juan Vucetich, um policial argentino que inventou um
dos mais completos sistemas de classificação das dez impressões digitais
existente, a datiloscopia (do grego: daktylos = dedos; skopein = examinar),
sistema este que foi adotado não só no Brasil, mas em vários países da América
do Sul. O Dr. Juan Vucetich foi o primeiro a obter os datilogramas, como são as
impressões digitais adquiridas com uso de tinta, e publicou em 1888 um
comparativo datiloscópico, um tratado sobre o assunto (Ashbourn, 2000).
De acordo com um texto elaborado pelo Prof. José Bombonatti (História da
Datiloscopia12), segue uma linha do tempo que relata a evolução da biometria no
Brasil:
• 1902 O Dr. Félix Pacheco inicia no Rio de Janeiro o trabalho de coleta de
impressões digitais. A lei 947 cria a identificação datiloscópica.
Em São Paulo, é criado o Gabinete de Identificação Antropométrica,
também utilizando fotografias.
• 1903
Regulamenta, no Rio de Janeiro, a lei 947, que instituiu o sistema
datiloscópico Vucetich.
• 1904 Expedida a primeira carteira de identidade, na época denominada
“Ficha Passaporte” ou “Cartão de Identidade”, ainda utilizando
descrições antropométricas e também datiloscopia.
12 História da Datiloscopia. Disponível em http://www.coletoresimpress.com.br/por_que_print.html
30
• 1907
Através de um Decreto, é instituído o sistema datiloscópico Vucetich
em São Paulo.
• 1935 No Serviço de Identificação de São Paulo, são criados o Arquivo
Datiloscópico Datilar e o Laboratório de Locais do Crime, sob a
direção do Dr. Ricardo Gumbleton Daunt.
• 1941 Através de um Decreto, o Instituto de Identificação da Polícia do
Distrito Federal, Rio de Janeiro, passa a se denominar Instituto Félix
Pacheco. Promulgado o Código de Processo Penal, que institui a
identificação dactiloscópica para indiciados em inquéritos policiais.
• 1963 Inaugurado em Brasília-DF, o Instituto Nacional de Identificação.
• 1988 O Instituto de Identificação do Estado de São Paulo já conta com um
acervo de 40 milhões de prontuários, com as impressões digitais
arquivadas, e expede em média mais de 12 mil carteiras de
identidade por dia.
Em 2006, o governo brasileiro deu início ao projeto de confecção de um
novo modelo de passaporte. Este novo passaporte, em atendimento a normas
internacionais, tem dezesseis novos itens de segurança. Em relação à
identificação do portador do novo documento, serão recolhidas características
biométricas, tais como impressão digital, fotografia digital e assinatura
digitalizada. Esses dados ficarão armazenados no banco de dados da Polícia
Federal do Brasil, e foto será digitalizada e os dados inseridos em um código de
barras bidimensional na página de dados variáveis do novo passaporte,
possibilitando a leitura deste código por equipamentos ou leitores especiais, em
31
locais de fiscalização imigratória tanto no Brasil quanto no exterior (Departamento
de Polícia Federal, 2006).
Neste capítulo foram apresentadas as origens e a evolução da biometria e
dos sistemas biométricos, desde a antiguidade até os dias atuais, no mundo e no
Brasil. Apesar de a biometria ser conhecida e empregada desde a antiguidade, foi
a partir do século XX, graças à evolução da tecnologia e dos sistemas
computadorizados, que os modernos sistemas biométricos começam a ser
desenvolvidos e aplicados comercialmente. No capítulo a seguir serão
apresentados os tipos de sistemas biométricos mais utilizados na atualidade, bem
como aspectos sobre segurança da informação, e o processo de autenticação
com a utilização da biometria.
32
3 SEGURANÇA DA INFORMAÇÃO E OS SISTEMAS BIOMÉTRICOS
Com a crescente utilização de computadores em redes, e a
popularização do uso da Internet, alguns sistemas informatizados, baseados em
arquiteturas ou topologias denominadas cliente-servidor, tais como e-commerce e
Internet banking, também tiveram um grande crescimento nos últimos anos. Da
mesma forma, houve também o crescimento e proliferação de pragas virtuais, ou
vírus de computadores, que exploram as vulnerabilidades de segurança dos
sistemas computacionais, além da atuação de hackers, que são usuários de
computadores, especialistas em invadir e roubar informações, ou danificar os
sistemas, principalmente através da Internet, comprometendo a credibilidade no
uso de tais aplicações.
Diante deste cenário, surgiu a necessidade do desenvolvimento de
mecanismos para garantir, não só a segurança das aplicações e dos sistemas,
mas também que o usuário possa efetuar suas tarefas ou transações, sem que
suas informações pessoais sejam comprometidas, colocando em risco a
credibilidade de uso.
Os princípios de segurança se apóiam nos itens citados a seguir:
• Confidencialidade
Assegura que informação será acessível apenas por alguém que
tenha a prévia autorização para fazê-lo.
• Integridade
Garante que a informação não será alterada ou danificada, seja no
momento de acesso, ou no processo de transmissão ou
armazenamento desta informação.
• Disponibilidade
Assegura que, aqueles que tenham autorização para acessar as
informações e outros recursos, possam fazê-lo no instante
requerido. Garante que a informação estará acessível a qualquer
33
momento que o usuário solicitar, desde que este tenha a devida
autorização para isto.
Para assegurar que os principais aspectos da segurança citados acima
sejam aplicados ou garantidos - de forma a proteger um dos principais ativos de
uma organização, que é a informação, determinados controles devem ser
implementados, como por exemplo, a autenticação, para diminuir os riscos de
segurança e evitar que esses serviços de segurança possam vir a ser violados e
comprometer os negócios ou a privacidade dos dados. Dentre as possibilidades
tecnológicas atuais no mercado, os sistemas biométricos são opções de
autenticação viáveis como pode ser visto no item seguinte deste trabalho.
3.1 Tipos de autenticação
Conforme definição de Ponnapalli (2004), autenticação é o processo de
verificação e confirmação da identidade de um usuário, para certificar que este é
realmente quem está afirmando ser, durante o procedimento de acesso a um
sistema ou área física. Dentre as formas de autenticação, podem ser citadas a
combinação usuário e senha, o cartão Smartcard e os sistemas biométricos.
No âmbito da segurança dos sistemas de informação, existem três tipos
básicos de autenticação de usuários (Cherry, 2003):
• O que o usuário possui – nesta categoria incluem-se certificados digitais,
SmartCards.
• O que o usuário conhece – alguns exemplos desse tipo são: senhas, PIN
(personal identification number).
• O que o usuário é – ou seja, uma característica física ou biológica, também
denominada característica biométrica.
Em uma análise preliminar, dentre os três tipos de autenticação, o que se
apresenta ser o mais seguro é a biometria. É quase impossível roubar ou forjar
34
uma característica biométrica, muito mais difícil do que roubar uma senha ou
outra informação pessoal como o PIN. Não há possibilidade de emprestar a
característica biométrica de uma pessoa para a outra, e esta característica não
pode ser esquecida, já que o usuário a possui e faz parte do seu organismo
(Cherry, 2003).
3.2 A biometria como forma de autenticação
Biométrico é um termo genérico que pode ser usado alternativamente para
descrever, ou uma característica, ou um processo (NSTC, 2006):
• Como uma característica: uma característica biológica (anatomia ou
fisiologia) e uma característica comportamental que pode ser utilizada para
reconhecimento. • Como um processo: Método automatizado de reconhecer um indivíduo
baseado em suas características biológicas ou comportamentais.
3.2.1 Processo de identificação biométrica
Independente do tipo de sistema biométrico utilizado ou aplicado, o
processo de identificação biométrica é o mesmo, com algumas diferenças na
maneira de como as características biométricas em cada tipo são coletadas;
porém, o modelo teórico se aplica a qualquer um deles (Cherry, 2003).
O processo de identificação biométrica é basicamente composto de quatro
passos básicos (Cherry, 2003):
• Aquisição e Registro;
• Armazenamento do registro padrão;
• Comparação e Correspondência e;
• Trilha de auditoria.
35
3.2.1.1 Aquisição e Registro
O primeiro passo ou primeira etapa é aquisição do padrão da característica
biométrica escolhida para logo em seguinte efetuar o registro. O tipo de
equipamento ou sistema biométrico utilizado para a captura pode variar,
dependendo da característica utilizada para o sistema. Este equipamento poderá
ser um leitor ou sensor, utilizado para fazer a varredura de uma impressão digital,
ou uma câmera utilizada para capturar uma imagem facial, ou características da
íris ou retina do olho. Em qualquer evento, antes de utilizar o equipamento ou
sistema pela primeira vez para a autenticação, deve-se efetuar o registro do
padrão da característica biométrica do usuário ou indivíduo. Neste caso, o
indivíduo deve disponibilizar ou apresentar a sua característica biométrica para o
registro (geralmente o processo de registro é efetuado após, no mínimo, três
capturas) para a obtenção ou construção de um padrão ou modelo. Esse
processo geralmente é denominado de extração de biometria. Neste
procedimento, certos pontos das características são extraídos e convertidos
digitalmente através de um algoritmo matemático. Esses pontos ou atributos
dependem do tipo de biometria escolhido. É importante que a captura seja de boa
qualidade, de modo que o padrão também seja bem construído, para que não
haja dificuldades em autenticações posteriores (Cherry, 2003).
3.2.1.2 Armazenamento do registro padrão
Logo após a extração ou captura das características biométricas do
indivíduo para efetuar o registro, o padrão obtido deve ser armazenado, para
posterior comparação no procedimento de autenticação deste usuário ou
indivíduo. Quanto ao armazenamento do padrão obtido, há três formas principais
(Cherry, 2003):
• Armazenamento do padrão no dispositivo de leitura biométrica;
• Armazenamento do padrão em uma base de dados remota e;
• Armazenamento em um dispositivo portátil (SmartCard).
36
A principal vantagem em armazenar o padrão capturado no próprio
dispositivo de leitura ou captura é o tempo de resposta bem menor, no instante da
autenticação, já que não é necessário esperar a resposta de outro sistema ou dos
recursos de rede. Isto é uma vantagem, pois grande parte dos dispositivos podem
manipular o armazenamento e a recuperação de pequenas quantidades de
padrões armazenados. A dificuldade é quando há um número muito elevado de
usuários do sistema; neste caso é recomendado o armazenamento das
informações de padrões em uma base de dados centralizada. Na opção de
armazenamento centralizado a desvantagem é quando há alguma
indisponibilidade na rede, impossibilitando o acesso à base dados; por
conseqüência, uma parada total do sistema biométrico pode ocorrer (Cherry,
2003).
A opção de armazenamento dos padrões num dispositivo SmartCard oferece a vantagem para o portador de manter consigo a informação do padrão
armazenado, com suas características biométricas. Apesar desta técnica
apresentar vantagens para o usuário, o custo pode ser elevado, o que inviabiliza a
implantação de um sistema com essas características. O ideal para as
organizações é armazenar os padrões em múltiplas bases de dados, mas
também os custos podem ser elevados demais, exceto se a relação custo-
benefício justifique a adoção desta alternativa (Cherry, 2003).
3.2.1.3 Comparação e Correspondência
Uma vez que o usuário é registrado no sistema, com o seu padrão
armazenado, toda vez que o usuário efetuar a autenticação no sistema uma nova
amostra de sua característica biométrica é capturada através de um sensor ou
leitor. Da mesma forma que é realizada no momento de registro, a nova amostra
capturada será processada com uso de um algoritmo matemático e um novo
padrão ou modelo é obtido, da mesma origem que o padrão que já está
armazenado. Desta forma, o novo padrão é comparado com o padrão
armazenado. Caso haja a correspondência dos requisitos exigidos, ou seja,
havendo similaridade entre os pontos analisados em ambos padrões, então o
usuário é autenticado no sistema. Mas, se o novo padrão não contiver pontos que
37
atendam aos requisitos exigidos para haver correspondência, então é negado ao
usuário o acesso ao sistema. O número de tentativas permitidas antes de haver
uma correspondência positiva pode variar, de acordo com o nível de segurança
que a corporação exigir para tal sistema (Cherry, 2003).
3.2.1.4 Trilha de auditoria
O ultimo passo do processo de identificação biométrica é o
armazenamento das informações referentes às transações efetuadas nas
autenticações, também denominado trilha de auditoria. Estas informações são
muito valiosas, visto que o administrador poderá visualizar as tentativas de
acesso bem-sucedidas e as falhas na autenticação. Caso o número de falhas de
autenticação esteja elevado, o administrador poderá ajustar ou refinar o sistema,
de modo a melhorar o seu desempenho, bem como identificar possíveis tentativas
de invasão ao sistema por usuários não autorizados. Da mesma forma que o
armazenamento dos padrões ou modelos durante o processo de registro, o
armazenamento das informações de auditoria pode ser efetuado em bases
centralizadas ou múltiplas, dependendo da preferência dos administradores ou
capacidade do sistema (Cherry, 2003).
3.2.2 Diferença entre identificação e verificação
Quando se estuda os sistemas biométricos, deve-se ter o entendimento
entre duas funções: a identificação e a verificação. Na maioria dos sistemas
biométricos, a autenticação dos usuários é efetuada pelo método de verificação.
No método de verificação, durante o processo de registro e armazenamento do
padrão ou modelo da característica biométrica, geralmente é solicitado ao usuário
um número de identificação pessoal ou PIN (personal identification number), que
servirá para posterior referência ou indexador utilizado pelo sistema, para
recuperar da base de dados o padrão correspondente a esse número (que é
novamente fornecido pelo usuário), no processo de autenticação, para a
comparação com a amostra captura em tempo real. Através desta comparação
com o padrão recuperado da base de dados, o usuário será autenticado ou não,
dependendo do resultado, ou seja, a amostra poderá corresponder ou não com o
38
padrão ou modelo armazenado. Este processo geralmente é denominado
correspondência de um-para-um (Cherry, 2003).
Figura 7: Diagrama ilustrativo dos processos de registro e verificação13
Em um sistema biométrico que utiliza o processo de identificação, a
amostra da característica biométrica, capturada no início do processo de
autenticação, é comparada com os vários padrões ou modelos armazenados ou
registrados na base de dados, até que a correspondência com um dos padrões
seja encontrada, de modo a efetivar a autenticação do usuário no sistema. Este
processo é denominado correspondência um-para-muitos (WOODWARD; WEBB;
NEWTON; BRADLEY; RUBENSON; LARSON; LILLY; SMYTHE; HOUGHTON;
PINCUS; SCHACHTER; STEIBERG, 2005).
Nos próximos tópicos deste capítulo serão apresentados alguns tipos de
sistemas biométricos e suas características relativas às suas metodologias.
13 Fonte: Biometria. Disponível em: http://www.vision.ime.usp.br/~mehran/ensino/biometria.pps
Característicafísica de entrada
captura processa dados
comparacompara
Característicafísica de entrada
captura processa
SIM
NÃO
amostra (live scan)
modelo (template)REGISTRO
VERIFICAÇÃO
Característicafísica de entrada
captura processa dados
comparacompara
Característicafísica de entrada
captura processa
SIMSIM
NÃONÃO
amostra (live scan)
modelo (template)REGISTRO
VERIFICAÇÃO
39
3.3 Classificação dos sistemas biométricos
Segundo um trabalho publicado por Cherry (2003), a biometria pode ser
segregada em dois tipos principais:
• Fenótipo ou comportamental – Fenótipo refere-se às características que
desenvolvemos ou adquirimos com o passar do tempo, ou através de
nossas experiências individuais ou pessoais, tais como voz, assinatura e
modo de andar e;
• Genótipo (genético) ou físico – Identificação através do genótipo é aquela
feita pelo exame das características genéticas ou físicas do indivíduo.
Nesta categoria incluem-se as impressões digitais, reconhecimento de
face, reconhecimento de íris, dentre outros.
A escolha de um sistema biométrico que se enquadre em uma das
categorias acima citadas dependerá da aplicação e do nível de segurança
necessário para o que se deseja proteger ou restringir o acesso.
3.4 Metodologias dos sistemas biométricos
A seguir são descritos os tipos de biometria empregados nos sistemas de
identificação atuais.
3.4.1 Impressão digital
A impressão digital é uma das características que a maioria das pessoas
imediatamente associa com identificação, devido ao fato de ser um método
largamente empregado há muitos anos, principalmente pelos organismos policiais
e de investigação por todo o mundo (Ashbourn, 2000).
40
Figura 8: Características da impressão digital (minutiae)14
Existem alguns métodos para identificar um indivíduo ou usuário através de
sua impressão digital. O método mais comum é através do registro e comparação
das características da impressão digital (minutiae). Minutiae são pontos ou
características que as ranhuras da impressão digital formam. Essas
características podem ser consideradas únicas no indivíduo; são consideradas
também como pontos, devido à leitura que um sensor efetua, através de um
mapeamento com a aplicação de coordenadas, com orientação da direção (Libov,
2001).
Entre outros métodos para identificação biométrica através da verificação
das impressões digitais, podem ser citados a contagem de ranhuras ou sulcos
entre pontos, o processamento de imagem da impressão, e captura das
características através de ondas sonoras sob a impressão (Libov, 2001).
Para que a captura e verificação das impressões digitais seja efetuada de
forma automatizada, são necessários sensores especiais para esta finalidade.
Dentre os tipos de hardware (equipamento) disponíveis no mercado, estão
disponíveis sensores do tipo (NSTC, 2006):
14 Fonte : Biometrics: Technology that gives Technology that gives you a password you can´t share Disponível em: http://www.sans.org/reading_room/whitepapers/authentication/99.php?portal=61abb43b09efb1d48203265f2c5f4fd9
41
• Ótico;
• Capacitivo;
• Ultra-som e;
• Térmico.
Os sensores mais comuns são os sensores óticos, que capturam a imagem
da impressão digital. Os sensores capacitivos determinam o valor de cada pixel15
com base na capacitância medida, que só é possível de ser medida graças à
presença de áreas com ar (entranhas ou vales), que possuem um valor menor de
capacitância em relação ao ponto mais alto (crista) das ranhuras, que
efetivamente se mantém em contato com o sensor. Já os sensores ultra-sônicos
utilizam sinais de alta freqüência e dispositivos que capturam as ondas sonoras
refletidas na impressão digital. Os sensores térmicos medem a diferença de
temperatura entre no instante que o dedo toca o sensor para efetuar a leitura, e
através dessa diferença é formada uma imagem digitalizada (NSTC, 2006).
Mas para um sistema automatizado operar, apenas sensores não são
suficientes; é necessário um software para efetuar a identificação. As duas
principais categorias de software, para identificação biométrica de impressões
digitais, são: o que faz correspondência através do minutiae, através da análise
dos pontos característicos, como já foi tratado anteriormente (o mais comum
utilizado), e o que faz a função de correspondência através da comparação com
duas imagens, para verificar a similaridade entre as duas (NSTC, 2006).
3.4.2 Reconhecimento de Íris
O reconhecimento de íris é um processo de identificação através da
análise de um padrão da íris do olho humano (Figura 9). A íris é um músculo do
olho que tem a função principal de regular o tamanho da pupila, controlando a
quantidade de luz que penetra no interior do olho. A íris é caracterizada pela
coloração, cuja formação está relacionada à genética, e também pela estrutura de
detalhes, que é única, ou seja, cada indivíduo possui um padrão de estrutura de 15 Pixel – é o menor elemento que compõe uma imagem, quando esta é exibida em um dispositivo, tal como um monitor de vídeo.
42
íris, formado durante o período de sua gestação (Figura 10). Desta forma, a íris é
uma característica biométrica que pode ser utilizada para identificar indivíduos
(NSTC, 2006).
Figura 9: Estrutura do olho16
Figura 10: Estrutura da Íris17
O processo de identificação através da análise da íris é realizado utilizando
uma câmera digital, que captura a imagem da íris, cuja região está limitada
através de linhas demarcadoras (Figura 11), com uso de equipamentos
especialmente projetados para esta finalidade. Essas demarcações são
importantes para o processo de localização e isolamento da região da íris, pois
interferências tais como movimento da pálpebra ou da pupila podem causar
distorções, resultando na obtenção de imagem de baixa qualidade (NSTC, 2006).
Figura 11: Linhas demarcando a região da íris18
16 Fonte: NTSC – Biometrics Documents. Disponível em http://www.biometricscatalog.org/NSTCSubcommittee/BiometricsIntro.aspx 17 Idem nota 15 18 Idem nota 15
43
Uma vez obtida a imagem da região da íris com uma câmera digital de alta
resolução, filtros são aplicados para mapeamento desta imagem em vetores, que
contêm informações sobre posicionamento e orientação espacial das áreas
mapeadas da íris. Este mapeamento é utilizado para formar a codificação da íris
ou IrisCodes®19 (Figura 12)
Figura 12: Representação ilustrativa do IrisCode®20
Os padrões da íris, que são obtidos por uma codificação denominada
IrisCode®, com tamanho de 256 a 512 bytes, são utilizados para comparação no
momento da autenticação. Para efetuar o reconhecimento, dois códigos são
comparados. Neste instante, as diferenças entre os padrões são verificadas,
através de um teste estatístico. Se o resultado deste teste mostrar que menos de
1/3 dos bytes for diferente, o teste de significância estatística falhará, o que
indicará que os dois padrões serão considerados da mesma íris. Nesta análise, o
conceito chave do reconhecimento de íris é a falha no teste de independência
estatística.
3.4.3 Reconhecimento da retina
O padrão obtido através da formação dos vasos sanguíneos que ficam
abaixo da superfície da retina no interior do olho é estável e único, e, portanto, é
considerada uma característica biométrica possível e precisa para ser explorada.
O processo de identificação pela análise da retina é efetuado através da obtenção
da imagem digital do padrão da retina, que é adquirido com a projeção de feixe de
luz visível de baixa intensidade ou feixes infravermelhos dentro do olho, e
19 Patente de propriedade da empresa Iridian Technologies, Inc. 20 Fonte: NTSC – Biometrics Documents – Disponível em http://www.biometricscatalog.org/NSTCSubcommittee/BiometricsIntro.aspx
44
capturando a imagem oriunda desta projeção com equipamento ótico apropriado.
Para que isto seja efetuado, a pessoa precisa posicionar o olho em um
equipamento leitor e fixar o olhar em um determinado ponto de referência dentro
do leitor (Jain; Hong; Pankanti, 2000).
Figura 13: Imagem capturada da retina21
O processo de reconhecimento de retina é bastante similar ao processo de
reconhecimento de íris. Ambos os processos envolvem a captura de uma imagem
digital de alta resolução através da utilização de uma câmera digital. Para que
este procedimento seja realizado com sucesso, há a necessidade do emprego de
iluminação especial. Usualmente se utiliza diodos emissores de luz (LED22), que
produzem feixes infravermelhos. Esta modalidade é escolhida nestes processos,
devido à potência maior da luz visível causar danos ao olho humano, com o efeito
térmico resultante da incidência desse tipo de luz e causar danos nos elemento
sensíveis do olho, como a córnea e a retina (NSTC, 2006).
3.4.4 Reconhecimento da voz
Reconhecimento da voz ou fala é o processo de reconhecimento
biométrico que verifica a voz do emissor para identificá-lo. Este processo baseia-
se tanto em características físicas da estrutura das cordas vocais do indivíduo,
como nas características comportamentais do mesmo. A estrutura física consiste
da passagem do ar através de membranas conhecidas como cordas vocais,
através dos quais os sons são originados. Para produzir a fala, esses
componentes trabalham em conjunto com os movimentos da mandíbula e da
língua, bem como laringe e ressonâncias das cavidades nasais. Os padrões 21 Fonte: Biometric Identification. Disponível em: <http://portal.acm.org/citation.cfm?id=328110&coll=portal&dl=ACM> 22 LED – Light Emitting Diode
45
acústicos da fala são originados das articulações deste sistema físico. Já os
movimentos da boca e pronúncias são características comportamentais deste tipo
biométrico (NSTC, 2006).
Amostras da fala ou da voz são formas de onda, representados
graficamente, com tempo no eixo horizontal do gráfico, e a sonoridade ou
intensidade representado pelo eixo vertical no mesmo gráfico (Figura 14). O
sistema de reconhecimento da voz ou fala analisa as freqüências da fala e
compara certas características tais como qualidade, duração, sonoridade e nível
do sinal (NSTC, 2006).
Figura 14: Análise gráfica de amostra do reconhecimento da fala.23
Durante a fase de reconhecimento da fala, essas características
(qualidade, duração, sonoridade e nível do sinal) são extraídas da amostra
apresentada e comparada com o modelo ou padrão previamente armazenado, do
indivíduo que neste momento está tentando se autenticar ou ser reconhecido
como o reclamante ou possuidor deste padrão armazenado, e também
comparado com outros padrões armazenados, de outros usuários. A
correspondência será efetivada através de um coeficiente de probabilidade, que
indica que a amostra apresentada tem as mesmas características da amostra
armazenada (NSTC, 2006).
23 Fonte: NTSC – Biometrics Documents – Disponível em http://www.biometricscatalog.org/NSTCSubcommittee/BiometricsIntro.aspx
46
3.4.5 Reconhecimento da geometria da mão
A geometria pode ser entendida como ma variedade de medidas da mão
humana, tais como comprimento e largura dos dedos e formato da mão (Jain;
Hong; Pankanti, 2000). O conceito utilizado no processo de reconhecimento da
geometria da mão é a medição e registro das medidas, tais como comprimento,
largura, espessura e área da superfície da mão, através do posicionamento da
palma da mão em um gabarito ou placa com pinos (Figura 15). Os pinos servem
para guiar e garantir o posicionamento da mão no local correto para efetuar o
reconhecimento (NSTC, 2006).
Figura 15: Posicionamento da mão para reconhecimento24
Os sistemas de reconhecimento da geometria da mão utilizam uma câmera
para efetuar o reconhecimento, através da captura da imagem da silhueta da mão
(Figura 16) (NSTC, 2006).
Figura 16: Imagem da silhueta da mão captura pela câmera25
Tipicamente um sistema deste tipo de reconhecimento biométrico captura
tanto a imagem por cima da palma da mão, como da imagem lateral, através de
um espelho posicionado a um ângulo de 90º (Figura 17). Sobre a imagem da 24 Fonte: NTSC – Biometrics Documents – Disponível em http://www.biometricscatalog.org/NSTCSubcommittee/BiometricsIntro.aspx 25 Idem nota 23
47
silhueta capturada, são analisados cerca de 31 mil pontos e aproximadamente 90
medidas são obtidas. As faixas de medidas são tomadas do comprimento dos
dedos, distância entre as articulações dos dedos (nós dos dedos), altura e
espessura das mãos e dos dedos (Figura 18). Estas informações são
armazenadas em 9 bytes de dados, que é um número extremamente baixo,
comparado com outros sistemas de reconhecimento biométricos (NSTC, 2006).
Figura 17: Posicionamento com espelho26 Figura 18: Medidas das distâncias27
3.4.6 Reconhecimento da face
A maioria dos sistemas de reconhecimento da face se baseiam em
características específicas da face e constroem um mapa bidimensional baseado
nestas características. Novos sistemas já constroem mapas em três dimensões. A
captura das imagens da face é efetuada por câmeras digitais, e através do
processamento destas imagens padrões ou modelos são gerados e armazenados
para posterior comparação. Uma das técnicas de reconhecimento facial,
conhecida como análise característica local, analisa pontos ou partes específicas
na face, que não mudam significativamente com o passar do tempo, tais como
seções superiores dos olhos, áreas ao redor dos ossos da bochechas, laterais da
boca, e distância entre os olhos. Um segundo método, conhecido como
Eigenface, analisa a face como um todo. Uma coleção de imagens da face é
utilizada para gerar uma imagem em escala de cinza bidimensional para gerar a
imagem padrão ou modelo (Global Security, 2006).
26 Fonte: NTSC – Biometrics Documents – Disponível em http://www.biometricscatalog.org/NSTCSubcommittee/BiometricsIntro.aspx 27 Idem nota 25
48
Figura 19: Reconhecimento da face28
Uma outra técnica de reconhecimento facial é denominada termograma
(Figura 20). O sistema vascular sob a superfície da face humana forma uma
característica única, quando através da circulação e da temperatura do corpo,
emite calor através da superfície do tecido da pele da face. Essas “assinaturas
faciais” podem ser detectadas através de câmeras especiais que utilizam
infravermelho, resultando uma imagem da face denominada termograma facial.
Essa imagem é considerada única nos indivíduos e não vulnerável a fraudes ou
simulação (Jain; Hong; Pankanti, 2000).
Figura 20: Termograma facial29
3.4.7 Reconhecimento de assinatura
Reconhecimento de assinatura ou assinatura dinâmica é a modalidade
biométrica que utiliza as características anatômicas e comportamentais que um
indivíduo apresenta, quando assina o seu nome ou uma outra frase qualquer, com
o propósito de reconhecimento e identificação. Neste processo são capturados
dados tais como direção da dinâmica do traçado, batidas, pressão exercida, e
forma da assinatura, para formar um padrão de identificação. A maioria das
28 Fonte: Biometric Identification. Disponível em: <http://portal.acm.org/citation.cfm?id=328110&coll=portal&dl=ACM> 29 Idem nota 27
49
características observadas ou captadas neste processo são dinâmicas, ao
contrário de estáticas e geométricas, embora em alguns casos estas também
podem ser incluídas. Entre as características dinâmicas, podem ser citadas
velocidade, aceleração da assinatura, tempo gasto, pressão exercida dentre
outras (NSTC, 2006).
Figura 21: Detalhamento das características de uma assinatura30
Conforme foi apresentado, há diversas modalidades de sistemas
biométricos, que podem ser utilizados para autenticação de usuário ou do
indivíduo. Independente do sistema biométrico, a técnica ou processo de registro
e identificação ou verificação é a mesma, diferenciando-se apenas quanto à
característica biométrica avaliada, para a qual é necessário empregar tecnologias
diferentes, para a captura desta característica biométrica para análise ou registro.
Pelo fato de cada sistema biométrico utilizar tecnologias distintas para
obtenção das características biométricas, eles possuem diferenças entre si,
quando comparados, baseando-se em determinados parâmetros ou
requerimentos, levando em consideração alguns fatores como aceitação,
segurança dentre outros. A comparação entre os diferentes sistemas biométricos
é apresentada no capítulo seguinte deste trabalho. 30 Fonte: NTSC – Biometrics Documents. Disponível em http://www.biometricscatalog.org/NSTCSubcommittee/BiometricsIntro.aspx
50
4 AVALIAÇÃO DOS SISTEMAS BIOMÉTRICOS
Considerando os vários tipos anteriormente apresentados de sistemas
biométricos, pode-se compará-los através de alguns requerimentos importantes,
que devem ser levados em consideração quando se aplica um determinado
sistema biométrico.
4.1 Características comparativas dos sistemas biométricos
Os sistemas biométricos possuem semelhanças ou diferenças entre si,
dependendo do grau considerado em cada característica ou requerimento
avaliado. Cada sistema pode apresentar o grau alto, médio ou baixo, que
descreve a robustez naquele requerimento avaliado, ou seja, o quanto a
característica de um sistema biométrico é mais ou menos aderente a determinado
requerimento de avaliação.
• Universalidade
Este parâmetro refere-se à posse de uma característica por um
indivíduo. Todos os indivíduos possuem características biométricas;
pode ocorrer de um indivíduo ou indivíduos não possuir determinada
característica, como por exemplo, a assinatura.
• Unicidade
Requerimento também conhecido como singularidade, está relacionado
com o fato de determinada característica biométrica ser única no
indivíduo.
• Permanência
Requerimento relacionado à invariabilidade, ou seja, a característica
biométrica do indivíduo não deve mudar ou alterar com o tempo. Este
51
requerimento depende da característica biométrica analisada. No caso
da voz, por exemplo, é natural que haja uma variação com o passar dos
anos, devido à alterações dos aspectos fisiológicos do indivíduo.
• Coletividade
As características biométricas podem ser medidas quantitativamente.
Cada característica biométrica possui parâmetros passíveis de ser
medidos ou mensurados.
• Desempenho
Neste requerimento se enquadram os fatores envolvidos para o que
processo de verificação possa operar, tais como precisão de leitura,
velocidade, estabilidade do sistema, assim fatores ambientais
(iluminação, umidade) que possam influenciar no processo de leitura ou
varredura para verificação da característica biométrica.
• Aceitabilidade
Este requerimento está relacionado à aceitação pelos indivíduos do
sistema biométrico adotado. Por exemplo, o sistema que utiliza
impressões digitais tem uma aceitação maior do que um sistema de
reconhecimento de retina, já que o procedimento de aquisição desta
última característica biométrica é mais incômodo, causando desconforto
para o usuário ou indivíduo.
• Falsificação
Este requerimento descreve o quanto um sistema biométrico é
suscetível ou vulnerável à tentativas de fraude ou falsificação.
52
Ao se aplicar um sistema biométrico, estes requerimentos devem ser
observados, visando garantir uma precisão aceitável no processo de
reconhecimento biométrico, bem como não causar danos à integridade física dos
usuários, e também, que o sistema seja robusto e seguro o suficiente, de forma a
garantir que seja imune à fraudes (Maltoni; Maio; Jain; Prabhakar, 2003).
A Tabela 1 apresenta uma comparação entre os sistemas biométricos mais
utilizados no mercado, quanto à sua avaliação a cada uma das características
citadas.
Sistema Biométrico Universalidade Unicidade Permanência Coletividade Desempenho Aceitabilidade Falsificação
M A AFace-Termograma A A B A
A B A BFace A B M
M B A BVoz M B B
A B A BAssinatura B B B
A
Retina A A M B A B A
M M M
Íris A A A M A B
M M M A
Impressão Digital
Geometria da mão
CARACTERÍSTICAS X FORMAS DE AUTENTICAÇÃO
M A A M A M A
Legenda: A - Alta Robustez
M - Média Robustez
B - Baixa Robustez
Tabela 1: Comparação entre os sistemas biométricos31
Analisando a Tabela 1, as formas de autenticação e reconhecimento
através da impressão digital, da retina e da íris, são as que possuem melhor
31 Fonte: Biometric Identification – Disponível em http://portal.acm.org/citation.cfm?id=328110&coll=portal&dl=ACM
53
desempenho em relação às demais. Já os sistemas biométricos de
reconhecimento de assinatura, de voz e da face são as formas de autenticação de
possuem melhor aceitação pelos usuários, porém estas três últimas formas são
as que possuem mais vulnerabilidades que podem ser exploradas por
falsificadores ou fraudadores.
4.2 Modalidades de testes de sistemas biométricos Uma das maneiras de se avaliar os sistemas biométricos é agrupar os
testes por categorias. E uma das classificações agrupa os testes em três
categorias distintas (Maltoni; Maio; Jain; Prabhakar, 2003):
• Avaliação tecnológica
Nesta categoria de avaliação são efetuados testes com os vários
algoritmos utilizados por uma única forma de sistema biométrico, por
exemplo, impressão digital. O propósito é avaliar se algoritmo tem
compatibilidade com um determinado protocolo de entrada e saída,
e não são levados em consideração o hardware envolvido no
processo de captura dos padrões (sensores), ou mesmo a aplicação
(software) que é fornecido com o equipamento.
• Avaliação do cenário
O principal objetivo dos testes de avaliação de cenário é avaliar um
determinado sistema biométrico na sua totalidade, através de
simulações com determinada aplicação, que engloba características
de situações reais. Nesta avaliação procura-se utilizar as mesmas
características biométricas de uma determinada população, para
cada sistema testado, de modo a atingir o objetivo do cenário
configurado.
54
• Avaliação operacional
Na avaliação operacional um sistema biométrico é testado
completamente, com uma aplicação específica, utilizando-se
características biométricas de um grupo também específico de pessoas.
O objetivo é avaliar o desempenho do sistema em questão.
Os resultados dos testes, na modalidade de avaliação tecnológica,
fornecem subsídios para setores de pesquisa e desenvolvimento trabalharem em
busca do aperfeiçoamento dos sistemas biométricos. Já os resultados dos testes
de avaliação de cenário ajudam os usuários a selecionar entre os sistemas
biométricos avaliados qual a melhor alternativa para determinada aplicação. A
avaliação operacional geralmente é útil apenas quando a aplicação real é muito
similar com a aplicação de teste (NSTC, 2006).
4.3 Métricas de avaliação de desempenho Para se avaliar o desempenho de um determinado sistema biométrico,
algumas métricas são utilizadas. Basicamente são quatro as métricas
empregadas (Cherry, 2003):
• Taxa de falsa rejeição ou falsa negação (False Rejection Rate –
FRR)
A taxa de falsa negação é um percentual que indica o quanto um
sistema nega o acesso a usuários ou indivíduos que estão
registrados no sistema (padrões válidos registrados). Esta taxa é
também como erro do Tipo I. A importância desta métrica para a
corporação que utiliza um sistema biométrico para identificação
dependerá da finalidade da aplicação deste sistema. Por exemplo,
um sistema para identificar pessoas não autorizadas, esta taxa não
tem muita influência; mas para um sistema de autenticação de
usuários, o erro é importante, pois pode causar insatisfação e
transtornos (Cherry, 2003).
55
É importante ressaltar a diferença entre falsa negação e a falha de
aquisição do padrão (Failure-to-Enroll Rate – FER), onde nesta
última métrica, fatores como iluminação e condições degradadas
dos sensores biométricos de captura podem prejudicar a aquisição
das características biométricas para a formação de um modelo ou
padrão aceitável para ser armazenado (Cherry, 2003).
• Taxa de falsa aceitação ou aprovação (False Acceptance Rate –
FAR)
A taxa de falsa aceitação é um percentual que indica o quanto um
sistema biométrico aprova ou autentica usuários que não estão
registrados na base de dados de padrões. Esta taxa também é
conhecida como erro Tipo II. Está métrica é a mais importante a ser
considerada quando se planeja implementar um sistema de
identificação biométrico. Quanto mais alta a taxa de falsa aceitação,
maior a possibilidade de um impostor ou invasor se autenticar em
um sistema (Cherry, 2003).
• Taxa de Crossover (Crossover Error Rate – CER)
A taxa de Crossover, também conhecida com erro de ponto
coincidente, se refere ao ponto onde as taxas de falsa negação e de
falsa aceitação são iguais. Esta métrica é a mais comumente
utilizada para avaliar e comparar o desempenho dos sistemas de
identificação biométricos. Apesar das taxas de negação de
aceitação ser diferentes, ambas têm influência uma sobre a outra.
Ou seja, quando se ajusta ou altera a sensibilidade de um sistema
biométrico, para que o seu desempenho seja melhorado, qualquer
variação de uma das taxas fará com que a outra também se altere
(Cherry, 2003).
56
Figura 22: Representação gráfica da taxa de Crossover32
• Taxa de velocidade e produtividade
Esta métrica é utilizada para calcular a velocidade de todo o
processo que envolve a identificação por um sistema biométrico.
Não se refere somente ao fluxo de dados do sistema, mais de todo o
processo, desde a captura até o evento resultante da identificação
ou verificação, seja a resposta positiva ou negativa (Cherry, 2003).
4.4 Comparação de desempenho dos sistemas biométricos Conforme a tecnologia empregada, os sistemas biométricos apresentam
sensibilidade às variações ambientais. Além disso, os sistemas têm uma
tendência a apresentar variações quando um usuário submete sua característica
biométrica para a captura pelos equipamentos leitores. Desta forma, para efetuar
testes comparativos entre diversos tipos de sistemas biométricos, há a
necessidade de se seguir determinados protocolos, para que a avaliação seja
realizada em condições iguais. E, de modo a efetuar essa avaliação de forma que
seja o mais próximo possível de situações reais de operação, os usuários que são
submetidos aos testes devem ser selecionados possuindo diferentes
características, até mesmo incluindo representantes de todas as etnias (Bubeck;
Sanchez, 2003).
32 Fonte: A Practical Guide to Biometric Security Technology. Disponível em: http://www.findbiometrics.com/Pages/lead3.html
57
Em 2000, o BWG (Biometrics Working Group) 33 realizou testes
comparativos entre várias modalidades de sistemas biométricos, onde durante
três meses foram tomadas características biométricas de mais de 200
participantes, utilizadas com a finalidade de autenticação, em um ambiente
normal de escritório. Estes testes servem como referência até os dias de hoje,
para a comunidade dos fabricantes e usuários de sistemas biométricos em vários
países (Bubeck; Sanchez, 2003).
A Tabela 2 apresenta uma comparação entre os sistemas biométricos
avaliados, apresentando os valores da taxa de falha na captura do padrão (FER –
Failure-to-Enroll Rate).
Sistema Biométrico % Falha de Aquisição (FER)Face 0.0%Impressão Digital - Capacitivo 1.0%Impressão Digital - Ótico 2.0%Geometria da mão 0.0%Reconhecimento de Íris 0.5%Reconhecimento da voz 0.0%
Tabela 2: Comparação de valores no teste de aquisição de padrão34
Já na Tabela 3, os testes comparativo avaliou a taxa de falsa aceitação
(FAR) em relação à taxa de falsa negação (FRR).
Sistema Biométrico FAR 0.001% FAR 0.01% FAR 0.1% FAR 1.0%Reconhecimento de Face – FRR 40% FRR 30% FRR 15%Reconhecimento de ÍrisReconhecimento de Voz FRR 12% FRR 4.5% FRR 0.5% –Impressão Digital - Capacitivo FRR 2.7% FRR 2.3% FRR 2.1% FRR 1.7%Impressão Digital - Ótico – FRR 16% FRR 12% FRR 10%Geometria da Mão FRR 13% FRR 9.0% FRR 1.2% FRR 0.25%
FRR 0.25%
Tabela 3: Resultados - Taxas de falsa aceitação Vs. falsa negação (FAR X FRR)35
33 Órgão do CESG (Communications-Electronics Security Group), do governo do Reino Unido, responsável pela avaliação de segurança e compartilhamento de conhecimento, com objetivo de auxiliar os fornecedores de sistemas alcançar os seus objetivos de mercado. Mais informações em : www.cesg.gov.uk 34 Fonte: Biometric Authentication – Technology and Evaluation. Disponível em: <http://www.thuktun.org/cs574/papers/2003-spring-biosurvey.pdf> 35 Idem nota 33
58
Analisando os resultados, observa-se que os sistemas biométricos de
reconhecimento digital com sensor capacitivo, e de reconhecimento de íris,
obtiveram um desempenho geral satisfatório. Entretanto, nos testes relativos à
aquisição de padrões, estes mesmos sistemas apresentaram taxas de erro (FER)
elevadas. No caso do reconhecimento por impressão digital do tipo sensor
capacitivo, apesar de 1% de taxa de erro de aquisição parecer um valor baixo, em
uma corporação com 1000 colaboradores, significa que 10 pessoas não poderiam
registrar um padrão no sistema, para futuras correspondências no momento da
autenticação. Neste caso, melhorias em equipamento e utilização de algoritmos
são recomendados no futuro para tentar solucionar este problema (Bubeck;
Sanchez, 2003).
Outra forma de comparação entre os sistemas biométricos foi apresentada
pela NCSC (National Center for State Courts)36, onde são comparadas diversas
características, como descritas a seguir (NCSC, 2006):
• Verificação
Capacidade do sistema biométrico em efetuar verificação. Conforme
descrito anteriormente, o processo de verificação se refere à
comparação da característica biométrica apresentada pelo usuário,
com o padrão do indivíduo ou usuário previamente armazenado no
processo de registro. Geralmente neste processo o usuário também
apresenta o seu PIN (Personal Identification Number), para
recuperar o seu padrão gravado na base de dados.
• Identificação
Esta característica indica a capacidade do sistema biométrico
avaliado em efetuar a identificação. Diferentemente da verificação, a
identificação é o processo no qual o usuário apresenta sua
característica biométrica para autenticação, e esta é comparada
36 Organismo americano, que auxilia tribunais de justiça ao redor do mundo em melhorar a administração, através de liderança e serviços. Maiores informações disponíveis em www.ncsconline.org
59
com todos os padrões armazenados na base de dados, até que a
correspondência seja encontrada.
• Precisão
É referente à capacidade do sistema biométrico distinguir os
usuários ou indivíduos, uns dos outros. Pode ser determinada em
parte pela quantidade de informações obtidas, assim como pela
diferença entre os dados capturados.
• Confiabilidade
Indica o grau de dependência entre o sistema biométrico e a
capacidade de reconhecimento.
• Taxa de erro
Esta característica se refere ao ponto comum das taxas de falso
positivo e falso negativo, e é também conhecida como Crossover
Error Rate (CER).
• Fonte de erros
São as causas mais comuns que podem causar falhas no sistema
biométrico avaliado.
• Falso positivo
Este parâmetro indica a facilidade ou possibilidade de uma pessoa
não autorizada ou não registrada no sistema conseguir se autenticar
no sistema biométrico analisado.
60
• Falso negativo
Indicação do nível da incidência do sistema biométrico avaliado, em
negar a autenticação a um usuário ou indivíduo que está registrado
na base de dados do sistema.
• Nível de Segurança
Parâmetro que indica o quanto o sistema biométrico é seguro em
relação à característica biométrica avaliada.
• Estabilidade
Indica a capacidade do sistema biométrico em operar por longo
período de tempo sem a necessidade de atualizações de dados ou
versões.
• Aceitação do usuário
Como o próprio título indica, refere-se ao nível de aceitação dos
usuários em utilizar o sistema biométrico avaliado.
• Nível de intrusão
Esta característica indica o quanto o sistema biométrico é invasivo,
ou seja, o quanto a privacidade do usuário pode ser atingida, no
momento da interação do indivíduo com o sistema biométrico
avaliado.
61
• Facilidade de uso
Indica o quanto é fácil a utilização do sistema biométrico analisado,
tanto pelo usuário, quanto pelo pessoal responsável por administrar
este sistema.
• Baixo custo
Este parâmetro informa se, para aquele sistema biométrico avaliado,
existe uma opção de baixo custo.
• Hardware
Informa o tipo de hardware e o custo relativos à implantação deste
hardware.
As comparações, de acordo com as características apresentadas acima,
são apresentadas a seguir nas tabelas 4 e 5.
Na Tabela 4, após uma avaliação preliminar, pode-se notar que todos os
sistemas biométricos avaliados podem ser aplicados para verificação, mas nem
todos são capazes de efetuar a identificação.
Ainda avaliando a Tabela 4, os sistemas de reconhecimento pela
impressão digital, íris e retina são os que possuem maiores confiabilidade e
precisão. No entanto, os sistemas de reconhecimento de impressão digital
possuem uma taxa de erro maior em relação aos sistemas de reconhecimento de
íris e de retina.
62
Sistema Biométrico Verificação Identificação Precisão Confiabilidade Taxa de erro Fontes de
erro Falso
Positivo Falso
Negativo
Impressão Digital SIM SIM Muito
alta Alta 1 em 500
Sujeira; idade
Extremamentedifícil
Extremamentedifícil
Reconhecimento da face SIM NÃO Alta Média _
Iluminação, idade, óculos, cabelos
Difícil Fácil
Geometria da mão SIM NÃO Alta Média 1 em
500 Acidente
nas mãos, idade
Muito difícil Médio
Reconhecimento da Voz SIM NÃO Média Baixa 1 em
50 ruídos, tempo,
resfriados Médio Fácil
Reconhecimento da Iris SIM SIM Muito
Alta Alta 1 em 131000
Iluminação deficiente
Muito difícil
Muito difícil
Reconhecimento De Retina SIM SIM Muito
Alta Alta 1 em 10000000
Óculos Extremamentedifícil
Extremamentedifícil
Reconhecimento de Assinatura SIM NÃO Média Baixa 1 em
50 Alterações
na assinatura
Médio Fácil
Tabela 4: Comparação dos sistemas biométricos37
A Tabela 5 apresenta comparações em relação a outras características
apresentadas anteriormente.
Sistemas Biométricos
Nível de Segurança Estabilidade
Aceitação do
usuário Nível de intrusão
Facilidade de Uso
Baixo Custo Hardware
Impressão Digital Alto Alta Razoável Baixo Alta SIM
Especial, custo baixo
Reconhecimento da face Médio Média Razoável Nenhum Média SIM
Comum, custo baixo
Geometria da mão Médio Média Razoável Nenhum Alta NÃO
Especial, custo médio
Reconhecimentoda Voz Médio Média Ótima Nenhum Alta SIM
Comum, custo baixo
Reconhecimento da Iris Alto Alta Razoável Nenhum Média NÃO Especial,
custo altoReconhecimentoDe Retina Alto Alta Razoável Alto Baixa NÃO Especial,
custo alto
Reconhecimentode Assinatura Médio Média Razoável Nenhum Alta SIM
Especial, custo médio
Tabela 5: Tabela comparativa dos sistemas biométricos38
37 Fonte: Biometrics Comparison Chart. Disponível em: http://ctl.ncsc.dni.us/biomet%20web/BMCompare.html 38 Idem nota 36
63
Analisando as informações apresentadas na Tabela 5, novamente os
sistemas de reconhecimento de impressão digital, de íris e de retina destacam-se
entre os demais, por proporcionar melhores níveis de segurança e estabilidade.
Entretanto, o sistema biométrico de reconhecimento de impressão digital é o que
possui menor custo de implementação e baixo nível de intrusão, o que serve de
embasamento para afirmar que os sistemas de reconhecimento de impressão
digital são os que possuem maior participação no mercado dos sistemas
biométricos.
Ao analisar as informações apresentadas na Tabela 1, e comparando-se
com os dados das Tabelas 4 e 5, nota-se que há parâmetros de avaliação que
são equivalentes, tais como aceitabilidade ou aceitação do usuário, e falsificação
ou nível de segurança. Porém, pode-se afirmar que as informações destas
tabelas se complementam, já que em ambas são utilizados outros parâmetros que
servem como base para uma melhor avaliação de cada tipo sistema,
principalmente no momento de decisão da escolha de determinado sistema
biométrico, conforme o objetivo que se deseja com o uso deste sistema, como por
exemplo o fator custo.
Neste tópico foram analisadas algumas características ou parâmetros
utilizados para a avaliação dos sistemas biométricos. No tópico a seguir serão
avaliadas algumas vulnerabilidades que podem ser identificadas e algumas
ameaças que podem explorar estas vulnerabilidades. Para esta análise será
utilizado um modelo genérico de sistema biométrico.
4.5 Análise de vulnerabilidades dos sistemas biométricos O processo de aquisição das características biométricas, para o registro do
padrão ou para a autenticação, de um sistema biométrico genérico, está ilustrado
na Figura 23, onde as fases relativas aos processos de registro e identificação ou
verificação são divididas em etapas (Ratha; Connell; Bolle, 2001):
64
Figura 23: Fases de um sistema biométrico genérico39
No processo de aquisição e registro, um padrão correspondente a um
indivíduo é obtido através do um leitor (fase de captura). A característica
biométrica obtida é transformada em um padrão (fase de extração) e armazenado
na base de dados (fase de armazenamento). No processo de autenticação, o
padrão armazenado é recuperado da base de dados através de um código
fornecido pelo usuário, e então comparado com a característica apresentada pelo
usuário (fase de correspondência). Se houver correspondência, o usuário será
autenticado pelo sistema (Ratha; Connell; Bolle, 2001).
Neste sistema genérico foram identificados oito pontos vulneráveis a
ataques por fraudadores. Cada ponto foi enumerado, conforme apresentado na
Figura 23, e descritos a seguir (Ratha; Connell; Bolle, 2001):
1. Apresentação de característica biométrica falsa
Neste tipo de ataque, conhecida também como falsidade ideológica, o
fraudador apresenta uma característica biométrica que não é sua, porém
uma cópia de outro indivíduo que está registrado no sistema. Nesta
modalidade pode-se se citar um falso dedo com impressão digital que foi
forjada, uma assinatura falsificada, ou até mesmo uma máscara de uma
face.
39 Fonte: Enhancing security and privacy in biometrics-based authentication systems. Disponível em: < http://www.research.ibm.com/journal/sj/403/ratha.pdf>
65
2. Re-inserção de padrões previamente digitalizados
O atacante pode burlar o leitor de características biométricas (fase
captura) e injetar sinais digitalizados do padrão, que foram replicados do
próprio sistema. Pode ser também uma imagem de impressão digital ou
mesmo sinais de áudio.
3. Ataque no processo de extração da característica biométrica (fase de
extração).
Nesta fase o atacante pode burlar um sistema, através da injeção de um
trojan ou cavalo de Tróia, para forjar conjuntos de características
biométricas, de modo que o invasor consiga se autenticar no sistema.
4. Adulteração das características biométricas extraídas
Se um fraudador conhece a metodologia de extração das características
biométricas e sua transformação para obtenção do padrão, ele pode
modificar e introduzir no sistema uma característica diferente daquela que
foi extraída. Este tipo de ataque é muito difícil de ser concretizado, já que
os processos de extração das características biométricas (fase de
extração) e de correspondência (fase de correspondência) são
interdependentes. Mas, se as características biométricas extraídas são
enviadas de maneira remota para efetuar o processo de correspondência,
a possibilidade de uma ameaça se tornar um ataque bem sucedido é
muito grande. Por exemplo, se as características de uma impressão digital
(minutiae) são transmitidas através da Internet, um hacker ou atacante
pode monitorar a conexão, através da sinalização da pilha de protocolos
da Internet TCP/IP (Transmission Control Protocol/Internet Protocol), e
conseguir seqüestrar os pacotes de informação e alterá-los, reenviando-
os para o processo de correspondência.
66
5. Ataque ao processo de correspondência (fase de correspondência)
O processo de correspondência pode ser corrompido nesta forma de
ataque, e os valores resultantes podem ser adulterados, visando gerar
correspondências pré-selecionadas pelo atacante.
6. Adulteração dos padrões armazenados
O atacante, caso ele tenha acesso às bases de dados através de invasão,
pode adulterar os dados referentes aos padrões resultantes das
características biométricas, de forma a prover autorização de acesso a
fraudadores, e também negar acesso a pessoas autorizadas. Essas
bases podem ser locais ou remotas. O padrão também pode ser
armazenado em um Smartcard, que é uma forma de autenticação
também vulnerável a ataques e adulterações. Neste caso, um atacante
pode tentar se autenticar no sistema, com uso de um Smartcard, com um
padrão gerado qualquer, gerado aleatoriamente, armazenado neste
cartão, através de um ataque que também é conhecido como de força
bruta, já que o atacante não tem conhecimento dos padrões armazenados
na base de dados do sistema, e vai tentar se autenticar com uso deste
padrão. Se o sistema encontrar uma correspondência com um padrão
armazenado na base de dados, comparado com o padrão do Smartcard,
o atacante poderá ser autenticado no sistema como um usuário válido.
7. Ataque ao canal de comunicação entre o processo de correspondência
(fase de correspondência) e a base de dados de padrões (fase de
armazenamento)
O atacante pode capturar os dados que trafegam no canal de comunicação
entre a base de dados e o processo de correspondência, e modificá-los, de
forma a ter acesso ao sistema como usuário autorizado.
8. Adulteração do resultado na saída do processo de correspondência (fase
de correspondência)
67
Se este tipo de ataque for bem sucedido, o processo de autenticação como
um todo fica desabilitado, mesmo que o sistema de reconhecimento tenha
excelente desempenho, já que o atacante pode modificar o resultado final,
com o intuito de se autenticar no sistema.
Os riscos relacionados acima podem ser mitigados, se determinadas ações
objetivando a eliminar as vulnerabilidades citadas forem tomadas. Por exemplo,
no ponto 1, um sensor para coletar as características da impressão digital pode
também conter dispositivo para medir a pulsação ou a temperatura do indivíduo,
de forma a evitar que somente uma imagem seja apresentada para autenticação.
Já no ponto 4, a utilização de métodos de criptografia de dados no canal de
comunicação entre os processos de extração e de correspondência podem evitar
ataques, principalmente nos casos onde a comunicação é efetuada de forma
remota. Os ataques nos pontos 5, 6 e 7 podem também ser minimizados
mantendo a base de dados e os equipamentos relativos ao processo de
correspondência (fase de correspondência) em locais segregados, com
segurança reforçada, tanto física quanto lógica. Os ataques na saída do processo
de correspondência (ponto 8) também podem ser combatidos com utilização de
métodos de criptografia de dados, de forma a evitar que o atacante possa
adulterar o resultado final, comprometendo o sistema como um todo (Ratha;
Connell; Bolle, 2001).
4.6 Fatores que podem interferir no desempenho dos sistemas biométricos
A biometria como forma de identificação vem sendo empregada desde a
antiguidade, mas só a partir da segunda metade do século XX, em decorrência do
avanço tecnológico, que foi possível automatizar o processo de identificação.
Apesar de a automatização proporcionar ganhos em velocidade e
produtividade, critérios de avaliação precisam ser adotados, para a validação dos
sistemas biométricos de identificação, visando atestar a viabilidade de sua
aplicação.
Dependendo da finalidade da aplicação de um sistema biométrico, algumas
questões devem ser consideradas. Alguns dos principais fatores que interferem
na viabilização, ou não, na aplicação um sistema biométrico são:
68
• Fatores operacionais;
• Fatores humanos e;
• Fatores de segurança.
Em relação aos fatores operacionais, a arquitetura tecnológica escolhida
tem uma importância fundamental, já que características, como o desempenho do
sistema biométrico a ser adotado, que pode ser mensurado através dos fatores de
erro apresentados por este sistema, devem ser consideradas para a avaliação,
visando a escolha da melhor solução possível. Por exemplo, um sistema de
reconhecimento de impressão digital pode não ser a melhor opção, se o ambiente
físico onde este sistema será aplicado tiver um nível de contaminação de
partículas de poeira muito alto, poderá acarretar em uma incidência de erros
muito alto.
Os fatores humanos, que em uma primeira análise aparentam não
possuírem influência na decisão de se implementar a biometria como forma de
identificação ou autenticação, já que essa decisão geralmente parte da esfera
gerencial de uma corporação, também devem ser levados em consideração, pois
a não aceitação do usuário em submeter suas características biométricas para se
identificar pode inviabilizar sua aplicação, seja por questões culturais ou até
mesmo de privacidade.
E finalmente, porém não menos importantes, ao contrário, eu considero
como os mais importantes, os fatores de segurança. Um sistema biométrico pode
ser aplicado com a finalidade de autenticar usuários em um sistema corporativo
informatizado. Conforme foi apresentado no item 4.5 neste capítulo, através de
um modelo de um sistema biométrico genérico, existem vários pontos de
vulnerabilidades que podem ser explorados por um atacante, o que pode
comprometer a segurança da informação. Torna-se um paradoxo a aplicação de
um sistema biométrico com a finalidade de garantir a segurança, se este mesmo
sistema não é seguro. Como conseqüência, ao invés de se proteger um ativo, um
sistema biométrico vulnerável a ameaças estará na realidade abrindo portas para
os intrusos. A análise de vulnerabilidades é essencial para se alcançar um nível
aceitável de gerenciamento de riscos.
69
Foram apresentadas nesta parte do trabalho as diversas formas de
comparação entre os sistemas biométricos mais conhecidos, bem como aspectos
relativos à segurança, com a identificação de algumas vulnerabilidades em
sistema biométrico genérico, que podem inviabilizar a aplicação de um sistema
biométrico. Serão apresentadas a seguir tecnologias emergentes dos sistemas
biométricos e suas aplicações.
70
5 TECNOLOGIAS EMERGENTES DOS SISTEMAS BIOMÉTRICOS A necessidade de maior segurança nas empresas, para controle de acesso
e proteção das informações, principalmente no segmento de tecnologia da
informação, exigem das empresas fabricantes de sistemas biométricos maiores
investimentos em pesquisa e desenvolvimento. A cada dia os fabricantes buscam
por inovações, para atender a um mercado cada vez mais exigente. Este capítulo
apresentará um panorama do mercado de sistemas biométricos, e também as
novas tecnologias de sistemas biométricos.
5.1 Panorama mundial do mercado dos sistemas biométricos
De acordo com o International Biometric Group 40 , a participação de
mercado de alguns sistemas biométricos em 2006 pode ser analisada, conforme
apresentado na Figura 24 (IBG, 2006):
Impressão Digital, 44%
Voz, 4%Face, 19%
Assinatura, 2%
Middleware, 11%
Geometria da mão, 9%
Íris, 7%
Outros, 4%
Impressão DigitalVozFaceAssinaturaMiddlewareGeometria da mãoÍrisOutros
Figura 24: Participação de mercado dos sistemas biométricos por tecnologia (2006)41
40 Empresa de consultoria independente, que presta serviços a governos e iniciativa privada, em sistemas biométricos. Maiores informações: http://www.biometricgroup.com/about_us.html 41 Fonte: Biometrics Market and Industry Report 2006-2010. Disponível em: <http://www.biometricgroup.com/reports/public/market_report.html>
71
Analisando os dados apresentados na Figura 24, pode-se concluir que os
sistemas biométricos de reconhecimento da impressão digital são aqueles que
têm a maior participação de mercado.
Na Figura 25 são apresentados os dados de participação de mercado,
referentes ao ano de 2003, de acordo com o International Biometric Group
(Bubeck; Sanchez, 2003):
Impressão Digital, 53%
Voz, 4%
Face, 11%
Assinatura, 2%
Middleware, 13%
Geometria da mão, 10%
Íris, 7%
Impressão DigitalVozFaceAssinaturaMiddlewareGeometria da mãoÍris
Figura 25: Participação de mercado dos sistemas biométricos por tecnologia (2003)42
Comparando-se os dados dos períodos acima citados (2003 e 2006),
apesar dos sistemas biométricos de reconhecimento de impressão digital ainda
exercerem liderança no mercado, notadamente essa participação sofreu uma
redução, ao mesmo tempo que os sistemas de reconhecimento de face tiveram
um aumento significativo de participação. Na Figura 24 nota-se também o
aparecimento de nova categoria (Outros), na qual pode incluir novas tecnologias,
que vêm ganhando gradativamente participação no mercado. Ainda assim, os
sistemas de reconhecimento de impressão digital ainda exercem a liderança,
devido ao domínio de tecnologia, e principalmente devido ao custo baixo. Porém,
42 Fonte: Biometric Authentication – Technology and Evaluation. Disponível em: <http://www.thuktun.org/cs574/papers/2003-spring-biosurvey.pdf>
72
à medida que a tecnologia de outros sistemas torna-se mais eficiente e com
menor custo, a tendência do mercado é a utilização de novas tecnologias
emergentes.
5.2 O futuro da tecnologia biométrica
Além das tradicionais formas de autenticação biométrica, outras
modalidades emergentes vêm ganhando espaço no mercado de sistemas
biométricos de segurança. Serão descritos a seguir algumas das novas
tendências inovadoras na tecnologia biométrica, de acordo com a organização
Global Security43 (2006):
• Identificação pelo DNA44
Esta característica fisiológica do indivíduo é considerada uma
característica biométrica de última geração, que pode comprovar
positivamente um indivíduo, com exceção no caso de gêmeos
idênticos. A utilização desta modalidade é atualmente limitada
apenas para investigação forense. É uma das modalidades mais
intrusivas de captura de característica biométrica e ainda não é
possível automatizar totalmente o processo, já que algumas fases
de comparação ainda não podem ser automáticas. A tecnologia
ainda precisa evoluir muito para uma implementação de sistema
biométrico automatizado, baseado nesta tecnologia.
• Identificação pelo odor do corpo
Consiste em uma tecnologia capaz de detectar quimicamente as
substâncias causadoras do odor, exaladas do poros da superfície da
pele, através de instrumento especial de detecção, conhecido como
nariz eletrônico. Apesar desta tecnologia ser capaz de detectar um
indivíduo, ou diferenciar um indivíduo de outro, através do odor da
43 Global Security – Mais informações em: www.globalsecurity.org 44 DNA – Identifica a característica genética de cada indivíduo
73
transpiração, o processo pode ser prejudicado se um indivíduo fizer
uso de desodorantes ou perfumes, ou mesmo medicamentos, até
mesmo dietas de emagrecimentos, que podem alterar quimicamente
as substâncias exaladas pelos poros, inviabilizando uma aplicação
com uso desta tecnologia, aumentando a complexidade no
desenvolvimento de sistemas biométricos baseados neste tipo.
• Pulsação sanguínea
Esta tecnologia utiliza sensores de luz infra-vermelho para a
medição da pulsação no dedo de um indivíduo. Esta técnica ainda
está em fase experimental e sua aplicabilidade ainda é inviável para
identificação, pois a taxa de falsa aceitação nas medições ainda é
muito alta.
• Identificação pelos elementos da pele
Cada indivíduo possui uma composição diferente de elementos que
compõe a pele. As camadas da pele podem ter diferentes
espessuras em cada indivíduo, assim como diferentes ondulações,
intersecção entre as camadas, pigmentação, fibras de colágeno,
dentre outras características. Esta tecnologia é capaz de medir a
característica espectral da pele de um indivíduo. Para efetuar este
procedimento, uma área da pele é iluminada com um feixe de luz
visível e outro feixe com iluminação próxima à luz infra-vermelho.
Um equipamento denominado espectrômetro capta a luz que é
refletida sobre a pele, e através das medidas obtidas da luz
dispersada, é possível a formação de um padrão para futura
comparação.
• Identificação através base da unha do dedo
Consiste na análise das formas longitudinais características da
epiderme, que está localizada logo abaixo da unha do dedo. Estas
74
características são imitadas ou espelhadas na superfície superior da
unha. Com auxilio de um equipamento denominado interferômetro, e
de uma luz incidente no lado oposto ao da unha, é possível captar
as alterações de fase da luz captada, permitindo efetuar uma
mapeamento das dimensões da base da unha, obtendo-se desta
forma um padrão.
• Formato da orelha
Esta tecnologia ainda está em fase de desenvolvimento. Consiste
em identificar um indivíduo através das dimensões e das formas das
cartilagens da orelha, que são projetadas na parte externa. Não há
ainda disponíveis comercialmente sistemas biométricos de
identificação que utilizam esta tecnologia.
• Reconhecimento da forma de andar
Trata-se de um forma de reconhecimento do tipo comportamental. A
técnica consiste em analisar a formar de andar de um indivíduo,
através de captura de uma imagem seqüencial, onde é possível
analisar os movimentos do andar de um indivíduo e suas variações.
Esta medição é feita de forma não intrusiva, e a forma de andar de
cada indivíduo é muito difícil de ser simulada por outra pessoa,
devido à formação da musculatura variar de um indivíduo para outro,
o que limita a variação de movimentos. Mas se o indivíduo estiver
trajando uma roupa mais larga, do tipo agasalho de ginástica, pode
ser um fator de dificuldade para que este tipo de sistema funcione
de maneira precisa. Esta tecnologia demonstra um grande potencial
de aplicação em sistemas biométricos de identificação no futuro,
mas ainda são necessários maiores investimentos em pesquisa e
desenvolvimento de equipamentos, para uma avaliação de
desempenho mais apurada.
75
• Termograma facial
Esta tecnologia consiste em detectar, através do calor emitido da
pele da face, a formação da rede de vasos sanguíneos e efetuar um
mapeamento, formando desta forma um padrão para determinado
indivíduo. Também conhecido como termograma, este padrão é
altamente distintivo, isto é, cada indivíduo possui um padrão
diferente, mesmo no caso de indivíduo que são gêmeos idênticos. É
um sistema biométrico não intrusivo e a captura da imagem para
formação do termograma é efetuada através da utilização de uma
câmera sensível à luz infra-vermelho. Apesar de ser bastante
eficiente, a grande desvantagem deste tipo de sistema é o alto custo
de fabricação.
• Reconhecimento vascular
Trata-se de uma tecnologia que identifica um indivíduo através dos
padrões de vasos sanguíneos, na parte superior da mão de um
indivíduo. Utiliza-se um sistema que emprega luz próxima ao infra-
vermelho e sensor capaz de captar a movimentação sanguínea nos
vasos. Cada indivíduo possui suas próprias características,
diferentes até mesmo entre as mãos do mesmo indivíduo, assim
como distintas em gêmeos idênticos. É uma tecnologia não intrusiva
e atualmente tem crescido o número de tipos de aplicações que
utilizam esta tecnologia.
Apesar de ser consideradas tecnologias emergentes, a única das
tecnologias acima citadas que pode ser considerada como um sistema
comercialmente viável é o sistema de reconhecimento de vascular (vasos
sanguíneos). Nos próximos tópicos serão apresentados alguns estudos de caso,
com aplicações de sistemas biométricos.
76
5.3 Estudos de caso de aplicações de sistemas biométricos
A seguir são abordados alguns projetos em avaliação de aplicações de
sistemas biométricos, recentemente apresentados no mercado e divulgados na
imprensa.
5.3.1 Aplicação de sistema biométrico de reconhecimento vascular
Recentemente a empresa Fujitsu lançou um novo sistema de identificação
com uma nova tecnologia, capaz de efetuar o reconhecimento das vasos
sanguíneos na palma da mão, denominado PalmSecure® (Figura 26). Trata-se de
um sistema de identificação biométrica, que possui um sensor que efetua uma
varredura na palma da mão, obtendo um mapeamento do fluxo sanguíneo nas
veias da palma da mão, através de uma iluminação próxima ao infra-vermelho,
formando desta forma um padrão.
Figura 26: PalmSecure®45
Vale lembrar que o mapeamento obtido de uma mão é único no indivíduo,
nem mesmo a outra mão do mesmo indivíduo possui uma característica de vasos
sanguíneos idêntica. Até mesmo os gêmeos idênticos possuem características
diferentes nos vasos sanguíneos das mãos.
45 Fonte: Fujitsu Palm Vein Technology. Disponível em: <http://www.fujitsu.com/global/about/rd/200506palm-vein.html>
77
A Figura 27 apresenta uma ilustração que mostra o mapeamento dos
vasos sanguíneos na palma da mão.
Figura 27: Mapeamento dos vasos sanguíneos na palma da mão46
Este sistema, conforme informações do próprio fabricante, tem uma taxa
de falsa rejeição (FRR) em torno de 0,01% e taxa de falsa aceitação muito baixa,
em torno de 0,00008%. E segundo informações da página oficial na Internet da
Fujitsu, o Banco de Tókio-Mitsubishi (Japão) já utiliza em seus equipamentos
eletrônicos de transações bancárias (também conhecidos como ATMs) os
sistemas de identificação biométrica de reconhecimento de veias da palma da
mão desenvolvido pela empresa (Fujitsu, 2006).
Este novo sistema foi apresentado no CIAB 2006, congresso sobre
tecnologia bancária, realizado pela Federação Brasileira dos Bancos
(FEBRABAN), no Brasil. Segundo informações da página oficial do CIAB (2006),
“o novo modelo Fujitsu PalmSecure™ preserva os recursos extremamente
aclamados de seu dispositivo original de autenticação das veias da palma da mão
- grande precisão de autenticação e versatilidade de aplicação, um identificador
biométrico interno ao corpo que torna a falsificação extremamente difícil e
autenticação higiênica e não invasiva para maior aceitação pelo usuário - e
oferece velocidade de autenticação extremamente maior, um sensor de 35mm x
35mm com um quarto do tamanho do modelo anterior, limite de temperatura
operável expandido e custo mais baixo. O tamanho menor do sensor proporciona
46 Fonte: Fujitsu Palm Vein Technology. Disponível em: <http://www.fujitsu.com/global/about/rd/200506palm-vein.html>
78
maior flexibilidade e facilidade de implementação em aplicações atuais, incluindo
computadores pessoais, caixas eletrônicos e sistemas de acesso a salas, e
expande imensamente a gama de novas aplicações potenciais, em áreas como
copiadoras e outros equipamentos de escritório, bem como registros médicos
eletrônicos e outras soluções que exigem autenticação extremamente segura”
(CIAB, 2006).
Um grande banco privado brasileiro, Bradesco, já está testando esta nova
tecnologia, nos seus ATMs, como são conhecidos os caixas eletrônicos que
efetuam transações bancárias em tempo real. Alguns testes estão em andamento
na matriz do banco por alguns clientes, na cidade de Osasco-SP, e o banco
estuda instalar em torno de 50 equipamentos com o novo sistema por todo o
Estado de São Paulo até o final do ano, segundo informações do IDG Brasil
(Felitti, 2006).
5.3.2 Aplicações futuras de sistemas biométricos no Brasil: Salas de aula e
eleições
O Governo do Brasil, através do Ministério da Educação, pretende
implementar, nas escolas públicas de ensino básico do país, um projeto piloto
denominado Projeto Presença. Neste projeto está prevista a instalação do
Sistema Nacional de Acompanhamento de Freqüência Escolar (SAFE), que tem
por objetivo o cadastramento de cerca de 44 milhões de alunos do sistema
público de ensino básico. Através deste sistema, o governo brasileiro pretende
realizar o Censo Escolar 2007, além de para controlar a presença dos alunos às
aulas, visando um melhor planejamento no pagamento de verbas de auxilio à
famílias dos alunos, com base na freqüência escolar. Para que esse objetivo seja
alcançado com maior segurança e rapidez, o Ministério da Educação pretende
instalar nas escolas sensores biométricos de reconhecimento da impressão
digital, para controlar a presença ou ausência dos alunos, com uma abrangência
de pelo menos 50% do total da população estudantil da rede pública, segundo
informações do portal IDG Brasil (Felitti, 2006).
Um outro projeto com a utilização de sistemas biométricos para
identificação, com maior abrangência em número populacional, é o sistema de
79
votação com a utilização de urnas eletrônicas com sistema biométrico de
reconhecimento de impressão digital. Este projeto, coordenado pelo Tribunal
Superior Eleitoral (TSE), tem como objetivo de evitar fraudes, como o voto de
eleitores fantasmas, ou seja, eleitores fictícios que não possuem registro eleitoral
ou aqueles que já faleceram, já que no ato de votar o eleitor precisará registrar o
dedo no sensor biométrico, para habilitar a urna eletrônica e permitir que o
cidadão, com um título eleitoral válido, registre o seu voto. Isto evitará, por
exemplo, que uma pessoa vote no lugar de outra, através da utilização de um
título eleitoral que na realidade não lhe pertence. O TSE prevê a realização dos
primeiros testes já nas eleições de 2008, mas apenas utilizará o novo sistema
biométrico uma pequena parte do total de urnas do país, pois para que o sistema
seja totalmente substituído por urnas com sensores biométricos dependerá de
elaboração de projeto de legislação específica, de acordo com informações em
matéria publicada pelo portal IDG Brasil (Felitti, 2006).
Neste tópico foram apresentadas as tecnologias emergentes dos sistemas
biométricos. Algumas já se tornaram uma realidade, como é o caso do
PalmSecure®, para reconhecimento das veias da palma da mão, em aplicações
comerciais já em funcionamento, e outras estão em fase de pesquisa, visando um
aprimoramento dos sistemas, de forma a garantir a viabilidade da aplicação
dessas novas tecnologias no futuro, tanto em termos de confiabilidade do
sistema, quanto em relação ao custo de uma aplicação com uma nova tecnologia.
80
6 CONCLUSÃO Conclui-se a partir deste trabalho que o homem já utilizava a biometria na
antiguidade, para identificação. Mas somente no século XIX, com uma técnica
desenvolvida pelo francês Alphonse Bertillon denominada antropometria, é que as
medidas e as dimensões do corpo humano transformam-se em um processo de
associação das características antropométricas com as características do
comportamento humano. A antropometria permitia que os criminosos reincidentes
fossem registrados, não só com o nome do indivíduo e os crimes que cometiam,
mas também com suas características físicas. Desta forma, era possível na época
certificar a verdadeira identidade do criminoso, já que os reincidentes, ao serem
detidos, propositalmente forneciam nomes falsos. Esta técnica foi um divisor de
águas na evolução da biometria, não só pela técnica em si, mas pelo fato de
implantar um processo de não repudiação, ou seja, não havia como o criminoso
reincidente negar ou atribuir a outra pessoa um delito que ele mesmo havia
cometido, já que as suas características comprovavam sua verdadeira identidade.
Ainda no século XIX, a identificação através das impressões digitais
tornou-se amplamente difundida e utilizada pelo mundo, e, no Brasil, no início do
século XX, com o trabalho do Dr. Félix Pacheco. Mas somente no século XX que
outras técnicas de reconhecimento biométrico, tais como reconhecimento da íris,
da geometria da mão, reconhecimento da fala, dentre outras, começam a ser
pesquisadas. E partir da década de 60, os processos automatizados de
reconhecimento através do uso da biometria iniciam o seu desenvolvimento e
aperfeiçoamento, paralelamente ao desenvolvimento da eletrônica e dos
computadores, principalmente nos Estados Unidos, com o apoio de instituições
governamentais, tal como o NIST (National Institute of Security Technology). A
principal razão da biometria despertar o interesse dos governos e das
corporações é o fato de ser uma característica única nos indivíduos, e desta
forma, os sistemas biométricos de identificação começam a ser aplicados,
principalmente com o propósito de segurança, ou seja, a biometria, com a
evolução dos sistemas automatizados, continua a ser empregada, não somente
com a função de identificação, como na antiguidade, mas também passa a
exercer um importante papel na segurança da informação, através de um novo
81
papel, que é a autenticação, ou seja, garantir o acesso a locais ou sistemas
apenas a usuários autorizados a fazê-lo. A diferença nos diais atuais é, no caso
dos modernos sistemas automatizados, quem toma a decisão de reconhecer e
autenticar um indivíduo é o software que controla o sistema.
Uma questão importante, que foi abordada neste trabalho, são as
características dos sistemas biométricos. Através de uma tabela comparativa dos
diferentes sistemas, foi possível identificar os pontos fracos e os pontos fortes de
cada sistema, nas características apresentadas. Essas informações são úteis, na
tomada de decisão na escolha de um sistema biométrico para uma determinada
aplicação. Além disso, a utilização de métricas de avaliação de desempenho e a
análise de vulnerabilidades fornecem subsídios adicionais às características
apresentadas, principalmente quando as questões de segurança são críticas em
uma aplicação, já que a análise de vulnerabilidades auxilia na identificação de
vulnerabilidades e na mitigação de riscos.
À medida que a tecnologia avança, surgem sistemas biométricos mais
precisos, com taxas de erro muito baixas, e cada vez menos invasivos,
proporcionando mais segurança às informações e transações computacionais,
bem como mais comodidade e segurança ao usuário, o que auxilia a
característica aceitação, um parâmetro importante de um sistema biométrico.
Através da análise dos dados apresentados neste trabalho podemos concluir que,
apesar dos sistemas baseados no reconhecimento de impressões digitais
mantêm uma liderança no mercado mundial de sistemas biométricos, outros
sistemas baseados em outras características biométricas, tal como
reconhecimento da face, gradativamente aumentam sua participação neste
mercado, devido às inovações tecnológicas. Um exemplo de um sistema da
tecnologia emergente é o PalmSecure®, baseado no reconhecimento vascular,
desenvolvido pela Fujitsu, e já em teste em um grande banco privado brasileiro,
em caixas eletrônicos, também conhecidos como ATMs, que realizam transações
bancárias.
É importante salientar que o governo brasileiro tem projetos para
implantação de sistemas biométricos, tal como o Projeto Presença, para controle
de presença escolar em escolas públicas, bem como um outro projeto para
implantar biometria em urnas eletrônicas, para evitar fraudes nas eleições. Ações
desta natureza servirão como estímulo para outros setores da iniciativa privada,
82
na adoção dos sistemas biométricos, e, consequentemente, estimular novas
pesquisas e novos investimentos em biometria.
6.1 Trabalhos futuros
Visando complementar o tema que foi abordado neste trabalho, alguns
assuntos, que não foram explorados ou apenas citados aqui, poderão ser
desenvolvidos em futuras linhas de pesquisas estão relacionados a seguir:
• Legislação
Questões legais são muito importantes, já que os sistemas biométricos
envolvem ou manipulam características biométricas dos indivíduos, as
quais, como são consideradas únicas, devem ser tratadas com
responsabilidade e segurança pelos administradores. Seria interessante
uma pesquisa complementar com uma análise de como estas questões
são tratadas pela lei no exterior, e se há alguma legislação vigente ou
projeto de lei que trata deste assunto no Brasil.
• Padrões
Este tema trata de normas e regras que os sistemas biométricos de
identificação atendem ou devem atender, de forma que estes sistemas
sejam aderentes a determinados procedimentos, comum a todos os
fabricantes. Por exemplo, quando compramos no mercado uma pilha do
tipo AA, independente do fabricante desta pilha, ela deverá ter as mesmas
dimensões e características elétricas, ou seja, todos os fabricantes seguem
o mesmo padrão. Há padrões que já foram desenvolvidos para os sistemas
biométricos e muitos outros que estão em desenvolvimento, principalmente
por organismos internacionais de normas. Uma pesquisa sobre esta linha
de pesquisa pode abordar este tema com maior profundidade.
83
• Segurança
Neste trabalho o tema segurança foi abordado, com um modelo de um
sistema biométrico genérico, onde foram apontados alguns pontos de
vulnerabilidades que podem ser exploradas por ameaças à segurança da
informação. Este tema poderá ser ampliado, com pesquisas sobre
incidentes ocorridos, relatando as falhas de segurança no uso de sistemas
biométricos, de maneira a descrever um estudo de caso, permitindo a
composição e análise estatística quantitativa sobre estes incidentes
84
REFERÊNCIAS
ASHBOURN, Julian. Biometrics: Advanced Identity Guide The Complete Guide. London: Springer-Verlag, 2000.
Biography – Alphonse Bertillon. Disponível em:
<http://www.medienkunstnetz.de/artist/alphonse-bertillon/biography/>
Acesso em 23 Set. 2006.
BOMBONATTI, José. História da Datiloscopia. Disponível em:
<http://www.coletoresimpress.com.br/por_que_print.html>
Acesso em 18 Set. 2006.
BUBECK, U.; SANCHEZ, D. Biometric Authentication – Technology and Evaluation. Disponível em:
<http://www.thuktun.org/cs574/papers/2003-spring-biosurvey.pdf>
Acesso em 10 Jul. 2006.
CIAB FEBRABAN. Expositores - Fujitsu. Disponível em:
<http://www.ciab.org.br/portugues/expositores/fujitsu.asp>
Acesso em 07 Nov. 2006.
CHERRY, Kyle. Biometrics: An In Depth Examination. Disponível em:
<http://www.sans.org/reading_room/whitepapers/authentication/> Acesso em 16
Jul. 2006.
Departamento de Polícia Federal. Novo Passaporte. Disponível em:
<http:// www.dpf.gov.br/web/servicos/passaporte_novo.htm>
Acesso em 28 Set. 2006.
Enciclopédia Wikipedia. Biometrics. Disponível em:
<http:// en.wikipedia.org/wiki/Biometric>
Acesso em: 10 Ago. 2006.
85
FUJITSU. Fujitsu Palm Vein Technology. Disponível em:
<http://www.fujitsu.com/global/about/rd/200506palm-vein.html>
Acesso em 07 Nov. 2006.
FELITTI, G. IDG BRASIL – Especial Biometria. Disponível em:
<http://idgnow.uol.com.br/especiais/biometria>
Acesso em 06 Nov. 2006.
Global Security. Emerging Biometric Technologies. Disponível em:
<http://www.globalsecurity.org/security/systems/emerging.htm>
Acesso em 08 Nov. 2006.
Global Security. Face Recognition Systems. Disponível em :
< http://www.globalsecurity.org/security/systems/face_recon.htm>
Acesso em 09 Out. 2006.
HONG, L.; JAIN, A.; PANKANTI, S. Biometric Identification. Disponível em:
<http:// portal.acm.org/citation.cfm?id=328110&coll=portal&dl=ACM>
Acesso em: 16 Set. 2006.
IBG - International Biometrics Group. Biometrics Market and Industry Report 2006-2010. Disponível em:
<http://www.biometricgroup.com/reports/public/market_report.html>
Acesso em 06 Nov. 2006.
LIBOV, Yevgeniy. Biometrics: Technology that gives Technology that gives you a password you can´t share. Disponível em:
<http://www.sans.org/reading_room/whitepapers/authentication/99.php?portal=61
abb43b09efb1d48203265f2c5f4fd9>
Acesso em 16 Set. 2006.
LIU, S.; SILVERMAN, M. A Practical Guide to Biometric Security Technology. Disponível em: <http://www.findbiometrics.com/Pages/lead3.html>
Acesso em 10 Ago. 2006.
86
MALTONI, D.; MAIO, D.; JAIN, A.K.; PRABHAKAR, S. Handbook of Fingerprint Recognition. Disponível em:
<http:// http://bias.csr.unibo.it/maltoni/handbook/chapter_1.pdf
Acesso em 05 Out. 2006.
MOHAN, Shrikanth. Iris Recognition for Personal Identification. Disponível em:
<http:// www.ces.clemson.edu/~stb/ece847/fall2004/projects/proj27.doc>
Acesso em 10 Set. 2006.
NATIONAL CENTER FOR STATE COURTS (NCSC). Biometrics Comparison Chart. Disponível em:
<http://ctl.ncsc.dni.us/biomet%20web/BMCompare.html>
Acesso em 20 Out. 2006.
NSTC - NATIONAL SCIENCE AND TECHNOLOGY COUNCIL. Biometrics Documents. Disponível em:
<http://www.biometricscatalog.org/NSTCSubcommittee/BiometricsIntro.aspx>
Acesso em: 16 Jul. 2006.
PANKANTI, S.; PRABHAKAR, S.; JAIN, A.K. On the Individuality of Fingerprints. Disponível em:
<http://biometrics.cse.msu.edu/Publications/Fingerprint/PankantiPrabhakarJain_F
pIndividuality_CVPR01.pdf>
Acesso em: 16 Set. 2006.
PONNAPALLI, Ravikanth. Secure implementation of Enterprise single sign-on product in an organization. Disponível em:
<http://www.sans.org/reading_room/whitepapers/authentication/1520.php?portal=
3db3b9459d6cc6d74c1545c3801ceb44>
Acesso em: 03 Out. 2006.
RATHA, N.K.; CONNELL, J. H.; BOLLE, R. M. Enhancing security and privacy in biometrics-based authentication systems. Disponível em:
< http://www.research.ibm.com/journal/sj/403/ratha.pdf>Acesso em 16 Jul. 2006.
87
SABBATINI, Renato M.E. Phrenology: the History of Brain Localization. Disponível em: <http://www.cerebromente.org.br/n01/frenolog/frenologia.htm>
Acesso em 23 Set. 2006.
THE BIOMETRIC CONSORTIUM. Introduction to Biometrics. Disponível em:
<http:// www.biometrics.org/intro.htm>
Acesso em: 17 Set. 2006.
The History of Fingerprints – Disponível em:
<http://www.onin.com/fp/fphistory.html>
Acesso em 15 Set. 2006.
VIEIRA, F.P; FIGUEIREDO, G.; CATONI, J. Biometria. Disponível em:
<http://www.vision.ime.usp.br/~mehran/ensino/biometria.pps>
Acesso em: 01 Out. 2006.
WOODWARD, J.D.; WEBB, K. W.; NEWTON, E.M.; BRADLEY, M.A.;
RUBENSON, D.; LARSON, K.; LILLY, J.; SMYTHE, K.; HOUGHTON, B.;
PINCUS, H.A.; SCHACHTER, J.; STEIBERG, P. Army Biometric Applications: Identifying and Addressing Sociocultural Concerns. Disponível em:
< http://www.rand.org/pubs/monograph_reports/MR1237/>
Acesso em 01 Out. 2006.