Passport of the Future: Biometrics against Identity Theft?
Abstract
NORSK:
Formålet med biometriske pass er å forhindre ulovlig adgang av reisende inn i et land
og å begrense bruken av forfalskede reisedokumenter ved en mer nøyaktig
autentisering av reisende. Etter den 11. september 2001 har interessen for bruk av
slike biometriske pass økt kraftig. Biometriske pass vil bestå av et høykapasitets
smartkort som vil inneholde et bilde av passinnehaveren i tillegg til annen type
identitetsinformasjon. I passkontrollen vil ett foto bli tatt av passeieren og
sammenlignet med fotoet lagret i passet. Et systemdefinert parameter vil avgjøre om
disse to fotoene er like nok til å fastslå om personen i de to fotoene er en og samme
person.
Mange utfordringer er knyttet til biometriske systemer slik som feilrater, “spoofing”-
angrep, ikke-universalitet og interoperabilitetsproblemer. Forskningen har vist hvor
lett det er å lure biometriske systemer ved bruk av for eksempel statiske foto. Denne
rapporten går ett skritt videre og tar en nærmere titt på fiender og deres ressurser i et
grensekontrollmiljø. Den tradisjonelle måten å beregne feilakseptraten til biometriske
systemer på, vil ikke gjenspeile den virkelige feilakseptraten i dette miljøet. For
eksempel, vil andelen av fiendene som har minst tyve ”look-alikes” i
målpopulasjonen sett fra et biometrisk systems perspektiv være en bedre indikator for
den virkelige feilakseptraten.
Et sikkerhetsprogram som involverer mennesker, teknologi og prosedyrer kan
kompensere for begrensninger i biometriske systemer. De nye biometriske passene vil
representere en ny “fartsdemper” for små svindlere. Smarte bedragere med et stort
internasjonalt nettverk og masse ressurser vil bli stoppet av denne “fartsdemperen”
bare for en begrenset tid - til de har funnet nye måter å forfalske pass på. ENGELSK:
The purpose of biometric passports is to prevent the illegal entry of travellers into a
specific country and limit the use of counterfeit documents by more accurate
identification of an individual. After September 11, 2001, the interest in use of
biometric-based passports in border control has increased rapidly. Biometric-based
passports will include a high-capacity contactless smart card chip containing raw
image files of the holder’s face in addition to other identity information. In border
control, a photo of the passport holder will be taken and compared to the image stored
in the passport. The biometric system’s threshold will decide whether the two images
are sufficiently similar in order to verify the identity of the traveller.
There are many problems associated with biometric technologies such as error rates,
spoofing attacks, non-universality and interoperability problems. Recent papers have
proven how easy it is to spoof biometric systems using methods such as static images.
This report goes one step further and takes a closer look at the adversaries and their
capabilities in the border control environment. The traditional way of calculating the
false acceptance rate of biometric systems might not give the true false acceptance
rate in such an adversary environment. For example, the percentage of the adversaries
who have at least twenty “look-alikes” in the target population from a biometric
system’s perspective might be a better indicator for the true false acceptance rate.
An overall security process that involves people, technology and procedures can
overcome limitations of the biometric technologies. The biometric based passports
will provide a new “speed bump” that will reduce identity theft by “zero-effort” and
“small-effort” impostors. Smart adversaries with a large international network and
many resources will be stopped by this “speed bump” only for a limited time - until
they have discovered new ways of forging and counterfeiting passports.