Odborná konference Quality & Security Praha 14. března 2007 Zkušenosti se zaváděním biometrických pasů v ČR
Poznámka Na projektu Cestovní doklady s biometrickými prvky (CDBP) spolupracovalo téměř 10 odborných útvarů MV v gesci sekce spojení a komunikací a několik desítek subdodavatelů STC, s.p. (jsme jen kolečko v soustrojí)
V přednášce jsou použity některé podklady poskytovatele služby, kterým je STÁTNÍ TISKÁRNA CENIN, státní podnik Přednáší: Úvod: Ing. Tomáš Holenda, ředitel odboru informatizace veřejné správy, Ministerstvo vnitra Odborný výklad: Ing. Petr Mayer Siemens, hlavní subdodavatel STC, s. p.
STÁTN TNÍ TISKÁRNA CENIN, státn tní podnik
Celosvětové logo e-pasů
Logo projektu CDBP (cestovní doklady s biometrickými prvky)
Biometrické údaje v cestovních pasech - úvod Co jsou biometrické systémy Co jsou biometrické údaje Právní zakotvení biometrie v cestovních pasech: ve světě, v EU, v ČR. Usnesení vlády ČR z 15. června 2005 Postup řešení v ČR Ochrana osobních dat v projektu Rizika projektu
Co jsou biometrické systémy Biometrické systémy jsou aplikace biometrických technologií, které umožní automatickou identifikaci nebo autentizaci/verifikaci určité fyzické osoby. Základní charakteristiky biometrických prvků: Univerzální existuje u všech osob Jedinečný osobu musí odlišovat Stálý nemění se s časem
Co jsou biometrické údaje Stabilní data, například: Otisk prstu Rozpoznávání duhovky Rozpoznávání obličeje Geometrie ruky Markanty hlavy Pach těla Vzorky DNA Rysy chování, například: Vlastnoruční podpis Analýza stisku tlačítek (psaní na klávesnici) Analýza způsobu chůze
Hlavní cíle nasazení biometrie Zabránění opakovanému vstupu vyhoštěných osob (VIS) Znemožnění vstupu nežádoucích osob na paluby letadel (Mezinárodní organizace pro civilní letectví, ICAO) a lodí. Dokonalé zajištění ztotožnění osoby podle jejího dokladu (jedna osoba, jeden doklad). Významné zkomplikování falšování dokladů (mimořádně náročné a drahé technologie). Dodatečné efekty: 1) váš cestovní doklad nikdo nemůže zneužít, 2) vaším jménem nikdo nemůže vystupovat.
Obecná poznámka I když jsou celosvětové normy ISO, doporučení ICAO a směrnice EU velmi přísné z pohledu technologického (tedy co systém musí umožnit), řešení, která se vejdou do stanoveného rámce, je mnoho. Každý stát hledal (někteříještě hledají) v daném rámci obtížně vlastní řešení, které bude nejvíce vyhovovat jeho legislativním zvyklostem a technickým možnostem. Při přípravě celého projektu se naši pracovníci seznámili s řešeními v některých státech EU, žádné z nich nelze kompletně převzít, vždy je třeba řešení upravit podle místních podmínek. Jednalo se o úkol mimořádně náročný organizačně, legislativně, technicky i finančně.
Usnesení vlády ČR č. 740 ze dne 15. června 2005 oficiální začátek projektu Usnesení schválilo Plán postupu ČR při implementaci Nařízení Rady (ES) č. 2252/2004 o normách pro bezpečnostní a biometrické prvky v cestovních pasech Usnesení stanovuje pro MV ČR: Předložit návrh legislativních opatření splněno, viz zákon č. 136/2006 Sb. Organizačně zajistit realizaci všech souvisejících úkolů (spolu s Ministerstvem zahraničních věcí), bylo vyřešeno, systém byl 1. září 2006 úspěšně spuštěn.
Právní zakotvení biometriky v cestovních pasech I. Svět normy ISO, standardy a doporučení ICAO (mezinárodní organizace civilního letectví) EU: 17.10.2000 - minimální bezpečnostní normy pro cestovní doklady (ještě bez biometrie), 20.6.2003 - v reakci na 11. září 2001 v Soluni potvrzení jednotného přístupu EU k biometrice, 13.12.2004 -nařízení Rady (ES) o normách pro bezpečnost a biometrické prvky v cestovních pasech a cestovních dokladech (2252/2004), 28.2.2005 - Rozhodnutí Komise, kterým se stanoví technické specifikace norem pro bio v cestovních pasech nasazení nutné do 18ti měsíců, tedy od 28. srpna 2006
Právní zakotvení biometriky v cestovních pasech II. Novela zákona byla schválena v PSP ve znění pozměňovacích návrhů Senátu, pan president ji podepsal dne 31. března 2006: Platnost stávajících pasů není nijak dotčena, tedy stávající pasy budou platné po celou dobu jejich vyznačené platnosti (zpravidla 10 let od vyrobení), Platnost pasů pro dospělé nad 15 let bude 10 let (odlišnosti pro děti do 15 let 5 let), Pas musí mít každá osoba, tedy i dítě, Řešení musí umožnit výrobu dokladu i pro žadatele ze zahraničí, kterému budou biometrické údaje sejmuty v zahraničí(řeší samostatně MZV), Opatření se týká i pasů cizinců a uprchlíků, Žádost o vydání pasu s biometrickými údaji bude možno podat pouze na obcích s rozšířenou působností
Zákon je uveden ve sbírce zákonů jako zákon č. 136/2006 Sb. (zákon, kterým se mění některé zákony na úseku cestovních dokladů)
Právní zakotvení biometriky v cestovních pasech III. Usnesení vlády ČR ze dne 19. dubna 2006 úkol pro ministra financí vyplatit řádný příspěvek obcím do 15. května (227 mil. Kč), příspěvek byl určen na vybudování prostor pro umístění zařízení, které bylo následně dodáno poskytovatelem služby úkol pro zainteresované ministry: umožnit obcím realizaci (MV, MF, MPSV), zamítnutí žádosti MV o vytvoření reservy ve výši 45 mil Kč (některé obce vybudování administrativních kapacit pro systém musely dotovat z rozpočtů samospráv).
Navržený postup řešení v ČR V souladu se zákonem č.40/2004 Sb., o veřejných zakázkách, 4, odstavec 1, písmeno a) a k), byl osloven poskytovatel služby. Smlouva byla podepsána 23. prosince 2005 s poskytovatelem STÁTNÍ TISKÁRNA CENIN, státní podnik Podmínka: předmět zakázky musí být dodán jako komplexní řešení (end-to-end), tedy včetně celého systému zpracování žádostí a sběru dat pro výrobu e-pasů.
Kontaktní místo architektonická studie
Příklady realizace v praxi
Příklady realizace v praxi
Příklady realizace v praxi
Příklady realizace v praxi
Příklady realizace v praxi
Příklady realizace v praxi
Příklady realizace v praxi
Mobilní fotokabina záložní řešení
Děkuji za pozornost Ing. Tomáš Holenda Ministerstvo vnitra, www.mvcr.cz, tholenda@mvcr.cz
Biometrické pasy v České republice Stručný nástin řešení Praha, 14.3.2007 Petr Mayer, vedoucí projektu systémová integrace II
Obsah 1. Nový biometrický e-pas 2. Základní architektura řešení 3. Zabezpečení elektronické části 4. Koncové pracoviště 5. Biometrická fotografie Copyright Siemens ČR 2007. All rights reserved Strana 2 14.3.2007 Petr Mayer Siemens IT Solution and Services
1. Nový biometrický e-pas Čipový modul s vinutou anténou uložený v polykarbonátové kartě Machine Readable Zone MRZ Strana 3 14.3.2007 Petr Mayer Copyright Siemens ČR 2007. All rights reserved Siemens IT Solution and Services
2. Základní architektura řešení Obsluha CS Monitoring HelpDesk Centrální evidence Kontaktní místo Centrální systém Výrobce dokladů Kurýr (MV) Transport dokladů (cestou MV) Copyright Siemens ČR 2007. All rights reserved Strana 4 14.3.2007 Petr Mayer Siemens IT Solution and Services
3. Zabezpečení elektronické části a. Basic Access Control (BAC) b. Elektronický podpis dat v čipu c. Aktivní autentizace (AA) d. Extended Access Control (EAC) www.cryptoworld.info, 10/2006, Luděk Rašek: Elektronické cestovní doklady Copyright Siemens ČR 2007. All rights reserved Strana 5 14.3.2007 Petr Mayer Siemens IT Solution and Services
3.a Basic Access Control (BAC) Cíl: Zabránit neoprávněnému čtení pasu bez vědomí držitele. Princip: Umožnit číst data z čipu jen těm uživatelům, kteří otevřou doklad. Postup: 1. vložení otevřeného pasu do čtečky 2. načtení MRZ zóny 3. z obsahu MRZ jednocestnou funkcí se vytvoří přístupové heslo k čipu 4. vypočtené heslo použije k přístupu k datům v čipu Copyright Siemens ČR 2007. All rights reserved Strana 6 14.3.2007 Petr Mayer Siemens IT Solution and Services
3.b Elektronický podpis dat v čipu Cíl: Průkaznost pravosti dat v pasu. Princip: Datová struktura v pasu je elektronicky podepsaná tzv. Document Signerem (výrobcem dokladu). Národní CA (NCA) Document Signer Datová struktura v čipu Copyright Siemens ČR 2007. All rights reserved Strana 7 14.3.2007 Petr Mayer Siemens IT Solution and Services
3.c Aktivní autentizace (AA) Cíl: Zabránit kopírování obsahu čipu do jiného čipu (BAC tomu nebrání). Princip: Při personalizaci čipu se vygeneruje veřejný a soukromý klíč. Soukromý klíč se uloží do nadále nedostupné části čipu, veřejný se uloží do datové struktury čipu. Postup aktivní autentizace: 1. Čtečka provede čtení datové struktury z dokladu včetně veřejného klíče. 2. Čtečka vygeneruje náhodná data a pošle je do čipu. 3. Čip v pasu tato data elektronicky podepíše s využitím soukromého klíč a podepsaná data odešle do čtečky. 4. Čtečka ověří elektronický podpis dat pomocí veřejného klíče z datové struktury: pokud se podpis podaří ověřit, je doklad v pořádku pokud ne, může se jednat o falzifikát. Copyright Siemens ČR 2007. All rights reserved Strana 8 14.3.2007 Petr Mayer Siemens IT Solution and Services
3.d Extended Access Control (EAC) Cíl: Rozšířená ochrana proti kopírování a autorizace čtecích zařízení. Princip: Rozšířená specifikace EAC v rámci nové legislativy EU zvyšuje zabezpečení e-pasu s ohledem na zacházení s citlivými údaji otisky prstů. EAC se skládá ze dvou autentizací: Chip authentication (CA) ochrana proti kopírování pasu. Založeno na algoritmu výměny klíčů Diffie-Hellman. Terminal authentication (TA) zjištění, zda čtečka může či nemůže číst nebo zapisovat citlivá data v čipu. Nutnost budování další (nové) PKI infrastruktury. Copyright Siemens ČR 2007. All rights reserved Strana 9 14.3.2007 Petr Mayer Siemens IT Solution and Services
Interoperabilita mezinárodní výměna certifikátů Copyright Siemens ČR 2007. All rights reserved Strana 10 14.3.2007 Petr Mayer Siemens IT Solution and Services
3. Koncové pracoviště 227 obcí s rozšířenou působností a asi 600 koncových pracovišť. Copyright Siemens ČR 2007. All rights reserved Strana 11 14.3.2007 Petr Mayer Siemens IT Solution and Services
Samoobslužný kiosek Kontrola čtení MRZ zóny a obsahu čipu. Copyright Siemens ČR 2007. All rights reserved Strana 12 14.3.2007 Petr Mayer Siemens IT Solution and Services
4. Biometrická fotografie Požadavky organizace ICAO definované v normě ISO19794-5 pro uložení zobrazení obličeje na RFID čip. International Civil Aviation Organization (ICAO) Copyright Siemens ČR 2007. All rights reserved Strana 13 14.3.2007 Petr Mayer Siemens IT Solution and Services
Výstupní formáty Token Image (čip, barevný, 240x320) Ochranný prvek (polykarbonát, černobílý, 138x177) Full Frontal (polykarbonát, šedý, 620x796) Copyright Siemens ČR 2007. All rights reserved Strana 14 14.3.2007 Petr Mayer Siemens IT Solution and Services
Základ biometrie Token Image Odvození dle vzdálenosti očí Copyright Siemens ČR 2007. All rights reserved Strana 15 14.3.2007 Petr Mayer Siemens IT Solution and Services
Biometrický software Siemens Homeland Security Suite (SHSS) ovládání vstupního zařízení sejmutí fotografie dle ICAO požadavků kontrola ICAO parametrů generování výstupů maximální automatizace získání biometrické fotografie úředníkem ( laikem ) Copyright Siemens ČR 2007. All rights reserved Strana 16 14.3.2007 Petr Mayer Siemens IT Solution and Services
Děkuji za pozornost Petr Mayer Siemens IT Solutions and Services, s.r.o. Evropská 33a 160 00 Praha 6 email: pmayer@siemens.com Copyright Siemens ČR 2007. All rights reserved Strana 17 14.3.2007 Petr Mayer Siemens IT Solution and Services