BİYOMETRİK ÜRÜNLERİN DEĞERLENDİRİLMESİ VE ULUSLARARASI BİYOMETRİ STANDARTLARI Zumrut MUFTUOGLU,MSc. TSE-OKBS II. BT Standartları Konferansı’13 1
İÇERİK Biyometri Biyometrik Sistemler Genel bir biyometrik sistemin parçaları Biyometri Teknolojisinin Değerlendirilmesi 2
BİYOMETRİ Kişilerin kendine özgü fizyolojik özelliklerinden faydalanarak otomatik kimliklendirme yapma İlk olarak güvenlik amaçlı geliştirilmiştir. 3
BİYOMETRİK SİSTEMLER Bu teknolojide parmak izi ve el geometrisinin incelenmesi,yüz özelliklerinin karşılaştırılması, ses ve konuşma analizi,iris ve retina tanımlanması gibi çalışma prensibi aynı ancak şekil ve sonuç itibariyle birbirinden farklı sistemlerden oluşur. 4
GENEL BİR BİYOMETRİK SİSTEMİN BİLEŞENLERİ: Veri toplama Veri aktarma İşaret/görüntü işleme Veri depolama Karşılaştırma Karar verme Uygulama 5
6
BİYOMETRİ TEKNOLOJİSİNİN DEĞERLENDİRİLMESİ Sağlıklı bir değerlendirme için aşağıdaki gereksinimler sağlanmalıdır: -Her çeşit biyometrik sistemin analizi için yöntem genel ve bağımsız olmalı -ISO/IEC parçalı standardında tanımlanan ilke ve gereklerine uygun olmalıdır. -Test edilecek değerlendirme koşulları tam olarak belirlenmeli, tarafsız ve karşılaştırılabilir sonuçlar elde etmek için gereksinim ve prosedürler sağlanmalıdır 7
ISO/IEC B IOMETRIC PERFORMANCE TESTING AND REPORTING Bölüm 1 : İlkeler ve kapsam-2006 Bölüm 2 : Teknoloji ve senaryo değerlendirmeleri için test metodolojileri-2007 Bölüm 3: Modalite Özel testi-2007 Bölüm 4 : Birlikte çalışılabilirlik performans testi-2008 Bölüm 5: Erişim Kontrol Senaryosu değerlendirmesi için notlandırma çizelgesi-2011 Bölüm 6: İşletme değerlendirme için test metodolojileri-2012 Bölüm 7: Kart üzerinde Biyometrik Karşılaştırma Algoritmalarının Testi
D EĞERLENDIRME ÇEŞITLERI Performans Testi Biyometrik Uyumluluk Testi Güvenlik Testi Gizlilik Testi Kullanılabilirlik Testi Diğer 9
P ERFORMANS T ESTI Biyometrik sistemin teknik performansını ölçmeyi amaçlar(tanımlama doğruluğu,işleme hızı vb..) Dayanıklılık testi(hata sıklığı,hata oluştuğunda sistemin ayağa kalkma yeteneği) 10
BİYOMETRİK UYUMLULUK TESTİ Uyumluluk testi ürün,sistem veya sürecin gerekli gereksinimleri karşıladığına ve standarta uygun olduğuna dair garanti veren bir süreçtir 11
Biyometrik veri alış verişi formatları için uygunluk testi ISO/IEC ISO/IEC Biyometrik Programlama Arayüzü (BioAPI) için uyumlukluk testi ISO/IEC ISO/IEC Ortak Biyometrik Alış veriş Formatları Çerçevesi(Common Biometric Exchange Formats Framework(CBEFF)) için Uyumlukluk Testi ISO/IEC
GÜVENLİK TESTİ Biyometrik Ürün, güvenlik gereksinimlerini karşılıyor mu? Potansiyel tehditlerin bir listesini oluşturmak Potansiyel saldırılara direnci 13
GİZLİLİK TESTİ Biyometrik sistemin gizlilik esasına uygunluğu test edilir. Amaç kişisel bilginin uygun bir şekilde kullanılıp kullanılmadığından emin olmaktır 14
KULLANILABİLİRLİK TESTİ Biyometrik sistem ile kullanıcı arasındaki etkileşim test edilir. ISO 9241 Bölüm 11 Geçerlilik Yeterlilik Doygunluk 15
BİRLİKTE ÇALIŞILABİLİRLİK TESTİ Alt sistemler,işaret/görüntü veya veri toplama cihazları arasında her çeşit birlikte çalışılabilirlik durumu varolduğu zaman,biyometrik performansa karar verir ya da karşılaştırır 16
ORTAK KRİTERLER&BİYOMETRİ EWA(Electronic Warfare Associates-Canadian Ltd ) -"Biometric Technology Security Evaluation under Common Criteria-2001 BEM WG-Biyometrik Değerlendirme Meteodoloji Eki-2001 ISO/IEC JTC1 SC27 Grubu-ISO /IEC Bilgi Teknolojisi-Güvenlik Teknikleri-Biyometri Değerlendirme
Güvenlik Özellikleri Fiziksel ve davranışsal özellikleri kullanarak, kişilerin doğru bir şekilde tanımak Kullanılan özelliğin, güvenirliliği Gerekli İşlevsellik Yetkili kişileri biyometrik özelliklerini kullanarak tanımak Güvenlik Sorunu Tanımı Genel Tehditle Yetkili olmayan ve/veya kötü niyetli kişilerin korumalı varlıklara erişimi 18
KORUMA PROFİLLERİ Fingerprint Spoof Detection Protection Profile based on Organisational Security Policies (FSDPP_OSP), Version 1.7,2010 Biometric Verification Mechanisms Protection Profile, Version 1.3,
GÜVENLİK HEDEFLERİ MorphoSmart Optic 301 Version 1.0,2013 Authentest Server v1.2.6,2010 PalmSecure SDK Version 24 Premium,
S ONUÇ Amacımız, CC kapsamında biyometrik ürünler için uygun performans değerlendirmeleri yapmak konusunda ayrıntılı kurallar gerçekleştirmek 21
K AYNAKLAR analizarge.com/biyometri-nedir/ 011/9.pdf [BTSE'01] Electronic Warfare Associates-Canada Ltd., Biometric Technology Security Evaluation under the Common Criteria, [BEM'02] Common criteria Biometric Evaluation Methodology Working Group, Biometric Evaluation Methodology Supplement,
[ISO'09a] International Organization for Standardization, ISO/IEC 19792, Information technology -- Security techniques -- Security evaluation of biometrics, ISO/IEC 19792:2009, 2009a. [CCN'08] Centro Criptológico Nacional (CCN), Characterizing Attacks to Fingerprint Verification Mechanisms, Version 1.0, 2008 [ISO'06a] International Organization for Standardization, ISO/IEC , Information technology -- Biometric application programming interface -- Part 1: BioAPI specification, ISO/IEC :2006, 2006a. 23
24