BİYOMETRİK ÜRÜNLERİN DEĞERLENDİRİLMESİ VE ULUSLARARASI BİYOMETRİ STANDARTLARI Zumrut MUFTUOGLU,MSc. TSE-OKBS II. BT Standartları Konferansı’13 1

İÇERİK Biyometri Biyometrik Sistemler Genel bir biyometrik sistemin parçaları Biyometri Teknolojisinin Değerlendirilmesi 2

BİYOMETRİ Kişilerin kendine özgü fizyolojik özelliklerinden faydalanarak otomatik kimliklendirme yapma İlk olarak güvenlik amaçlı geliştirilmiştir. 3

BİYOMETRİK SİSTEMLER Bu teknolojide parmak izi ve el geometrisinin incelenmesi,yüz özelliklerinin karşılaştırılması, ses ve konuşma analizi,iris ve retina tanımlanması gibi çalışma prensibi aynı ancak şekil ve sonuç itibariyle birbirinden farklı sistemlerden oluşur. 4

GENEL BİR BİYOMETRİK SİSTEMİN BİLEŞENLERİ: Veri toplama Veri aktarma İşaret/görüntü işleme Veri depolama Karşılaştırma Karar verme Uygulama 5

6

BİYOMETRİ TEKNOLOJİSİNİN DEĞERLENDİRİLMESİ Sağlıklı bir değerlendirme için aşağıdaki gereksinimler sağlanmalıdır: -Her çeşit biyometrik sistemin analizi için yöntem genel ve bağımsız olmalı -ISO/IEC parçalı standardında tanımlanan ilke ve gereklerine uygun olmalıdır. -Test edilecek değerlendirme koşulları tam olarak belirlenmeli, tarafsız ve karşılaştırılabilir sonuçlar elde etmek için gereksinim ve prosedürler sağlanmalıdır 7

ISO/IEC B IOMETRIC PERFORMANCE TESTING AND REPORTING Bölüm 1 : İlkeler ve kapsam-2006 Bölüm 2 : Teknoloji ve senaryo değerlendirmeleri için test metodolojileri-2007 Bölüm 3: Modalite Özel testi-2007 Bölüm 4 : Birlikte çalışılabilirlik performans testi-2008 Bölüm 5: Erişim Kontrol Senaryosu değerlendirmesi için notlandırma çizelgesi-2011 Bölüm 6: İşletme değerlendirme için test metodolojileri-2012 Bölüm 7: Kart üzerinde Biyometrik Karşılaştırma Algoritmalarının Testi

D EĞERLENDIRME ÇEŞITLERI Performans Testi Biyometrik Uyumluluk Testi Güvenlik Testi Gizlilik Testi Kullanılabilirlik Testi Diğer 9

P ERFORMANS T ESTI Biyometrik sistemin teknik performansını ölçmeyi amaçlar(tanımlama doğruluğu,işleme hızı vb..) Dayanıklılık testi(hata sıklığı,hata oluştuğunda sistemin ayağa kalkma yeteneği) 10

BİYOMETRİK UYUMLULUK TESTİ Uyumluluk testi ürün,sistem veya sürecin gerekli gereksinimleri karşıladığına ve standarta uygun olduğuna dair garanti veren bir süreçtir 11

Biyometrik veri alış verişi formatları için uygunluk testi  ISO/IEC ISO/IEC Biyometrik Programlama Arayüzü (BioAPI) için uyumlukluk testi  ISO/IEC ISO/IEC Ortak Biyometrik Alış veriş Formatları Çerçevesi(Common Biometric Exchange Formats Framework(CBEFF)) için Uyumlukluk Testi  ISO/IEC

GÜVENLİK TESTİ Biyometrik Ürün, güvenlik gereksinimlerini karşılıyor mu? Potansiyel tehditlerin bir listesini oluşturmak Potansiyel saldırılara direnci 13

GİZLİLİK TESTİ Biyometrik sistemin gizlilik esasına uygunluğu test edilir. Amaç kişisel bilginin uygun bir şekilde kullanılıp kullanılmadığından emin olmaktır 14

KULLANILABİLİRLİK TESTİ Biyometrik sistem ile kullanıcı arasındaki etkileşim test edilir. ISO 9241 Bölüm 11 Geçerlilik Yeterlilik Doygunluk 15

BİRLİKTE ÇALIŞILABİLİRLİK TESTİ Alt sistemler,işaret/görüntü veya veri toplama cihazları arasında her çeşit birlikte çalışılabilirlik durumu varolduğu zaman,biyometrik performansa karar verir ya da karşılaştırır 16

ORTAK KRİTERLER&BİYOMETRİ EWA(Electronic Warfare Associates-Canadian Ltd ) -"Biometric Technology Security Evaluation under Common Criteria-2001 BEM WG-Biyometrik Değerlendirme Meteodoloji Eki-2001 ISO/IEC JTC1 SC27 Grubu-ISO /IEC Bilgi Teknolojisi-Güvenlik Teknikleri-Biyometri Değerlendirme

Güvenlik Özellikleri  Fiziksel ve davranışsal özellikleri kullanarak, kişilerin doğru bir şekilde tanımak  Kullanılan özelliğin, güvenirliliği Gerekli İşlevsellik  Yetkili kişileri biyometrik özelliklerini kullanarak tanımak Güvenlik Sorunu Tanımı  Genel Tehditle  Yetkili olmayan ve/veya kötü niyetli kişilerin korumalı varlıklara erişimi 18

KORUMA PROFİLLERİ Fingerprint Spoof Detection Protection Profile based on Organisational Security Policies (FSDPP_OSP), Version 1.7,2010 Biometric Verification Mechanisms Protection Profile, Version 1.3,

GÜVENLİK HEDEFLERİ MorphoSmart Optic 301 Version 1.0,2013 Authentest Server v1.2.6,2010 PalmSecure SDK Version 24 Premium,

S ONUÇ Amacımız, CC kapsamında biyometrik ürünler için uygun performans değerlendirmeleri yapmak konusunda ayrıntılı kurallar gerçekleştirmek 21

K AYNAKLAR analizarge.com/biyometri-nedir/ 011/9.pdf [BTSE'01] Electronic Warfare Associates-Canada Ltd., Biometric Technology Security Evaluation under the Common Criteria, [BEM'02] Common criteria Biometric Evaluation Methodology Working Group, Biometric Evaluation Methodology Supplement,

[ISO'09a] International Organization for Standardization, ISO/IEC 19792, Information technology -- Security techniques -- Security evaluation of biometrics, ISO/IEC 19792:2009, 2009a. [CCN'08] Centro Criptológico Nacional (CCN), Characterizing Attacks to Fingerprint Verification Mechanisms, Version 1.0, 2008 [ISO'06a] International Organization for Standardization, ISO/IEC , Information technology -- Biometric application programming interface -- Part 1: BioAPI specification, ISO/IEC :2006, 2006a. 23

24