Geekly articles weekly

Comment créer des échantillons pour le système biométrique unifié et pourquoi il peut être dangereux


Mark ne veut pas d'hypothèque en Russie

À partir du 30 juin, les agences gouvernementales, les banques et d'autres organisations recevront le droit de collecter des données biométriques sur les citoyens et d'établir leur identité. Dans le même temps, la loi n ° 482-FZ établit les critères auxquels doivent satisfaire les banques qui ouvrent et gèrent des comptes clients sans leur présence personnelle.


Le système biométrique unifié d'identification personnelle sera lancé en Russie le 1er juillet.


Pour le projet au niveau de l'État, deux types de biométrie ont été choisis: la voix et le visage, et non séparément, mais ensemble, car la bimodalité permet de définir une «personne vivante», plutôt que de simuler sa biométrie sur un canal numérique. À l'avenir, il est possible de connecter d'autres éléments biométriques, en particulier les modèles d'iris et de veine.


Pour accéder aux données de chaque citoyen dans une seule base de données d'identification, les banques devront payer 200 roubles. En outre, la moitié de ce montant sera reçue par la banque, qui a initialement participé à la suppression de la biométrie primaire, et 100 autres roubles. d'autres participants au système recevront (l'exploitant du système lui-même, le portail des services publics et les fournisseurs de solutions technologiques). Étant donné que des millions de personnes sont des clients actifs des banques, le montant est énorme.


Au stade initial de l'introduction du système, seules les opérations simples, telles que les virements sur leurs comptes, seront disponibles pour les clients, à l'avenir, il sera possible d'émettre des prêts et des hypothèques avec son aide.


À l'avenir, ils prévoient d'étendre le système aux services publics, à l'éducation, aux soins de santé et à d'autres domaines.


Les banques auront deux rôles de participation: le consommateur et le fournisseur de données biométriques.


Il suffira au consommateur de conclure un accord avec l'opérateur EBS (Rostelecom) sur l'utilisation de la plateforme biométrique et d'assurer l'intégration de ses solutions frontales en utilisant la technologie oAuth.


Le fournisseur de données biométriques doit en outre implémenter un poste de travail pour l'identification principale. En plus de l'intégration avec ESIA et EBS, ce poste de travail doit répondre aux exigences des spécifications techniques des équipements, des conditions d'éclairage et de bruit dans la pièce, ainsi qu'aux exigences des modèles de contrôle biométrique créés.


Le Ministère des communications a, quant à lui, publié un projet d'ordonnance «Sur l'approbation de l'ordre de traitement, y compris la collecte et le stockage, des paramètres de données personnelles biométriques pour l'identification, la procédure de publication et de mise à jour des données personnelles biométriques dans un seul système biométrique, ainsi que les exigences relatives aux technologies de l'information et aux moyens techniques, conçu pour traiter des données personnelles biométriques à des fins d'identification. "


Cette procédure établit la procédure de traitement, y compris la collecte et le stockage, des paramètres de données personnelles biométriques, le placement et la mise à jour des données personnelles biométriques dans un seul système biométrique afin d'identifier un citoyen de la Fédération de Russie, et définit également les exigences en matière de technologies de l'information et de moyens techniques pour le traitement des données personnelles biométriques aux fins spécifiées.


Ainsi, conformément à la Procédure, le traitement des paramètres des données personnelles biométriques est effectué après identification d'un citoyen à sa présence personnelle conformément aux exigences approuvées conformément à la clause 2 de la partie 2 de l'article 14.1 de la loi fédérale du 27 juillet 2006 n ° 149- «Sur l'information , technologies de l'information et protection de l'information », ainsi que l'obtention, conformément à la loi fédérale du 27 juillet 2006 n ° 152-« sur les données personnelles », du consentement au traitement des données personnelles et biométriques personnelles données, sous la forme approuvée par le gouvernement de la Fédération de Russie conformément au paragraphe 5 de l'article 14.1 de la loi fédérale n ° 149-FZ.


En cas de retrait par le sujet des données personnelles conformément à la loi fédérale n ° 152-FZ du consentement au traitement des données personnelles, l'utilisation de ses données personnelles biométriques à des fins d'identification n'est pas effectuée.



Sécurité des données


Les données personnelles seront stockées dans un circuit protégé, et le système lui-même subira une certification et une certification conformément aux exigences du FSB, a déclaré Ivan Berov, directeur du bureau de l'identité numérique de Rostelecom.

La plate-forme numérique elle-même est située dans l'infrastructure protégée par le cloud de Rostelecom, à laquelle les banques auront accès par des canaux de communication spéciaux du système d'interaction électronique interagences (SMEV).

Berov a également ajouté que les données des utilisateurs seront transmises par des canaux de communication sécurisés utilisant des algorithmes cryptographiques nationaux. Pour résoudre ce problème, Rostelecom développe une application mobile spéciale avec des outils intégrés de protection des informations cryptographiques.

Quel est le danger ici?


Théoriquement, une telle base de données biométrique peut toujours être volée, et pour les clients des banques, c'est bien pire que de voler des mots de passe ou des codes d'accès. Les empreintes digitales, l'enregistrement vocal et les images faciales sont basées sur l'individualité et l'unicité qui nous sont données à la naissance. Si les criminels prennent possession de ces données sur les citoyens, ils seront, pour le moins, en difficulté. Après tout, si le mot de passe ou le code PIN volé peut être modifié, votre visage ou votre voix est impossible. En conséquence, le criminel, possédant des données biométriques en plus des données biographiques, peut essentiellement effectuer toutes les opérations au nom de la personne.

Chers lecteurs, veuillez écrire vos hypothèses sur ce qu'il faut faire en cas de fuite de ses données biométriques dans les commentaires.

Échantillons biométriques


Au cours du traitement des paramètres des données personnelles biométriques, des échantillons biométriques de données d'image du visage du sujet (ci-après dénommés images BO du visage) et des échantillons biométriques de données vocales (ci-après dénommés enregistrements vocaux BO) sont créés.


Exigences BO


La qualité de l'image du visage doit répondre aux critères suivants:


  • la présence d'un visage dans l'image;
  • manque d'objets couvrant le visage;
  • angle du visage (inclinaison, rotation, déviation de la tête);
  • tailles de visage en pixels;
  • luminosité / ombrage / flou de l'image;
  • format et taille du fichier image.

La qualité des enregistrements vocaux doit répondre aux critères suivants:


  • la présence de la parole dans l'enregistrement sonore;
  • rapport signal / bruit acceptable;
  • taux d'échantillonnage et méthode de codage.

Images de visage BO


Les images de visage BO doivent répondre aux exigences suivantes:


  • les couleurs des pixels des images de type frontal doivent être représentées dans un espace colorimétrique RVB de 24 bits, dans lequel 8 bits pour chaque composante de couleur sont représentés par chaque pixel: rouge, vert et bleu;
  • la rotation de la tête ne doit pas être à plus de 5 degrés de la position frontale;
  • l'inclinaison de la tête ne doit pas être à plus de 5 degrés de la position frontale;
  • la déviation de la tête ne doit pas être à plus de 8 degrés de la position frontale;
  • la distance entre les centres des yeux doit être d'au moins 120 pixels;
  • lorsque la distance entre les centres des yeux est de 120 pixels, la taille horizontale de l'image du visage doit être d'au moins 480 pixels;
  • lorsque la distance entre les centres des yeux est de 120 pixels, la taille verticale de l'image du visage doit être d'au moins 640 pixels;
  • chevauchement des cheveux ou des objets étrangers avec l'image du visage sur toute la largeur des sourcils à la lèvre inférieure;
  • un seul visage doit être présent sur l'image, la présence d'autres visages, de fragments d'autres visages et de portraits n'est pas autorisée;
  • l'expression du visage doit être neutre, la bouche est fermée, les deux yeux sont ouverts normalement pour le sujet respectif (y compris les facteurs de comportement ou les maladies médicales);
  • le visage doit être uniformément éclairé afin qu'il n'y ait pas d'ombres et de reflets sur l'image du visage;
  • l'utilisation de retouches et de retouches d'images n'est pas autorisée;
  • le recadrage d'image est autorisé;
  • dans le cas de la photographie d'une personne avec des lunettes, la présence de lunettes de soleil et d'artefacts de lumière vive ou la réflexion d'un flash de lunettes n'est pas autorisée;
  • L'image du visage doit être enregistrée dans un fichier .jpeg ou .png.

Enregistrement vocal BO


Les enregistrements vocaux BO doivent répondre aux exigences suivantes:


  • le rapport signal / bruit pour le son est d'au moins 15 dB;
  • profondeur de quantification d'au moins 16 bits;
  • fréquence d'échantillonnage d'au moins 16 kHz;
  • conteneur / format: RIFF (WAV);
  • Code de compression: PCM / non compressé (0x0001)
  • nombre de canaux en enregistrement vocal: 1 canal (mode mono);
  • la réduction du bruit n'est pas autorisée;
  • l'enregistrement doit avoir la voix d'une seule personne;
  • il est interdit d'obtenir BO en transcodant des phonogrammes enregistrés à l'aide des moyens techniques du réseau téléphonique public commuté (RTPC);
  • pour un algorithme de reconnaissance vocale dépendant du texte:
  • la durée de l'enregistrement vocal dépend de la taille du dictionnaire utilisé;
  • contenu de la parole du sujet: phrase secrète;
  • état émotionnel et psychologique et état de santé du sujet: un état normal non excité sans manifestations évidentes d'aucune maladie (rhume, infections respiratoires, etc.);
  • liste des langues dans lesquelles le sujet peut faire un message vocal: russe.

Les échantillons biométriques collectés par les employés autorisés des organismes et organisations sont automatiquement vérifiés à l'aide du logiciel d'un système biométrique unique installé dans les systèmes d'information de ces organismes et organisations pour vérifier la conformité aux exigences et critères établis par les clauses 11-14 de la présente procédure (ci-après - contrôle qualité).


En cas de réussite du contrôle de qualité, la conformité des échantillons biométriques aux critères et exigences spécifiés ci-dessus a été établie, de tels échantillons, ainsi que des informations établies par des actes du gouvernement de la Fédération de Russie, d'autres informations, y compris la date, l'heure et le lieu de collecte des données personnelles biométriques, ainsi que le nombre de tentatives de réussite du contrôle de qualité est transféré par les organismes et les organisations vers un seul système biométrique utilisant SMEV.


Dans un système biométrique unique, basé sur les échantillons biométriques fournis, des modèles de contrôle biométrique sont générés et sont utilisés dans le processus d'identification d'un citoyen de la Fédération de Russie.


Si, au cours du processus de contrôle de la qualité, il est établi que les échantillons biométriques ne satisfont pas aux critères et aux exigences, les informations sont transférées vers le système biométrique unifié conformément au règlement, y compris la date, l'heure et le lieu de collecte des données personnelles biométriques.


Les données personnelles biométriques, y compris celles placées dans un seul système biométrique, sont stockées à des fins d'identification conformément à l'article 19 de la loi fédérale n ° 152- de la manière établie par le Règlement, pendant 3 ans à compter de la date de placement dans ledit système.


Configuration matérielle requise


Outre les exigences relatives aux échantillons biométriques, la procédure définit les exigences relatives aux moyens techniques destinés au traitement des données personnelles biométriques.


Moyens techniques d'enregistrement des images de visage BO:


a) pour enregistrer une image de visage, vous devez utiliser une caméra photo ou vidéo (ci-après - la caméra) avec les caractéristiques suivantes:


  • résolution de l'image reçue: pas moins de 1280x720 pixels;
  • lorsque le sujet est situé à une distance de 0,3-0,5 m de l'appareil photo, la distance focale équivalente doit être de 31 à 100 mm; lorsque le sujet est situé à une distance de 0,51 à 1,0 m de l'appareil photo, la distance focale équivalente doit être de 28 mm à 100 mm de l'appareil photo;
  • la prise de vue photo-vidéo doit être effectuée lors de l'utilisation du mode de réglage automatique de la balance des blancs.

b) pour assurer un rendu naturel des couleurs de la peau, il est recommandé que la température de couleur des illuminateurs soit de 4800 à 6500 K. La température de couleur requise est fournie par des sources lumineuses luminescentes ou LED. Les sources de lumière utilisées doivent créer un éclairage dans la zone du visage:


  • pour vidéo / caméras sans correction automatique de l'éclairage d'au moins 300 lux;
  • pour vidéo / caméras avec correction automatique de l'éclairage d'au moins 100 lux.

Moyens techniques d'enregistrement des votes BO:


a) Pour enregistrer un enregistrement vocal, vous devez utiliser un microphone avec les caractéristiques suivantes:


  • type: condensateur (de préférence électret), sans contrôle automatique de gain;
  • rapport signal / bruit: pas moins de 58 dB;
  • gamme de fréquences: de 40 à 10000 Hz;
  • sensibilité: pas moins de moins 30 dB;
  • forme du faisceau: omnidirectionnel, cardioïde, supercardioïde ou hypercardioïde.

En outre, l'ordonnance établit que les moyens techniques destinés au traitement des données personnelles biométriques à des fins d'identification devraient fournir une protection contre la sélection d'échantillons biométriques non authentiques à raison d'au moins 10 4 tentatives par échantillon.



Autres articles sur notre blog:

Livre blanc sur la loi fédérale n ° 152 - un ouvrage qui peut être référencé en matière de traitement des données personnelles
Nous serons à nouveau pris en compte: la Plateforme Biométrique Nationale et «l'identifiant de passage»
Données personnelles biométriques des Russes
Les principaux aspects de la légalité du traitement des données personnelles dans les relations de travail

Source: https://habr.com/ru/post/fr414085/

More articles:


All Articles