Documentos de identificación que no pueden falsificarse ni falsificado.
Conferencia Internacional de Carnahan de 1993 sobre Tecnología de seguridad-P. 11-14.
Documentos de identificación que no pueden ser falsificados ni falsificados
Los documentos de identificación (pasaportes, cédulas de identidad, tarjetas de crédito, etc.), que otorgan ciertos privilegios a sus propietarios, atraen especial atención por parte de los falsificadores. Al presentar una identificación falsa, puede obtener efectivo de un cheque, un pasaporte falso le permite ingresar ilegalmente a otro país, tarjetas médicas falsificadas le permiten visitar instituciones médicas de forma gratuita, etc. Avances significativos en el desarrollo y producción de la autoedición. sistemas y fotocopiadoras a color durante los últimos años ha contribuido a un aumento en la amenaza de falsificación y falsificación de estos documentos.
La tecnología moderna para proteger documentos importantes y valiosos utiliza papel, tintas y técnicas de impresión especiales (por ejemplo, incorporando hologramas) para su producción. Sin embargo, estas medidas tienen un éxito limitado, ya que los falsificadores a menudo pueden obtener papel, tinta e incluso equipos holográficos en cantidades limitadas destinados a imprimir documentos especiales y reproducir documentos que no se pueden distinguir de los originales. Además, tienen en cuenta la capacidad limitada de un operador humano para distinguir visualmente entre documentos auténticos y falsificados; Los errores del operador pueden hacer que incluso las medidas de protección más buenas sean ineficaces. El uso de materiales especiales y procesos tecnológicos aumenta significativamente el coste de producción de documentos.
El Centro de Investigación de Comunicaciones de Canadá ha desarrollado un método para proteger los documentos de identificación (ID) contra falsificaciones y falsificaciones, AFID (Documento de identificación antifalsificación). Un documento elaborado con este método, además de los elementos de seguridad normalmente incluidos en el documento de identidad, tiene el llamado «sello de seguridad», o «sello de seguridad» («Sello de seguridad»). Este sello del tamaño de un sello postal, colocado en el frente del documento de identidad junto a la fotografía del propietario, contiene información cifrada que identifica la fotografía y la información alfanumérica común al documento de identidad. Toda la información de seguridad se registra en forma de código de barras bidimensional. De hecho, el sello de seguridad es una memoria ROM permanente en la que se ingresa la información almacenada durante la fabricación de la identificación. El sello puede tomar la forma de un conjunto de tiras de códigos magnéticos o de una unidad de memoria de tarjeta inteligente. La información ingresada en el sello de seguridad se cifra utilizando la clave secreta de un sistema criptográfico de dos claves (ver Apéndice B). Por ello, la información contenida en la prensa está protegida de modo que cualquier cambio o falsificación será detectado inmediatamente. Para identificar la autenticidad de un documento, su imagen, incluida una fotografía y un sello de seguridad, se introduce en la computadora a través de un escáner. La información contenida en la impresión se descifra utilizando la clave pública de un criptosistema de dos claves. Esta información y la información obtenida al escanear la fotografía en el anverso del documento de identidad se comparan entre sí. Si no coinciden, se registra el hecho de la falsificación. En este caso, el proceso de identificación no depende de la atención o fatiga del operador.
La confiabilidad de dicha protección depende de mantener el secreto de la clave privada del criptosistema de dos claves utilizado para cifrar la información A FID. Esta clave sólo debe ser conocida por el fabricante de la identificación. El equipo de identificación no debe contener información secreta, pero debe utilizar una clave de descifrado pública correspondiente a la clave de cifrado secreta utilizada para generar la identificación. Esto significa que ni siquiera la pérdida del equipo de identificación puede provocar una violación de la seguridad del sistema de protección.
Una identificación elaborada con tecnología AFID no difiere en apariencia, forma y tamaño de una tarjeta de identificación normal, y la presencia de un sello de seguridad no afecta de ninguna manera el proceso de verificación de su autenticidad. El documento de identidad contiene un punto de control respecto del cual se determina la posición de la fotografía y el sello de seguridad.
En el ID de ejemplo, el mosaico del sello de seguridad rectangular contiene 80 bytes de datos dispuestos en un formato de 32 bits a lo ancho del rectángulo y 20 bits a lo largo de su altura. De los 80 bytes de información, 6 bytes no están cifrados y 74 bytes están cifrados utilizando una clave de cifrado secreta de 592 bits. Si se cambia un bit de la información cifrada, esto hará que el estado del 50% de los bits cambie, lo que dará como resultado datos descifrados completamente diferentes.
La información en la parte segura de la impresión contiene un vector de 12 dimensiones llamado «descriptor de imagen», cada elemento del cual representa un número de tres dígitos. El descriptor de imagen se obtiene analizando una fotografía del titular del documento de identidad mediante un algoritmo que resalta los rasgos de cada rostro (ver Apéndice A). El descriptor también contiene datos biográficos del titular del documento de identidad (apellido, fecha de nacimiento, etc.) y el período de validez del documento de identidad de forma segura.
La parte desprotegida de la impresión incluye el código CRC (Cyclic Redundancy Checking) y bytes para marcar errores de escaneo causados por defectos en la superficie del ID, así como información sobre el fabricante del ID y el número de serie del ID. El conjunto de equipos utilizados para la producción de documentos de identidad contiene una videocámara o una cámara de vídeo conectada a una computadora personal controlada por una tarjeta de grabación de fotogramas. El dispositivo final que imprime la identificación es una impresora de video en color.
El proceso de fabricación de la identificación comienza con el cálculo de un par de claves criptográficas utilizadas para generar información del sello de seguridad e ingresarla en el programa de aplicación de la computadora personal (Apéndice B). El número de pares de claves para cada aplicación puede oscilar entre uno y varios cientos, y cada organización puede tener su propio conjunto de claves y ser responsable de mantener el secreto de sus claves de cifrado privadas. La información secreta, representada por un número binario de 592 bits, se almacena en un disquete que debe insertarse en una computadora personal durante el proceso de fabricación de la identificación. La información no clasificada (nombre del titular de la identificación, período de validez del documento, etc.) se ingresa desde el teclado y se registra en la tarjeta de archivo de la base de datos. Un cuadro de una cámara de video con una imagen del propietario de la identificación se ingresa en la computadora para almacenarlo en su memoria. El software AFID compone la imagen, que se envía a una impresora de video para imprimir en el lado del texto de la identificación. Después de esto, la identificación se escanea con un escáner en blanco y negro, se determina la posición del punto de control y se calcula el descriptor de la imagen. Luego, el programa cifra la información a proteger utilizando una clave de cifrado secreta, genera un sello de seguridad y determina el formato de identificación para imprimirlo en una impresora de video.
Para verificar la autenticidad de la identificación, se utiliza un escáner conectado a una computadora personal. El escáner transmite la imagen de identificación convertida a una computadora para su análisis. El proceso de escaneo está controlado por la parte de identificación del programa informático, que emite un comando para iniciar el escaneo. El primer paso es determinar la posición del punto de referencia y orientar la fotografía y el sello de seguridad de identificación con respecto a él. La computadora calcula un identificador de imagen de la identificación escaneada. La información contenida en el sello de seguridad se convierte a formato binario y se verifica su integridad mediante el método CRC. La información cifrada se descifra luego utilizando la clave pública del criptosistema de dos claves.
El descriptor de imagen contenido en el sello de seguridad, tras su descifrado, se compara con el descriptor obtenido al escanear el documento de identidad. El proceso de comparación consiste en calcular la distancia euclidiana entre dos vectores descriptores. Si esta distancia supera el umbral establecido, surge la duda sobre la autenticidad del documento de identidad. El valor umbral de la distancia euclidiana se establece experimentalmente, teniendo en cuenta el hecho de que un valor sobreestimado amplía la tolerancia a desconexiones durante el escaneo y daños al documento de identidad, pero al mismo tiempo puede aumentar el número de errores al determinar la autenticidad del documento. IDENTIFICACIÓN. La información biográfica del titular del documento de identidad contenida en el sello de seguridad se reproduce en la pantalla del monitor del ordenador. El sello de seguridad puede contener información que no esté impresa en la identificación presentada para su verificación. Esta información también se reproduce durante el control y se puede utilizar para aclarar algunos datos sobre el propietario del documento de identidad.
Se han identificado tres métodos posibles mediante los cuales un falsificador puede falsificar un documento de identidad existente o crear uno nuevo.
1. El falsificador intentará reemplazar la fotografía de su documento de identidad actual por otra. Dado que el descriptor de la imagen de la foto en el documento de identidad difiere del descriptor de la nueva foto, el falsificador debe reemplazar la foto falsificada de tal manera que se elimine la diferencia en los descriptores antes del reemplazo. Dado que no existe una relación lineal o aproximada entre una fotografía y su descriptor, el falsificador se ve obligado a proceder mediante prueba y error, realizando pequeños cambios en la fotografía para que coincida con los descriptores. Cada una de estas pruebas requiere imprimir una fotografía modificada y escanearla para calcular la distancia euclidiana. Imprimir una fotografía y escanearla tarda aproximadamente 1 minuto y cuesta 1 dólar. Si la distancia euclidiana no disminuye monótonamente a medida que la fotografía falsificada se acerca al original, entonces este método fallará. Además, la fotografía modificada no será una representación precisa del nuevo propietario de la identificación.
2. El falsificador intentará cambiar la información biográfica del propietario del documento de identidad impresa en el lado del texto del documento. Durante el proceso de autenticación de identificación, la información biográfica descifrada contenida en el sello de seguridad se muestra en la pantalla de la calculadora. Si estos datos difieren de los impresos en el DNI, se considera falso.
3. El falsificador intentará revelar la clave criptográfica utilizada para cifrar la información al realizar el sello de seguridad y realizar un nuevo sello con nuevos datos. Esta operación requiere la factorización prima de números binarios grandes. Cuando se utilizan grandes cantidades, este problema se considera prácticamente insoluble.
Un sistema práctico para producir identificaciones usando tecnología AFID debería ser bastante flexible y tener la capacidad de reorganizarlo dependiendo del tipo de documentos.
Se debe diseñar una estación de autenticación de identidad para identificar diferentes tipos de documentos. Es posible que las organizaciones individuales que utilizan dicho sistema no estén de acuerdo con el estándar de identificación general adoptado para ese sistema. Por ejemplo, una licencia de conducir en cada estado o región puede tener su propia forma, tamaño y color específicos. Al verificar la identificación, el operador debe realizar los cambios apropiados en la configuración y el software según la identificación presentada y seleccionar la clave de descifrado requerida para la información del sello de seguridad en el archivo.
La producción de identificación se puede realizar con control remoto. El fabricante de la identificación remota dispone del equipo adecuado y tiene acceso al ordenador central mediante una clave secreta. Este fabricante genera la estructura del ID y transmite la información que debe contener el ID en forma de un número de 592 bits a través de la línea de autenticación al ordenador central. Después de que esta computadora realiza operaciones para procesar la información recibida, se transmite de regreso al punto remoto, donde se imprime la identificación preparada. La transmisión de 1200 bits de información para cada identificación permite emitir identificaciones a los clientes casi en tiempo real. La clave secreta se almacena en un lugar separado con la protección necesaria, de modo que no haya información confidencial directamente en el punto de producción de la identificación. El robo o pérdida del equipo desde dicho punto no supondrá una violación de la seguridad de todo el sistema de producción y control de autenticidad de la identificación.
En el Centro de Investigación de Comunicaciones de Canadá, durante el desarrollo del método AFID, se realizaron experimentos para generar descriptores de imágenes utilizando una base de datos de fotografías. Los archivos de esta base de datos contenían alrededor de 4.000 fotografías de hombres y mujeres de diferentes nacionalidades. La distancia euclidiana se calculó para 300 fotografías seleccionadas al azar, lo que dio como resultado 44.850 comparaciones. Se realizaron cálculos de distancias euclidianas para determinar la similitud de todas las fotografías. El valor medio de esta distancia resultó ser 5507,2 y la desviación estándar — 4104.5. La distancia euclidiana mínima para dos fotografías cualesquiera fue 107 y la máxima — 51270. Si tomamos el valor umbral de esta distancia como 106, entonces ninguno de los valores obtenidos en el experimento estará por debajo de este umbral. Si aumenta el valor del umbral a 263, entonces para 50 fotos la distancia euclidiana estará por debajo de este umbral y se considerarán iguales. Si el sistema de autenticación de identidad acepta este umbral más alto y el falsificador reemplaza la fotografía en el documento, entonces la probabilidad de que esta sustitución no sea detectada por la inspección del umbral es 50/44850 = 1,1-10E-3. Esto significa que el 99,9% de los documentos de identidad con fotografías sustituidas se considerarán falsos. Con un umbral de distancia euclidiana de 263, ningún documento auténtico se considerará falso. Es aconsejable elegir un nivel de umbral más alto, ya que una alta probabilidad de detectar falsificaciones creará importantes dificultades para los falsificadores, y una baja probabilidad de reconocer documentos válidos como falsos aumentará el grado de confianza en el sistema.
Las pruebas realizadas con la presentación de una fotografía de la misma persona en intervalos de 30 segundos arrojaron un valor de distancia euclidiana de 5000. La probabilidad de reconocer un documento válido como falso depende de la tolerancia adoptada para el equipo de control y las características de envejecimiento del documento de identidad. . Está prevista una prueba en el mundo real del sistema AFID con 1.000 estudiantes para evaluar su rendimiento real.
El tamaño de la clave de cifrado de un criptosistema de dos claves determina el nivel de seguridad alcanzable. Para determinar la clave de cifrado secreta a partir de la clave de descifrado pública conocida, es necesario factorizar un número grande que sea producto de dos números primos. Si la clave es larga, este proceso requiere mucha mano de obra. Se estima que el tiempo necesario para descomponer un número de 596 bits supera los 7-10E5 años, siempre que se utilicen ordenadores centrales modernos para resolver este problema.
Según los resultados de pruebas y evaluaciones exhaustivas del sistema AFID, la conclusión es que este sistema, basado en el uso de técnicas de criptografía y compresión de imágenes, permite crear identificaciones de seguridad mejoradas sin costos de producción adicionales. Si es necesario, se pueden utilizar tintas y procesos de impresión especiales para aumentar la seguridad durante la producción de documentos de identidad. Tradicionalmente, la seguridad de los documentos se basa en el uso de un suministro limitado de materiales, pero este no es el caso de los documentos producidos por el sistema AFID. La organización que emite el documento de identidad tiene una clave secreta con la que controla la seguridad del documento de identidad. Se probó un sistema prototipo con funcionalidad completa con varios programas. Se ha evaluado la tolerancia al mal manejo del documento de identidad por parte de su propietario.
Apéndice A
Las fotografías en blanco y negro se escanean con una resolución de 160 puntos por cm. El primer paso en la compresión de imágenes es reducir la resolución a 80 puntos por cm según el promedio. Cada elemento de la matriz de la imagen representa un nivel de gris específico. Se ha construido un histograma de niveles de grises, lo que permite determinar dos umbrales para dividir elementos de la imagen en clases con los mismos números. Todos los elementos con un nivel de gris por debajo del primer umbral se clasifican como «blancos». Los elementos cuyo nivel de gris sea superior al segundo umbral pertenecen a la clase «negro», y todos los demás elementos — a la clase «gris».
Por lo tanto, cada elemento de la imagen escaneada pertenece a una de tres clases y toda la matriz de la imagen se divide en tres matrices separadas. A la imagen así cuantificada se le aplica una función de ponderación que permite determinar el centro de la imagen en el que se concentra la información. Luego se determina el centroide y se calculan las variaciones de las tres matrices. 12 números (cuatro para cada matriz) forman un «descriptor de imagen». Este descriptor tiene tolerancias para cambios en los parámetros del escáner e imprecisiones de ajuste durante el escaneo.
Apéndice B
Las operaciones de cifrado en el sistema AFID se basan en el uso del conocido algoritmo criptográfico de clave pública RSA. Este algoritmo utiliza dos números primos p y q, que al multiplicarlos dan 71 = pq. A continuación, se generan otros dos números d y e; en este caso, d se elige al azar, pero debe ser coprimo con (р — l)(q — 1). El número e se calcula como el inverso multiplicativo de dmod(p- l)(q- 1). El par de números e y n se almacenan como secreto, y el segundo par -d y n se publican públicamente.
El proceso de cifrado se representa de la siguiente manera:
mensaje cifrado=( mensaje abierto)E e mod n.
Un mensaje abierto se restaura realizando la siguiente operación:
mensaje claro=(mensaje cifrado)^ mod n.
El tiempo necesario para descomponer un número de k bits de longitud, que es el producto de dos números primos, es
x constante ( 5 — ; 10 E(9+(k/50))).
Este tiempo aumenta en un orden de magnitud a medida que la longitud del número aumenta en 50 bits (15 decimales). Para descomponer un número de 664 bits de longitud (200 decimales), se requieren operaciones (2-10)E28. Usando esta computadora, que realiza una operación cada 1 µs, se necesitarán 36 millones de años para descomponer este número.
Las computadoras más rápidas en 1992 realizaron alrededor de 10E10 operaciones en 1 s a un costo de 10 millones de dólares. o más. Incluso si la velocidad de las computadoras del futuro aumenta en dos órdenes de magnitud, se necesitarán unos 1.000 años para factorizar un número de 664 bits. El coste de un ordenador de este tipo será de aproximadamente mil millones de dólares, por lo que este enfoque no se podrá implementar en la práctica.