Passaporto Biometrico

Grazie ad una delibera del Parlamento Europeo, entro il 2012 tutti gli stati dell’Unione dovranno rilasciare a tutti i loro cittadini dei nuovi documenti d’identità (carta d’identità, patente e passaporto) che contengono i loro dati biometrici (le impronte digitali).

Questa decisione è stata accompagnata da una rovente scia di polemiche e da una tempesta di contestazioni da parte dei tecnici.

Perchè?

La titolarità

La biometria è uno dei pochi strumenti (forse addirittura l’unico) che permette di garantire che una determinata persona sia effettivamente il titolare di un determinato documento. Questo risultato viene ottenuto associando il documento al suo titolare attraverso una informazione che viene incapsulata nel documento e che descrive il titolare in modo univoco e non modificabile da parte di nessuno, nemmeno da parte del titolare stesso.

In pratica, vengono incapsulati nel documento uno o più dati che descrivono alcuni aspetti biometrici del titolare, come le impronte digitali e/o l’immagine del suo viso.

La non cedibilità

Questo meccanismo è necessario per impedire che sia il titolare stesso a cedere il suo documento (per soldi o perchè sottoposto a ricatto). Si pensi a quello che avviene, ad esempio, con una carta Bancomat. Il titolare può essere costretto (con una pistola puntata alla tempia) a cedere sia la carta che il PIN di autorizzazione.

Con un sistema biometrico questo non è possibile. Un eventuale criminale dovrebbe comunque portare con sé il titolare del documento per superare le barriere protettive che usano tecniche di riconoscimento biometrico. Questo può essere un bene od un male, a seconda della situazione, ma è comunque qualcosa che distingue in modo netto la biometria da ogni altra tecnica esistente.

La caratteristica della non cedibilità è necessaria ogni volta che il documento riconosce al cittadino un diritto che può essere abusato ed il cui abuso rappresenta una minaccia per altre persone o per la società. Si pensi ai certificati elettorali, al porto d’armi, alla patente di guida ed al passaporto.

La non revocabilità

Il problema è che questa associazione documento-titolare non è revocabile. Per capire quale sia la natura di questo problema si può pensare a cosa succede quando viene rubata una carta di credito: il titolare telefona ad un numero verde, la società che gestisce la carta disabilita la carta stessa e ne spedisce una nuova al cliente. Dopo pochi giorni il problema è risolto.

Se un criminale riesce a falsificare i dati biometrici di un cittadino, non c’è modo di disabilitare questa informazione. Bisognerebbe cancellare e sostituire questi dati sulla persona fisica del cittadino che ha subito il furto. In altri termini, bisognerebbe cambiargli le impronte digitali, o il viso, per poter fornire al cittadino un nuovo documento che sostituisca quello compromesso.

La creazione dei falsi

Purtroppo, la creazione di falsi biometrici è tutt’altro che difficile e tutt’altro che rara. Sono già stati “gabbati” molti raffinati sistemi biometrici usando le foto del titolare invece del suo viso, delle false impronte digitali al posto di quelle vere, delle registrazioni audio al posto della voce originale e molte altre tecniche simili. Se non ci credete, date un’occhiata a questo filmato:

http://www.youtube.com/watch?v=3M8D4wWYgsc

Oppure fate una ricerca su YouTube o su Google cercando “fake fingerprint” o cose simili.

Quello che è ancora più grave è che questa facile falsificabilità dei dati biometrici NON è la conseguenza di un errore di implementazione del sistema di riconoscimento o di una sua sostanziale rozzezza, dovuta al fatto che si tratta di tecniche innovative.

Questa vulnerabilità è dovuta al fatto che qualunque sistema di misura, che sia un normale metro da sartoria o l’LHC del CERN, può essere ingannato, per definizione, se gli si mette davanti un oggetto che risponde ai suoi criteri di misura nel modo “corretto”. Tutti questi strumenti, infatti, sono “strumenti di misura” e si limitano a rilevare dei parametri fisici (come i tratti del volto od il disegno dell’iride). Se gli viene piazzato davanti qualcosa che riproduce in modo corretto l’oggetto da riconoscere (da “misurare”), questi sistemi rispondono comunque nel modo previsto (cioè quello “giusto” per il criminale e “sbagliato” per l’utente). A questo non c’è scampo.

Al massimo si possono usare più sistemi biometrici, incrociando i dati, o rendere il sistema sensibile a più parametri, ma questa vulnerabilità logica resta comunque presente. In futuro potrà essere più difficile ingannare il sistema ma non sarà mai impossibile.

Tecnicamente parlando, si tratta di una vulnerabilità intrinseca.

Le alternative

Non esiste quasi nessun’altra tecnica che risponda al criterio di “non cedibilità” del documento per cui in alcune situazioni la biometria NON ha alternative.

Tuttavia, la biometria NON è realmente necessaria in molte situazioni in cui invece si pensa abitualmente che lo sia.

Un esempio sono proprio i documenti di identità, come la carta d’identità ed il passaporto. Non c’è nessuna ragione al mondo di depositare i dati biometrici sul documento e/o di usarli come verifica della reale identità ad ogni uso del documento.

Questi dati potrebbero e dovrebbero essere usati SOLO in fase di rilascio del documento stesso e non dovrebbero mai lasciare gli uffici dell’anagrafe o della prefettura.

Il modello dovrebbe essere il seguente.

  1. Una persone che desidera ottenere un documento di identità (un cittadino italiano che vuole il passaporto, un immigrato che vuole una carta d’identità, etc.) si presenta presso l’ufficio dell’anagrafe.
  2. L’ufficiale dell’anagrafe rileva una serie di parametri biometrici (foto del viso, impronte digitali, impronte dell’iride, impronte vocali, quello che volete) e li registra su un documento od un database che resta sempre in quell’ufficio.
  3. Sulla base di quei parametri, emette un documento simile ad una carta bancomat. L’utente sceglie da sé, all’insaputa di chiunque altro, il suo PIN.
  4. Da quel momento in poi, l’utente usa quel documento digitale e quel PIN per identificarsi quando occorre (alle dogane, al seggio elettorale, etc.)
  5. Se questo documento viene compromesso (rubato), il titolare telefona ad un numero verde e lo disabilita, come se fosse una carta di credito. Il documento viene comunque disabilitato e rinnovato ogni 5 o 10 anni.
  6. L’utente si reca presso l’ufficio dell’anagrafe dove l’ufficiale verifica se la sua identità è già nota e rilascia una nuova copia del documento. In caso diverso, rilascia un nuovo documento.

Come potete capire, si tratta di una soluzione sub-ottimale. Forse non fa tutto quello che dovrebbe e resta comunque vulnerabile ad alcuni possibili attacchi che si possono progettare. Tuttavia, è una tecnica molto più semplice da implementare, più facile da controllare (sia per l’utente che per gli amministratori) e molto più affidabile di quella che prevede l’incapsulazione dei dati biometrici sul documento ed il loro uso ad ogni punto di identificazione.

Le ragioni di questa maggiore robustezza sono due.

La prima è che i dati restano all’interno del sistema dell’anagrafe, dove è più facile proteggerli da attacchi. Non vanno a spasso per il mondo insieme al documento.

La seconda è che, in ogni caso, questi elementi biometrici vengono usati solo per stabilire se la persona è già nota, non per definire la sua identità.

Si tratta, badate bene, dello stesso identico modello di sicurezza che usa la vostra banca per proteggere il vostro conto corrente.

Gli RFID

L’unica altra tecnica di marcatura “non cedibile” nota consiste nell’impiantare all’interno del corpo di una persona un apposito dispositivo tracciante, cioè un RFID, come si fa con i cani.

Voi siete un cane?

Conclusioni

Il Parlamento Europeo, troppo spesso formato da persone prive della necessaria preparazione tecnica, insensibili a queste tematiche e sottoposte ad una pesante pressione da parte delle lobby di settore, ha preso una decisione clamorosamente sbagliata e che avrà conseguenze molto gravi sulla vita di tutti i cittadini dell’Unione.

A parte la schedatura di massa che questa decisione comporta, dovremo affrontare casi di furto di identità di una gravità senza precedenti e sostanzialmente impossibili da redimere.

Tra dieci giorni si vota per il rinnovo di questo parlamento. Pensateci prima di mettere una croce sull’ennesima velina.

Alessandro Bottoni

alessandro.bottoni@infinito.it

www.alessandrobottoni.it

~ di ilprogettoarancione su 31 Maggio 2009.

Pubblicato su Politica, Riservatezza, Sicurezza, Tecnologia
Tag: , ,

Lascia un commento