en inglés/in English

La biometría pasa las pruebas de rapidez y seguridad, pero le falta precisión

El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) continúa su marcha hacia la aprobación de una tarjeta de identificación que almacena una huella digital y puede ser rápidamente autenticada sin que los datos abandonen la tarjeta. Las pruebas match-on-card (coincidencia en la tarjeta) muestran que la tecnología existente funcionará, aunque la precisión de la coincidencia no está a la altura de los estándares de NIST.

Según la norma HSPD-12, los empleados y contratistas federales tienen que migrar a tarjetas PIV (verificación de identidad personal) aprobadas a nivel federal para autenticar su identidad cuando deseen entrar a las instalaciones federales. El estándar de NIST de 2006 para implementar este requisito estipula que cada tarjeta de identidad tiene que almacenar la huella digital del usuario que será comparada con la huella digital real de esa persona cuando entre a una instalación.

Actualmente, cualquiera que entre a un punto de acceso controlado con biometría inserta su tarjeta inteligente PIV en una ranura y pasa su dedo por un escáner. El titular de la tarjeta introduce un PIN que permite que la huella digital en la tarjeta sea leída. El lector compara los datos almacenados con la imagen de la huella escaneada.

El primer objetivo de la prueba match-on-card de NIST era determinar si los datos biométricos del escáner de huellas pueden ser enviados a la tarjeta PIV de manera inalámbrica para compararlas utilizando un chip microprocesador integrado a la tarjeta. Los datos almacenados nunca abandonarían la tarjeta, y la tarjeta nunca tendría que ser insertada en un lector.

La otra prueba era para determinar si las claves electrónicas de las tarjetas inteligentes pueden mantener seguras las transmisiones de datos inalámbricas entre el lector de huellas digitales y las tarjetas, y ejecutar la operación de coincidencia dentro de los 2.5 segundos. Los científicos también evaluaron si la operación match-on-card produce alguna lectura de falsa aceptación y falso rechazo como los esquemas tradicionales match-on-card que necesitan una computadora con más poder de procesamiento.

¿Los resultados? Las huellas pueden leerse. Pero aún le falta precisión. NIST probó algunas tarjetas inteligentes – 10 con una clave de 128 bytes de largo y 7 con la clave de 256 que es más segura. Todas pasaron las pruebas inalámbricas de seguridad y tiempo. En la de precisión, sólo uno de los grupos de tarjetas cumplió con los criterios de NIST mientras que los otros dos fallaron por una pequeña diferencia. Se tiene planificado probar más tarjetas.

Aún así, NIST dice que la tecnología de identificación match-on-card sí cumple con su criterio estandarizado de precisión, lo cual es buena noticia para los vendedores que esperan producir las tarjetas. Cerca de 20 productos de huellas digitales estaban involucrados en algunos o todos los aspectos de la prueba.

Las pruebas, llamadas MINEX II (el nombre genérico para Intercambio de Interoperabilidad de Minucias de NIST), abarcan las tarjetas inteligentes ISO/IEC 7816 con capacidad para match-on-card. La evaluación MINEX II en 2008, conocida como Fase III, continuará “midiendo el mejoramiento de las implementaciones existentes, y evaluando otras”, según un informe de MINEX II. La prueba también confirmó, de anteriores evaluaciones MINEX, que “el uso de dos huellas digitales mejora considerablemente la precisión”.

MINEX II no evaluó los estándares de interfaz, protocolos de transmisión segura, ni vulnerabilidades de tarjeta y algoritmo. Además, no imitó un escenario determinado de verificación y no comparó los sensores de huellas o implementaciones system-on-card (sistemas en la tarjeta).

En el informe se hicieron varias advertencias relacionadas con el uso en la práctica. Por ejemplo, los bajos niveles de humedad están asociados al aumento de los falsos rechazos; se considera que las poblaciones de adultos más jóvenes son más fáciles de comparar y los usuarios que interactúan con el sistema de manera frecuente experimentan un menor índice de rechazo.