Icke-funktionella krav - Förenklad utgivning SITHS eID

Icke-funktionella krav - Förenklad utgivning SITHS eID

Avläsning och verifiering av ID-handlingens elektroniska information

IFK1.1 ID-handlingens elektroniska innehåll ska avläsas maskinellt via enhetens NFC-läsare.

IFK1.2 ID-handlingens äkthet ska verifieras på kryptografisk väg.
För id-handlingar som följer ICAO 9303 (godkända resehandlingar), ska äkthetskontroll enligt ICAO 9303 del 11 utföras.

IFK1.3 Äkthetskontrollen ska ske direkt mellan utfärdarens system och chippet i ID-handlingen, och får alltså inte överlåtas till att ske genom programvara som finns innehavarens händer.

Biometrisk jämförelse av ansiktsbild av sökande

IFK2.1 Det ska utföras en biometrisk jämförelse av en ansiktsbild av sökanden [registrerad via kameran i ansökningsflödet] med den ansiktsbild som ID-handlingen bär.
Då uppgifter från ID-handlingen erhållits och äkthetskontrolleras ska en tillförlitlig jämförelse genomföras mellan den ansiktsbild som ID-handlingen bär och den person som uppger sig vara innehavaren av den.
För detta ska ansiktsigenkänningsteknik användas, eventuellt i kombination med manuell granskning.

IFK2.1.1 Den biometriska analysen ska inkludera analys av ansiktets geometri.

IFK2.1.2 Den biometriska analysen bör inkludera periokulär analys med fokus på ögonområdena.

IFK2.1.3 Den biometriska analysen ska resultera i en mätbar konfidensnivå utryckt i FAR (”false acceptance rate” enligt ISO/IEC 19795-1.)

IFK2.1.4 De biometriska algoritmerna och teknikerna för ansiktsigenkänning ska testas systematiskt mot referensdatauppsättningar för att visa en mycket låg förekomst av FAR. Som riktvärde bör FAR inte överstiga 1:10 000 (0,01 %). Detta värde ska innefatta det att antal försök till verifiering som systemet tillåter.

Not 1: Tolkningen torde vara att bilden läses in digitalt enligt IFK1.1.

Not 2: ”Det åligger utfärdaren att visa att funktionerna för biometrijämförelsen är tillräckligt tillförlitliga för att kunna användas på den angivna nivån.”

IFK2.2 Det ska kontrolleras att det kamerans bildsensor registrerar är en levande person.
Vägledande för dessa kontroller ska vara ISO/IEC 30107-1, avsnitt 5.1.
Det ska, så långt det är praktiskt möjligt, säkerställas

  • IFK2.2.1 att det kameran registrerar är en avbildning av en verklig närvarande person, inkluderande

    • djupledanalys av bildsekvenser för att kunna avgöra att det är ett tredimensionellt ansikte som avbildas

    • analys efter artefakter för att upptäcka ev. datorgenerering eller manipulation av bilder.

    • analys av strukturer och mönster i till exempel hud och ögon, för att skilja dessa från avbildningar på till exempel papper och skärmar

    • säkerställande att inte förinspelade sekvenser används

  • IFK2.2.2 att bilden verkligen kommer från kamerans bildsensor

  • IFK2.2.3 att bilden överförs i oförvanskat skick till utfärdaren för analys.

Provningsförfarande för biometrisk jämförelse enligt ISO/IEC 30107-1

IFK2.3 Den sammansatta kontrollen av de biometrisk jämförelserna ska ha genomgått ett provningsförfarande som visar att funktionen för att detektera manipulationer av olika slag, med den givna konfigurationen avseende tröskelvärden för negativa och positiva falska utslag (APCER resp. NPCER), motstår alla kända subversiva metoder som står till buds för en motiverad och erfaren motståndare som använder sig av allmänt tillgänglig teknik. I vanligt förekommande kriterier för provning motsvarar detta nivå 2 eller B.
Provningen ska ha genomförts med utgångspunkt i vedertagna metoder, till exempel ISO/IEC 30107-3, och vara utförd av kompetent, erkänt och oberoende provningsorgan.

Provningen av funktionen måste upprepas med viss regelbundenhet. Hur ofta styrs av utvecklingen, men förnyad provning bör ske åtminstone vart tredje år.
Om mer genomgripande ändringar sker eller om tröskelvärden ändras, måste en förnyad provning med dessa förutsättningarna göras innan den nya funktionen kan tas i bruk.

Bevarande av utfallet av kontroller

IFK2.4 Utfallet av samtliga kontroller i processen ska dokumenteras och bevaras för att möjliggöra uppföljning.

Motiv: Detta underlag krävs bland annat för utvärdering av de valda tröskelvärdena och för att kunna förbättra säkerhetsfunktionerna med tiden.

Avbryt process vid manipulationsförsök

IFK2.5 Då analyser och integritetskontroller med sannolikhet pekar mot att manipulationsförsök förekommer ska utgivningsprocessen avbrytas omedelbart och manuell handläggning ta vid.

IFK2.6 Sökanden ska inte ges fler försök att genomgå identifieringsprocessen till dess att händelsen utretts.

SLA-krav

IFK2.7 Tiden för godkännandeprocessen i Tjänsten, från “Beställning hanteras“ till “Redo att hämta“, får inte vid normal driftsituation överstiga 15 minuter, för att hela utfärdandeprocessen ska kunna utföras inom 30 min. (önskemål från SITHS PA).

Hantering av externa tjänster

TBD: Omförsök av misslyckade anrop till externa tjänster.

Hårdvarukrav för mobila enheter

Tillkommande hårdvarukrav för att stödja SITHS eID-app på iOS och Android, för att stödja inläsning av data från id-handlings chip.

  • NFC-läsare

Referenser

[ISO30107] ISO/IEC 30107-1:2023
Biometric presentation attack detection (PAD) syftar i det flöde till att bekräfta att personen (sökanden) som uppvisar sitt pass/id-kort är samma person vars biometriska information finns i id-handlingen.
ISO/IEC 30107-3 avser testning av lösningar för PAD.