この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国機関は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力します。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。情報技術の分野では、ISO と IEC は共同技術委員会 ISO/IEC JTC 1 を設立しました。
国際規格は、ISO/IEC 指令Part 2 部に規定されている規則に従って草案されています。
合同技術委員会の主な任務は、国際規格を作成することです。合同技術委員会によって採択された国際規格草案は、投票のために各国機関に配布されます。国際規格として発行するには、投票を行っている国家機関の少なくとも 75% による承認が必要です。
この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。
ISO/IEC 19785-4 は、合同技術委員会 ISO/IEC JTC 1, 情報技術、小委員会 SC 37, 生体認証によって作成されました。
ISO/IEC 19785は、「情報技術 — 共通生体認証交換フォーマット フレームワーク」という一般タイトルの下、次の部分で構成されています。
- Part 1: データ要素の仕様
- Part 2: 生体認証登録局の運営手順
- Part 3: パトロン形式の仕様
- Part 4: セキュリティ ブロック形式の仕様
導入
生体認証および識別は、個人の認証および/または識別のための重要な技術です。生体認証の検証と識別に使用される生体認証データは、送信に干渉がない信頼できるソースからのものでなければなりません (完全性)セキュリティ ポリシーによっては、秘密を保持する (暗号化する) 必要がある場合とそうでない場合があります。 ISO/IEC 19785 のこの部分は、生体認証データの完全性と暗号化の両方を提供します。
相互運用性を確保するために、ISO/IEC 19785-1 で Common Biometric Exchange Formats Framework (CBEFF) が指定され、メタデータを 1 つ以上の Biometric Data Blocks (BDB) に関連付けました。 ISO/IEC 19785-1では、完全性と暗号化のオプションと、これらのオプションに関連するセキュリティ情報を格納するセキュリティブロック(SB)の概念が定義されていますが、セキュリティブロック(SBフォーマット)のフォーマットと詳細な内容は、指定されていない。
チェーンには、CBEFF パトロン形式から始まるいくつかのステップがあります。
第 1 に、パトロン フォーマットは、CBEFF データ要素 CBEFF_BDB_encryption_options の抽象値が NO ENCRYPTION に固定され、CBEFF データ要素 CBEFF_BIR_integrity_options が NO INTEGRITY に固定されることを決定できます。この場合、そのパトロン形式でセキュリティブロックを要求する必要はありません。
状況によっては、パトロン形式にセキュリティ ブロックを含める必要がある場合、ISO/IEC 19785 のこの部分で定義されているセキュリティ ブロックの 1 つとして (または他のセキュリティ ブロックとして) 修正するか、CBEFF データ要素を含めることができます。 CBEFF_SB_format_owner および CBEFF_SB_format_type は、これらのいずれか、またはその他のセキュリティ ブロック形式を識別します。
ISO/IEC 19785 のこの部分で定義されているセキュリティ ブロック形式以外にも、さまざまなニーズを満たす CBEFF セキュリティ ブロック形式が多数存在します。たとえば、セキュリティ ブロック形式は ISO/IEC 24713-3 の ILO 船員プロファイルに指定されています。第 5 条で指定されているセキュリティ ブロックの形式は、可能な限り一般的になるように設計されています。第 6 条で指定されているセキュリティ ブロック形式は、基本的なセキュリティ規定を提供するように設計されており、整合性のみをサポートします。
ISO/IEC 19785 のこの部分では、2 つのセキュリティ ブロック形式が指定されています。
最初のセキュリティ ブロックは、RFC 3852 Cryptographic Message Syntax (CMS) を使用して、暗号化と整合性のためのオプションの要素を備えた汎用セキュリティ ブロック形式を指定します。ただし、必要に応じて EnvelopedData, EncryptedData, SignedData 、および AuthenticatedData に特定の変更を加えます。 CBEFF に準拠して生体情報のセキュリティを表現するための要件。 2 つ目は、署名のみのセキュリティ ブロック形式と呼ばれるもので、これも RFC 3852 を使用して定義されています。
ISO/IEC 19785 のこの部分で指定されている汎用セキュリティ ブロック形式には、ISO/IEC 24761 で指定されているオプションの Authentication Context for Biometrics (ACBio) インスタンスも含まれています。ACBio は、RFC 3852 暗号メッセージ構文スキームも使用します。 ACBio インスタンスを含めることで、認証された生体認証を生成するシステムのセキュリティ レベルを決定できるようになります。 ACBio インスタンスのオプションの使用は、遠隔生体認証インフラストラクチャ (TAI) [3] の提供の重要な部分です。
1 スコープ
ISO/IEC 19785 のこの部分では、CBEFF 生体認証組織 ISO/IEC JTC 1/SC 37 によって定義された形式として、ISO/IEC 19785-2 に従って登録されたセキュリティ ブロック形式 (ISO/IEC 19785-1 を参照) を指定し、それらを指定します。登録されたセキュリティ ブロック形式の識別子。
注セキュリティ ブロック フォーマット識別子は、パトロン フォーマットの標準生体認証ヘッダー (SBH) に記録されます (または、そのパトロン フォーマットによって唯一利用可能なセキュリティ ブロック フォーマットとして定義されます)
汎用セキュリティ ブロック フォーマットは、生体認証データ ブロック (BDB) が暗号化されているか、SBH と BDB に整合性が適用されているか (またはその両方) の仕様を提供し、ACBio インスタンスを含めることができます (ISO/IEC 24761 を参照)このセキュリティ ブロックは、暗号化や整合性に使用されるものを含む、必要なセキュリティ パラメータをすべて提供します。
これは、暗号化または整合性に使用されるアルゴリズムとパラメータを制限しませんが、そのようなアルゴリズムとパラメータ値の記録を提供します。
特定のアプリケーション領域について、セキュリティ ブロックのジェネレーターがどのアルゴリズムとパラメータ範囲を使用できるかを決定することは、プロファイリングの問題であり、したがって、セキュリティ ブロックのユーザーはどのアルゴリズムとパラメータ範囲をサポートする必要があるかが決まります。これは、ISO/IEC 19785 のこの部分の範囲外です。
2 番目のセキュリティ ブロックはより制限されていますが、より単純です (特に、ACBio インスタンスを含めることはできず、BDB の暗号化はサポートされません)
2 規範的参照
この文書を適用するためには、以下の参照文書が不可欠です。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 882, 2004 年 7 月
- RFC 5911, 暗号メッセージ構文 (CMS) および S-MIME 用の新しい ASN.1 モジュール、2010 年 6 月
3 用語と定義
3.1 ISO/IEC 19785-1 で定義される用語
この文書の目的上、ISO/IEC 19785-1 で定義されている次の用語が適用されます。
生体認証、生体認証、生体認証データ ブロック (BDB)、生体認証情報レコード (BIR)、CBEFF 生体認証組織、セキュリティ ブロック (SB)、セキュリティ ブロック フォーマット、セキュリティ ブロック フォーマット識別子、セキュリティ ブロック フォーマット所有者、標準生体認証ヘッダー (SBH)
3.2 ISO/IEC 19784-1 で定義される用語
この文書では、ISO/IEC 19784-1 で定義されている次の用語が適用されます。
バイオAPIユニット。
3.3 ISO/IEC 24761 で定義される用語
この文書の目的上、ISO/IEC 24761 で定義されている次の用語が適用されます。
ACBio インスタンス、生体認証用の認証コンテキスト (ACBio)、生体認証処理ユニット (BPU)
3.4 ISO/IEC 9798-6 で定義される用語
この文書では、ISO/IEC 9798-6 で定義されている次の用語が適用されます。
メッセージ認証コード。
参考文献
| 1 | ISO/IEC 19785-2, 情報技術 — 共通生体認証交換フォーマット フレームワーク — Part 2: 生体認証登録局の運用手順 |
| 2 | ISO/IEC 24713-3, 情報技術 — 相互運用性とデータ交換のための生体認証プロファイル — Part 3: 船員の生体認証に基づく検証と識別 |
| 3 | ITU-T Rec. X.1089, テレバイオメトリクス認証インフラストラクチャ |
| 4 | FIPS PUB 201-, 連邦情報処理標準出版物、連邦職員および請負業者の個人 ID 検証 (PIV) |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 19785-4 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 37, Biometrics.
ISO/IEC 19785 consists of the following parts, under the general title Information technology — Common Biometric Exchange Formats Framework:
- Part 1: Data element specification
- Part 2: Procedures for the operation of the Biometric Registration Authority
- Part 3: Patron format specifications
- Part 4: Security block format specifications
Introduction
Biometric verification and identification are important techniques for the authentication and/or identification of an individual. Biometric data used in biometric verification and identification has to be from a trusted source with no interference in transmission (integrity). It might or might not be necessary for it to be kept secret (encryption) depending on security policy. This part of ISO/IEC 19785 provides for both integrity and encryption of the biometric data.
To ensure interoperability, the Common Biometric Exchange Formats Framework (CBEFF) was specified in ISO/IEC 19785-1 to associate meta-data with one or more Biometric Data Blocks (BDBs). In ISO/IEC 19785-1, the options for integrity and encryption, and the concept of a security block (SB) to contain security information related to these options are defined, but the format and detailed content of security blocks (SB formats) are not specified.
There are several steps in the chain, starting from a CBEFF patron format.
First, the patron format can determine that the abstract value of the CBEFF data element CBEFF_BDB_encryption_options is fixed as NO ENCRYPTION and that the CBEFF data element CBEFF_BIR_integrity_options is fixed as NO INTEGRITY. In this case, there is no need for a security block to be required in that patron format.
If the patron format requires the inclusion of a security block in some circumstances, it can fix it as one of the security blocks defined in this part of ISO/IEC 19785 (or as some other security block), or can include the CBEFF data elements CBEFF_SB_format_owner and CBEFF_SB_format_type to identify one of these or some other security block format.
Besides the security block formats defined in this part of ISO/IEC 19785, there will be many possible CBEFF security block formats meeting different needs. For example, a security block format is specified for the ILO seafarers profile in ISO/IEC 24713-3. The security block format specified in Clause 5 is designed to be as general as possible. The security block format specified in Clause 6 is designed to provide a basic security provision and supports integrity only.
This part of ISO/IEC 19785 specifies two security block formats.
The first security block specifies a general-purpose security block format with optional elements for encryption, and for integrity, using RFC 3852 Cryptographic Message Syntax (CMS), with certain modifications to EnvelopedData, EncryptedData, SignedData , and AuthenticatedData , to meet the needs and requirements in expressing the security of biometric information in conformance with CBEFF. The second is named signature-only security block format, which is also defined using RFC 3852.
The general-purpose security block format specified in this part of ISO/IEC 19785 also contains optional Authentication Context for Biometrics (ACBio) instances specified in ISO/IEC 24761. ACBio also uses the RFC 3852 Cryptographic Message Syntax scheme. The inclusion of ACBio instances enables the security levels of the systems producing the authenticated biometric to be determined. The optional use of ACBio instances is an important part of the provision of a telebiometric authentication infrastructure (TAI) [3].
1 Scope
This part of ISO/IEC 19785 specifies security block formats (see ISO/IEC 19785-1) registered in accordance with ISO/IEC 19785-2 as formats defined by the CBEFF biometric organization ISO/IEC JTC 1/SC 37, and specifies their registered security block format identifiers.
NOTE The security block format identifier is recorded in the standard biometric header (SBH) of a patron format (or defined by that patron format as the only available security block format).
The general-purpose security block format provides for specification of whether the biometric data block (BDB) is encrypted or the SBH and BDB have integrity applied (or both), and can include ACBio instances (see ISO/IEC 24761). This security block provides all necessary security parameters, including those used for encryption or integrity.
It does not restrict the algorithms and parameters used for encryption or integrity, but provides for the recording of such algorithms and parameter values.
It is a matter for profiling to determine, for a particular application area, what algorithms and parameter ranges can be used by the generator of a security block, and hence what algorithms and parameter ranges have to be supported by the user of a security block. This is out of the scope of this part of ISO/IEC 19785.
The second security block is more limited, but simpler (and in particular cannot contain ACBio instances, and does not support encryption of the BDB).
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 8824 (all parts) | ITU-T Rec. X.680–683, Information technology — Abstract Syntax Notation One (ASN.1)
- ISO/IEC 8825 (all parts) | ITU-T Rec. X.690–693, Information technology — ASN.1 encoding rules
- ISO/IEC 9798-6, Information technology — Security techniques — Entity authentication — Part 6: Mechanisms using manual data transfer
- ISO/IEC 19784-1, Information technology — Biometric application programming interface — Part 1: BioAPI specification
- ISO/IEC 19785-1, Information technology — Common Biometric Exchange Formats Framework — Part 1: Data element specification
- ISO/IEC 24761, Information technology — Security techniques — Authentication context for biometrics
- RFC 3852, Cryptographic Message Syntax (CMS), July 2004
- RFC 5911, New ASN.1 Modules for Cryptographic Message Syntax (CMS) and S-MIME, June 2010
3 Terms and definitions
3.1 Terms defined in ISO/IEC 19785-1
For the purposes of this document, the following terms defined in ISO/IEC 19785-1 apply:
biometric, biometrics, biometric data block (BDB), biometric information record (BIR), CBEFF biometric organization, security block (SB), security block format, security block format identifier, security block format owner, standard biometric header (SBH).
3.2 Terms defined in ISO/IEC 19784-1
For the purposes of this document, the following term defined in ISO/IEC 19784-1 applies:
BioAPI Unit.
3.3 Terms defined in ISO/IEC 24761
For the purposes of this document, the following terms defined in ISO/IEC 24761 apply:
ACBio instance, authentication context for biometrics (ACBio), biometric processing unit (BPU).
3.4 Terms defined in ISO/IEC 9798-6
For the purposes of this document, the following term defined in ISO/IEC 9798-6 applies:
message authentication code.
Bibliography
| 1 | ISO/IEC 19785-2, Information technology — Common Biometric Exchange Formats Framework — Part 2: Procedures for the operation of the Biometric Registration Authority |
| 2 | ISO/IEC 24713-3, Information technology — Biometric profiles for interoperability and data interchange — Part 3: Biometrics-based verification and identification of seafarers |
| 3 | ITU-T Rec. X.1089, Telebiometrics authentication infrastructure |
| 4 | FIPS PUB 201-1 (Change Notice 1), Federal Information Processing Standards Publication, Personal Identity Verification (PIV) of Federal Employees and Contractors |