Concordância de Chave Secreta Aplicada A Controle de Acesso Utilizando Biometria Da Íris e Sistemas RFID

Universidade Federal de Campina Grande
Centro de Engenharia Eltrica e Informtica

Departamento de Engenharia Eltrica
Programa de Ps-Graduao em Engenharia Eltrica
Tese de Doutorado
Concordncia de Chave Secreta Aplicada a

Controle de Acesso Utilizando Biometria da
ris e Sistemas RFID
Marcus Vinicius Corra Rodrigues
Campina Grande PB, Brasil

Maio de 2016
Universidade Federal de Campina Grande
Centro de Engenharia Eltrica e Informtica
Departamento de Engenharia Eltrica
Programa de Ps-Graduao em Engenharia Eltrica
Concordncia de Chave Secreta Aplicada a Controle de

Acesso Utilizando Biometria da ris e Sistemas RFID
Tese de Doutorado apresentada Coordenao do Programa de

Ps-Graduao em Engenharia Eltrica do Departamento de Engenharia
Eltrica da Universidade Federal de Campina Grande como requisito
necessrio para obteno do grau de Doutor em Cincias no Domnio
da Engenharia Eltrica.
rea de Concentrao: Processamento da Informao.
Francisco Marcos de Assis

Orientador
Bruno Barbosa Albert

Orientador
Campina Grande, Paraba, Brasil

Maio de 2016
FICHA CATALOGRFICA ELABORADA PELA BIBLIOTECA CENTRAL DA UFCG
R696c Rodrigues, Marcus Vinicius Corra.

Concordncia de chave secreta aplicada a controle de acesso
utilizando biometria da ris e sistemas RFID / Marcus Vinicius Corra
Rodrigues. Campina Grande, 2016.
174 f. : il.
Tese (Doutorado em Engenharia Eltrica) - Universidade Federal de

Campina Grande, Centro de Engenharia Eltrica e Informtica.
"Orientao: Prof. Dr. Francisco Marcos de Assis, Prof. Dr. Bruno
Barbosa Albert".
Referncias.
1. Engenharia Eltrica - Chave Secreta. 2. Controle de Acesso.

3. Biometria da ris. 4. RFID. I. Assis, Francisco Marcos de. II. Albert,
Bruno Barbosa. III. Ttulo.
CDU 621(083.73)(043)
Aos meus pais Hlcio Guimares Rodrigues e
Creusa Corra Rodrigues.
Agradecimentos
Aos meus pais que me puseram no mundo, me criaram e contriburam com exemplo e
orientao para formao do meu carter;
A minha esposa Fernanda e meu filho Vincius que sempre esto ao meu lado;
Aos meus irmos Carlos Alberto e Cludia, e familiares que me fortalecem com suas
mensagens de incentivo e apoio;
Aos professores Francisco Marcos e Bruno Albert pela orientao acadmica e pelo com-
partilhamento de conhecimentos valiosos, necessrios execuo deste trabalho;
Aos meus amigos vio Rocha, Marcelo Portela, Wamberto Queiroz e demais, que sempre
esto presentes;
Aos amigos do Iquanta;
Aos alunos de graduao Felipe Maia Msculo e Felippe Angelo Trigueiro pelas colabo-
raes nas simulaes;
Ao professor Valdemar C. Rocha Jr. e Danielle P. B. Camara, pelas contribuies iniciais

para parametrizao do software OSIRIS;
Aos professores do Departamento de Engenharia Eltrica da Universidade Federal de

Campina Grande e aos membros da Copele;
Aos meus colegas do IFPE;
A todos amigos e colegas que no foram citados nominalmente;
Ao apoio recebido pela CAPES, COPELE-UFCG e IFPE;

Resumo
Esta Tese trata de chaves criptogrficas baseadas em biometria. Alm de oferecer segu-
rana e privacidade da informao, chaves cripto-biomtricas tm a vantagem de serem forte-
mente ligadas ao usurio. Nesta Tese, foi proposta uma nova tcnica chamada Concordncia de
Chave Secreta Baseado em Biometria por Discusso Pblica com sistemas RFID, BSKAPD-
RFID. Trs fatores de segurana so utilizados, representados pelo cdigo ris, etiqueta RFID e
senha.
Um protocolo de reconciliao da informao (RI) que no requer as fases de destilao
vantagem e amplificao de privacidade tradicionais proposto. O protocolo RI do sistema
BSKAPD executado pelo leitor e etiqueta RFID, na fase de verificao, permite a discriminao
entre um usurio genuno e um impostor.
O sistema BSKAPD alm de agregar revogabilidade das chaves geradas, um importante
atributo necessrio para sistemas de controle de acesso fsico e lgico, permite a concordncia
de uma chave secreta ligada biometria da ris, entre os dispositivos etiqueta RFID (pertencente
ao usurio) e o leitor RFID (unidade verificadora) por meio de comunicaes sem fio. Essas cha-
ves acordadas possuem alta entropia, quando comparados com os obtidos por outros sistemas
cripto-biomtricos, como o mtodo de regenerao de chave cripto-biomtrica, bem estabele-
cido na literatura cientfica. Outro importante recurso de segurana do sistema BSKAPD a
renovao da chave simtrica a cada processo de autenticao positiva.
Expresses analticas do protocolo RI foram deduzidas e validadas. O sistema foi ava-
liado utilizando a base de dados pblica ICE2005 e obteve uma chave criptogrfica com 270
bits e entropia estimada em 156 bits, com parmetros de desempenho taxa de falsa aceitao,
FAR = 0, 00% e taxa de falsa rejeio, FRR = 3, 68%.
Nesta Tese, um trabalho um adicional foi proposto, um melhoramento no mtodo Daug-
man de reconhecimento da ris para aplicaes que tm restries ao uso da mscara de ocluso,
como o sistema BSKAPD. Foi apresentado um mtodo de distribuio dos pontos de aplicao
que melhora o desempenho do sistema biomtrico, evitando regies com elevada taxa de oclu-
ses por plpebras e pestanas, reduzindo o impacto de no se utilizar a mscara de ocluso na
etapa de verificao.
vi
Palavras-chave: Chave secreta, Controle de acesso, biometria da ris, reconciliao, RFID,

discusso pblica, mscara de ocluso, pontos de aplicao.
Abstract
This thesis deals with cryptographic keys based on biometrics. We propose a new techni-
que named Biometrics-Based Secret Key Agreement by Public Discussion with RFID systems
(BSKAPD-RFID). Three safety factors are used, represented by an iris code, an RFID tag and
a password.
An information reconciliation (IR) protocol that does not require the traditional advan-
tage distillation and privacy amplification phases is proposed. The IR protocol performed by
the RFID reader and tag enables a symmetric key agreement by discarding all the mismatching
bits present in genuine samples, while it can not do it by impostors, who are therefore rejected.
The BSKAPD system, besides adding revocability to generated keys, allows crypto-bio
key agreement between devices through wireless communication. These agreed keys have high
entropy, when compared with those obtained by others crypto-biometric systems, as crypto-bio
key regeneration systems. Another important safety feature is the renewal of the symmetric key
every positive authentication process.
Analytic expressions for IR protocol were derived and validated. The system was eva-
luated on the public database ICE2005 and obtained a 270 binary digit cryptographic key with
estimated entropy of about 156 bits at False Acceptance Rate (FAR) of 0.00 % and at False
Rejection Rate (FRR) of 3.68 %.
Finally, an improvement of the algorithm for the Daugmans iris recognition method is
introduced. It was designed for applications that have restrictions on the use of occlusion mask,
as occurs in the BSKAPD system. The distribution of the application points, after application
of the mentioned algorithm, is such that avoid regions with high rate of occlusions by eyelids
and eyelashes, therefore, reducing the impact of not using the occlusion mask in the matching
step.
Keywords: Secret key, access control, iris biometrics, reconciliation, RFID, public discussion,
occlusion mask.
Sumrio
1 Introduo 1
1.1 Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Principais Contribuies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.3 Organizao da Tese . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2 Reviso Bibliogrfica 10
2.1 Algoritmos de Reconciliao da Informao . . . . . . . . . . . . . . . . . . . 10
2.1.1 Protocolo de Bit de Paridade . . . . . . . . . . . . . . . . . . . . . . . 12
2.1.2 Protocolo BBBSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.1.3 Protocolo BBBSS Otimizado . . . . . . . . . . . . . . . . . . . . . . . 13
2.1.4 Protocolo Cascade . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.1.5 Protocolo Furukawa-Yamazaki . . . . . . . . . . . . . . . . . . . . . . 14
2.1.6 Protocolo Winnow . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.1.7 Protocolo RI proposto por Liu et al. . . . . . . . . . . . . . . . . . . . 15
2.2 Criptosistemas Biomtricos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.2.1 Segurana e Privacidade em Sistemas Biomtricos . . . . . . . . . . . 16
2.2.2 Requisitos para Proteo de Template . . . . . . . . . . . . . . . . . . 17
2.2.3 Classificao de Esquemas que Abordam a Unio de Tcnicas Cripto-
grficas com Biometria . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3 Preliminares 28
3.1 Sistemas Biomtricos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.1.1 Biometria da ris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.1.2 Desempenho de Sistemas Biomtricos . . . . . . . . . . . . . . . . . . 33
3.2 Sistema RFID Passivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.2.1 Custos da Etiqueta RFID x Tecnologia x Nr. de Portas x Segurana . . 37
4 Base de Dados e Software Utilizados 40

4.1 Base de Dados de Imagens para Reconhecimento da ris . . . . . . . . . . . . 40
4.2 Software Cdigo Aberto OSIRIS . . . . . . . . . . . . . . . . . . . . . . . . . 41
ix
4.3 Algoritmos Implementados em Matlabr . . . . . . . . . . . . . . . . . . . . 42

4.3.1 Extrao do Cdigo ris . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.3.2 Seleo dos Pontos Aplicao com Baixa Densidade de Ocluso . . . . 42
4.3.3 Ajuste de Rotao do Olho . . . . . . . . . . . . . . . . . . . . . . . . 42
4.3.4 Matriz de Comparaes . . . . . . . . . . . . . . . . . . . . . . . . . 43
5 Mtodo Daugman de Extrao de Cdigo ris 44

5.1 Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.2 Segmentao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.3 Normalizao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.4 Extrao das Caractersticas Biomtricas da ris . . . . . . . . . . . . . . . . . 48
5.5 Etapa de Comparao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
6 Melhoramento do Mtodo de Daugman - Pontos de Aplicao com Menor Densi-

dade de Ocluso 52
6.1 Mtodo de Distribuio dos Pontos de Aplicao Sobre a Regio com Menor
Densidade de Ocluso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
6.2 Resultados Experimentais e Avaliaes . . . . . . . . . . . . . . . . . . . . . 55
6.3 Concluses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
7 Concordncia de Chave Secreta Baseada em Biometria por Discusso Pblica com

Sistemas RFID 60
7.1 Segurana do Sistema BSKAPD . . . . . . . . . . . . . . . . . . . . . . . . . 60
7.1.1 Protocolo de Execuo da Fase de Inscrio . . . . . . . . . . . . . . 61
7.1.2 Protocolo de Execuo da Fase de Verificao . . . . . . . . . . . . . 62
7.1.3 Modelo de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
7.1.4 Definio de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . 65
7.1.5 Proteo de Template com a Tcnica Salting . . . . . . . . . . . . . . . 66
7.2 Esquema Proposto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
7.3 Fase de Inscrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
7.4 Fase de Verificao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
8 Estudo Analtico do Protocolo Proposto de Reconciliao da Informao 75

8.1 Protocolo Proposto para Reconciliao da Informao . . . . . . . . . . . . . 76
8.1.1 Fluxograma do Protocolo Proposto para a Reconciliao . . . . . . . . 80
8.1.2 Estudo Analtico do Protocolo Proposto de Reconciliao da Informao 86
8.1.3 Validao das Equaes do Algoritmo do Protocolo de Reconciliao
da Informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
8.1.4 Otimizao do Protocolo de Reconciliao pelas Escolhas dos Compri-
mentos dos Blocos k1 , k2 , k3 e k4 . . . . . . . . . . . . . . . . . . . . 100
x
8.2 Modelo Gaussiano das Distribuies Intraclasse e Interclasse . . . . . . . . . . 103

8.2.1 Cenrio 1: Modelo sem insero de Bit . . . . . . . . . . . . . . . . . 103
8.2.2 FRR e FAR a Partir dos Histogramas Obtidos Empiricamente, Cenrio 1 110
8.2.3 FRR e FAR a Partir dos Modelos Gaussianos, Cenrio 1 . . . . . . . . 111
8.2.4 Validao das Aproximaes Gaussianas do Cenrio 1, Utilizando os
Parmetros de Desempenho FRR e FAR . . . . . . . . . . . . . . . . . 112
8.2.5 Cenrio 2: Modelo com Insero de 860 bits ao Vetor CI . . . . . . . . 112
8.2.6 Validao das Aproximaes Gaussianas do Cenrio 2, Utilizando os
Parmetros de Desempenho FRR e FAR . . . . . . . . . . . . . . . . . 119
9 Resultados Experimentais, Ataques e Avaliaes 120

9.1 Ataques e Anlise de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . 123
10 Concluses e Perspectivas 126

10.1 Concluses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
10.2 Principais Contribuies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
10.3 Perspectivas para Pesquisas Futuras . . . . . . . . . . . . . . . . . . . . . . . 129
Apndices 130
A Tabelas 131
B Exemplos de Reconciliaes 135
C Valor Esperado do Nmero de bits a Descartar dos Blocos com Nmero mpar de
bits Diferentes. 145
D Probabilidade de Um Bloco do Algoritmo de Reconciliao Possuir Nmero mpar

de bits Diferentes 158
E Biografia e Publicaes 162
Referncias Bibliogrficas 164

Lista de Figuras
2.1 Modelo do canal de transmisso de Maurer. . . . . . . . . . . . . . . . . . . . 11

2.2 Classificao de esquemas de proteo de template por Jain et al. [1]. . . . . . 18
2.3 Proteo de template por transformao de atributos. . . . . . . . . . . . . . . 19
2.4 Classificao dos sistemas cripto-biomtricos por Kanade et al. [2]. . . . . . . 24
2.5 Proteo de dados biomtricos com criptografia clssica, [2]. . . . . . . . . . . 25
3.1 O olho humano. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

3.2 Grfico de dependncias de FAR e FRR com o nvel de segurana [3]. . . . . . 34
3.3 Teoria estatstica de deciso: formalismo para decises sob incerteza [4]. . . . . 36
3.4 Diagrama em bloco do leitor e etiqueta RFID. . . . . . . . . . . . . . . . . . . 37
5.1 Etapas de extrao do cdigo ris, mtodo Daugman. . . . . . . . . . . . . . . 45

5.2 Ilustrao da aplicao do operador integro-diferencial. . . . . . . . . . . . . . 46
5.3 Segmentao das plpebras com operador integro-diferencial e contorno para-
blico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
5.4 Segmentao das plpebras pelo mtodo Masek, utilizando transformada linear
de Hough. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.5 Esboo do processo de normalizao. . . . . . . . . . . . . . . . . . . . . . . 48
5.6 Partes real e imaginria de um filtro de Gabor 1D em quadratura. . . . . . . . . 49
5.7 Codificao sobre o plano complexo do fasor de fase representativo do pixel. . . 50
5.8 Representao da extrao das caractersticas da imagem normalizada da ris
por 3 pares de filtros de Gabor 2D, seguido de quantizao. . . . . . . . . . . . 50
6.1 Pontos de aplicao com distribuio homognea . . . . . . . . . . . . . . . . 54

6.2 Mapa de frequncia obtido por levantamento estatstico das regies mais afeta-
das pela mscara de ocluso. . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
6.3 Distribuio dos pontos de aplicao com menor ocorrncia de ocluso sobre
os eixos e . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
6.4 Histogramas das comparaes intra/interclasse com distribuio homognea
dos pontos de aplicao com/sem uso da mscara de ocluso. . . . . . . . . . . 56
xii
6.5 Histogramas das comparaes intra/interclasse com distribuio livre de oclu-

so/homognea dos pontos de aplicao, sem uso da mscara. . . . . . . . . . 57
6.6 Taxa de Falsa Rejeio (FRR) e Falsa Aceitao (FAR) para os dois mtodos:
(a) distribuio dos pontos de aplicao livre de ocluso, (b) distribuio homo-
gnea. Ambos sem uso da mscara na comparao. . . . . . . . . . . . . . . . 57
6.7 Curva ROC para os quatro mtodos DLOCM, DLOSM, DHCM e DHSM . . . 58
7.1 Diagrama do protocolo de execuo da fase de inscrio do BSKPAD. . . . . . 62

7.2 Diagrama do protocolo de execuo da fase de verificao do BSKPAD. . . . . 64
7.3 Diagrama do esquema cripto-biomtrico BSKAPD. . . . . . . . . . . . . . . . 68
7.4 Diagrama da fase de inscrio biomtrica do BSKAPD. . . . . . . . . . . . . . 69
7.5 Diagrama da fase de verificao do BSKAPD. . . . . . . . . . . . . . . . . . . 72
8.1 Fluxograma do protocolo proposto de reconciliao da informao. . . . . . . . 81

8.2 Sequncia de bits de X no i-simo passo. . . . . . . . . . . . . . . . . . . . . . 83
8.3 Diagrama de Venn dos ndices dos bits da sequncia inicial de T e descartes
realizados no passo i . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
8.4 Taxa de erro por bit final (hei i) aps um passo de RI em funo da taxa de erro
por bit inicial (ein
i ) e do comprimento do bloco (ki ). . . . . . . . . . . . . . . . 100
8.5 Comprimento das sequncias (hni i) de T e R aps o primeiro passo do proto-
colo RI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
8.6 Nmero mdio de bits errados (hn3 i.he3 i) e comprimento das sequncias de T
e R, ao final do protocolo RI . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
8.7 Diagrama do esquema acordo da chave cripto-biomtrica com substituio do
mdulo concatenao pelo mdulo XOR . . . . . . . . . . . . . . . . . . . . . 104
8.8 Histograma de densidade de probabilidade referente s comparaes intraclasse
e interclasse, sem insero de bits ao vetor caracterstica da ris CI. . . . . . . . 105
8.9 Histograma das comparaes intraclasse (com nenhum bit inserido ao CI) e o
modelo estimado da funo densidade de probabilidade como mistura de duas
gaussianas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
8.10 Histograma normalizado das comparaes interclasse (com nenhum bit inserido
ao CI) e seu modelo estimado representado por uma gaussiana. . . . . . . . . . 108
8.11 Aproximaes gaussianas dos histogramas das comparaes intraclasse e inter-
classe, para cenrio com nenhum bit inserido ao CI . . . . . . . . . . . . . . . 109
8.12 Aproximao gaussiana dos histogramas das distncias de Hamming normali-
zadas intraclasse e interclasse para cenrio sem insero de bit ao CI e limiar
= 0, 3055. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
8.13 Curvas FRR e FAR levantadas empiricamente, em que nenhum bit foi inserido
ao CI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
xiii
8.14 Histograma de densidade de probabilidade referente a 13.836 comparaes in-

traclasse e 14.240 comparaes interclasse com 860 bits inseridos ao vetor ca-
racterstica da ris CI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
8.15 Nmero mdio de bits errados (hn3 i.he3 i) e comprimento (hn3 i) das sequncias
de T e R ao final do protocolo RI . . . . . . . . . . . . . . . . . . . . . . . . 115
8.16 Curvas FRR e FAR para 860 bits inseridos ao CI. . . . . . . . . . . . . . . . . 116
8.17 Modelo estimado de mistura de gaussianas para comparaes intraclasse e mo-
delo gaussiano para comparaes interclasse (com 860 bits inseridos ao CI). . . 117
9.1 Comparao entre o esquema de concordncia de chave cripto-biomtrica e o

melhor resultado do esquema de regenerao de chave cripto-biomtrica. . . . . 122
Lista de Tabelas
6.1 Tabela de desempenho em funo do mtodo de distribuio dos pontos de apli-

cao, com e sem uso da mscara de ocluso . . . . . . . . . . . . . . . . . . . 56
8.1 Equaes da probabilidade do nmero de bits a descartar por bloco, PDO , em

funo do comprimento de bloco ki , do comprimento inicial ni da sequncia
X (i) e da probabilidade de erro por bit ei . . . . . . . . . . . . . . . . . . . . . . 90
8.2 Equaes do comprimento final esperado (hni i) das sequncias X (i) e Y (i) ao
final do passo i, aps todos os descartes de bits . . . . . . . . . . . . . . . . . 91
8.3 Equaes do comprimento final esperado (hni i) das sequncias X (i) e Y (i) ao
final do passo i . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
8.4 Equaes para NBDd , valor esperado do nmero de bits diferentes a descartar
por todos os blocos (X j ,Y j ) que possuem nmero mpar de bits diferentes, em
funo de ni , ki e ei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
8.5 Equaes para taxa de erro por bit (hei i) das sequncias finais no passo i em
funo da taxa de erro por bit ei e do comprimento de bloco ki . . . . . . . . . . 95
8.6 Resultados analticos e empricos do comprimento das sequncias hni i de X (i)
e Y (i) , aps um passo. Comprimento do bloco k : 2 a 13 bits . . . . . . . . . . 98
8.7 Resultados analticos e empricos da taxa de erro por bit hei i, aps um passo.
Comprimento do Bloco k : 2 a 13 bits . . . . . . . . . . . . . . . . . . . . . . 99
8.8 Parmetros do modelo da aproximao mistura gaussiana, g(x), das compara-
es intraclasse (com nenhum bit inserido ao CI) . . . . . . . . . . . . . . . . 107
8.9 Parmetros do modelo da aproximao gaussiana, f(x), das comparaes inter-
classe (com nenhum bit inserido ao CI). . . . . . . . . . . . . . . . . . . . . . 108
8.10 Resultados empricos e estimados dos parmetros de desempenho FRR e FAR,
cenrio 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
8.11 Parmetros do modelo da aproximao mistura gaussiana, g(x), das compara-
es intraclasse (com 860 bits inseridos ao CI) . . . . . . . . . . . . . . . . . . 118
8.12 Parmetros do modelo da aproximao gaussiana, FDP das comparaes inter-
classe (com 860 bits inseridos ao CI) . . . . . . . . . . . . . . . . . . . . . . . 118
xv
8.13 Resultados empricos e estimados dos parmetros de desempenho FRR e FAR,

cenrio 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
9.1 Resultados experimentais utilizando protocolos RI com 3 passos e 4 passos, e

critrio de deciso h(KX2 ) = h(KY2 ) AND |KY2 | n , n Menor comprimento
de chave final. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
9.2 Comparaes do esquema BSKAPD com esquemas de regenerao de chave. . 122
9.3 Resultados experimentais em que o usurio teve sua T e senha comprometidas,
usando protocolo RI com 3 passos e 4 passos, para algoritmos com critrio de

deciso simples, h(KX2 ) = h(KY2 ) , e com critrio de deciso dupla, h(KX2 ) =

h(KY2 ) AND |KY2 | n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
A.1 Valores timos de k1 , k2 e k3 que permitem reconciliao das sequncias (Ine-

quao 8.19) de T e R em funo de valores de HdN , para n1 com 1.188 bits. . 131
A.2 Planilha frequncia relativa em funo da HdN entre as sequncias de template
transformado T T e T T 0 sem insero de bits . . . . . . . . . . . . . . . . . . . 132
A.3 Planilha freq. relativa em funo da HdN entre as sequncias de template trans-
formado T T e T T 0 com insero de 860 bits . . . . . . . . . . . . . . . . . . . 133
A.4 Valores timos de k1 , k2 e k3 que permitem reconciliao das sequncias (Ine-
quao 8.19) de T e R em funo de valores de HdN , para n1 com 2.048 bits . 134
B.1 Sequncias possveis de Eve tendo a informao H (X)=1 . . . . . . . . . . . . 136

B.2 Sequncias possveis de Eve aps Alice descartar o primeiro bit . . . . . . . . . 136
B.3 Sequncias possveis com um nico erro entre um bloco de comprimento k de
X e Y , suas respectivas sequncias finais e valor esperado do nmero de bits
descartados para um nico bloco de comprimento k cujo teste de paridade de
bloco em X e Y diferiu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
C.1 Valor esperado do nmero de bits diferentes a descartar e total de bits a des-
cartar, para cada probabilidade parcial de ocorrncia de nmero mpar de bits
diferentes no bloco. Bloco ki = 2 bits. . . . . . . . . . . . . . . . . . . . . . . 146
xvi
C.9 Valor esperado do nmero de bits diferentes a descartar e total de bits a descartar, para
cada probabilidade parcial de ocorrncia de nmero mpar de bits diferentes no bloco.
Bloco ki = 10 bits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Bloco ki = 11 bits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Bloco ki = 12 bits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Bloco ki = 13 bits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Lista de Siglas
AES - Advanced Encryption Standard

AU - Almost Universal
BBBSS - Iniciais dos nomes Bennett, Bessette, Brassard, Salvail e Smolin
BER - Bit Error Rate
BSC - Binary Symmetric Channel
CAR - Correct Accept Rate
CBS Database - Casia-BioSecure Iris Database
CCE - Cdigo Corretor de Erro
CI - Cdigo ris
CMC - Cumulative Match Characteristic
CRR - Correct Reject Rate
dHN - Distncia de Hamming Normalizada
DHCM - Distribuio Homognea Com uso da Mscara de Ocluso
DHSM - Distribuio Homognea Sem uso da Mscara de Ocluso
DLOCM - Distribuio Livre de Ocluso Com uso da Mscara de Ocluso
DLOSM - Distribuio Livre de Ocluso Sem uso da Mscara de Ocluso
DMC - Discrete Memoryless Channel
DNA - Deoxyribonucleic Acid
DoF - Degrees of Freedom
EER - Equal Error Rate
FAR - False Acceptance Rate
FMR - False Match Rate
FN - False Negative
FNMR - False Non Match Rate
FP - False Positive
FRR - False Rejection Rate
GE - Gates Equivalents
Hash NH - New Hash function family NH
Hash WH - Hash Function WH (Weighted Polynomial With Reduction). Variant of NH
ICE - Iris Challenge Evaluation
xviii
ICE-Exp1 - ICE Experiment-1 (right eye experiment)

ICE-Exp2 - ICE Experiment-2 (left eye experiment)
IEC - Interactive Error Correction
LDPC - Low Density Parity Check
NIST - National Institute of Standards and Technology
OSIRIS - Open Source Iris Recognition System
OWHF - One-Way Hash Functions
PIBP - Protocolo de Iterao de Bit de Paridade
PRNG - Pseudorandom Number Generator
QKD - Quantum Key Distribution
RF - Radio Frequency
RFID - Radio Frequency IDentification
RI - Reconciliao da Informao
ROC - Receiver Operating Characteristic
RS - Reed-Solomon Code
RSA - (R)ivest-(S)hamir-(A)dleman, Algoritmo criptogrfico com chaves assimtricas,
SHA-1 - Secure Hash Algorithm
SNR - Signal-to-Noise Ratio
TA - True Accept
TN - True Negative
TP - True Positive
TR - True Reject
Lista de Smbolos
Adv: Adversrio;
(ki , ei ): probabilidade de um bloco de comp. ki possuir no mpar de bits diferentes.
: funo de permutao em todas as bijees de {1, 2, ..., ni }.
CI: Cdigo ris, CI {0, 1}t , t = 1.188 bits;
CIC : Cdigo ris aps concatenao. CIC = CI k SC;
DPW 0 (): Bloco decifrador, cuja chave de decifragem a senha PW 0 ;
EPW (): Bloco cifrador, cuja chave de cifragem a senha PW ;
i : passo do protocolo de reconciliao da informao, RI = {RI (i) |i {1, 2, 3, 4}}.
ki : comprimento do bloco no passo i.
KX1 : Chave secreta armazenada na T e base de dados (cifrado), KX1 {0, 1}m ;
SC: Sequncia binria para concatenao, SC {0, 1}n , n = 860 bits;
SS: Sequncia binria da semente de embaralhamento, SS {0, 1}r , r = 256 bits;
SCF : Seq. cifrada gerada na inscrio e armazenada na base de dados, SCF = EPW (KX1 , SS, SC);
SDF : Sequncia decifrada na 0fase de verificao, cuja chave de decifragem PW 0 ,
SDF = DPW 0 (SCF ) = (KX1 , SC0 , SS0 );
FSC,SS (CI): Funo invertvel de transformao do CI, com parmetros SC e SS;
PA - Probabilidade de erro de bit de Alice.
PB - Probabilidade de erro de bit de Bob.
PE - Probabilidade de erro de bit de Eve.
nIi : comprimento das sequncias X (i) e Y (i) no incio do passo i.
ni : comprimento das sequncias X (i) e Y (i) no incio do passo i aps inserir qi zeros ao
final da sequncia, de modo que ni seja divisvel por ki .
hni i : comprimento das sequncias X (i) e Y (i) ao final do passo i.
H [Xab ] := {bi=a xi = (xa xa+1 . . . xb ) a, b e i N e a < b}.
H [Yab ] := {bi=a yi = (ya ya+1 . . . yb ) a, b e i N e a < b}.
ein
i : taxa de erro por bit no incio do i-simo passo de RI, antes da insero de zeros.
ei : taxa de erro por bit no incio do i-simo passo de RI, aps insero de qi zeros.
hei i : taxa de erro por bit aps o i-simo passo de RI, ou seja, aps os descartes de bits.
mi := dlog2 ki e.
ni /ki : nmero de blocos no passo i.
xx
(i)
NEB : no esperado de blocos com no par de bits diferentes no passo i. Em que EB : Even Block.
(i)
NOB : no esperado de blocos com no mpar de bits diferentes no passo i. Em que
OB : Odd Block.
(i)
NT D : no total esperado de bits a descartar ao fim do passo i.
(i)
NT DE : no esperado de bits a descartar de todos os blocos com no par de bits diferentes.
(i)
NT DO : no esperado de bits a descartar de todos os blocos com no mpar de bits diferentes.
NBDd : valor esperado do no de bits diferentes a descartar de todos os blocos que
possuem no mpar de bits diferentes.
: operao lgica XOR.
PW : Senha de UA com 12 caracteres;
PDO : somatrio do produto das probabilidades parciais de um bloco possuir no mpar
de bits diferentes pelo seus respectivos valores esperados de bits a descartar.
qi : nmero de zeros a concatenar ao final das sequncias X (i) e Y (i) a fim de torn-las
divisveis por ki ; qi = ki ri ; ri : resto da razo nIi /ki .
X (i) e Y (i) : Seq. de bits no incio do passo i do protocolo RI, respect. em T e R;
X (i) = (0, 1)nIi ;
X (i) = {xsi | s N, s = (1, 2, ..., nIi )}.
Y (i) : sequncia de bits iniciais do leitor (R, Read), no passo i; Y (i) = (0, 1)nIi ;
Y (i) = {yis | s N, s = (1, 2, ..., nIi )}.
(i) (i)
X j e Y j : blocos j do passo i das sequncias X (i) e Y (i) , respectivamente; j
{1, 2, ..., ni /ki };
X j = {xk( j1)+1 , xk( j1)+2 , ..., xk j }; Y j = {yk( j1)+1 , yk( j1)+2 , ..., yk j }.
T T : template transformado. T T = FSC,SS (CI);
UA , UV : Usurio cadastrado e usurio a ser verificado, respectivamente;
T e R: etiqueta RFID e leitor RFID, respectivamente;
C APTULO 1
Introduo
1.1 Introduo
Os avanos tecnolgicos e a massificao dos produtos ento advindos, refletem o cres-
cimento no volume de transmisso e armazenamento de informaes. Uma consequncia ime-
diata deste crescimento o aumento na demanda por requisitos de segurana contra acesso
indevido de pessoas a essas informaes. As pesquisas no mbito de sistemas de controle de
acesso lgico, tambm aplicveis em controle de acesso fsico, buscam reunir atributos neces-
srios garantia dessa segurana.
A criptografia um campo da cincia bem estabelecido como mecanismo de segurana
da informao. Entretanto, a segurana de muitos dos tradicionais criptosistemas (tais como o
cifrador assimtrico RSA proposto por Rivest-Shamir-Adleman [5] e os cifradores simtricos:
stream cipher one-time pad [6], cifrador de bloco AES-Advanced Encryption Standard [7] e
o DES-Data Encryption Standard [8]) necessitam de chaves que devem ser secretas, longas e
mais aleatrias quanto possvel, a fim de reunir os requisitos de segurana.
Os requisitos de segurana dos criptosistemas exigem chaves longas e sua memorizao
est alm da capacidade humana. Por exemplo, a recomendao NIST [9] do comprimento
de chave de autenticao para verificao de identidade pessoal para os cifradores assimtricos
RSA 2.048 bits e para os cifradores simtricos 128-256 bits. Em geral, so utilizados dis-
positivos fsicos como smartcards, etiquetas RFID (Radio Frequency IDentification), tokens,
entre outros, para armazenamento destas longas chaves, as quais normalmente so protegidas
por mecanismos de autenticao baseados em senhas. Diversos trabalhos utilizam estes fatores
de segurana [10] [11], em que a senha caracteriza o fator de segurana baseado no que a pes-
soa sabe (knowledge-based factor), enquanto os dispositivos smartcard, token e etiqueta RFID
caracterizam o fator de segurana baseado no que a pessoa possui (ownership-based factor).
Estes fatores de segurana so vulnerveis a diversos ataques. Senhas so vulnerveis a ataques
como phishing, fora bruta, engenharia social, monitorao de teclado, falso login entre outros;
o token, smartcard e etiqueta RFID podem ser roubados, clonados, entre outros. Assim, apesar
Introduo 2
dos esforos de contramedidas de segurana, estes dois fatores no so suficientes para prevenir
um impostor de obter uma autenticao positiva imprpria. Por outro lado, no modelo de segu-
rana destes criptosistemas no se pode garantir o no repdio (Este mecanismo garante que, se
um usurio ganha um acesso do sistema, a negao de tal acesso conflita com uma desprezvel
probabilidade que este acesso tenha sido realizado por uma outra pessoa).
A biometria permite o reconhecimento automatizado de indivduos com base em suas
caractersticas comportamentais e biolgicas (ISO/IEC JTC1 SC37, [12]). Diversas biometrias
so utilizadas, tais como a biometria da impresso digital, da ris, da face, dentre outras. A
introduo da biometria em sistemas criptogrficos de controle de acesso incorpora um fator de
autenticao baseado em caractersticas intrnsecas do usurio (features-based authentication
factor), e como principal benefcio, o sistema pode garantir o no repdio. Uma vez que as
caractersticas biomtricas de uma pessoa no so renovveis, sistemas criptogrficos baseados
em biometria devem ser capazes de assegurar a proteo dos dados biomtricos originais. A
combinao de tcnicas criptogrficas com biometria permite um aumento na privacidade e na
diversidade do template1 biomtrico.
Kanade et al. [2] classificaram trs tcnicas para obter chaves criptogrficas baseadas
em biometria (chaves cripto-bio): liberao de chave cripto-bio, gerao de chave cripto-
bio e regenerao de chave cripto-bio. Neste trabalho introduzida uma nova tcnica para
se obter chaves criptogrficas baseadas em biometria, chamada concordncia de chave cripto-
bio (crypto-bio agreement), em que trs fatores de autenticao so utilizados: biometria da
ris, etiqueta RFID passiva e senha.
O sistema proposto de concordncia de chave cripto-bio, alm de incorporar a conhe-
cida tcnica salting de proteo de template biomtrico, que garante proteo e diversidade de
template, prope um novo protocolo de reconciliao da informao cuja funo permitir que
a etiqueta RFID (propriedade do usurio) e leitor RFID (pertencente unidade de autenticao)
consigam gerar uma chave secreta simtrica por meio da comunicao pelo canal pblico, ape-
nas quando as amostras biomtricas extradas no cadastro e na fase de verificao pertencem ao
mesmo usurio.
O sistema proposto difere dos demais sistemas criptogrficos baseados em biometria sob
vrios aspectos:
As chaves secretas simtricas so geradas apenas aps a concluso do protocolo de au-

tenticao e condicionada verificao positiva;
A comunicao entre a unidade verificadora (leitor RFID) e a etiqueta RFID do usurio

sem fio, podendo a etiqueta RFID estar implantada em um objeto (ownership-based
factor) do usurio, sem a necessidade de contato eltrico ou visual com a unidade auten-
ticadora.
1 Sequncia binria extrada a partir das caracterstica biomtricas.
Introduo 3
As chaves secretas fortemente ligadas ao usurio e geradas simetricamente pelos dispo-

sitivos comunicantes, os quais no necessariamente precisam estar prximos, podem ser
utilizadas em qualquer sistema criptogrfico tradicional, inclusive o stream cipher one-
time pad [6];
As chaves secretas so renovadas a cada autenticao positiva do usurio, aumentando a

segurana do sistema.
1.2 Principais Contribuies

1. A principal contribuio desta Tese a proposio de uma nova tcnica de obteno de
chave criptogrfica baseada em biometria, denominada Concordncia de Chave Secreta
Baseado em Biometria por Discusso Pblica em Sistemas RFID, com sigla BSKAPD
(Biometrics-Based Secret Key Agreement by Public Discussion). O sistema BSKAPD
proposto possui as seguintes caractersticas:
(a) Utiliza trs fatores de segurana: a biometria da ris como fator baseado nas carac-
tersticas intrnsecas do usurio, a etiqueta RFID passiva como fator baseado no que
o usurio possui e a senha como fator de segurana baseado em um conhecimento
do usurio.
(b) Por utilizar o fator de segurana biomtrico, o sistema BSKAPD agrega um impor-
tante atributo necessrio para sistemas de controle de acesso lgico e fsico, o no
repdio. Resultados experimentais mediram esta caracterstica por meio da taxa de
falsa aceitao (FAR). Para os diversos esquemas propostos nesta Tese, os resulta-
dos experimentais acusaram FAR nula, atributo que garante com alta probabilidade
que uma autenticao positiva de acesso fornecida a um dado usurio A, no pode
ser negada a posteriori por este usurio.
(c) Por utilizar a etiqueta RFID passiva como fator de segurana baseado no que a pes-
soa possui, as comunicaes deste dispositivo com a unidade autenticadora (leitor
RFID da unidade de verificao) do tipo sem fio, permitindo que a etiqueta possa
ser inserida em um objeto do usurio (por exemplo um crach ou chaveiro), sem
necessidade de conexo eltrica nem estar visvel perante a unidade leitora.
(d) As chaves secretas simtricas, na etiqueta RFID e no leitor RFID (unidade veri-
ficadora), so geradas apenas aps a execuo completa do protocolo proposto e
condicionado autenticao positiva do usurio, ou seja, com alta probabilidade a
autenticao genuna2 .
2 Nestetrabalho, uma autenticao dita ser genuna quando os trs fatores apresentados na fase de verificao,
so os mesmos utilizados na fase de cadastro. Isto , a ris pertence ao mesmo usurio, assim como a etiqueta e a
senha so as mesmas geradas no cadastro do usurio.
Introduo 4
(e) Renovao das chaves secretas simtricas aps cada processo de autenticao posi-
tiva, aumentando a segurana do sistema.
(f) O sistema BSKAPD revogvel. O mesmo possui um mdulo de proteo de tem-
plate que aplica uma funo invertvel3 ao template biomtrico original, gerando o
template transformado T T . Ento, se este template transformado for comprome-
tido, por exemplo a etiqueta RFID e/ou a senha forem comprometidas, eles podem
ser cancelados e um novo template transformado ser gerado. Portanto, o sistema
permite gerar um novo cadastro da senha e da etiqueta RFID;
(g) Proteo contra ataques utilizando o template biomtrico original. Um mesmo tem-
plate biomtrico aps transformao pela funo invertvel com parmetros dife-
rentes, gera sequncias descorrelacionadas no domnio transformado, e a compara-
o delas pode ser vista como uma comparao entre duas sequncias aleatrias.
Portanto, se um adversrio (atacante) roubar os dados biomtricos originais de um
usurio genuno e tentar obter uma verificao positiva gerando por adivinhao
o template transformado, o sistema, com alta probabilidade, resiste a este tipo de
ataque;
(h) Proteo da informao biomtrica. A comparao de diferentes templates ocorre
no domnio transformado. No computacionalmente realizvel, obter o vetor ca-
racterstica biomtrica original a partir do template transformado T T , sem o conhe-
cimento dos parmetros da funo invertvel. Estes parmetros so armazenados na
base de dados sob a forma cifrada, a qual dita ser usurio-especfica, uma vez que
a chave de cifragem a senha, de conhecimento apenas do usurio;
(i) Diversidade de template. O mdulo de proteo de template garante que um mesmo
template biomtrico original possa ser usado por diversas aplicaes. Um adver-
srio que obtm o template transformado de uma aplicao ao atacar uma base de
dados, no obtm nenhuma vantagem extra ao tentar autenticao positiva em outra
aplicao.
Durante o processo de concepo do sistema cripto-biomtrico proposto BSKAPD, desta-

se as seguintes contribuies:
2. Melhoramento do desempenho do mtodo de Daugman de extrao do cdigo ris,

por selecionar pontos de aplicao que evitam regies de alta densidade de ocluso.
No mtodo de reconhecimento da ris proposto por Daugman [4], os pontos de aplica-
o determinam quais pixels da imagem normalizada da ris sero utilizados para extrair
o cdigo binrio. A distribuio homognea destes pontos de aplicao, proposta por
Daugman, muitas vezes seleciona pixels com rudo causado pela plpebra, clio ou re-
3 Do dicionrio Aurlio, invertvel aquele que se pode inverter.
Introduo 5
flexo especular. Ento, uma mscara de ocluso gerada contendo informaes sobre
quais regies da imagem normalizada da ris esto com ocluso devida a rudos.
Na fase de verificao, ao calcular a distncia de Hamming entre dois cdigos ris, Daug-
man desconsidera as comparaes dos bits extrados dos pontos de aplicao cuja coor-
denada na mscara de ocluso incide em rudo. Entretanto, alguns esquemas de proteo
de template biomtrico [13, 14] tm restries quanto ao uso de tais mscaras, seja por
limitao da memria/custo computacional seja por limitaes do prprio algoritmo.
Nesta Tese, proposto um mtodo de seleo das coordenadas dos pontos de aplicao,
de tal modo a evitar regies com alto ndice de ocluso. Este mtodo, permite melhorar
o desempenho dos esquemas de proteo de template que possuem restries ao uso da
mscara de ocluso, incluindo o sistema BSKPAD aqui proposto, o qual, por utilizar
etiqueta RFID passiva, possui limitao de memria e capacidade computacional.
3. Proposio de um protocolo de reconciliao da informao, cuja busca dicotmica4

pelo bit diferente no vaza informao fsica5 de bit para o adversrio.
O protocolo de reconciliao da informao (RI) executado num cenrio em que as
duas partes comunicantes (etiqueta e leitor RFIDs) com sequncias correlacionadas X
e Y , respectivamente, desejam trocar informaes de paridade pelo canal pblico, na pre-
sena de um adversrio passivo, a fim de chegarem ao final do protocolo numa sequncia
comum.
Para tal, o protocolo RI divide as sequncias em blocos. Bloco por bloco tem sua paridade
enviada pelo canal para que o teste de comparao seja realizado. Nos blocos cuja a
paridade diferente (possui nmero mpar de bits diferentes) realizado um algoritmo
de busca dicotmica a fim de encontrar o bit diferente. A busca consiste em dividir os
blocos ao meio em sub-blocos e realizar o teste de paridade nessa primeira metade. Se
a paridade diferir, ento, o bit diferente est presente nesta primeira metade, e a busca
dicotmica continua neste sub-bloco; caso contrrio, o bit diferente est na outra metade,
e a busca dicotmica repetida nesta segunda metade.
O algoritmo de busca dicotmica padro utilizado no protocolo de reconciliao cascade,
introduzido por Brassard e Savail [16], bem como em outros protocolos de reconciliao,
como o protocolo proposto por Liu et al. [17], repete sucessivamente o procedimento de
busca no sub-bloco que contm o bit diferente, at encontr-lo. Numa etapa, antes de
4 Busca dicotmica um algoritmo que opera selecionando entre duas alternativas distintas (dicotmicas) a cada
passo. Em algoritmos de reconciliao da informao, inicialmente o bloco dividido ao meio e o teste de paridade
realizado em uma das metades. Aps as duas sequncias que desejam reconciliar trocarem esta informao, a
metade que difere sua paridade identificada, e na mesma repetido o procedimento, at que o bit divergente seja
encontrado.
5 Informao fsica de um bit o seu valor binrio (0 ou 1). Bit fsico e bit de paridade so ditos bits de-
terminsticos, porm, bit de informao no sentido da teoria da informao de Shannon, no necessariamente

determinstico [15].
Introduo 6
encontrar o bit diferente, o sub-bloco que possui o bit diferente pode possuir dois bits.
Ento, durante a busca dicotmica padro, o prximo passo dividir o par de bits ao meio
e enviar a paridade do primeiro bit pelo canal para testar suas paridades em X e Y . Neste
momento, o adversrio obtm informao fsica destes dois bits.
O protocolo de busca dicotmica proposto nesta Tese, possui uma condio de parada
quando o sub-bloco, no qual o teste de paridade est sendo realizado, possui comprimento
igual a dois bits. Neste momento, se o bit diferente pertence a este sub-bloco, os dois bits
so descartados juntamente com o primeiro bit da segunda metade. Caso contrrio, os
bits da segunda metade so descartados junto com o primeiro bit da primeira metade.
Esta ao no final do algoritmo de busca dicotmica, evita o conhecimento por parte do
adversrio de bits fsicos da sequncia inicial do protocolo, ou seja, a sequncia de bits
do template transformado.
Outras diferenas do protocolo RI proposto nesta Tese com relao ao protocolo cas-
cade [16] que no primeiro, o bit diferente descartado (da mesma forma que em [17])
e para cada teste de paridade comunicado pelo canal, um bit escolhido para descarte,
enquanto que no mtodo cascade, o bit diferente corrigido, e nenhum descarte rea-
lizado durante o protocolo RI. Entretanto, todas as informaes vazadas pelo adversrio
so compensadas posteriormente na etapa de amplificao da privacidade com uso de
funo uma hash criptogrfica.
Alm desses descartes descritos no final do algoritmo de busca dicotmica, o protocolo
RI proposto nesta Tese descarta o primeiro bit de todos os blocos e sub-blocos cujas pari-
dades so iguais. Portanto, ao final do protocolo de reconciliao proposto, o adversrio
com alta probabilidade possui conhecimento desprezvel da sequncia final. Por essa ra-
zo, a etapa de amplificao de privacidade tambm dispensada no sistema BSKAPD
proposto.
4. Deduo das expresses analticas do protocolo de reconciliao da informao pro-

posto referentes ao:
(a) Valor esperado do nmero total de bits descartados pela etiqueta e leitor RFIDs no
fim de um passo;
(b) Valor esperado do comprimento das sequncias da etiqueta e leitor RFIDs no fim
de um passo;
(c) Valor esperado da taxa de erro por bit6 (BER) entre as sequncias da etiqueta e leitor
RFIDs no fim de um passo;
5. Validao das expresses analticas do protocolo RI proposto.

6 Este termo taxa de erro por bit (BER), bastante empregado em sistemas de transmisso de sinal, ser em-
pregado nesta Tese para referenciar a percentagem de bits diferentes entre duas sequncias.
Introduo 7
As expresses analticas do item anterior foram validadas para diversos comprimentos

de bloco. Para tal, foram computados os valores mdios sobre 10.000 execues do
protocolo RI proposto.
6. Resultados experimentais e comparao com outros trabalhos cientficos apresenta-

dos na literatura.
Foram realizados estudos empricos do sistema cripto-biomtrico BSKAPD, no qual foi
utilizado a mesma base de dados utilizada por outros trabalhos cientficos, cujos esque-
mas geram chave criptogrfica baseada em biometria da ris, o ND-IRIS-0405-iris image
dataset [18], fornecido por Computer Vision Research Laboratory of the University of
Notre Dame.
Dos resultados experimentais apresentados nesta Tese, para um protocolo RI com 4 pas-
sos e comprimentos de bloco k1 = 2, k2 = 3, k3 = 12 e k4 = 12, foi obtida uma entropia
estimada da chave igual a 177 bits, com parmetros de desempenho taxa de falsa rejei-
o (FRR) igual a 0, 595% e taxa de falsa aceitao (FAR) igual a 0, 00%. Dos esque-
mas propostos na literatura, o melhor resultado foi o trabalho apresentado por Kanade et
al. [19], que relatou uma entropia estimada da chave igual a 94 bits para FRR = 0, 76%
e FAR = 0, 096%, cujo esquema utilizou cdigos corretores de erro para regenerar chave
criptogrfica baseada em biometria da ris.
7. Foram realizados quatro tipos de ataques ao sistema BSKAPD e suas respectivas

anlises de segurana.
A partir das possibilidades de comprometimento dos trs fatores de segurana (Etiqueta
RFID, biometria da ris e senha) pelo adversrio e utilizando a base de dados acima men-
cionada, por simulao em Matlabr , os seguintes ataques foram implementados:
(a) O adversrio (atacante) no compromete nenhum dos trs fatores de segurana do

usurio e utiliza como estratgia de ataque, a monitorao pelo canal pblico de
todas as comunicaes trocadas entre a etiqueta RFID e o leitor RFID. Neste ata-
que, o objetivo do adversrio obter informaes da chave simtrica gerada pelos
interlocutores da comunicao.
(b) O adversrio tenta obter acesso ao sistema se passando por um usurio cadastrado
utilizando sua prpria ris, de posse da etiqueta genuna do usurio, porm, o mesmo
desconhece a senha cadastrada pelo usurio.
(c) O adversrio por algum meio gera uma falsa etiqueta com seu prprio dado bio-
mtrico, porm, o mesmo desconhece a senha cadastrada pelo usurio e tenta obter
acesso ao sistema utilizando sua prpria ris.
Introduo 8
(d) O adversrio compromete dois fatores de segurana, a etiqueta RFID e a senha do

usurio. Neste ataque, o adversrio tenta obter acesso ao sistema utilizando sua
prpria ris juntamente com a etiqueta RFID e senha roubadas do usurio.
As anlises de segurana dos ataques acima so apresentadas na Seo 9.1
8. As funes de densidade de probabilidade das comparaes intraclasse e interclasse

foram modeladas por mistura de gaussianas.
Com o uso destes modelos, as equaes dos parmetros de desempenho FRR e FAR foram
deduzidas e validadas a partir dos histogramas obtidos empiricamente das comparaes
intraclasse e interclasse.
1.3 Organizao da Tese

Os captulos subsequentes desta Tese esto organizados como segue:
No Captulo 2, uma reviso bibliogrfica apresentada para alguns protocolos interativos

de reconciliao da informao por discusso pblica e para esquemas cripto-biomtricos,
em particular, os sistemas que utilizam biometria da ris.
Uma breve apresentao de sistemas biomtricos, com enfoque em biometria da ris e

definies de sistemas RFID passivo apresentado no Captulo 3.
O software OSIRIS para extrao das caractersticas da ris, a descrio da base de da-
dos de imagens da ris e os algoritmos implementados em Matlabr , necessrios para
simulaes utilizadas nesta Tese, so descritos no Captulo 4.
No Captulo 5, so descritas todas as etapas de processamento do mtodo proposto por

John Daugman de reconhecimento automtico da ris.
No Captulo 6, so investigados os efeitos da supresso das mscaras de ocluso quando

da comparao entre dois cdigos ris. Neste captulo apresentado um novo mtodo
de seleo dos pontos para extrao da caracterstica da ris, que objetiva a reduo dos
efeitos negativos causados pelas ocluses da ris.
O sistema concordncia de chave secreta baseada em biometria por discusso pblica com
sistemas RFID descrito no Captulo 7. Neste so apresentados a definio e o modelo
de segurana.
No Captulo 8, mostrado em detalhes o protocolo de reconciliao da informao do

esquema BSKAPD-RFID e so deduzidas as expresses analticas deste protocolo RI, as
quais so validadas por meio de simulaes.
Introduo 9
Resultados experimentais, diversos tipos de ataques e suas avaliaes de segurana, so

descritos no Captulo 9.
As concluses, os principais resultados obtidos e perspectivas de trabalhos futuros, so

apresentados no Captulo 10.
Por fim, ao final so apresentados os apndices: (A) Tabelas de comparaes intraclasse e

interclasse utilizadas na RI, (B) Exemplos de reconciliao, (C) Tabelas do valor esperado
do nmero de bits a descartar, (D) Demonstrao da equao da probabilidade de um do
algoritmo RI possuir nmero mpar de bits diferentes e (E) Biografia e Publicaes.
C APTULO 2
Reviso Bibliogrfica
Neste captulo apresentada uma breve reviso bibliogrfica de alguns protocolos inte-
rativos de reconciliao da informao por discusso pblica, bem como revisado os esquemas
cripto-biomtricos, em particular, os sistemas que utilizam biometria da ris.
O presente captulo possui a seguinte estrutura: Na Seo 2.1, uma reviso bibliogrfica
apresentada para alguns protocolos de reconciliao da informao, com enfoque nos proto-
colos interativos de correo de erros por discusso pblica. Na Seo 2.2 so apresentados
diversos esquemas cripto-biomtricos, em particular, os sistemas que utilizam biometria da ris.
2.1 Algoritmos de Reconciliao da Informao

Acordo de chave secreta por discusso pblica foi introduzido por Bennett, Brassard,
e Robert em [20, 21], e generalizada por Ahlswede e Csiszr [22] e por Maurer [23], quem
introduziu um modelo geral terico da informao. Ao incluir a possibilidade de discusso
pblica entre Alice e Bob (interlocutores genunos que se comunicam pelo canal), a concor-
dncia de uma chave secreta foi permitida, mesmo na condio de desvantagem do canal entre
Alice e Bob, com relao ao canal de Eve. Nesse modelo, inicialmente um satlite transmite
uma varivel aleatria U para Alice, Bob e Eve, que tm acesso a realizaes independentes
de trs variveis aleatrias X, Y e Z, respectivamente. Essas variveis aleatrias possuem alfa-
beto finito U , X , Y e Z , respectivamente e so distribudas de acordo com a distribuio de
probabilidade conjunta Pr(X,Y, Z).
Em geral, o acordo de chave secreta para o cenrio da Figura 2.1 composto por quatro
fases [23]:
(a) Fase de distribuio ou fase satlite;
(b) Fase destilao de vantagem;
(c) Fase reconciliao da informao;
(d) Fase amplificao da privacidade.

Reviso Bibliogrfica 11
U Satlite
BSC(pA) BSC(pE) BSC(pB)

X Z Y
Alice Eve Bob
Canal Pblico Autntico

Figura 2.1 Modelo do canal de transmisso de Maurer.
As caractersticas de cada fase esto descritas a seguir.
(a) Fase de distribuio.

Esta fase responsvel pela distribuio das sequncias iniciais. Estas sequncias po-
dem ser geradas a partir de sistemas de distribuio quntica [24] (como os utilizados
nos sistemas de distribuio quntica de chave - QKD) ou, a partir de sistemas clssi-
cos, tambm conhecidos como sistema satlite de distribuio de sequncia binria em
canais ruidosos. Nesta fase, um transmissor satlite transmite uma sequncia aleatria
U para Alice, Bob e Eve, os quais recebem respectivamente as sequncias X, Y e Z, por
meio de seus canais BSC (Canal simtrico binrio, do ingls Binary Symmetric Channel)
independentes BSC(pA ), BSC(pB ) e BSC(pE ).
Aps a distribuio inicial, realizada uma discusso (fases de destilao de vantagem,
reconciliao da informao e amplificao da privacidade), entre Alice e Bob por um
canal pblico, autntico e livre de erros, com o objetivo de gerar uma chave secreta.
(b) Fase de destilao de vantagem.

Na fase de distribuio, o canal de Eve pode ser superior aos canais de Alice e de Bob.
Nesta situao, a taxa de erro por bit entre as partes comunicantes Alice e Bob ser maior
que a taxa de erro por bit da adversria Eve em relao a um deles. Neste cenrio, uma
destilao de vantagem necessria, de modo que Alice e Bob ganhem vantagem sobre
Eve em termos da informao mtua entre si.
(c) Fase de reconciliao da informao (RI).

Nesta fase, Alice e Bob executam um protocolo de troca de paridade de seus blocos,
objetivando localizar seus bits diferentes, para em seguida descart-los ou corrigi-los. Ao
final deste protocolo, Alice e Bob acordam em uma sequncia comum, em que na maioria
dos protocolos RI, a adversria Eve, possui alguma informao sobre esta sequncia.
(d) Fase de amplificao da privacidade.

Na fase de reconciliao, por observar as comunicaes entre Alice e Bob, a adversria
Eve acumula uma dada quantidade de informao sobre as sequncias finais comuns de
Alice e Bob. Para reduzir as informaes adquiridas por Eve, uma funo hash aplicada
sequncia gerada na fase de reconciliao, de modo que, a informao que Eve possua
desta nova sequncia, seja desprezvel.
Para a fase de destilao de vantagem, Maurer introduziu o protocolo do cdigo de

repetio [23, 25], que se mostrou ineficiente quando pE muito menor que pA e pB , em que
pA , pB e pE so respectivamente as probabilidades de erro das sequncias recebidas por Alice,
Bob e Eve, em relao sequncia transmitida U. Ento, Gander e Maurer [26] propuseram
o protocolo de bit de paridade, visto a seguir, que se mostrou mais eficiente que o cdigo de
repetio.
2.1.1 Protocolo de Bit de Paridade

Neste protocolo, Alice e Bob selecionam seus bits em pares e trocam suas paridades
afim de identificar e descartar erros em suas sequncias. O protocolo inicia-se com Alice e Bob
dividindo suas sequncias em pares de bits. Em seguida, Alice envia para Bob a paridade do
seu primeiro par de bits. Bob calcula a paridade do seu primeiro par de bits e compara com a
paridade recebida de Alice. Ento, Bob anuncia pelo canal pblico para Alice, o resultado do
teste de paridade. Se o teste de paridade coincidir, ambos descartam o primeiro bit do par. Caso
contrrio, ambos descartam os dois bits. Este procedimento repetido para todos os pares de
bit de Alice e Bob.
Protocolos interativos de correo de erros (IEC) em sequncias binrias tm sido tra-
dicionalmente usados em protocolos QKD [27], que produzem chaves binrias. Eles tambm
so importantes para a reconciliao em geral. A seguir, so apresentados alguns protocolos de
reconciliao da informao.
2.1.2 Protocolo BBBSS

Bennett, Bessette, Brassard, Salvail e Smolin (BBBSS) [15] apresentaram o primeiro
protocolo interativo de correo de erros usado em QKD. O protocolo BBBSS troca paridades
dos sub-blocos das sequncias de Alice e Bob, a fim de identificarem quais sub-blocos apre-
sentam nmero mpar de bits diferentes. Nestes sub-blocos, so realizadas buscas dicotmicas
para encontrar os bits diferentes. O protocolo BBBSS executa vrias iteraes e, em cada uma
destas, as seguintes aes so executados por Alice e Bob:
1. Escolhem uma mesma permutao aleatria e aplicam em suas sequncias;
2. Dividem suas sequncias em blocos de comprimento k. Em [15], o valor de k encontrado

empiricamente;
3. Trocam as paridades de cada um dos blocos;
4. Nos blocos cuja paridade difere, realizada uma busca dicotmica. A busca dicotmica
s finalizada quando o bit diferente localizado, ou seja o algoritmo declara a paridade
de um nico bit (declara a informao fsica do bit), e como consequncia, por ter anun-
ciado anteriormente a paridade do par ao qual este bit pertence, tambm declara o valor
do outro bit pertencente ao citado par.
5. Aps localizar o bit diferente, este corrigido pelo algoritmo;
6. Descartam o ltimo bit de cada bloco ou sub-bloco cuja paridade foi divulgada.
2.1.3 Protocolo BBBSS Otimizado

O protocolo BBBSS otimizado, BBBSSopt , foi apresentado por Yamazaki et al. em [28].
Este protocolo melhorou a taxa de informaes1 do protocolo BBBSS. O mesmo difere do
protocolo BBBSS, por calcular um valor de comprimento de bloco que permite um melhor
desempenho em cada interao. Este protocolo tambm descarta o ltimo bit de cada bloco ou
sub-bloco cuja paridade foi divulgada.
2.1.4 Protocolo Cascade

Desenvolvido por Brassard e Salvail [16], o Protocolo Cascade segue alguns princpios
do protocolo BBBSS. O nmero de passos determinado previamente por Alice e Bob antes
da execuo do protocolo, e est relacionado probabilidade de erro p de suas sequncias. No
incio de cada passo i, Alice e Bob acordam em uma permutao i , a qual eles aplicam em suas
sequncias. Alice e Bob escolhem o valor do comprimento de bloco k1 e dividem suas sequn-
cias em blocos com k1 bits. Alice envia as paridades de todos os blocos para Bob. Em seguida,
Bob compara estas paridades com as de seus blocos e executa uma busca dicotmica, naque-
les blocos cuja paridade difere, para localizar a posio do bit diferente. A partir desta etapa,
o protocolo cascade difere do protocolo BBBSS. Ao encontrar o bit diferente, Bob o corrige.
Enquanto o BBBSS descarta um bit para cada bloco cuja paridade foi divulgada, o protocolo
cascade no descarta nenhum bit, mantendo os comprimentos das sequncias de Alice e Bob
inalterados at o fim do protocolo. A quantidade de informao vazada durante todo o proto-
colo, contabilizada e compensada na prxima etapa, a fase de amplificao de privacidade.
1 Nos protocolos RI em que h descarte de bits, a fim de compensar as informaes laterais vazadas por testes
de paridades divulgados pelo canal, a taxa de informao dada pela razo entre o comprimento da sequncia
reconciliada final e o comprimento da sequncia antes da reconciliao, [29].
Ao final de cada passo, cada bloco contm um nmero par de erros ou nenhum erro.
O protocolo cascade mantm em registro as paridades dos blocos e sub-blocos, de modo que
quando um novo erro corrigido, outro pode ser encontrado em blocos de iteraes anteriores
com paridade par, no qual o bit correspondente estava localizado, e assim por diante. Este pro-
cedimento reduz a quantidade de troca de paridades, reduzindo consequentemente a quantidade
de informao vazada.
A cada passo, Alice e Bob dobram o comprimento de seus blocos, ki+1 = 2ki (apesar
de [16] no apresentar nenhuma justificativa terica para tal procedimento), e executam um
total de quatro passos.
2.1.5 Protocolo Furukawa-Yamazaki

Um outro protocolo IEC baseado no BBBSS o protocolo FY, que utiliza cdigos per-
feitos2 , apresentado por Furukawa e Yamazaki [30]. Este protocolo utiliza intercalao de bits
entre as vrias iteraes. No protocolo FY, ao invs de utilizar uma busca dicotmica iterativa
nos blocos cujo teste de paridade difere, ele utiliza a comunicao tipo one-way de Alice para
Bob. Ento, para corrigir os erros dos blocos de Bob, que apresentam nmero mpar de bits
diferentes, Alice envia a sndrome do cdigo perfeito calculado sobre seu bloco. Em seguida,
ao receber a sndrome, Bob tenta corrigir os bits de seu bloco. Este protocolo menos eficiente
que cascade em termos de nmero de bits descartados, entretanto, o protocolo Winnow (Seo
2.1.6), utilizando os mesmos princpios, obteve melhores resultados.
2.1.6 Protocolo Winnow

Como em BBBSS e em Cascade, o Protocolo Winnow [31], divide as sequncias bin-
rias em blocos, mas em vez de corrigir erros utilizando busca binria iterativa, a correo de
erro de forma one-way de Alice para Bob, como no protocolo FY. Winnow utiliza cdigo de
Hamming para corrigir os erros de Bob. Quando Alice e Bob detectam um bloco com diferena
de paridade, Alice envia a sndrome deste bloco para Bob, de modo que este possa corrigir seus
erros. O protocolo Winnow reduz a quantidade de comunicao necessria para trs mensagens
por iterao [8]. Portanto, Winnow significativamente mais rpido do que cascade, porm,
sua eficincia mais baixa para as taxas de erro inferiores a 10 %.
Uma caracterstica do cdigo de correo de erro de Hamming que, se o bloco contiver
apenas um erro, este pode ser encontrado pela sndrome; entretanto, quando um bloco contiver
mais do que um erro, este mtodo poderia introduzir novos erros. Portanto, blocos de grandes
comprimentos devem ser evitados, o que reduz a velocidade e a eficincia do protocolo. Outros
protocolos utilizam correo one-way com cdigos corretores de erros, como os protocolos RI
que utilizam cdigos LDPC (check de paridade de baixa densidade, do ingls Low Density
2 Um cdigo perfeito pode ser interpretado como aquele em que as esferas de raio t (na mtrica de Hamming)
centradas nas palavras do cdigo, preenche exatamente o espao de todas as palavras possveis.
Parity Check). Entretanto, apesar destes protocolos propiciarem uma reduo da quantidade de
comunicao entre Alice e Bob, sua implementao restringida para dispositivos com baixa
capacidade de memria, como o dispositivo RFID passivo utilizado nesta Tese.
2.1.7 Protocolo RI proposto por Liu et al.

Em [17], Liu et al. propuseram um protocolo IEC baseado em cascade, que combina
as fases destilao de vantagem e reconciliao da informao. Assim como em cascade, Alice
e Bob, no incio de cada passo, acordam em uma mesma permutao e dividem seus blocos
em comprimentos ki . No protocolo [17], tal como em um cdigo, uma matriz de verificao
de paridade H(nk)(n) construda com ajuda da discusso pblica entre Alice e Bob. Aps
construrem e compararem suas matrizes, os blocos que possuem nmero mpar de bits diferen-
tes so identificados. Ento, uma busca dicotmica nestes blocos realizada em busca do bit
diferente. Aps localizar os bits diferentes estes so corrigidos, como em cascade.
Este protocolo tambm mantm em registro as paridades dos blocos anteriores e, aps
corrigir todos os bits de um passo i, retorna aos registros anteriores em busca de blocos que
contm aqueles bits corrigidos, cuja correo levou-os a ter nmero mpar de bits diferentes.
Agora com nmero mpar de bits diferentes os blocos remanescentes executam uma nova busca
dicotmica.
A diferena do protocolo [17] para o protocolo cascade reside no clculo do compri-
mento de bloco do primeiro e demais passos por estimativa da taxa de erro no incio de cada
passo e no descarte do primeiro bit de cada bloco para cada teste de paridade realizado. Um
ponto interessante neste protocolo que o comprimento de bloco do primeiro passo pode as-
sumir valor k1 = 2. Quando k1 = 2, o protocolo comporta-se como um protocolo de bit de
paridade, o que caracteriza uma destilao de vantagem.
Na seo a seguir, so abordadas tcnicas que unem criptografia a sistemas biomtricos.
2.2 Criptosistemas Biomtricos

Esquemas de proteo de template biomtrico so projetados para atender as duas prin-
cipais exigncias de proteo da informao biomtrica (ISO/IEC FCD 24745) [32], ou seja,
irreversibilidade (inviabilidade de reconstruir modelos biomtricos originais a partir do tem-
plate protegido) e no vinculao (Unlinkability-diferentes verses de templates biomtricos
protegidos podem ser geradas do mesmo dado biomtrico, revogabilidade, enquanto templates
protegidos no devem permitir correspondncia cruzada, ou seja, diversidade). O primeiro es-
quema de gerao de chave, a partir da biometria da ris, foi proposto por Davida et al. [33, 34],
o qual denominou o esquema de template privado.
2.2.1 Segurana e Privacidade em Sistemas Biomtricos

Uma grande parte das caractersticas biomtricas de um indivduo so imutveis, por-
tanto, so permanentemente associadas com sua identidade. Esta ligao do usurio com o
template extrado de sua biometria nos remete a aplicaes em segurana de sistemas que ne-
cessitam garantir a no repudiao (non-repudiation) do usurio. No repudiao uma funcio-
nalidade que permite ao sistema de autenticao poder afirmar, com alta probabilidade, que um
dado acesso s pode ter sido realizado por uma determinada pessoa, a qual recebeu autorizao
de acesso pelo sistema [35]. Um contra-exemplo, o controle de acesso que utiliza apenas car-
to magntico. Um adversrio pode roubar este carto e realizar um acesso, se passando pelo
proprietrio. Neste caso, o sistema no poder afirmar, com segurana, quem realmente realizou
este acesso, apenas poder afirmar que aquele carto magntico foi utilizado. Por outro lado,
a imutabilidade da biometria de um indivduo, incorpora a caracterstica de no revogabilidade
(non-revocability), ou seja, se uma amostra biomtrica de alguma forma for comprometida, ela
no poder ser cancelada ou substituda, resultando em perda permanente desta biometria do
indivduo. Principalmente por esta no revogabilidade das caractersticas biomtricas originais,
esforos tm sido realizados por pesquisadores que trabalham na rea de esquemas que ofere-
am segurana ao template biomtrico. Outra preocupao com o uso do template biomtrico
na sua forma original o possvel comprometimento da privacidade do usurio. Kanade et al.
em [2] definiram trs tipos de comprometimento da privacidade:
Comprometimento da privacidade dos dados biomtricos - Dependendo da forma

como o template biomtrico gerado e armazenado, um adversrio pode recuperar os
dados biomtricos originais a partir do template biomtrico [3638]. A partir da recu-
perao dos dados originais de uma amostra biomtrica, alguma condio biolgica do
usurio pode ser revelada. Por exemplo, em sistemas de reconhecimento de impresso
digital, possvel reconstruir a imagem da impresso digital original a partir dos pontos
de mincias (caractersticas dos traos da digital) armazenadas. Estas imagens podem
revelar alguma informao particular como cicatriz ou doena.
Comprometimento da privacidade da informao - A gerao de templates com pouca

variabilidade por diferentes sistemas biomtricos, pode comprometer a privacidade de
uma informao, cuja segurana baseada na biometria. Isto porque, caso um adversrio
consiga obter um template de um dado sistema, este pode utiliz-lo para obter acesso em
um outro, cuja informao estava assegurada pela biometria.
Comprometimento da privacidade da identidade - Mesmo que um template seja se-

guro o suficiente para no permitir o processo inverso de revelar as caractersticas biom-
tricas originais, se ele no apresentar diversidade satisfatria, o armazenamento deste em
base de dados de diferentes aplicaes, pode permitir o monitoramento do usurio de um
sistema para outro, por comparao cruzada de seus modelos de templates biomtricos.
A privacidade da identidade fortemente exigida quando o sistema biomtrico trabalha

no modo de identificao. O comprometimento do template biomtrico em um sistema
pode permitir identificao positiva em outro, revelando que o usurio do primeiro, faz
parte do grupo cadastrado no segundo.
2.2.2 Requisitos para Proteo de Template

Um esquema de proteo de template ideal tem que considerar em seu projeto quatro
importantes propriedades [1, 39, 40]:
1. Revogabilidade. Um sistema de proteo de template deve ser capaz de produzir vrios

templates seguros a partir de uma mesma amostra biomtrica, permitindo uma reemisso
de um novo template seguro e cancelamento do anterior, o qual pode ter sido comprome-
tido por um ataque do adversrio.
2. Diversidade. Dois templates seguros quaisquer, gerados a partir dos dados biomtricos
de um indivduo, devem ser suficientemente diferentes de modo a tornar computacional-
mente difcil a um adversrio identificar que estes pertencem ao mesmo usurio. Esta
caracterstica engloba o cenrio de ataque em que estes templates podem ter sido obti-
dos inclusive de bancos de dados de aplicativos diferentes. A propriedade diversidade
assegura a privacidade do usurio contra ataques que utilizam identificao cruzada de
templates transformados.
3. Segurana. Deve ser computacionalmente difcil para um adversrio de posse de um tem-

plate seguro, encontrar um conjunto de caractersticas biomtricas que combinem com o
este template. Com esta propriedade, conhecida como resistncia pr-imagem, des-
prezvel a probabilidade de sucesso de um adversrio, de posse de um template seguro,
obter alguma pr-imagem (template original ou mesmo uma imitao fsica da biometria)
capaz de, ao ser processado pelo sistema biomtrico, gerar um template idntico ao tem-
plate seguro comprometido. Este conceito de resistncia pr-imagem est relacionado a
funes no invertveis, cuja aplicao em esquemas de proteo de template implica que
seja computacionalmente difcil obter os dados biomtricos originais a partir do template
seguro. Portanto, um template biomtrico seguro tem que ser resistente a pr-imagem e
no invertvel.
4. Desempenho. Os parmetros de desempenho de reconhecimento (FRR e FAR) do sis-

tema biomtrico no devem ser degradados com a utilizao de mecanismos de proteo
de template.
2.2.3 Classificao de Esquemas que Abordam a Unio de Tcnicas Crip-

togrficas com Biometria
Nesta seo, sero abordadas duas classificao existentes na literatura que utilizam
tcnicas criptogrficas com sistemas biomtricos:
(I) Classificao sugerida por Jain et al. [1], Sistemas de Proteo de Template;
(II) Classificao sugerida por Kanade et al. [2], Sistemas Cripto-Biomtricos;
(I) Classificao de Sistemas de Proteo de Template - Jain et al.
Jain et al. [1] classificaram os sistemas de proteo de template em duas categorias

(Figura 2.2): (a) Transformao de Atributos (feature transformation) e (b) Criptosistemas Bio-
mtricos.
Proteo
de Template
(a) Transformao (b) Criptosistema Biomtrico

de Atributos (Mtodo com Dados Auxiliares)
(a.1) Transformao (a.2) Transformao (b.1) Chave Vinculada (b.2) Gerao de Chave
Invertvel No-invertvel (fuzzy commitment, (esboo seguro,
(hashing robusto, fuzzy vault) extrator fuzzy)
(salting - biohashing)
template cancelvel)
Figura 2.2 Classificao de esquemas de proteo de template por Jain et al. [1].
(a) Transformao de Atributos

Esta abordagem baseia-se na aplicao de uma funo F() ao template original T , cujos
parmetros so tipicamente derivados de uma chave aleatria K ou uma senha PW . Na fase de
inscrio, a chave K gerada e utilizada para calcular F(K, T ). Em seguida, F(K, T ) arma-
zenada na base de dados, enquanto K descartada aps ser entregue ao usurio. Na fase de
verificao, com a mesma chave K (ou senha) cedida pelo usurio, uma funo idntica uti-
lizada na inscrio aplicada ao template extrado T 0 gerando F(K, T 0 ) que, ao ser comparada
com F(K, T ) por meio de algum critrio de correspondncia, permite identificar se a amostra
T 0 pertence a curva de distribuio das comparaes genunas3 do usurio cadastrado com o

template T , conforme ilustrado na Figura 2.3.
Inscrio Verificao
Extrator Extrator
Biomtrico Biomtrico
T T
K/PW
F(T,K) F(T,K)
PRNG K/PW F(T,K) Usurio
Basede Comparar
Dados F(T,K)
Usurio
Deciso
Figura 2.3 Proteo de template por transformao de atributos.
Estas funes de transformao podem ser invertveis ou no invertveis, desta forma es-
tes esquemas de transformao de atributos se subdividem em duas categorias, (a.1) esquemas
de transformao invertvel, conhecido como transformao salting ou biohashing e (a.2)
esquemas de transformao no invertvel.
(a.1) Esquemas de Transformao Invertvel (Salting ou Biohashing)
Nos esquemas de transformao salting ou biohashing [4147] os dados biomtricos so

transformados utilizando uma funo invertvel, definida por uma chave especfica do usurio
ou senha. Sendo estas funes invertveis, se um adversrio obter ambas a chave e o template
transformado, este poder recuperar o template biomtrico original ou uma verso aproximada
deste. Assim, podemos concluir que, em ltima instncia, caso o template transformado seja
comprometido, a segurana do esquema salting baseada na segurana da chave (ou senha).
3 Curva de distribuio das comparaes genunas ou intraclasses ou intrausurios corresponde ao histograma

das distncias de Hamming entre comparaes de amostras biomtricas do mesmo usurio. Por outro lado, curva de
distribuio das comparaes impostoras ou interclasses ou interusurios corresponde ao histograma das distncias
de Hamming entre comparaes de amostras biomtricas de usurios diferentes
N Pontos Fortes:
Aumento da entropia - O uso de chave K ou senha para definio da funo F, tende

a aumentar a entropia do template transformado T T em relao entropia do template
original T . Isto justificado pela indexao da funo chave, o que aumenta o nmero
de possveis identidades de templates necessrias para um adversrio adivinhar;
Melhora nos parmetros de desempenho - Reduo na taxa de falsa aceitao pela in-
sero do elemento chave ou senha que de conhecimento apenas do usurio (usurio-
especfico);
Diversidade - Para um mesmo dado biomtrico possvel gerar diversos templates dife-
rentes, pois a chave ou senha podem assumir diferentes valores no cadastro.
Revogabilidade - Em caso de comprometimento de um template, um novo template pode

ser gerado pela mudana da chave (ou senha) que seleciona a funo de transformao,
cancelando o template comprometido.
H Pontos Limitantes:
Recuperao do dado biomtrico pelo adversrio caso o template transformado e a chave

(ou senha) sejam comprometidos;
Como a comparao (teste de correspondncia) ocorre no domnio transformado, a es-

colha da funo no deve degradar o desempenho do reconhecimento para toda faixa de
variao intraclasse4 ;
(a.2) Esquemas de Transformao No Invertvel
Os esquemas no invertveis, normalmente utilizam funes one-way, cujo clculo

fcil de executar (em tempo polinomial), porm na hiptese do adversrio ter acesso chave
e ao template transformado, a inverso computacionalmente difcil de realizar (dado uma
funo F(x), a probabilidade de encontrar x em tempo polinomial pequena).
Duas abordagens referenciadas na literatura que se enquadram em transformao no
invertvel so os esquemas hashing robusto e os esquemas de template cancelvel. Os esque-
mas hashing robusto [48, 49] utilizam funes de transformao que so tolerantes a variaes
de entrada. Os esquemas de template cancelvel [5052] mantm o template transformado no
mesmo espao do template original.
4 No campo da biometria, uma variao intraclasse corresponde variao biomtrica apresentada entre duas
amostras biomtricas do mesmo usurio, tambm referenciada como variao intrausurio. Enquanto que, o termo
variao interclasse (interusurio) referencia variaes biomtricas entre duas amostras de usurios diferentes
N Pontos Fortes:
Alm de englobar os quatro pontos fortes dos esquemas salting (aumento da entropia, di-
minuio de FAR, diversidade e revogabilidade), os esquemas de funes no invertveis
elevam o nvel de segurana do template transformado, pois mesmo que este juntamente
com a chave K sejam comprometidos, o adversrio no consegue em tempo polinomial
encontrar o template original, ou seja, os dados biomtricos originais.
Dificuldade em obter a funo de transformao inversa F sem comprometer os parme-

tros de desempenho. Em ltima anlise, manter o desempenho do sistema biomtrico
significa que, mesmo aps a transformao, mantida a estrutura de similaridade entre
amostras genunas e impostoras do espao original de caractersticas;
(b) Criptosistemas Biomtricos
Estes esquemas foram originalmente propostos com o objetivo de usar as caractersticas

biomtricas para oferecer segurana s chaves criptogrficas ou gerar diretamente uma chave
criptogrfica das caractersticas biomtricas. Uma vez que as caractersticas biomtricas so
essencialmente ruidosas [53], seu uso como chave em sistemas criptogrficos tradicionais, so
inviveis.
Um terceiro elemento conhecido como dados auxiliares (helper data) tem sido utilizado
com resultados satisfatrios, permitindo combinar autenticao biomtrica com tcnicas crip-
togrficas, constituindo assim os criptosistemas biomtricos. Normalmente os dados auxiliares
so transmitidos ou armazenados em bancos de dados, sendo ento considerados como dados
pblicos. Por esta razo, os dados auxiliares no devem revelar informao significante sobre o
template biomtrico original. Por usar os dados auxiliares, os criptosistemas biomtricos mui-
tas vezes so referenciados como mtodos baseados em dados auxiliares (helper data-based
methods).
A forma de obteno do dado auxiliar, permite classificar os criptosistemas biomtricos
em (b.1) esquemas com chave vinculada (key-binding) e (b.2) esquemas de gerao de cha-
ves (key generation). Ver diagrama da Figura 2.2.
(b.1) Esquemas com Chave Vinculada (Key-binding)
Esquemas com chave vinculada extraem o dado auxiliar, na fase de inscrio, vinculando
uma chave K (normalmente pseudo-aleatria) com o template biomtrico (T ). Nestes esquemas
a recuperao da chave ou do template original conhecendo-se apenas o dado auxiliar deve ser
computacionalmente difcil de realizar. Esta condio permite tornar pblico o dado auxiliar.
Na fase de verificao uma chave K 0 recuperada a partir do dado auxiliar e o template

biomtrico extrado (T 0 ). Estas chaves so iguais (K 0 = K) quando as amostras biomtricas
do cadastro e verificao pertencem ao mesmo usurio, ou seja T e T 0 pertencem curva de
distribuio de distncia de Hamming de comparaes genunas. Normalmente as variaes
intraclasse so tratadas com cdigos corretores de erros (CCE). Estes CCEs permitem que uma
consulta biomtrica de um usurio genuno na fase de verificao, por apresentar uma variabi-
lidade tolervel pelo projeto, seja associada a uma exata palavra cdigo, permitindo recuperar a
chave incorporada biometria na fase de inscrio.
importante ressaltar que nestes esquemas de chave vinculada, para um dado cadastro
de usurio, a chave que se espera recuperar na fase de verificao dever sempre ser a mesma da
fase de inscrio para todas verificaes deste mesmo usurio. Esta imutabilidade enfraquece
a segurana quando se deseja utilizar repetidamente esta chave em sistemas criptogrficos tra-
dicionais. O sistema de acordo de chave proposto nesta tese, descrito em detalhes no Captulo
7, oferece um diferencial importante de segurana, a renovao da chave acordada aps cada
verificao genuna positiva.
N Pontos Fortes:
Tolerncia variabilidade intraclasse - Esta tolerncia determinada pela capacidade de

correo de erro da palavra cdigo associada.
A etapa de correspondncia de similaridade no permite o uso de mecanismos de corres-

pondncia sofisticados j desenvolvidos, pois estes ltimos utilizam a correspondncia no
domnio do modelo original e no aps aplicao de cdigos corretores de erro (CCE). O
uso de CCE pode eventualmente levar a reduo da preciso da correspondncia, interfe-
rindo nos parmetros de desempenho;
Normalmente estas abordagens no oferecem diversidade e revogabilidade. Entretanto,

sistemas esto sendo propostos com a mixagem com outras abordagens como salting, de
modo a oferecer tambm diversidade e revogabilidade [5456];
Diversas tcnicas de proteo de template podem ser caracterizadas como criptosiste-

mas biomtricos com chave vinculada, dentre elas destacam-se duas mais importantes o es-
quema fuzzy commitment e o esquema fuzzy vault. Outras tcnicas como funes de blindagem
(shielding functions) e codificao de fonte distribuda so includas na abordagem de chave
vinculada.
Esquemas Fuzzy Commitment e Fuzzy Vault
Esquemas Fuzzy Commitment, so criptosistemas biomtricos os quais representam uma

subclassificao da tcnica chave vinculada, e tm sido propostos para diversas modalidades de
biometria, como impresso digital, ris, entre outros. No esquema fuzzy commitment, proposto
por Juels e Wattenberg em [57], uma chave kc uniformemente aleatria de comprimento L (L
N) bits gerada e usada para indexar unicamente uma palavra cdigo c (|c| = N bits) de um
cdigo corretor de erro apropriado C.
Seja x uma sequncia binria de N bits, constituindo o template biomtrico extrado na
fase de inscrio, ento, um fuzzy commitment ou helper data consiste da dupla (h(kc ), yc ), em
que yc obtido a partir de yc = c x, sendo uma adio mdulo 2 e h() correspondendo a
uma funo hash criptogrfica. Este helper data armazenado na base de dados. Durante a fase
de verificao, a palavra cdigo c0 obtida do template biomtrico extrado x0 e do esboo yc .
De modo que c0 = yc x0 = c x x0 . Em seguida, a palavra cdigo c0 decodificada, obtendo
0
a chave kc . Sendo as amostra x0 e x pertencentes ao mesmo usurio, sua distncia de Hamming
provavelmente menor do que a capacidade de correo de erro do cdigo, de tal forma que
0
h(kc ) = h(kc ), concluindo a verificao como positiva. Por outro lado, sendo x0 e x pertencentes
0
a usurios diferentes, h(kc ) 6= h(kc ).
Entretanto, o esquema Fuzzy Commitment [57], incapaz de lidar com erros de rotao
e translao da imagem da ris. Assim, em [58], Juels e Sudan, contornaram esse problema e
propuseram o esquema denominado Fuzzy Vault, o qual substitui a mtrica de Hamming pela
mtrica diferena de conjuntos (set difference metric). A abordagem Fuzzy Vault tem sido em-
pregada para diversas biometrias, tais como impresso digital [5963], ris [64], face [65] e
assinatura [66].
(b.2) Esquemas de Gerao de Chaves (Key generation)
Na classificao de Jain et al. [1] (Figura 2.2), os esquemas de gerao de chaves cripto-
biomtricas tm os dados auxiliares derivados apenas do template biomtrico, enquanto a chave
criptogrfica gerada diretamente a partir dos dados auxiliares e do template biomtrico de
consulta.
O desafio desta tcnica gerar sequncias estveis (sequncias que no variam quando
extradas em momentos diferentes) diretamente de dados biomtricos, sem degradar o desem-
penho de verificao. Sem resultado experimental relatado, [33] props derivar uma chave a
partir de dados da ris usando cdigos corretores de erros e codificao majoritria. Password
hardening em [67] um exemplo de esquema de gerao de chaves cripto-biomtrica.
Chang et al. [68] e Veilhauer et al. [69] empregaram quantizaes especficas ao usurio
em esquemas de gerao de chave.
Esboo seguro (Secure sketch) e extrator difuso (fuzzy extractor) pertencem a classifi-
cao de gerao de chaves cripto-biomtricas e foram introduzidos por Dodis et al. [70, 71].
Por utilizarem primitivas de informao teoricamente segura, os dados auxiliares da tcnica se-
cure sketch so construdos para vazar uma quantidade limitada de informao sobre o template
biomtrico, cuja informao medida em termos da entropia perdida. A tcnica secure sketch
permite uma fcil reconstruo do template biomtrico quando na presena de uma consulta,
cujo template tem variabilidade limitada a uma dada distncia mtrica. Dodis et al. [70,71] pro-
puseram secure sketch para trs diferentes mtricas de distncia, ou seja, distncia de Hamming,
diferena de conjuntos e distncia de edio. Tcnicas secure sketch foram aplicadas a outros
sistemas biomtricos, como impresses digitais [72], facial 3D [73], e sistemas multimodais
(face e impresso digital) [73] e (ris, impresses digitais e face) [74].
(II) Classificao dos Sistemas Cripto-Biomtricos - Kanade et al.
Kanade et al. [2] ao analisarem os sistemas que reunem tcnicas criptogrficas com
tcnicas biomtricas, observaram que a denominao dada por Jain et al. [1] sistemas de pro-
teo de template, no englobava todas as abordagem direcionadas ao assunto. Isto, porque
algumas das tcnicas apresentadas na literatura, no necessariamente reuniam critrios para um
sistema de proteo de template (por exemplo revogabilidade e proteo da privacidade). Por-
tanto, Kanade et al. [2] denominaram este campo de desenvolvimento como Sistemas Cripto-
Biomtricos, os quais classificaram em duas categorias (Figura 2.4): (i) Proteo de dados
biomtricos e (ii) Chaves criptogrficas baseadas em biometria.
Sistemas Cripto-Biomtricos
(i) Proteo de Dados Biomtricos (ii) Chave Criptogrfica Baseada em Biometria

(Adicionam revogabilidade, diversidade de (Fornecem chaves fortemente ligadas ao usurio; opcionalmente,
template e proteo da privacidade ao sistema fornecem revogabilidade, diversidade de template e proteo da
biomtrico clssico) privacidade)
(i.1) Cifragem (i.2) Biometria Cancelvel (ii.1) Liberao (ii.2) Gerao de (ii.3) Regenerao
Clssica Baseada em de Chave Chave de Chave
dos Dados Transformao (e.g, Windows (e.g, fuzzy
(e.g, password
Biomtricos (e.g. Biohashing, biometric hardening) commitment,
Biotokens) framework) fuzzy vault)
Figura 2.4 Classificao dos sistemas cripto-biomtricos por Kanade et al. [2].
A seguir estes blocos sero apresentados.

(i.1) Cifragem Clssica dos Dados Biomtricos
Uma aplicao simples desta abordagem mostrada na Figura 2.5, em que tcnica de
criptografia clssica, como o AES (Advanced Encryption Standard), utilizada para cifrar o
template biomtrico extrado na fase de inscrio, cuja senha usurio-especfica (de conheci-
mento exclusivo do usurio). A desvantagem desta tcnica que, a etapa de comparao das
amostras, na fase de verificao, ocorre na forma biomtrica clssica, no agregando nenhuma
melhoria no desempenho do sistema com relao a comparao biomtrica clssica.
Fase de Inscrio Fase de Verificao

Comparador
Extrao de Biomtrico Extrao de
Template Dado Clssico Template
Biomtrico Cifrador Biom. Decifrador Biomtrico
Clssico Clssico ?
(e.g., AESENC) Cifrado (e.g., AESDEC)
[x] [x] [x]
Autenticao
Senha ou chave Positiva/Negativa
Senha ou chave
de um smartcard de um smartcard
Figura 2.5 Proteo de dados biomtricos com criptografia clssica, [2].
(i.2) Biometria Cancelvel Baseada em Transformao
Nesta abordagem os dados biomtricos normalmente so transformados com transfor-

maes usurio-especfica [40]. Nesta tcnica a comparao pode ocorrer no domnio transfor-
mado. Outra vantagem desta tcnica que a transformao protege o template biomtrico, e
permite diversidade de template pela alterao dos parmetros de transformao. Estas trans-
formaes podem ser reversveis ou irreversveis. Sistemas baseados em transformaes rever-
sveis so denominados abordagem salting. O desempenho de sistemas salting, normalmente,
so melhores que os sistemas biomtricos clssicos [2]. Entretanto, apesar da vantagem dos
sistemas cancelveis com transformaes irreversveis no permitirem a inverso da funo de
transformao, no permitindo a obteno do template biomtrico original ou uma verso pr-
xima dele, seu desempenho degradado com relao ao desempenho biomtrico clssico.
Ratha et al. [50] introduziram a abordagem de biometria cancelvel utilizando trans-
formao irreversvel. Outras transformaes irreversveis como cartesiana, polar e funcional,
foram propostas em [52]. Outras tcnicas empregadas como biohashing [41, 75], Biotokens
aplicados inicialmente face [76] e posteriormente a impresses digitais [54], aplicao de
filtros Bloom em biometria da ris [77, 78], tambm esto includas em biometria cancelvel
irreversvel.
(ii) Chaves criptogrficas baseadas em biometria
Chave criptogrfica baseada em biometria ou chave cripto-bio, ser focada a seguir, uma
vez que a tcnica proposta nesta Tese, denominada concordncia de chave cripto-biomtrica,
enquadra-se nesta denominao, apesar de no enquadrar-se em nenhuma das trs subclassifi-
caes: (ii.1) Liberao de chave cripto-bio (Key release), (ii.2) Gerao de chave cripto-bio
(Key generation) e (ii.3) Regenerao de chave cripto-bio (Key regeneration).
(ii.1) Liberao de chave cripto-bio
A tcnica liberao de chave cripto-bio, [79] caracteriza-se por armazenar chaves crip-
togrficas de forma segura e liber-las aps uma autenticao biomtrica positiva. Apesar de
sua simplicidade de implementao, esta abordagem tem como desvantagem o armazenamento
na base de dados do template biomtrico original.
(ii.2) Gerao de chave cripto-bio
Na abordagem de gerao de chave cripto-bio, [67, 8083], o desafio extrair bits es-
tveis de informaes biomtricas, uma vez que estas tm natureza ruidosa. A vantagem desta
abordagem que a chave extrada, normalmente, no vaza nenhuma informao sobre os dados
biomtricos. Porm, suas limitaes so: difcil de projetar, baixo valor dos parmetros de de-
sempenho e, se nenhum parmetro adicional (tal como senha) for usado, o sistema no pode ser
revogvel.
(ii.3) Regenerao de chave cripto-bio
Hao et al. [84], propuseram uma adaptao da abordagem fuzzy commitment para ris
biometria. Os cdigos Reed-Solomon (RS) e Hadamard foram concatenados e adotados como
tcnica de correo de erro, baseado na ideia introduzida em [57]. Em [84] foram relatados
resultados de chaves de comprimento 140 dgitos, com entropia estimada de 44 bits, FRR =
0, 47% e FAR = 0%. Porm, observou-se que em bases de dados mais realistas como a base
de dados NIST-ICE 2005, os resultados obtidos foram muito aqum do esperado, com FRR =
19, 41% para chaves de 42 dgitos.
Os sistemas de regenerao de chaves [13, 14, 19], utilizando a mesma tcnica de cor-
reo aplicada em [84], com o auxlio de mecanismos adicionais, puderam adaptar os erros
capacidade de correo do cdigo e melhorar o desempenho biomtrico do sistema, conse-
guindo extrair chaves mais longas e com entropia mais alta. Os sistemas apresentados em [13]
e [19] fizeram uso de dois mecanismos: permutao do cdigo ris e insero de zeros.
Kanade et al. em [19] combinaram a entropia de iris (42 bits) com a entropia da se-
nha (52 bits) para obter chaves de entropia 94 bits, com desempenho FRR = 0, 76% e FAR =
0, 096%. Seus cdigos corretores de erro Hadamard e Reed-Solomon so ajustados para lidar
com as variabilidades intraclasse.
Um sistema multi-instncia (utiliza os olhos direito e esquerdo do usurio) proposto
em [14], o qual insere bits gerados aleatoriamente, de modo o mais uniforme possvel, entre os
bits do cdigo ris. Bringer et al. [85], utilizaram uma tcnica diferente de correo de erro.
Atravs do uso do cdigo produto de dois cdigos Reed-Muller (RM), o sistema proposto rege-
nerou chaves criptogrficas de comprimento 42 bits, com FRR = 5, 62% e FAR = 105 %.
Consideraes Finais
No esquema cripto-biomtrico concordncia de chave, proposto nesta Tese (Captulos

7, 8 e 9), a abordagem de sua tcnica no se enquadra nas trs subclassificaes para chaves
criptogrficas baseadas em biometria classificada por Kanade et al. [2]: Liberao de chave
cripto-bio (Cripto-bio Key release), Gerao de chave cripto-bio (Cripto-bio Key generation)
e Regenerao de chave cripto-bio (Cripto-bio Key regeneration). Portanto, sugerimos uma
nova classificao, denominando-a concordncia de chave cripto-bio (Cripto-bio Key agre-
ement).
C APTULO 3
Preliminares
A importncia da identificao e verificao automtica da identidade de humanos,

acompanha o aumento na necessidade de pessoas e organizaes em protegerem o acesso a
ambientes, dados, servios e redes de informtica. Os sistemas biomtricos, por permitirem a
extrao de informaes biolgicas e comportamentais intrnsecas ao usurio, tem sido bastante
requisitados no desenvolvimento de sistemas que tm como objetivo atender a esta demanda.
Os sistemas que abordam criptografia com informao biomtrica, comumente utilizam
alm da biometria (biometria da digital, da ris, da face entre outras), tambm utilizam outros
elementos como a senha (fator de autenticao baseado no que a pessoa sabe) e dispositivos fsi-
cos, como etiquetas RFID, Smartcard ou token, conhecidos como fator de autenticao baseado
no que a pessoa possui.
Como nesta Tese proposto um sistema cripto-biomtrico que utiliza biometria da ris,
senha e etiqueta RFID passiva, neste captulo sero apresentados uma introduo biometria
e aos sistemas RFID passivos, cuja estrutura segue a seguinte organizao: Na Seo 3.1, so
abordados os conceitos das caractersticas biomtricas. Na Seo 3.1.1, abordada a biometria
da ris seguida da comparao com outras biometrias. Os parmetros de avaliao de desempe-
nho de sistemas biomtricos so definidos na Seo 3.1.2. Na Seo 3.2 introduzido o conceito
do sistema RFID passivo. Por fim, na Seo 3.2.1 so abordados as limitaes do sistema RFID
passivo e os desafios de utilizao de tcnicas criptogrficas nestes dispositivos.
3.1 Sistemas Biomtricos

Os mtodos de identificao biomtrica utilizam as caractersticas apresentadas pelo in-
divduo para realizar sua identificao/autenticao, tambm chamadas de identificadores bio-
mtricos [86]. Quanto anlise das caractersticas, eles podem ser classificados em dois tipos:
Caractersticas fisiolgicas e caractersticas comportamentais.
Preliminares 29
A tecnologia biomtrica uma rea da cincia que lida com o reconhecimento au-
tomatizado de indivduos com base em suas caractersticas biolgicas ou comportamentais
(ISO/IEC JTC1 SC37), [12].
De um modo geral, autenticao significa verificar a identificao de algum (um usu-
rio, dispositivo ou uma entidade) que deseja ter acesso a dados, recursos ou aplicativos. Como
as caractersticas biomtricas so intrnsecas ao usurio, estas tm um vasto campo de aplica-
o em mecanismo de autenticao do usurio. Diversas caractersticas fisiolgicas permitem
seu uso em reconhecimento de padres, tais como: impresso digital, padro da ris, geometria
da mo, padres dos vasos sanguneos da retina, geometria da face, estrutura da orelha, DNA,
entre outros. As caractersticas biomtricas comportamentais so aes ou atributos dinmicos
e tm um elemento tempo associados a elas. Os principais atributos comportamentais utilizados
em reconhecimento biomtrico de padro so: dinmica de digitao, assinatura autografada,
padro de voz, imagem infravermelho da face e outras partes do corpo, padro de caminhar,
batimento cardaco, entre outros.
O desenvolvimento da cincia e da tecnologia tornou possvel a utilizao da biome-
tria em aplicaes em que necessrio estabelecer ou confirmar a identidade dos indivduos.
Aplicaes como controle de passageiros em aeroportos, controle de acesso em reas restritas,
controle de fronteiras, acesso base de dados e servios financeiros, so alguns dos exemplos
em que a tecnologia biomtrica solicitada para uma identificao e verificao mais confi-
vel. Em particular, a tecnologia biomtrica aplicada aos servios financeiros, tem mostrado
um grande potencial em oferecer mais confiana e segurana aos clientes e instituies. Como
exemplo, servios bancrios e pagamentos baseados em biometria tornam-se muito mais segu-
ros do que os mtodos existentes baseados em cartes de crdito/dbito.
Constata-se algumas resistncias quanto a utilizao de dados biomtricos nos aplicati-
vos de consumo de massa, principalmente relacionadas a proteo da informao e privacidade.
Porm, acredita-se que a tecnologia vai encontrar seu caminho para ser amplamente utilizada
em muitas aplicaes diferentes. Algumas aplicaes de controle de acesso banco de dados
e ao login, tm sido exemplos promissores do uso da tecnologia biomtrica. Por exemplo, um
novo mtodo de login, com base na combinao de uma senha com o seu padro de digitao,
tem sido uma proposta inovadora, em que saber a senha em si no seria suficiente. O m-
todo utiliza o padro comportamental de digitao, por meio da medio dos atrasos entre as
instncias de digitao [87, 88].
Qualquer caracterstica fisiolgica humana e/ou comportamental pode ser usada como
uma caracterstica biomtrica, desde que satisfaa os seguintes requisitos [89]:
Relacionado s propriedades da caracterstica biomtrica
Universalidade - Todo indivduo deve possuir este trao biomtrico. A perda deste
trao pode ocorrer muito raramente, quer por acidente ou doena;
Preliminares 30
Singularidade - Quaisquer duas pessoas devem ser suficientemente diferentes em

termos deste trao biomtrico, de modo que as pessoas possam ser distinguidas
umas das outras por meio dele;
Permanncia - O trao deve ser suficientemente invariante (em relao ao critrio de
correspondncia) ao longo de um intervalo de tempo;
Coletabilidade - A coleta e classificao dos traos biomtrico devem ser opera-
cional (com pouco tempo de espera e de fcil acesso), permitindo que estes sejam
medidos quantitativamente.
Relacionado s propriedades do sistema biomtrico
Desempenho - a medida de preciso, velocidade e robustez da tecnologia utilizada;

Aceitabilidade - Disposio das pessoas em permitir a coleta dos dados biomtricos.
A captura das caractersticas deve ser aceitvel para a maioria do pblico usurio;
Imburlvel - reflete a facilidade com que o sistema pode ser enganado usando m-
todos fraudulentos.
Diversas caractersticas biomtricas tm sido utilizadas, cada uma dessas tem seus pon-
tos fortes e pontos fracos. No se espera que um nico identificador biomtrico atenda, de
forma tima, a todos os requisitos anteriores para todas as aplicaes. A escolha de uma espe-
cfica biometria est relacionada aos requisitos da aplicao e das propriedades da caracterstica
biomtrica. A autenticao biomtrica possui diversas vantagens sobre as que utilizam senhas
tradicionais [90]:
Biometria identifica indivduos unicamente;
So mais complexas e aleatrias que as senhas criadas por pessoas (em geral);
Esto sempre com o usurio, sem possibilidade de perda;
So mais difceis de copiar, compartilhar e distribuir;
Requerem que o usurio esteja presente na hora da verificao biomtrica;
Permitem o no repdio;
De um modo geral, todos os usurios possuem o mesmo nvel de segurana.
Para que uma medida biomtrica seja eficiente para autenticar uma pessoa, ela precisa
ser nica para cada indivduo, permanecer constante ao decorrer da vida da pessoa, estar sempre
disponvel, possuir baixas taxas de falsas rejeies, baixas taxas de falsa aceitaes, alm de ser
de fcil utilizao pelo usurio, ser de baixo custo e de fcil acesso. Se uma medida biomtrica
Preliminares 31
atende a todos esses requisitos, ento, ela uma forte candidata para solucionar os problemas
supracitados.
Em sistemas de controle de acesso, a biometria pode ser utilizada sozinha para autenti-
cao (modo clssico) ou em conjunto com tcnicas de criptografia, com o objetivo de fortalecer
a segurana da autenticao e resolver questes de privacidade e segurana dos dados biomtri-
cos. Nessa ltima utilizao, a biometria referenciada como criptografia biomtrica.
Os sistemas biomtricos possuem algumas etapas comuns [86]:
Fase de cadastramento ou inscrio do usurio, permitindo a criao de um template

biomtrico associado ao usurio para comparaes futuras;
Fase de verificao do usurio. Nesta fase, novamente extrado um template biomtrico;
Fase em que o template biomtrico da verificao comparado ao extrado na fase de

inscrio, permitindo identificar/autenticar ou no o usurio.
Normalmente, devido aos rudos inerentes aos sistemas biomtricos, o template cadas-
trado pelo usurio na fase de inscrio possui algumas diferenas do template biomtrico obtido
na fase de verificao. Assim, se faz necessrio estabelecer durante a comparao um critrio
limiar, a baixo do qual, a pessoa verificada considerada como a correspondente ao template
cadastrado.
3.1.1 Biometria da ris

A biometria da ris ter evidncia a partir de agora, pelo foco deste trabalho. Os siste-
mas biomtricos que identificam um ser humano pela ris, extraem seus padres utilizando a
imagem do olho. Os elementos da anatomia do globo ocular (Figura 3.1) que interessam ao
reconhecimento da ris so:
Crnea - membrana totalmente transparente que juntamente com a esclera (parte branca
e opaca do olho) formam a envoltria externa do olho;
ris - membrana colorida do olho, com um dimetro aproximado de 12 mm com uma

abertura circular no centro (pupila); Conforme a intensidade da iluminao que o olho
exposto, a ris pode se contrair ou expandir, diminuindo ou aumentando o dimetro da
pupila;
Pupila - crculo central que possui uma aparncia preta, porm, totalmente transparente
e por ela que passam todas as imagens vistas.
Outros elementos, como as plpebras (superiores e inferiores) e os clios, tm sua importncia

na captao da imagem da ris, uma vez que, em algumas situaes de captao, estes podem
Preliminares 32
encobrir parte da ris. Cada indivduo tem um padro nico de ris. Mesmo os gmeos idnticos
(univitelinos) possuem padres de ris diferentes. Este padro pode ser extrado a partir da ima-
gem do olho e codificado em seguida. A comparao entre dois cdigos ris pode ser realizada
utilizando a distncia de Hamming [91]. A partir de um limiar devidamente escolhido, pos-
svel determinar, com alta probabilidade, se os padres de dois cdigo ris pertencem a mesma
pessoa ou a pessoas diferentes.
Figura 3.1 O olho humano.
Embora a rea da ris seja pequena, a biometria da ris possui uma grande vantagem
sobre as outras biometrias, a sua enorme variabilidade de padro entre pessoas diferentes [92],
o que matematicamente permite um tratamento minucioso de seus padres. Um simples esqua-
drinhamento da ris pode analisar mais de 200 pontos diferentes dela, tais como coroa, glndula,
filamentos, sardas, sulcos radiais e estriamentos. Outros pontos fortes so sua invariabilidade
e sua segurana com relao a agentes externos. Comparada a outras biometrias, tais como
recursos de voz e facial, que tendem a mudar com o tempo, a biometria da ris estvel e per-
manece a mesma durante toda a vida de uma pessoa [91]. O uso de lentes de contato, culos e
at algumas cirurgias oculares no comprometem o reconhecimento por biometria da ris [93].
Cada ris possui uma estrutura nica, caracterizando um padro complexo. O ataque
atravs da criao de uma ris falsa, como por exemplo, lente de contato sinttica imitando uma
ris, provavelmente esbarra nas caractersticas minuciosas de uma ris biolgica, alm do mais,
este ataque precisa enfrentar medidas utilizadas para deteco de ris sem vida. Algumas des-
tas medidas fazem uso da caracterstica comportamental do olho quanto a sensibilidade a expo-
sio de variao de iluminao [94]. Outras biometrias, tais como as que utilizam o padro de
voz, rosto, assinatura e impresses digitais podem ser facilmente gravadas e potencialmente mal
utilizadas sem o consentimento do usurio. Houve vrios casos em que as impresses digitais
artificiais [95] foram usadas para burlar os sistemas de segurana biomtricos. Biometria de
rosto e de voz so igualmente vulnerveis a serem capturadas sem o conhecimento explcito do
usurio.
Preliminares 33
3.1.2 Desempenho de Sistemas Biomtricos

Um sistema biomtrico pode funcionar em dois modos, verificao (ou autenticao) e
identificao [86].
Verificao Biomtrica
No modo de verificao, o sistema biomtrico compara a amostra capturada no ato da

verificao com a amostra do indivduo extrada na fase de cadastro. Se as duas amostras com-
binarem o suficiente, a afirmao de identidade positiva. Caso contrrio, a verificao ser
rejeitada. Na verificao a comparao do tipo um para um (1:1).
Num contexto de deciso de verificao, existem quatro possveis resultados:
1. Taxa de Falsa Aceitao (False Accept Rate - FAR) ou Taxa de Falsa Correspondncia
(False Match Rate - FMR) ou Falso Positivo (False Positive - FP):
o percentual de amostras de indivduos no genunos erroneamente classificados

pelo sistema como sendo de um indivduo genuno;
Ocorre quando o sistema aceita uma declarao de identidade, mas a alegao no
verdadeira.
2. Taxa de Correta Aceitao (Correct Accept Rate-CAR) ou Verdadeiro Positivo (True Po-
sitive-TP) ou Aceite Verdadeiro (True Accept-TA):
Ocorre quando o sistema aceita, ou verifica, uma afirmao de identidade, e a ale-

gao verdadeira.
3. Taxa de Falsa Rejeio (False Reject Rate-FRR) ou Taxa de Falsa No-Correspondncia

(False Non Match Rate-FNMR) ou Falso Negativo ( False Negative-FN):
o percentual de amostras de caractersticas de um mesmo indivduo erroneamente

classificadas pelo sistema como sendo de outros indivduos.
Ocorre quando o sistema rejeita uma afirmao de identidade, mas a afirmao
verdadeira.
4. Taxa de Correta Rejeio (Correct Reject Rate - CRR) ou Verdadeiro Negativo (True
Negative - TN) ou Verdadeira Rejeio (True Reject - TR):
Ocorre quando o sistema rejeita uma afirmao de identidade, e esta realmente

falsa.
Preliminares 34
Entretanto, o desempenho de um sistema de verificao comumente caracterizado pe-

las duas estatsticas de erro: FRR e FAR, e as mesmas so apresentadas em pares. Para cada
Taxa de Falsa Rejeio, h uma correspondente Taxa de Falsa Aceitao e vice-versa, e as
mesmas podem ser exibidas em um grfico em funo de uma medida de semelhana/disse-
melhana, , que em se tratando de biometria da ris, utilizado a distncia de Hamming
normalizada, ver Figura 3.2. Essas taxas so definidas como
Nmero de Falsas Aceitaes

FAR( ) = (3.1)
Nmero de Acessos de Impostores
e
Nmero de Falsas Rejeies
FRR( ) = . (3.2)
Nmero de Acessos de Clientes
Figura 3.2 Grfico de dependncias de FAR e FRR com o nvel de segurana [3].
Uma forma sumria que permite avaliar a qualidade das curvas FAR e FRR e, por con-
sequncia, a preciso de operao de um dado sistema, explicitar nestas curvas o ponto limiar
EER , no qual as taxas so iguais, FAR(EER ) = FRR(EER ). Este ponto limiar est associado
a uma taxa EER (Equal Error Rate), ver Figura 3.2. Quanto menor a taxa EER, melhor a
capacidade de discriminao do sistema de verificao.
Um algoritmo de verificao biomtrica dito seguro se praticamente no ocorre falsa
aceitao (FAR). A robustez do algoritmo de classificao do padro biomtrico est relacio-
nada a FRR. Quanto mais preciso o algoritmo, menor ser o nmero de falsas rejeies [96].
No modo de verificao a medida de desempenho biomtrico normalmente represen-
tada por uma curva Caracterstica de Operao do Receptor (ROC). A curva ROC construda
Preliminares 35
sobre o eixo cartesiano, cujo eixo X representa a taxa de falsa aceitao e o eixo Y repre-
senta a taxa de verificao. Outra forma de representar a curva ROC exibir no eixo X a taxa
de falsa aceitao e no eixo Y a taxa de falsa rejeio.
A biometria da ris permite uma confiana de no rejeio de uma autenticao para um
indivduo genuno com probabilidade de falsa rejeio em propores de um em 109,6 , ou um
em 4 bilhes. Na comparao com uma pessoa no genuna, a confiana em um indivduo ser
aceito, corresponde a uma probabilidade de falsa aceitao de um em 1031 [4].
Identificao Biomtrica
No modo de identificao, o sistema biomtrico compara uma amostra capturada, com

cada um dos elementos de um banco de dados biomtricos ou galeria (conjunto de amostras de
inscritos), na tentativa de identificar um indivduo desconhecido. O sistema s consegue realizar
a identificao, se a comparao da amostra biomtrica, com um modelo da base de dados est
dentro de um limite previamente definido. Na identificao a comparao do tipo um para N
(1:N), em que N o total de elementos da galeria. Como no modo de verificao, em contexto
de deciso de identificao, existem quatro resultados estatsticos possveis: FAR, CAR, FRR e
CRR.
O desempenho em um cenrio de identificao frequentemente representado por uma
curva Caracterstica de Correspondncias Cumulativa (Cumulative Match Characteristic-CMC).
A curva CMC construda sobre o eixo cartesiano, cujo eixo X representa a classificao
acumulada considerada como uma correspondncia correta, e o eixo Y representa o percen-
tual de provas reconhecidas corretamente. A manipulao destes critrios de deciso, tambm
chamados de probabilidades relativas, reflete os custos e benefcios do sistema. Por exemplo,
em um contexto de aplicao geral comercial, o custo da FRR pode exceder o custo da FAR, ao
passo que o oposto se aplica no contexto militar.
Um cenrio de deciso ilustrado no grfico da Figura 3.3. As duas distribuies re-
presentam os dois estados do sistema, que so separados de forma imperfeita. A abscissa
qualquer mtrica de semelhana/dissemelhana, neste caso, passa a ser a distncia de Hamming
(dH), que a frao de bits que difere entre duas sequncias binrias. A deciso se os mesmos
so instncias do mesmo padro, ou padres completamente diferentes, realizada por meio
da imposio de um critrio de deciso para semelhana, como indicado pela linha tracejada
vertical. Similaridade abaixo de alguma distncia de Hamming (0,4 neste caso) considerada
suficiente para considerar os padres pertencentes ao grupo de autnticos, porm, acima deste
ponto, os padres so declarados diferentes.
Preliminares 36
Figura 3.3 Teoria estatstica de deciso: formalismo para decises sob incerteza [4].
3.2 Sistema RFID Passivo

Sistemas de identificao por rdio frequncia (RFID) tm uma crescente adoo por
empresas ao redor do mundo. Essa tecnologia permite, entre outras coisas, a identificao e/ou
rastreamento de objetos, animais e pessoas.
A tecnologia RFID formada, principalmente, por trs componentes: a etiqueta, o leitor
e o controlador (servidor de Middleware RFID).
O leitor, em geral, responsvel pela alimentao e leitura dos dados da etiqueta e em
alguns casos pelo envio de dados para as etiquetas [97]. As etiquetas so dispositivos que
podem ser passivos, semi-passivos ou ativos [98]. O servidor armazena de forma segura os
dados necessrios ao funcionamento do sistema. Esta Tese utiliza etiquetas passivas, isto ,
aquelas que no possuem alimentao prpria. Esta etiqueta constituda de um circuito digital
acoplado a uma antena. As informaes contidas na etiqueta so lidas pelo leitor, por intermdio
da reflexo do sinal de RF enviado pelo leitor. A variao da carga da antena da etiqueta, de
acordo com a informao nela contida, permite que o leitor possa fazer a distino do bit que
est sendo lido. Na Figura 3.4 mostrado o diagrama interno em blocos do leitor e da etiqueta.
Etiqueta RFID passiva Algumas vezes chamada de transponder, composta por um micro-
circuito eletrnico e uma antena;
Leitor Algumas vezes chamado de interrogador, composto por um mdulo de controle, um

mdulo de RF e uma antena;
Controlador Algumas vezes chamado de host, ele interliga o sistema RFID infra-estrutura
de rede, atravs do software de controle (middleware).
Preliminares 37
LEITOR RFID ETIQUETA RFID

CI
Analgico
Trans- Retificador
Lgico
missor
Unidade Limitador
de Gerador
Controle de clock
Modulador
Receptor Memria
Demodulador
Figura 3.4 Diagrama em bloco do leitor e etiqueta RFID.
Duas caractersticas importantes desses sistemas so a comunicao sem fio e a acentu-

ada limitao de energia da etiqueta. A primeira caracterstica leva invariavelmente a questes
referentes segurana e privacidade na utilizao desses esquemas [99]. As limitaes de
custo para as etiquetas RFID passivas e as diferentes exigncias por segurana dos seus diversos
usurios, leva ao desenvolvimento de solues especficas para cada conjunto de necessidades
de aplicaes [100, 101].
A quantidade de portas lgicas (portas equivalentes, do ingls Gates Equivalents - GE)
que uma etiqueta passiva de um sistema RFID pode conter determinada, principalmente, pelo
baixo custo a que se prope. Como consequncia, a etiqueta possui uma limitada capacidade
computacional, limitando os esquemas de segurana que podem ser incorporados.
3.2.1 Custos da Etiqueta RFID x Tecnologia x Nr. de Portas x Segurana

Sendo o foco das etiquetas RFID passivas comerciais substituir, em algumas aplicaes,
as etiquetas de cdigo de barra, h um consenso que uma etiqueta passiva deva custar na faixa
de US$ 0,05 a US$ 0,10 , para que possa ser adotada com sucesso por fabricantes e incorporada
maioria das embalagens [102]. De acordo com Weis [102], para fabricar uma etiqueta de US$
0,05, o custo do circuito integrado (CI) no deve exceder US$ 0,02. Weis tambm afirma com
base em [103] que o custo por mm2 de silcio aproximadamente US$ 0,04. Isto implica que,
independente da tecnologia, disponibilizado 0,25 a 0,5 mm2 de silcio para todo chip RFID,
para atingir a marca de US$ 0,05 a US$ 0,10. Esta medida de rea pode ser traduzida em nmero
aproximado de portas, dependendo da tecnologia escolhida. Apesar da reduo contnua dos
custos de silcio, a presso para reduzir os preos da etiqueta dever manter o nmero de portas.
Preliminares 38
Com base nesses pressupostos, Sarma e Weis [102, 103], estimam que o nmero de
portas que podem ser usadas para a funcionalidade de segurana est entre 250 e 2.000. Ohkubo
[104], estima que este nmero possa ser aumentado para 5.000 portas. Ranasinghe e demais
[105], dos Laboratrios Auto-ID parecem estar de acordo com Ohkubo, e estimam que o nmero
de portas destinadas segurana deve ser entre 400 e 4.000.
Desafios dos Protocolos de Segurana para Sistemas RFID
A tecnologia RFID uma forte candidata a substituir, em diversas reas e dentro de

poucos anos, a tecnologia de leitura ptica do cdigo de barras, o que a torna um elemento
chave nas cadeias de abastecimento e gesto de lojas de varejo. Por essa razo, cada vez mais
a importncia s questes de segurana de dados em etiquetas RFID tende a aumentar. Para
garantir a segurana e a integridade dos dados em sistemas RFID, os recursos tecnolgicos ade-
quados devem ser incorporados nos dispositivos RFID, permitindo autenticao e privacidade
dos dados [99].
Como em toda tecnologia com grau de abrangncia to expressiva, as solues tecnol-
gicas para os problemas de segurana e privacidade do RFID, vo depender do tipo de aplicao
e, numa instncia maior, do tipo da etiqueta RFID. As etiquetas passivas, com muito pouco es-
pao para implementao de solues de criptografia, necessitam de solues especiais que
satisfaam as exigncias de limitaes de nmeros de portas lgicas.
Mecanismos de controle de acesso so frequentemente baseados em criptografia de
chave pblica ou criptografia simtrica que exigem distribuio segura de chaves. A baixa
capacidade de recursos computacionais das etiquetas RFID passivas, limita a utilizao destas
tcnicas criptogrficas. A partir dessas limitaes, os pesquisadores comearam a desenvol-
ver sistemas para fornecer segurana, cujos algoritmos so executados pela prpria etiqueta
RFID [106]. Um mtodo de criptografia que est sendo explorado pela comunidade cientfica,
e que permite segurana na transferncia de mensagens entre um leitor e uma etiqueta, so as
funes hash. Em uma descrio informal, uma funo hash criptogrfica h(m) recebe como
entrada, uma sequncia m de tamanho varivel, e retorna como resposta, comumente denomi-
nada valor hash, uma sequncia menor de tamanho fixo, desde que satisfaam as propriedades
de resistncia pr-imagem, resistncia a segunda pr-imagem e resistncia coliso [107].
As funes hash criptogrficas de estrutura leve, conhecidas como lightweight hash,
possuem estrutura compacta, com relativa baixa necessidade de portas lgicas para sua imple-
mentao, e consequentemente, com baixo consumo de potncia. Diversos tipos de lightweight
hash tem sido repetidamente expressas pelos projetistas de aplicaes, principalmente para a
implementao de protocolos em sistemas RFID passivos. Criptografia com estrutura leve um
algoritmo criptogrfico ou protocolo adaptado para aplicao em ambientes com restries, in-
cluindo as etiquetas RFID, sensores sem fio, smartcards sem contato, aparelhos de sade, entre
outros.
Preliminares 39
O desafio em pauta na comunidade cientfica, da rea de hardware para etiquetas RFID

passivas de baixo custo, desenvolver protocolos capazes de garantir segurana e privaci-
dade dos dados, que utilizem primitivas criptogrficas leves, de modo a permitir sua execuo
utilizando nmeros de portas equivalentes realistas para a tecnologia. Chabanne e Fumaroli
em [108], implementaram em etiqueta RFID passiva, uma funo hash universal de baixo custo
(proposta por Yuksel et al. [109]) juntamente com algoritmos de acordo de chave secreta dentro
da mesma linha do utilizado nesta Tese.
C APTULO 4
Base de Dados e Software Utilizados
Este captulo apresenta as ferramentas necessrias para as simulaes realizadas nesta

Tese. O mesmo est organizado como segue. Na Seo 4.1 a base de dados de imagens de ris
utilizada nas simulaes apresentada. Na Seo 4.2 o software OSIRIS de extrao das carac-
tersticas da ris descrito. Na Seo 4.3 so descritos alguns algoritmos que foram executados
em Matlabr . A Subseo 4.3.1 trata de como foi implementada a extrao dos cdigos ris. O
ajuste de rotao da imagem do olho abordado na Subseo 4.3.3. Por fim, na Subseo 4.3.4
descrita uma matriz de comparaes genunas e impostoras.
4.1 Base de Dados de Imagens para Reconhecimento da ris

A base de dados de imagens de olhos utilizada para extrao da sequncia binria re-
presentativa do padro biomtrico da ris (tambm referenciado como cdigo ris ou vetor ca-
racterstica da ris ou template biomtrico da ris) foi a ND-IRIS-0405 [18], disponibilizada
pelo Computer Vision Research Laboratory da University of Notre Dame. Este superconjunto
formado pelas imagens dos desafios ICE2005 e ICE2006. Trabalhos apresentados na literatura
utilizaram o subconjunto ICE2005. Objetivando realizar comparaes com outros trabalhos, foi
optado pelo uso do subconjunto de imagens ICE2005.
O subconjunto ICE2005 constitudo quase na sua totalidade de imagens com boa qua-
lidade, o que reduz a necessidade de realizao de triagens para selecionar as imagens apropri-
adas. O ICE2005, contm 2.953 imagens obtidas a partir de 243 ris diferentes, pertencentes a
132 pessoas distintas. Selecionando todas as possveis combinao para cada ada amostra de
imagem do olho de cada usurio, possvel realizar 26.874 comparaes intraclasse. Enquanto
que selecionando duas amostras de usurios diferentes possvel gerar 4.331.754 compara-
es interclasse. Destas comparaes, foram selecionadas 13.836 comparaes intraclasse, de
tal forma, a uniformizar o nmero de comparaes por indivduos e aleatorizar a seleo das
comparaes de cada indivduo. Da mesma forma, foram selecionadas 14.240 comparaes
Base de Dados e Software Utilizados 41
interclasse. Estes subconjuntos de comparaes, formam a matriz de comparao, descrita na

Seo 4.3.4.
4.2 Software Cdigo Aberto OSIRIS

O software OSIRISv4.1 [110] foi utilizado para extrair das imagens de ris da base de
dados, as imagens caractersticas biomtricas da ris, j na forma binria, ou seja, com dois
tons, preto e branco. O sistema de referncia OSIRIS (Open Source para IRIS) um sistema
de cdigo aberto de reconhecimento de ris, desenvolvido no mbito do projeto BioSecure, pela
Telecom & Management Sud Paris.
O sistema OSIRIS em grande parte inspirado nos trabalhos de John Daugman [4].
Este sistema, desenvolvido na linguagem C++, composto de quatro mdulos de processa-
mento (segmentao, normalizao, codificao e comparao). A diferena relevante entre o
algoritmo proposto por Daugman e o implementado no OSIRISv4.1, diz respeito fase de seg-
mentao da ris. A partir da verso 4.1, o OSIRIS passou a utilizar o algoritmo de Viterbi [111]
para localizar a ris, em vez do operador integro-diferencial. Dessa forma, o sistema passou
a apresentar a vantagem de no fazer suposio alguma sobre a forma da ris, ou seja, no se
supe que os contornos da ris e da pupila so circulares.
Aps a segmentao, realizada a etapa de normalizao, de modo que so obtidas as
imagens normalizadas da ris e da mscara de ocluso. Em seguida, o software utiliza os filtros
de Gabor 2D [91], para extrao dos vetores de fase de cada pixel da imagem normalizada da
ris e os quantiza utilizando os eixos cartesianos (dois bits por vetor). No OSIRIS, o nmero de
filtros de Gabor 2D so configurveis. Nesta Tese, foi optado por utilizar 3 filtros de gabor 2D
e 198 pontos de aplicao, totalizando 1.188 bits do cdigo ris, objetivando comparar com os
resultados do trabalho de Kanade et al. [19], que tambm utiliza estes parmetros. A tcnica de
regenerao de chave cripto-biomtrica adotada em [19], utiliza biometria da ris e apresenta o
melhor resultado de entropia estimada, at o presente momento.
Alm dos mdulos anteriores que permitem a extrao das caractersticas da ris, o OSI-
RIS possui um mdulo de comparao (verificao), o qual utiliza como medida de semelhana
entre dois cdigos ris, a distncia de Hamming normalizada. Esta comparao tambm con-
sidera a mscara de ocluso extrada de cada uma das imagens. O sistema calcula a distncia
de Hamming normalizada, conforme sugerido pelo mtodo Daugman. Entretanto, este mdulo
no foi utilizado nesta Tese.
Todos os algoritmos utilizados nesta Tese como, escolha dos pontos de aplicao com
menor ocorrncia de ocluso, extrao do vetor cdigo ris, ajuste de rotao do olho, algoritmo
de reconciliao da informao, validaes das expresses analticas e todas as simulaes,
utilizaram a plataforma Matlabr .
O software OriginLabPror foi utilizado na Seo 8.2. Nesses os histogramas das dis-
tribuies das comparaes intraclasse e interclasse foram ajustados a modelos Gaussianos. Os
parmetros da Gaussiana que melhor se ajusta a estes histogramas, foram obtidos com o uso da
funo NLFit (Nonlinear Curve Fitter) do software OriginLabPror .
4.3 Algoritmos Implementados em Matlabr
4.3.1 Extrao do Cdigo ris

No OSIRIS, as 6 imagens geradas pelos filtros de Gabor passam pela etapa de quan-
tizao, gerando as imagens caractersticas da ris. Para extrao das sequncias binrias do
template biomtrico da ris, denominado por Daugman de cdigo ris, um algoritmo foi imple-
mentado utilizando a plataforma Matlabr . Afim de permitir comparao do mtodo de concor-
dncia de chave desta Tese com o mtodo de regenerao de chave proposto na literatura, este
algoritmo utiliza 198 pontos de aplicao, os quais extraem das 6 imagens caractersticas da ris,
1.188 bits (198 x 6) de cdigo ris. Esses pontos de aplicao, selecionam pixels da imagem da
ris com baixa densidade de ocluso, os quais so criteriosamente escolhidos, conforme mtodo
proposto no Captulo 6.
4.3.2 Seleo dos Pontos Aplicao com Baixa Densidade de Ocluso

O sistema proposto nesta Tese, no utiliza a mscara de ocluso na fase de comparao.
Assim, ao utilizar a distribuio homognea dos pontos de aplicao, proposta por Daugman,
ocasionaria numa reduo do desempenho biomtrico. Portanto, objetivando reduzir estes efei-
tos negativos, foi implementao um mtodo, descrito no Captulo 6, que permite selecionar 198
Pontos de aplicao com baixa ocluso.
4.3.3 Ajuste de Rotao do Olho

Uma medida de distncia capaz de determinar a semelhana/dissemelhana entre dois
vetores caracterstica biomtrica da ris a distncia de Hamming normalizada, HdN , a qual
uma frao de bits que diferem entre duas sequncias binrias. Entretanto, como o vetor
caracterstica extrado de uma imagem da ris pelo mtodo Daugman varia conforme a rotao
do olho no momento da captao da foto, a comparao de dois vetores caracterstica de duas
imagens da ris, deve ser precedida de um ajuste de rotao da segunda imagem com relao
primeira.
Neste trabalho, baseado no tratamento de Daugman s rotaes de olho [91], Seo 5.5,
foi implementado um algoritmo na plataforma Matlabr que sincroniza a posio angular da
segunda imagem da ris em relao primeira, definido como algoritmo de ajuste de ngulo de
rotao. Isto necessrio, pois o indivduo pode rotacionar sua cabea no momento da aquisio
da imagem do seu olho.
O algoritmo de ajuste do ngulo de rotao busca determinar quantos graus uma segunda
imagem deve rotacionar, para ajustar-se primeira imagem a qual ser comparada. O algoritmo
mantm o cdigo ris da primeira imagem esttico, enquanto que 21 cdigos ris so extrados
da segunda imagem, correspondendo a 10 deslocamentos circulares progressivamente para di-
reita, seguidos de 10 deslocamentos circulares progressivamente para esquerda, dos pontos de
aplicao, sobre as imagens caractersticas da ris. Para cada um dos 21 cdigos ris extrados
da segunda imagem, calculada a distncia de Hamming em relao ao cdigo ris da primeira
imagem. A menor distncia de Hamming determina quantos deslocamentos circulares so ne-
cessrios para ajustar o ngulo de rotao da segunda imagem com relao a primeira. Estes
deslocamentos progressivos para direita e para esquerda dos pontos de aplicao, correspon-
dem rotao da segunda imagem de at 20 graus para direita e at 20 graus para esquerda,
com passos de 2 graus. O angulo de ajuste de rotao, , armazenado junto com a matriz de
comparaes genunas e impostoras, descrita a seguir na Seo 4.3.4.
4.3.4 Matriz de Comparaes

A partir da base de dados ICE2005, foram construdas duas matrizes de comparaes,
uma com comparaes genunas ou intraclasse, que corresponde a comparaes de duas amos-
tras de um mesmo usurio, e outra com comparaes impostoras ou interclasse, correspondendo
s comparaes de duas amostras de indivduos diferentes. Escolhidas de forma aleatria, fo-
ram selecionadas 13.836 comparaes genunas e 14.240 comparaes impostoras. Para cada
par de amostras destas matrizes de comparao, anexado o angulo de ajuste de rotao, com
execuo descrita na Seo 4.3.3. Estas matrizes de comparao so utilizadas nas simulaes
desta Tese.
No prximo captulo, ser abordado o mtodo Daugman de extrao da sequncia bin-
ria das caractersticas da ris, o cdigo ris.
C APTULO 5
Mtodo Daugman de Extrao de Cdigo

ris
Neste Captulo, so descritas todas as etapas de processamento do mtodo de reconhe-

cimento automtico da ris, proposto por John Daugman, pioneiro da rea.
5.1 Introduo
A viabilidade da utilizao da ris humana como meio de reconhecimento biomtrico
de indivduos foi inicialmente sugerida por oftalmologistas [4] os quais observaram, a partir
de sua experincia clnica, que cada ris apresentava uma textura nica, altamente detalhada e
que permanecia inalterada por dcadas. Dessa forma, o primeiro sistema de reconhecimento
da ris humana foi proposto e patenteado pelos mdicos oftalmologistas americanos Leonard
Flom e Aran Safir em 1985 [112], muito embora esse sistema fosse apenas uma conjectura,
j que no havia, ento, nenhum algoritmo capaz de efetivamente realizar o reconhecimento
automtico da ris. O primeiro e mais conhecido algoritmo capaz de realizar o reconhecimento
automtico de indivduos, a partir da estrutura da ris, foi desenvolvido, patenteado e publicado
por John Daugman em 1993 [4]. O sistema proposto por Daugman, assim como a maior parte
dos algoritmos propostos subsequentemente, constitudo basicamente de quatro etapas, como
observado na Figura 5.1: segmentao, normalizao, extrao de caractersticas e comparao,
que so detalhadas a seguir.
5.2 Segmentao
A etapa de segmentao consiste em isolar a ris do restante da imagem, isto , identi-
ficar de forma precisa os contornos que determinam as fronteiras da ris na imagem do olho,
como mostrado na Figura 3.1. Estes contornos definem os limiares entre a ris e a pupila (con-
Mtodo Daugman de Extrao de Cdigo ris 45
Imagensquantizadas TemplateBinrioris
Usurio2
0101101110010001001
FiltrosGabore
0110111101101101101 CIeSBO
Quantizao
1010100011010001111
0101110011011101010
Segmentao
Normalizao
Comparao
0011011100101011011
1001101110100110111
risNormalizada
Seq.Binriaocluso
1011000000001110001
MscaradeOcluso 1011000000001110001
Pontosdeaplicao 1011000000001110001
CapturaImagem risSegmentada 1011000000001110001
1011000000001110001
1011000000001110001 Deciso
Figura 5.1 Etapas de extrao do cdigo ris, mtodo Daugman.
torno interno) e entre a ris e a esclera ou plpebras (contorno externo), de modo que todo o
processamento subsequente seja efetuado apenas na rea de interesse da imagem.
Para realizar a segmentao da ris, Daugman [4] props o uso de um operador integro-
diferencial da Equao 5.1, cujo objetivo localizar a borda circular da pupila e a borda circular
externa da ris, o qual expresso por
I(x, y)
I

max G (r) ds , (5.1)

(r, x0 , y0 ) r r,x0 ,y0 2r
em que I(x, y) representa a intensidade (nvel de cinza) dos pixels da imagem do olho, G (r)
representa uma funo gaussiana de suavizao (filtro passa-baixa) na escala , denota uma
operao de convoluo e s o contorno circular com centro em (x0 , y0 ) e raio r. Este mtodo
supe que tanto o contorno externo da ris, quanto o da pupila so circulares, embora no neces-
sariamente concntricos, ver Figura 5.2. Desta forma, o operador procura pelo caminho circular
onde existe uma maior mudana do valor mdio da intensidade dos pixels, a partir da variao
do raio r e para cada valor (x0 , y0 ) da coordenada do centro do crculo. Este procedimento
repetido para todos os valores possveis das coordenadas (x0 , y0 ) do centro do crculo e para
todos os valores possveis do raio r, ao mesmo tempo em que o grau de suavizao definido por
reduzido progressivamente, objetivando uma localizao precisa.
O algoritmo de segmentao realiza essa busca em toda a imagem, pixel por pixel. Em
cada pixel, a soma normalizada (valor mdio) do valor de todos os pixels em um contorno
circular calculada para valores crescentes do raio. Para cada valor de raio, calculada a
diferena desta soma normalizada com relao ao valor obtido para o raio imediatamente menor.
Aps a busca na imagem inteira, um pixel identificado como centro da ris (ou da pupila)
quando a diferena das somas normalizadas para contornos adjacentes mxima. Ao mesmo
tempo, a condio anterior identifica o raio da pupila/ris.
Como no se pode supor que o contorno circular externo da ris tem o mesmo centro do
contorno circular da pupila [91], este procedimento repetido separadamente para a pupila e
contorno externo da ris.
Figura 5.2 Ilustrao da aplicao do operador integro-diferencial.
Considerar a priori que os contornos da ris so circulares, no traduz uma exatido de

segmentao, haja vista que partes da ris esto frequentemente oclusas por plpebras e clios, de
modo que a regio anelar delimitada pelos contornos circulares obtidos pelo operador integro-
diferencial no corresponde inteiramente ris. Ento, modificando o contorno de integrao
s do operador integro-diferencial de circular para, por exemplo, um arco parablico, possvel
determinar as regies de fronteira entre a ris e as plpebras, ver Figura 5.3.
Figura 5.3 Segmentao das plpebras com operador integro-diferencial e contorno parablico.
Outra soluo usada para delimitar as plpebras foi implementada por Libor Masek
[113] e consiste na utilizao da transformada linear de Hough para ajustar retas plpebra
superior e inferior. Nesta tcnica, as retas horizontais mais prximas da pupila so traadas
interceptando as plpebras nos pontos do contorno da ris. As regies acima da reta horizontal
superior e abaixo da reta horizontal inferior, sero excluda para a extrao de caractersticas,
pois, provavelmente pertencem s plpebras. As etapas deste processo so observados na Fi-
gura 5.4.
Ainda segundo a implementao de Masek, os clios e eventuais reflexos especulares
sobre a ris so detectados por adoo de critrios thresholding (limiar), ou seja, pixels, na re-
(a) (b) (c)
Figura 5.4 Segmentao das plpebras pelo mtodo Masek, utilizando transformada linear de Hough.
gio da ris, mais escuros do que um determinado limiar, so considerados partes de um clio,
enquanto que os pixels muito claros so atribudos a reflexos especulares. Dessa forma, com
as informaes sobre a localizao de plpebras, clios e reflexos possvel gerar uma ms-
cara de rudo (ocluso), indicando quais pixels na regio anelar atribuda ris correspondem
efetivamente mesma.
5.3 Normalizao
Aps a etapa de segmentao da ris, segue-se a normalizao da mesma. O mtodo de
normalizao proposto por Daugman [4] transforma a rea da ris, delimitada pelos contornos
encontrados na etapa anterior, em um retngulo invariante tanto quanto escala (determinada,
por exemplo, pela distncia entre o olho e a cmera), como ao tamanho da pupila, que pode
variar significativamente devido luminosidade. O mtodo remapeia a regio da ris, original-
mente em coordenadas cartesianas (x, y), para um sistema adimensional em coordenadas polares
(, ), em que [0, 1] e [0, 2]. Portanto, pixel a pixel submetido a uma transformao
de coordenadas.
Seja I(x, y) a imagem da regio da ris em coordenadas cartesianas e I p (, ) esta ima-
gem em coordenadas polares. Seja (x p , y p ) e (xi , yi ) os pontos de cruzamento das bordas da
pupila e da ris, respectivamente, com a linha radial com ngulo , ento,
I(x(, ), y(, )) I(, ), (5.2)
com
x(, ) = (1 )x p ( ) + xi ( ) e y(, ) = (1 )y p ( ) + yi ( ). (5.3)
Na Figura 5.5 mostrada a transformao de coordenadas da ris segmentada. Nesta

observa-se que a representao retangular foi gerada considerando o centro da pupila (xcp , ycp )
como ponto de referncia para o sistema de coordenadas polares. A partir deste ponto, linhas
radiais, com ngulo , so traadas at atingirem a borda da ris. Para cada linha radial, um
segmento de reta, iniciando nas bordas definidas pela pupila (x p , y p ) e finalizando nas bordas
da ris (xi , yi ), permite definir uma seleo uniforme de pixels da imagem da ris. O nmero
de pontos escolhidos em cada vetor radial determina a resoluo radial, definindo a dimenso
vertical da representao retangular. Analogamente, o nmero de linhas radiais determina a
resoluo angular, definindo, assim, a dimenso horizontal.
Figura 5.5 Esboo do processo de normalizao.
importante salientar que esse mtodo de normalizao no compensa um possvel

desalinhamento angular entre diferentes imagens de um mesmo olho, isto , ele no invariante
rotao. Daugman props, ento, que as inconsistncias rotacionais fossem tratadas na fase
de comparao, em que um dos cdigos ris deslocado sucessivas vezes no eixo horizontal da
imagem normalizada (na direo de ) at que se obtenha o melhor alinhamento possvel entre
os cdigos ris que se deseja comparar.
5.4 Extrao das Caractersticas Biomtricas da ris

O mdulo de extrao das caractersticas tem como entrada a imagem normalizada da
ris (em tons de cinza) e como sada imagens binarizadas, ou seja, em preto e branco (P&B).
Estas imagens finais so obtidas por aplicao de quatro1 filtros de Gabor 2D imagem nor-
malizada da ris, seguido de um processo de quantizao. Filtros de Gabor, tradicionalmente,
so utilizados para obteno simultnea da localizao espacial e de frequncia da informao
de um determinado sinal. Um filtro de Gabor construdo pela modulao de uma senide/-
cossenide por uma gaussiana. A decomposio do sinal realizada utilizando-se um par de
filtros de Gabor em quadratura, com a parte real representada por uma cossenide modulada
por uma gaussiana e a parte imaginria representada por uma senide tambm modulada por
uma gaussiana, como mostrado na Figura 5.6.
1 Nesta Tese, objetivando comparar com outros esquemas de proteo de template apresentados na literatura,
foram utilizados apenas trs pares de filtros de Gabor. Utilizando 198 pontos de aplicao, obtm-se a partir das
seis imagens de sada dos filtros de Gabor, um template com 1.188 bits.
Figura 5.6 Partes real e imaginria de um filtro de Gabor 1D em quadratura.
Daugman [114] ampliou o trabalho realizado por Gabor, estendendo o filtro para duas
dimenses. O mtodo consiste em filtrar a imagem normalizada com um par de filtros de Gabor
2D em quadratura. Esta operao gera coeficientes complexos na imagem. Constatou-se que a
informao de textura determinada principalmente pela fase destes coeficientes complexos, de
modo que a informao biomtrica foi definida como o quadrante do plano complexo ao qual
cada pixel pertence.
Na quantizao, a informao de fase de cada pixel representada por um fasor no plano
complexo (ver Figura 5.7), permitindo a determinao em qual dos quatro quadrantes possveis
o mesmo se localiza com apenas dois bits (hRe , hIm ), o que equivalente a determinar o sinal
das partes real e imaginria da informao de fase de cada pixel. A Equao 5.4 ilustra este
procedimento.
Z Z (r0 )2 (0 )2

iw(0 ) 2
h{Re,Im} = sgn{Re,Im} I(, )e e 2 e , (5.4)

em que (r0 , 0 ) determinam a posio do filtro na imagem e sua orientao, w representa a

frequncia da senide e (, ) controlam o espalhamento nas direes radial e angular, respec-
tivamente.
Nesta Tese, foram utilizados trs filtros de Gabor 2D. Na Figura 5.8 so apresentadas
as seis imagens obtidas da aplicao dos filtros de Gabor em cada um dos pixels da imagem
normalizada da ris, seguido do processo de quantizao. Portanto, as imagens resultantes so
em P&B, em que o preto representa bit 1 e o branco bit 0.
Miyazawa et al. [115] propuseram um sistema de reconhecimento usando componen-
tes de fase da transformada discreta de Fourier 2-D (DFT). Krichen et al. [116] abordaram a
correlao de fase de Gabor em imagens da ris. Ma et al. [117] utilizaram um filtro simtrico
circular, o qual tambm baseado em filtros de Gabor.
Figura 5.7 Codificao sobre o plano complexo do fasor de fase representativo do pixel.
risNormalizada ExtratordeCaract.daris
3FiltrosdeGabor2D
Quantizao
Figura 5.8 Representao da extrao das caractersticas da imagem normalizada da ris por 3 pares de
filtros de Gabor 2D, seguido de quantizao.
Na literatura so sugeridos diversos tipos de filtros: Gabor 2D [92,118120], log-Gabor

1D [113], Laplaciano [121], como Haar Wavelets [118, 122] , Daubechies wavelet transform
[122124], Biortogonal [122] e o Laplaciano da Gaussiana [118, 125].
5.5 Etapa de Comparao

O mtodo de codificao descrito anteriormente gera cdigos binrios, portanto, a utili-
zao da distncia de Hamming (dH) apresenta uma alternativa interessante para a comparao
entre dois desses cdigos. A distncia de Hamming uma medida quantitativa da disseme-
lhana entre dois templates de mesmo comprimento. Esta medida obtida pela comparao
bit a bit dos dois templates, seguida do clculo da razo entre o nmero de pares de bits no
coincidentes e o nmero total de comparaes realizadas. A distncia de Hamming normalizada
convencional dHN pode ser calculada atravs da Equao 5.5,
n
1
dHN = Y
j j ,
X (5.5)
n j=1
em que X j e Y j so os bits dos cdigos ris a comparar, X e Y , respectivamente, os quais possuem

n bits cada. O smbolo corresponde a operao lgica XOR.
Como qualquer sinal adquirido em condies reais, a imagem da ris tambm est sujeita
a diversas formas de rudo que podem diminuir a preciso do sistema, tais como plpebras e
clios que podem cobrir partes da ris ou reflexos e pontos especulares devidos iluminao.
Por conseguinte, a distncia de Hamming convencional da Equao 5.5, no a mais adequada
neste caso.
O clculo da distncia de Hamming proposta por Daugman [91] incorpora as informa-
es da mscara de ocluso (rudo) gerada na fase de segmentao, de forma que somente os
bits significativos (realmente pertencentes regio da ris) sejam utilizados para o clculo da
distncia de Hamming. Assim, para a comparao entre dois templates s sero utilizados os
bits que correspondem a um bit 0 nas mscaras de rudo das duas imagens a serem compa-
radas. Sejam MX j e MY j os valores binrios da mscara (apresenta ocluso quando MX j = 1)
referente ao pixel que o bit j de X e Y pertencem, respectivamente. A Equao 5.6 exclui da
contagem, comparaes entre pares de bits em que pelo menos um deles est encoberto por
rudo. Nesta Equao, os smbolos , + e , correspondem respectivamente s operaes
lgicas XOR, OR e AND.
n
1
dHN = n
n k=1 (MXk + MYk ) (X j Y j ) MX j MY j . (5.6)
j=1
Para gerar a sequncia binria do template biomtrico, denominada por Daugman de c-

digo ris (CI), bem como a correspondente sequncia da mscara de ocluso, o mtodo Daug-
man faz uso de uma matriz de pontos de aplicao. Esta matriz composta pelas posies
(, ) dos pixels da imagem normalizada da ris e de sua mscara de ocluso, sobre as quais
so extrados o CI e a a sequncia de ocluso, respectivamente. Daugman sugeriu 256 pontos
de aplicao, permitindo extrair dos 8 filtros de Gabor (4 pares de filtros 2D), um cdigo ris
com 2.048 bits. Como nesta Tese foram utilizados apenas 6 filtros de Gabor (3 pares de filtros
2D) e 198 pontos de aplicao, o cdigo ris gerado possui 1198 bits.
Como mencionado anteriormente, o procedimento adotado para a normalizao das ima-
gens no garante o perfeito alinhamento entre elas. Para contornar este problema, durante a
fase de comparao um dos cdigos ris mantido esttico, enquanto o outro progressiva-
mente deslocado na direo de e, para cada uma destas rotaes, uma distncia de Hamming
computada. Os dois cdigos ris so considerados alinhados para a rotao que proporcionar
a menor distncia dHN .
C APTULO 6
Melhoramento do Mtodo de Daugman -

Pontos de Aplicao com Menor
Densidade de Ocluso
No mtodo de reconhecimento da ris proposto por Daugman [4], a matriz de pontos de

aplicao determina quais pixels da imagem normalizada da ris sero utilizados para extrair
o cdigo binrio. A distribuio homognea (equidistante), proposta por Daugman, destes
pontos de aplicao, muitas vezes seleciona pixels com rudo causado pela plpebra, clio ou
reflexo especular. Uma mscara de ocluso, contendo as informaes das regies da imagem
normalizada da ris que esto com ocluso por rudo, gerada para cada uma das imagens da ris
captadas na fase de inscrio e verificao. Ao utilizar os pontos de aplicao sobre a mscara
de ocluso gerada uma sequncia binria de ocluso (MX e MY ), respectivamente para cada
um dos cdigos ris extrados na fase de inscrio (X) e verificao (Y ). Na sequncia binria
de ocluso, seus bits possuem valor igual a 1 apenas nos pontos de aplicao incidentes em
ocluses.
Na etapa de verificao, ao calcular a distncia de Hamming entre dois cdigos ris X e
Y , Daugman desconsidera os bits advindos dos pontos de aplicao que incidem em regies de
ocluso da ris. Assim, a distncia de Hamming normalizada, dHN , calculada sobre os n bits dos
cdigos ris X e Y (e suas sequncias binrias de ocluso, MX e MY ), extrados respectivamente
das imagens na fase de inscrio e verificao, representada pela Equao 5.6 repetida a seguir
n
1
dHN = n
n k=1 (MXk + MYk ) (X j Y j ) MX j MY j . (6.1)
j=1
Entretanto, alguns esquemas de proteo de template biomtrico [13, 14], incluindo o

sistema BSKAPD proposto nesta Tese, tm restries quanto ao uso de tais mscaras, seja por
limitao da memria/custo computacional seja por limitao de conceito do prprio algoritmo.
O no uso da mscara de ocluso na fase de verificao, fatalmente levar a distores na dis-
Melhoramento do Mtodo de Daugman - Pontos de Aplicao com Menor Densidade de Ocluso 53
criminao de dois cdigos ris quando a distribuio planar dos pontos de aplicao de forma
homognea, obedecendo as orientaes de Daugman. Isto porque, utilizando a distribuio
homognea, muitos bits X j e/ou Y j esto com ocluso, no trazendo informao fidedigna da
textura da ris.
Neste trabalho, proposto um mtodo de distribuio dos pontos de aplicao sobre
regies com menor densidade de ocluso. Este mtodo utiliza um mapa de frequncia de
ocluso, para evitar a seleo de pontos de aplicao em regies de alta ocorrncia de ocluso,
permitindo assim, o no uso da mscara de ocluso por algoritmos de proteo de template
sem comprometimento do desempenho do sistema. A distribuio dos pontos de aplicao com
menor ocorrncia de ocluso, definida na Seo 6.1, foi utilizada no algoritmo de extrao do
cdigo ris do sistema BSKPAD, uma vez que o mesmo, por usar uma etiqueta RFID passiva,
a qual possui limitao de memria e de capacidade computacional, tambm possui restries
quanto ao uso da mscara de ocluso.
Como a parte inferior da imagem normalizada da ris a mais susceptvel a ocluso
pelas plpebras e clios, Ma et al. [120] em sua abordagem, decidiram descartar a parte inferior
da textura da ris normalizada e apenas focaram na poro superior, que representa a regio do
anel da ris mais prxima da pupila, a qual nomearam regio de interesse. Tisse et al. [126]
seguiram o mesmo pressuposto em seu trabalho.
O presente captulo possui a seguinte estrutura: Na Seo 6.1, descrito o mtodo
proposto para escolha dos pontos de aplicao com menor densidade de ocluso. Na Seo
6.2, so apresentados os resultados obtidos e avaliaes de desempenho, a partir da simulao
em Matlabr , utilizando a base de dados ICE2005. Ainda nesta seo, so apresentados e
avaliados os histogramas das distribuies de comparaes intraclasse e interclasse, obtidos
pela aplicao dos dois mtodos: o mtodo de distribuio sobre a regio de menor densidade
de ocluso e aplicando o mtodo de distribuio homognea proposto por Daugman, com e sem
uso, da mscara de ocluso. Por fim, na Seo 6.3 so apresentadas as concluses.
6.1 Mtodo de Distribuio dos Pontos de Aplicao Sobre a

Regio com Menor Densidade de Ocluso
Foi constatado que algumas regies da imagem normalizada da ris tm maior incidncia
de ocluso que outras. Na imagem normalizada da ris, verifica-se que na faixa inferior, mais
comum haver ocluses por plpebras e clios. Seja a distribuio homognea dos pontos de
aplicao representada pela distribuio da Figura 6.1, cujos pares (, ), formam a matriz de
coordenadas dos pixels da imagem normalizada da ris, a partir das quais sero extrados o
cdigo ris. Ento, percebe-se que alguns destes pontos, extrairo cdigos binrios de pixels
que no correspondem a textura da ris, e sim, a rudos ocasionados por plpebras, clios e
reflexes especulares.
Figura 6.1 Pontos de aplicao com distribuio homognea
Diante dessa observao, foi proposto um mtodo que permite escolher os pontos de
aplicao que possuem menor probabilidade de ocorrncia de ocluso. Para tal, foi utilizado
um treinamento a priori, a partir das imagens da ris da base de dados ND-IRIS-0405 [18], que
resultou no levantamento estatstico dos pontos mais influenciados pela mscara de ocluso.
Na Figura 6.2 apresentado um mapa de frequncia que utiliza uma escala de variaes
de cores de vermelho a azul, de modo que, a cada coordenada atribuda uma cor que corres-
ponde ao nmero de vezes que, nesta coordenada selecionada, as imagens da base de dados
esto com ocluso, atribuindo cor vermelha um maior nmero de ocorrncias.
Figura 6.2 Mapa de frequncia obtido por levantamento estatstico das regies mais afetadas pela ms-
cara de ocluso.
Escolha das coordenadas dos pontos de aplicao a partir do mapa de frequncia.

As coordenadas (, ) dos 198 pontos escolhidos para extrair o cdigo ris, foram distribudas
nas regies da Figura 6.2 com menor frequncia de ocluso, respeitando uma distncia eucli-
diana entre eles de 5 pixels. Neste trabalho, esta distribuio dos pontos de aplicao definida
como pontos de aplicao com menor ocorrncia de ocluso. Sua distribuio pode ser vista
na Figura 6.3.
Figura 6.3 Distribuio dos pontos de aplicao com menor ocorrncia de ocluso sobre os eixos e .
6.2 Resultados Experimentais e Avaliaes

No Captulo 4, foram tratados a base de dados, o software OSIRIS, o algoritmo de ajuste
de rotao, o algoritmo de escolha dos pontos de aplicao com menor ocorrncia de ocluso e
a escolha da matriz de comparao, utilizados nos experimentos a seguir.
Todas as imagens da base de dados ICE2005 foram utilizadas para o levantamento es-
tatstico das regies mais afetadas pela mscara de ocluso, gerando o mapa de frequncia de
ocluso. Com uso do mapa de frequncia, a matriz de pontos de aplicao com menor ocorrn-
cia de ocluso foi gerada. A partir dos pontos de aplicao (com distribuio com menor ocor-
rncia de ocluso e com distribuio homognea) e as imagens caractersticas da ris, extradas
com o software OSIRIS, foram extrados os cdigos ris. Os histogramas das comparaes in-
traclasse e interclasse foram gerados, utilizando a dHN entre as comparaes dos cdigos ris
selecionados pelas matrizes de comparao intraclasse e interclasse.
Na Figura 6.4 so mostrados os histogramas das comparaes intraclasse e interclasse
utilizando a distribuio homognea das coordenadas dos pontos de aplicao sobre a imagem
normalizada da ris. Estes histogramas foram extrados a partir de dois experimentos: (a) consi-
derando as mscaras de ocluso, cuja dHN entre dois cdigos ris calculada a partir da Equao
6.1 e (b) experimento no considerando a mscara para o clculo da dHN , Equao 5.5.
Na Figura 6.4, observa-se que, quando se mantm a distribuio homognea dos pontos de apli-
cao e deixa-se de utilizar a mscara de ocluso no clculo da dHN , h um aumento na taxa
de falsa rejeio (FRR) e na taxa de erro igual (EER), ou seja, h uma degradao nos par-
metros de desempenho do sistema biomtrico, bem representado pelo grfico da Figura 6.7.
Ver tambm resultados na Tabela 6.1, coluna 4 (DHCM-Distribuio homognea dos pontos
de aplicao com uso da mscara) e coluna 5 (DHSM-Distribuio homognea dos pontos de
aplicao sem uso da mscara).
Para esquemas de segurana de template que possuem restries ao uso da mscara de
ocluso, foi proposto neste trabalho, um mtodo de seleo de pontos de aplicao com baixa
ocorrncia de ocluso, definidos na Seo 6.1 como pontos de aplicao com menor ocorrncia
de ocluso.
Figura 6.4 Histogramas das comparaes intra/interclasse com distribuio homognea dos pontos de
aplicao com/sem uso da mscara de ocluso.
Tabela 6.1 Tabela de desempenho em funo do mtodo de distribuio dos pontos de aplicao,
considerando ou no o uso da mscara de ocluso.
DLOCM DLOSM DHCM DHSM

EER(FRR=FAR) 3,1% 3,1% 3,8% 4,8%
FRR(FAR=0,1%) 6,31% 6,33% 7,1% 12,7%
Legenda: DLOCM-Distrib. livre de ocluso com uso da mscara de ocluso
DLOSM-Distrib. livre de ocluso sem uso da mscara de ocluso
DHCM-Distrib. homog. com uso da mscara de ocluso
DHSM-Distrib. homog. sem uso da mscara de ocluso
Na Figura 6.5 so apresentados os histogramas das comparaes intraclasse e inter-

classe, considerando o no uso da mscara de ocluso.
Observa-se na Figura 6.5 que, utilizando a proposio de distribuio livre de ocluso
dos Pontos de Aplicao, em comparao ao uso da distribuio homognea, h um maior
afastamento entre as distribuies intraclasse e interclasse, melhorando assim, os parmetros de
desempenho ERR (Equal Error Rate), FRR (False Rejection Rate) e FAR (False Acceptance
Rate). Ver tambm a Figura 6.6, Figura 6.7 e Tabela 6.1, colunas 3 (DLOSM-Distribuio
livre de ocluso dos pontos de aplicao sem uso da mscara) e coluna 5 (DHSM-Distribuio
homognea dos pontos de aplicao sem uso da mscara).
Figura 6.5 Histogramas das comparaes intra/interclasse com distribuio livre de ocluso/homognea
dos pontos de aplicao, sem uso da mscara.
Figura 6.6 Taxa de Falsa Rejeio (FRR) e Falsa Aceitao (FAR) para os dois mtodos: (a) distribuio
dos pontos de aplicao livre de ocluso, (b) distribuio homognea. Ambos sem uso da mscara na
comparao.
A curva ROC (Receiver Operating Characteristic) da Figura 6.7, relaciona a FRR em

funo da FAR para vrios thresholds, numa escala logartmica. Nesta observa-se:
(a) Utilizando o mtodo de pontos de aplicao livre de ocluso, praticamente no altera o

resultado do desempenho biomtrico, quanto ao uso/no uso da mscara de ocluso. Ver
valores de EER e FRR das colunas 2 (DLOCM) e 3 (DLOSM) da Tabela 6.1.
(b) O uso dos pontos de aplicao livre de ocluso torna o desempenho biomtrico melhor
do que os experimentos que utilizam distribuio homognea dos pontos de aplicao,
inclusive daquele que utiliza a mscara de ocluso. Ver tambm a Tabela 6.1.
(c) A reta que determina os pontos de EER (Equal Error Rate), determina o menor valor
de EER para o mtodo que utiliza os pontos de aplicao livre de ocluso, cujos valores
esto expressos na Tabela 6.1.
Figura 6.7 Curva ROC para os quatro mtodos:(a) DLOCM-Distribuio dos pontos de aplicao livre
de ocluso com uso da mscara de ocluso, (b) DLOSM-Distribuio dos pontos de aplicao livre de
ocluso sem uso da mscara, (c) DHCM-Distribuio homognea dos pontos de aplicao com uso da
mscara, (d) DHSM-Distribuio homognea dos pontos de aplicao sem uso da mscara.
6.3 Concluses
Neste captulo, foram investigados os efeitos da supresso das mscaras de ocluso
quando da comparao entre dois cdigos ris, quando os pontos de aplicao que selecionam
os pixels das imagens normalizadas da ris possuem distribuio planar homognea, como o
utilizado pelo mtodo tradicional sugerido por Daugman.
Foi elaborado um novo mtodo de seleo dos pontos para extrao da caracterstica
da ris, que objetiva a reduo dos efeitos negativos causados pelas ocluses da ris por plpe-
bras e clios, assim como, pelos erros de segmentao quando as mscaras de ocluso no so
consideradas.
Portanto, um mapa de frequncia de ocluso de todos os pixels da imagem normalizada
da ris foi extrado utilizando a base de dados ICE2005. A partir deste mapa de frequncia, foi
proposta uma distribuio dos pontos de aplicao com menor ocorrncia de ocluso. Com o
intuito de validar empiricamente o mtodo proposto, quatro experimentos foram realizados, e
seus resultados, analisados.
Os resultados mostram que os cdigos ris extrados a partir destes pontos livres de
ocluso, no necessitam da mscara de ocluso na fase de comparao. Foram apresentados em
grfico os histogramas das comparaes intraclasse e interclasse, e calculados os parmetros de
desempenho FRR, FAR e EER para as possveis combinaes: seleo livre de ocluso/homo-
gnea dos pontos de aplicao e uso/no uso da mscara de ocluso. Foram obtidos resultados
favorveis ao utilizar a distribuio dos pontos de aplicao livre de ocluso, proposta neste tra-
balho. Para distribuio livre de ocluso dos pontos de aplicao, obteve-se um EER = 3, 1%
e FRR = 6, 3% (para FAR = 0, 1%), enquanto que, para distribuio homognea sem uso de
mscara, EER = 4, 8% e FRR = 12, 7% (para FAR = 0, 1%).
Portanto, conclui-se que, a partir de uma escolha criteriosa da matriz de pontos de apli-
cao, possvel suprimir a mscara de ocluso do processo de comparao de cdigos ris,
sem perda significativa no desempenho. Em sistemas com limitaes de memria ou processa-
mento, tal como o sistema BSKAPD proposto nesta Tese, o no uso da mscara de ocluso sem
comprometimento do desempenho biomtrico, tem importante efeito positivo nos resultados
finais do desempenho do sistema.
C APTULO 7
Concordncia de Chave Secreta Baseada

em Biometria por Discusso Pblica com
Sistemas RFID
O sistema criptogrfico baseado em biometria descrito neste captulo um sistema h-

brido, que combina tcnica salting de proteo de template baseada em transformao [35], com
concordncia de chave secreta por discusso pblica. O sistema apresentado ser referenciado
com a sigla BSKAPD (Biometrics-Based Secret Key Agreement by Public Discussion).
O Sistema BSKAPD, por no se enquadrar em nenhuma das classificaes propostas por
Jain et al [1] e por Kanade et al. [2], vistas na Seo 2.2, demanda uma nova classificao, com
sugesto de denominao Crypto-bio key agreement (concordncia de chave cripto-biomtrica).
O BSKAPD utiliza trs fatores de segurana: baseado no conhecimento (senha), ba-
seado na biometria (ris) e baseado na propriedade (etiqueta RFID). Este ltimo, fornece uma
caracterstica peculiar de interface do sistema com o usurio, a comunicao sem fio. Adicio-
nalmente, a etiqueta RFID agrega como vantagens, o baixo custo e a facilidade de insero em
objetos como passaporte, chaveiro, objetos de uso pessoal, entre outros. Apesar da sugesto
de sistemas RFID neste trabalho, possvel substituir o fator baseado na propriedade (etiqueta
RFID) por outro dispositivo com maior poder computacional/memria, como Smartcard con-
tactless, ou Smartphones.
7.1 Segurana do Sistema BSKAPD

A segurana do sistema BSKAPD, deve ser analisada sob o ponto de vista das possveis
vulnerabilidades a ataques. Portanto, o modelo de segurana e as tcnicas utilizadas devem
ser capazes de garantir a proteo do template biomtrico e as condies necessrias para estas
suposies de segurana. Um ponto de forte vulnerabilidade de um sistema RFID passivo
a comunicao entre etiqueta e leitor pelo canal pblico, uma vez que as limitaes compu-
Concordncia de Chave Secreta Baseada em Biometria por Discusso Pblica com Sistemas RFID 61
tacionais da etiqueta passiva, impedem o uso de tcnicas criptogrficas tradicionais, de modo

a garantir a segurana da informao trocada entre etiqueta e leitor. Porm, o comprometi-
mento da base de dados, da senha e/ou da etiqueta RFID, devem ser avaliados, tanto quanto
a segurana do template biomtrico, quanto a capacidade de um atacante em burlar o sistema,
obtendo uma autenticao positiva indevida. Os diversos tipos de ataques, tanto pela monitora-
o do canal de comunicao, como pelo comprometimento da etiqueta RFID e/ou senha so
analisados no Captulo 9, em que, por simulaes, so encontrados os parmetros de avaliao
de desempenho, FAR e FRR, respectivamente taxa de falsa aceitao e taxa de falsa rejeio.
Um outro elemento importante para avaliar a segurana de sistemas de gerao de chave secreta
a entropia estimada da chave secreta, que tambm obtida para cada um dos ataques citados.
A segurana do protocolo de reconciliao (RI) do sistema BSKAPD, baseada nos
trabalhos de Christian Cachin [127,128], que trata de acordo de chave em canais ruidosos, com
adaptaes para o cenrio particular proposto nesta Tese, em que uma das partes comunicantes,
a etiqueta RFID passiva, possui limitaes computacionais. Ainda, em adio a este cenrio, as
sequncias iniciais do protocolo RI so baseadas em biometria, que com o uso de mecanismos
de proteo de template, so seguramente distribudas para etiqueta RFID e para o leitor RFID.
As duas partes participantes que se comunicam pelo canal pblico so chamadas de T
e R, respectivamente etiqueta (tag) RFID e leitor (reader) RFID. Uma instncia do protocolo
chamada de passo. Durante as implementaes foram analisados protocolos com 3 e 4 passos.
No cenrio de comunicao do protocolo so definidos trs elementos, o USURIO
(UA ), a UNIDADE AUTENTICADORA (S) e o ADVERSRIO (Adv). Trs elementos perten-
centes ao usurio interagem no processo, sua ris (I), sua etiqueta RFID (T ) e seu login/senha
(PW ). A unidade autenticadora composta pelo leitor/scanner da ris (SI), leitor RFID (R),
teclado (TC), unidade central de processamento (UCP) e unidade de armazenamento de dados
(BD).
O sistema possui duas fase de operao, a fase de inscrio e a fase de verificao. A
seguir, sero descritos os protocolos de execuo para cada uma das fases.
7.1.1 Protocolo de Execuo da Fase de Inscrio

Uma viso global do protocolo de execuo da fase de inscrio mostrado no diagrama
da Figura 7.1 e o passo-a-passo apresentado a seguir:
(1a) Usurio UA permite a leitura de sua ris I por SI;
(1b) SI envia a imagem adquirida da ris para UCP;
(1c) UCP extrai o cdigo ris (CI) da imagem;
(1d) UCP gera 4 sequncias aleatrias, KX1 , senha PW , e mais duas utilizadas no esquema
salting de proteo de template, SS e SC;
(1e) UCP executa seu algoritmo de proteo de template, utilizando as sequncia SC e SS para
gerar o template transformado T T , em que T T = F(SC,SS) (CI);
(1f) UCP grava na etiqueta RFID (T ) a chave inicial KX1 e T T ;
(1g) UCP cifra as 3 sequncias aleatrias (KX1 , SS e SC), utilizando a senha PW como chave
de cifragem, SCF = EPW (KX1 , SS, SC);
(2) UCP envia para base de dados (BD) a sequncia cifrada SCF , para ser indexada ao login do
usurio UA ;
(3a) A senha PW entregue ao usurio UA , pelo administrador da unidade autenticadora S;
(3b) UCP descarta as 4 sequncias: PW , KX1 , SS e SC;
(4) O administrador da unidade autenticadora S entrega a etiqueta RFID T ao usurio UA . Em

seguida, o protocolo de inscrio finalizado.
Usurio A (UA) Unidade Autenticadora (S)
1
I SI UCP BD
2
3
P
4
T
Figura 7.1 Diagrama do protocolo de execuo da fase de inscrio do BSKPAD.
7.1.2 Protocolo de Execuo da Fase de Verificao

Uma viso global do protocolo de execuo da fase de verificao mostrado no dia-
grama da Figura 7.2 e o passo-a-passo apresentado a seguir:
(1a) Usurio digita login/senha PW no teclado TC;
(1b) Unidade central de processamento (UCP) l PW ;
(1c) UCP solicita base de dados (BD) a sequncia cifrada SCF de UA ;
(2) UCP recebe de BD a sequncia SCF e usa a senha PW para decifr-la, obtendo SDF , em que
SDF = DPW (SCF ) = (KX1 , SS, SC);
(3a) Usurio permite a leitura de sua ris I por SI;
(3b) SI envia a imagem adquirida da ris para UCP;
(3c) UCP extrai o cdigo ris da imagem (CI 0 );
(3d) UCP utiliza as sequncias SC e SS para gerar a sequncia template transformado T T 0 , em

que T T 0 = F(SC,SS) (CI 0 );
(4a) Um protocolo de reconciliao da informao (RI) executado entre a etiqueta RFID (T )

e o leitor RFID (R), os quais trocam informaes de paridade pelo canal pblico, na
presena de um adversrio passivo (Adv), que observa todas as comunicaes;
(4b) Ao final do protocolo RI, duas chaves so geradas, KX2 e KY2 , respectivamente em T e R;
(4c) A etiqueta T computa o hash da chave KX2 e envia h(KX2 ), pelo canal, para o leitor R;
(5a) UCP computa o hash da chave KY2 .
(5b) UCP compara os valores hash das chaves. Se h(KX2 ) = h(KY2 ) e o comprimento da chave
for maior que o limiar n , | KY2 | n , o usurio UA recebe autenticao POSITIVA;
(5c) UCP envia para a etiqueta T a confirmao que a autenticao foi POSITIVA, em seguida,
T executa a substituio KX1 KX2 ;
(6a) UCP gera uma nova sequncia cifrada, SCF N , a partir das sequncias (KY2 , SS, SC), utili-
zando a senha PW como chave de cifragem, SCF N = EPW (KY2 , SS, SC);
(6b) UCP envia para base de dados (BD) a nova sequncia cifrada SCF N ;
(6c) BD substitui a sequncia anterior SCF pela nova, SCF SCF N , indexando-a ao login de
UA ;
(6d) As sequncias (PW , KY2 , SS e SC) so descartadas e o protocolo de verificao finalizado;
(7a) Se KX2 6= KY2 ou | KY2 |< n , o usurio UA recebe autenticao NEGATIVA;
(7b) As sequncias (PW , KY2 , KX1 , SS e SC) so descartadas e o protocolo de verificao

finalizado.
Usurio (UA) Unidade Autenticadora (S)
1
P TC UCP BD
2
3
I SI
4
T R
4
Adversrio (A)
5 Autent.
Positiva
6
7 Autent.
Negativa
Figura 7.2 Diagrama do protocolo de execuo da fase de verificao do BSKPAD.
7.1.3 Modelo de Segurana

O esquema BSKAPD possui o seguinte modelo de segurana organizado em trs pontos:
Modelo para o extrator de caractersticas da ris
O sistema descrito no lida com qualquer tentativa de falsificao da ris (replicao

sinttica, fotografia, imagem digital, lente de contato). suposto que outro mdulo
extra, seja capaz de detect-la, por exemplo, mecanismos que utilizam tcnicas para
detectar liveness iris [94, 96];
Modelo para o sistema RFID
As informaes gravadas em T no podem ser lidas por quaisquer meios (enge-

nharia reversa, por exemplo). Apenas durante a etapa de comunicao as paridades
podem ser observadas, e nas condies exigidas pelo esquema BSKAPD, durante a
execuo do protocolo RI.
T e R se comunicam pelo canal pblico, porm ataques ativos so detectados.
Modelo adversarial
O modelo do adversrio quanto a ataques pelo canal RF (rdio frequncia), caracteriza-

se por permitir ao Adv, apenas monitorar as mensagens trocadas por T e R, de
modo que qualquer tentativa de modificar ou inserir mensagens detectada pelo
sistema.
O adversrio Adv conhece todo o algoritmo BSKAPD, inclusive o mecanismo de
extrao do cdigo ris.
O Adversrio desconhece as sequncias iniciais, os templates transformados T T e
T T 0 , respectivamente de T e R. Sua melhor estratgia para construo de sua
sequncia inicial, requer duas aes. Primeiro, selecionar um cdigo ris de forma
aleatria (em termos de anlise, seu cdigo ris escolhido pertence a funo de den-
sidade de probabilidade das comparaes interclasse). Em seguida, escolher aleato-
riamente as sequncias parmetros da funo de transformao, a sequncia binria
para concatenao (SC) e a sequncia binria da semente de embaralhamento (SS).
Ao final deste processo, o Adv gera sua sequncia inicial, definida como template
transformado do Adv, ZZ.
7.1.4 Definio de Segurana

Para um adversrio, com poder computacional e memria ilimitados, dado todas suas
observaes de forma passiva pelo canal pblico, o conhecimento que ele possui da chave si-
mtrica gerada, entre a etiqueta RFID e o leitor RFID, ao final do protocolo de reconciliao da
informao, desprezvel. Os fundamentos tericos so mostrados a seguir.
O protocolo de reconciliao consiste de T e R trocarem informao de paridade, U,
pelo canal pblico, objetivando concordarem em uma sequncia comum W . Sejam X e Y as
sequncias de T e R, respectivamente, no incio do protocolo RI, ento, T e R devem ser
capazes de determinar a sequncia comum W a partir das duplas (U, X) e (U, Y ), respectiva-
mente. A informao do Adv sobre W consiste de V e U, em que V corresponde a suposta
informao que o Adv possa ter adquirido a respeito de X antes do incio do protocolo. Ca-
chin [128], forneceu um forte resultado por mostrar que as observaes de paridades U do Adv,
diminuem a entropia de Rnyi de ordem 2 sobre W , por no mximo (log | U | +2s + 2), exceto
com probabilidade desprezvel. O Teorema 5.2 e Corolrio 5.3 de [128] so descritos a seguir,
Teorema 7.1.1 (Theor. 5.2, [128]). Sejam X e U variveis aleatrias com alfabeto X e U ,
respectivamente, e seja s > 0 um dado parmetro de segurana. Com probabilidade de pelo
menos 1 2s , U leva em valores de u para os quais
H2 (X) H2 (X|U = u) log |U | + 2s + 2. (7.1)

Corolrio 7.1.2 (Corol. 5.3, [128]). Seja W uma varivel aleatria com alfabeto W , sejam v
e u valores particulares das variveis aleatrias com alfabeto V e U , respectivamente com
t = log |U |, e seja s > 0 um dado parmetro de segurana. Ento, com probabilidade de pelo
menos 1 2s , U leva nos valores de u tais que a diminuio na entropia de Rnyi de ordem 2
dada por u,
H2 (W |V = v) H2 (W |V = v,U = u) t + 2s + 2. (7.2)
O protocolo RI proposto descarta 1 bit para cada teste de paridade trocado entre T e R.
Assim, ao final do protocolo, eles descartam t bits. Pelo Corolrio 5.3 de [128], se no houvesse
os descartes de bits realizados por T e R, a vantagem obtida pelo Adv, por monitorar os testes
de paridade, seria de aproximadamente t bits. Com os descartes de t bits, realizados por T
e R, para compensar o vazamento de informao, a vantagem adquirida pelo Adv sobre W
desprezvel. Considerando que o Adv no possui nenhum conhecimento sobre X e Y no incio
do protocolo, para um dado parmetro de segurana, e.g. s = 5, ao final do protocolo RI, o Adv
conhecer no mais que 12 bits de W , com probabilidade de no mximo 25 . Os resultados das
simulaes do algoritmo BSKAPD, tiveram seus valores de entropia, estimados pelos graus de
liberdade (DoF, degrees of freedom) proposto por Daugman, subtrados de (2s + 2) bits.
7.1.5 Proteo de Template com a Tcnica Salting

A tcnica salting, aplicada em esquemas de proteo do template, caracteriza-se por
transformar o template biomtrico pela aplicao de uma funo invertvel a este. Existem
vrias abordagens da tcnica salting, como a tcnica de quantizao multi-espao aleatrio
(random multispace quantization technique) proposta por Teoh et al. [45], esquemas biohashing
[129], tcnicas shuffling abordada por [13], entre outras.
O mdulo salting, proposto nesta Tese, garante a proteo do template por aplicar uma
funo invertvel F(SC,SS) (CI) ao cdigo ris [1, 12, 13, 52, 130]. Esta funo invertvel obtida
pelo processamento em dois submdulos; o primeiro concatena uma sequncia pseudo-aleatria
de bits ao cdigo ris CI; o segundo executa um embaralhamento desta sequncia concatenada
com uma funo shuffling, cuja chave (ou semente) de embaralhamento a sequncia pseudo-
aleatria SS. As seguintes caractersticas so adquiridas com o uso do mdulo salting [2]:
Proteo informao biomtrica. A comparao de diferentes templates ocorre no do-

mnio transformado. No computacionalmente realizvel, obter o template biomtrico
original a partir do template transformado, sem o conhecimento das sequncias de con-
catenao e embaralhamento, SC e SS, respectivamente. Neste trabalho, os parmetros
(SC e SS) da funo invertvel so armazenados na base de dados na forma cifrada, cuja
chave de cifragem a senha. Como a senha descartada aps ser entregue ao usurio, a
cifragem/decifragem dita ser usurio-especfico. Um adversrio, por meio de um ataque
base de dados, poder obter acesso aos parmetros de transformao na forma cifrada,
SCF , mas ainda assim, sem a senha do usurio computacionalmente irrealizvel obter
os parmetros de transformao;
Proteo contra ataques utilizando o template biomtrico genuno. Um mesmo tem-

plate biomtrico, aps transformao salting com diferentes parmetros de concatena-
o e embaralhamento, gera sequncias descorrelacionadas no domnio transformado, de
modo que sua comparao pode ser vista como uma realizao entre duas sequncias ale-
atrias. Portanto, se um adversrio, por algum meio, obter os dados biomtricos originais
de um usurio genuno e tentar obter uma verificao positiva gerando, por adivinhao,
o template transformado, o sistema pode ainda resistir a este tipo de ataque devido a
presena do mdulo salting;
Diversidade de template. O mdulo salting garante que um mesmo template biomtrico

original possa ser usado por diversas aplicaes. Um adversrio que obtm o template
transformado de uma aplicao ao atacar uma base de dados, no obtm nenhuma vanta-
gem extra ao tentar autenticao positiva em outra aplicao. Para proteo do template
biomtrico contra ataques base de dados, no esquema proposto as sequncias de conca-
tenao e embaralhamento so geradas por um gerador pseudoaleatrio, sendo as mesmas
armazenadas na base de dados na forma cifrada por meio de uma senha usurio-especfica
(s o usurio conhece);
Revogabilidade. Se o template transformado for comprometido, ele pode ser cancelado

e um novo template transformado ser gerado com o uso de novas sequncias de concate-
nao e de embaralhamento;
Melhoria do desempenho da fase de verificao. O mdulo salting promove um maior

afastamento entre as distribuies das comparaes genunas e impostoras.
7.2 Esquema Proposto

De um modo geral, autenticao significa verificar se algum realmente quem diz
ser. Um esquema de autenticao aplicado a controle de acesso, normalmente composto de
duas fases: fase de inscrio e fase de verificao (muitas vezes referenciado como fase de
autenticao do usurio). O objetivo principal de um sistema de controle de acesso autenticar
algum (um usurio, dispositivo ou uma entidade) que possua cadastro em sua base de dados,
permitindo acesso a dados, recursos, aplicativos ou ambiente fsico.
Na Figura 7.3 apresentado o diagrama esquemtico do sistema BSKAPD, em que so
incorporadas as fases de inscrio e verificao.
Fase de Inscrio Fase de Verificao

UA UV
Extrator de Extrator de
Template da ris Template da ris
SC Concatenar Concatenar
mdulo
Salting
SS Embaralhar Embaralhar

PRNG
Base de
Dados
SC
SS
EPW(SC,SS, ) SCF DPW (SCF)
Senha
PW
SCF

mdulo RI
Senha PW
Etiq. RFID Reconciliao

Leitor RFID
Pblico
( )
C a n a l
( )
Autenticao
NEGATIVA
N
=
Na Etiqueta RFID: S
Na Base de Dados:
Autenticao
POSITIVA
| | n N
S
Figura 7.3 Diagrama do esquema cripto-biomtrico BSKAPD.
Notaes:
UA , UV : Usurio cadastrado e usurio a ser verificado, respectivamente;
Adv: Adversrio;
PW: Senha de UA com 12 caracteres;
T e R: etiqueta RFID e leitor RFID, respectivamente;
CI: Cdigo ris, CI {0, 1}t , t = 1.188 bits;
SC: Sequncia binria para concatenao, SC {0, 1}n , n = 860 bits;
SS: Sequncia binria da semente de embaralhamento, SS {0, 1}r , r = 256 bits;
KX1 : Chave secreta armazenada na T e base de dados (cifrado), KX1 {0, 1}m ;
EPW (): Bloco cifrador, cuja chave de cifragem a senha PW ;

DPW 0 (): Bloco decifrador, cuja chave de decifragem a senha PW 0 ;
SCF : Seq. cifrada gerada na inscrio e armazenada na base de dados, SCF = EPW (KX1 , SS, SC);
SDF : Sequncia decifrada na fase de verificao, cuja chave de decifragem PW 0 ,

0
SDF = DPW 0 (SCF ) = (KX1 , SC0 , SS0 );
CIC : Cdigo ris aps concatenao. CIC = CI k SC;
i: passo i do protocolo RI, i = {1, 2, 3, 4};
T T : template transformado. T T = FSC,SS (CI);
FSC,SS (CI): Funo invertvel de transformao do CI, com parmetros SC e SS;
X (i) e Y (i) : Seq. de bits no incio do passo i do protocolo RI, respectivamente em T e R;
SC0 , SS0 , CI 0 , CIC0 , T T 0 , KX0 1 , PW 0 e T 0 : Mesma notao, porm referindo-se verificao;
PRNG: Gerador de nmeros pseudo-aleatrios;
AESEnc e AESDec : algoritmo cifrador/decifrador AES (Advanced Encryption Standard).
A seguir sero descritas as fases de inscrio e verificao.
7.3 Fase de Inscrio

Consiste do cadastro do usurio UA perante o sistema. Ver Figura 7.4 e lateral esquerda
da Figura 7.3. Uma vez que o esquema proposto composto de trs fatores (biometria, Etiqueta
RFID e senha), se faz necessrio o registro destes trs elementos.
UA Unidade de Inscrio
Extrator CI Conca- CIc TT

Embaralhamento
Template tenao
P SC
860 bits
*
Etiq.RFID R AESEnc
TT N
SS * SCF=
256 bits
G
*
EPW (SC,SS,KX1 )
KX1 KX1
m bits SCF
PW Senha * Base de
PW
Dados
* SC, SS, KX 1 e PW so descartados no final da inscrio.
Figura 7.4 Diagrama da fase de inscrio biomtrica do BSKAPD.

No ato da inscrio, o usurio expe seu olho para leitura biomtrica da ris. Um cdigo
ris de 1.188 bits, CI, extrado por meio de um software de extrao das caractersticas da ris.
No esquema proposto, foi utilizado o sistema de referncia OSIRIS (Open Source for IRIS),
descrito na Seo 4.2.
Para cada cadastro de usurio, trs sequncias binrias so geradas por meio do gerador
de sequncia de nmeros pseudoaleatrios (pseudorandom number generator-PRNG): a senha
PW , a sequncia de concatenao (SC), a sequncia chave de embaralhamento (SS) e a chave
KX1 , com comprimentos 860 bits, 256 bits e m bits, respectivamente. Um projeto de PRNG para
sistemas criptogrficos dever produzir um grande nmero de sequncias com imprevisibili-
dade satisfatrias. Para avaliar a aleatoriedade criptogrfica de uma sequncia pseudoaleatria,
deve-se considerar seu perodo, balanceamento, autocorrelao, execuo, distribuio n-upla
e complexidade linear, [131].
O cdigo ris CI sofre duas transformaes antes de ser armazenado na etiqueta RFID
do usurio: concatenao e embaralhamento (shuffling). Aps concatenar o CI com a sequncia
SC (860 bits) gerada uma sequncia concatenada CIC com 2.048 bits. Em seguida um algo-
ritmo de embaralhamento, cuja semente a sequncia SS, executado, produzindo a sequncia
template transformado, T T , em que T T = FSC,SS (CI). No passo seguinte, a sequncia T T e a
chave KX1 so armazenadas na etiqueta RFID do usurio e descartadas.
A senha PW utilizada como chave secreta do algoritmo cifrador/decifrador
AES (Advanced Encryption Standard [7]), que cifra/decifra as sequncias [SC, SS e KX1 ], sendo
SCF = EPW (SC, SS, KX1 ). Na ocorrncia de um ataque base de dados, a sequncia cifrada SCF
pode ser comprometida, e ento um ataque off-line pode ser executado de modo a quebrar a
cifragem com fora bruta. Como medida de segurana, sugerido que a senha PW possua
entropia superior a 70 bits. Seja L o nmero de caracteres de uma senha PW , escolhidos alea-
toriamente, de um alfabeto com b caracteres (por exemplo, a partir de teclado tpico ISO com
94 caracteres imprimveis), ento a entropia de adivinhao, a min-entropia e a entropia de
Shannon so todas do mesmo valor, HPW e calculadas por [132],
HPW = log2 (bL ). (7.3)
Selecionando aleatoriamente 12 caracteres de um teclado tpico ISO com 94 caracteres impri-

mveis, obtem-se uma entropia HPW ' 78 bits.
Um passo-a-passo conciso da fase de inscrio descrito a seguir:
1. Leitura biomtrica: Extrao de CI a partir da imagem da ris de UA ;
2. PRNG gera: PW , SC, SS e KX1 ;
3. Concatenao: O CI concatenado sequncia SC, CIC = CI k SC;

4. Embaralhamento: SS usado como semente para embaralhar CIC , gerando assim, o tem-
plate transformado T T ;
5. T T armazenada em T de UA . Em seguida T T descartado;
6. KX1 armazenada em T de UA ;
7. Cifragem: SC, SS e KX1 so cifradas, cuja chave de cifragem a senha PW ,

SCF = EPW (SC, SS, KX1 );
8. SCF armazenada na base de dados e indexada ao login de UA ;
9. PW (12-caracteres) entregue confidencialmente ao usurio UA ;
10. PW, SC, SS e KX1 so descartados e a inscrio finalizada;
7.4 Fase de Verificao

O sistema de verificao composto por seis mdulos: (a) mdulo de extrao de cdigo
ris, (b) mdulo salting (concatenao e embaralhamento), (c) mdulo decifrador AES (tendo
como chave a senha PW 0 ), (d) base de dados, (e) mdulo de reconciliao da informao, cuja
comunicao entre a etiqueta RFID e o leitor RFID, realizada sobre o canal pblico e sem
erros, e (f) mdulo de deciso. Ver Figura 7.5.
Na fase de verificao um usurio UV se submete ao sistema com a inteno de se au-
tenticar, objetivando algum tipo de acesso. De posse da etiqueta RFID, login e senha PW 0 , ele
submete sua ris a leitura pelo sistema. A partir deste momento, nesta seo o usurio UV ser
considerado um usurio genuno, ou seja, login/senhaPW e a etiqueta RFID so os mesmos
fornecidos pela unidade de inscrio, aps seu cadastro. O cdigo ris extrado, CI 0 , possui
distncia de Hamming do CI cadastrado pertencente distribuio de probabilidade das com-
paraes intraclasse, ou seja CI 0 possui uma distncia de Hamming de CI menor que um dado
limiar.
Aps a execuo do algoritmo de extrao do cdigo ris, uma sequncia binria CI 0 com
comprimento 1.188 bits obtida. Por meio do login/senha do usurio UV , o sistema acessa a
informao armazenada na base de dados indexada a UV , a sequncia cifrada SCF . Em seguida,
utilizando a senha PW 0 como chave de decifragem, SCF decifrado. As sadas do bloco de
0
decifragem so formadas por trs sequncias: SC0 , SS0 e KX1 , com respectivos comprimentos
860 bits, 256 bits e m bits, em que m determinado experimentalmente para cada projeto e
corresponde ao comprimento da chave final concordada. Sendo o usurio genuno, PW 0 =
PW , e como consequncia, as sequncias decifradas so as mesmas utilizadas na inscrio,
0
(SC0 , SS0 , KX1 ) = (SC, SS, KX1 ). Por esta razo, CI 0 receber a mesma sequncia de concatenao
e mesmo embaralhamento utilizados na inscrio. Ao final destes mdulos, obtido o template
transformado T T 0 com 2.048 bits, em que T T 0 = FSC,SS (CI 0 ).
Unidade de Autenticao
UV
Extrator Conca-
tenao Embaralhamento
Biomet.
SC SS Base Dados
Senha AES DPW (SCF) SCF
PW

Etiq.RFID
TT X(1) Y(1)
Reconciliao Reconciliao Leitor

RFID
C
A
Autenticao
N
NEGATIVA
N
=
A S
L N
| | n
Autenticao
Y POSITIVA

Figura 7.5 Diagrama da fase de verificao do BSKAPD.
Na prxima etapa, o algoritmo de reconciliao da informao executado pelas duas

partes, a etiqueta RFID, de posse do usurio, e o leitor RFID, do lado do sistema de verificao,
por meio de troca interativa de paridades pelo canal de comunicao. As sequncias iniciais a
reconciliar so T T (X (1) ) e T T 0 (Y (1) ), respectivamente na etiqueta e no leitor.
Antes de cada passo de reconciliao, um embaralhamento realizado, tanto na eti-
queta como no leitor. A semente de cada embaralhamento derivada da chave inicial KX1 e
0
KX1 . Assim, quando as chaves so iguais (verificao de um usurio genuno), as sequncias a
reconciliar esto sujeitas mesma regra de embaralhamento.
Ao final do protocolo RI duas chaves so obtidas, uma na etiqueta RFID (KX2 ) e outra
no leitor RFID (KY2 ). O protocolo RI proposto, executado de forma recursiva em 3 ou 4
passos. No incio de cada passo i, aps aplicao de uma funo de permutao K qs (em
X1
qs
que KX1 uma subsequncia da sequncia KX1 ), sua sequncia inicial subdividida em blocos
de comprimento ki , ki = {k1 , k2 , k3 , k4 }. Estes comprimentos de blocos de cada passo, so
escolhidos de tal modo, que o protocolo RI, com alta probabilidade, concilie numa sequncia
comum (KX2 = KY2 ), apenas quando o usurio a verificar UV genuno em relao ao usurio
cadastrado UA . Aps executar o algoritmo RI, uma funo hash criptogrfica escolhida dentre
uma famlia de funes hash universais (Strongly-Universal ) [133], cuja indexao da escolha
derivada da chave KX1 .
Para o propsito desta aplicao em sistemas RFID a funo hash utilizada a funo
hash W H, implementada por Yuksel [109], uma variante da funo hash NH desenvolvidas por
Black at al. [134]. Sua definio
Definio 1 (Funes Hash W H). Dado M = (m1 , , mi , , mn ) e K = (k1 , , ki , , kn ) em

que mi e ki GF(2w ), para qualquer n 2 par, e um polinmio irredutvel p(x) GF(2w )[x]
de grau w, a famlia de funes Hash W H definida como:
n/2
n
W HK (M) = (m2i1 + k2i1 ) (m2i + k2i ) x( 2 i)w ( mod p(x)) . (7.4)
i=1
A funo W H[n, w] universal em n sequncias de comprimento iguais, para n > 2 par

e w > 1, ou seja a probabilidade de coliso
Pr[W Hk (M) = W Hk (M 0 )] = 2w .
Aps ser computado o valor hash (h(KX2 )), o mesmo enviado pelo canal pblico para
o leitor. Da mesma forma, a unidade verificadora seleciona sua funo hash com indexao
derivada da chave (KX1 ). Do lado da unidade verificadora, o valor hash (h(KY2 )) calculado e
junto com h(KX2 ), recebido da etiqueta, o mdulo de deciso executado.
O mdulo de deciso utiliza dois critrios para confirmar/negar a autenticao. Se
h(KX2 ) = h(KY2 ) AND |KY2 | n , o sistema acusa autenticao POSITIVA, caso este crit-
rio no seja atendido, o sistema acusa autenticao NEGATIVA. O parmetro n um valor
escolhido experimentalmente, de modo a obter melhores parmetros de desempenho do sistema
proposto.
Em seguida, aps a autenticao POSITIVA ser acusada, as chaves KX1 assumem um
novo valor. Na etiqueta RFID, KX1 KX2 e na base de dados EPW (SC, SS, KX1 ) EPW (SC, SS, KY2 ).
Por fim, todas as sequncias utilizadas no protocolo, incluindo PW , so descartadas.
Um passo-a-passo conciso da fase de verificao descrito a seguir:
1. Extrao do vetor caracterstica CI 0 de UV ;
2. UV fornece seu login e senha PW 0 ;

0
3. Decifrador: DPW 0 (SCF ) = (SC0 , SS0 , KX1 );
4. Concatenao: CIC0 = CI 0 k SC0 ;

5. Embaralhamento: SS0 usado como semente de embaralhamento de CIC0 , gerando o tem-

plate transformado T T 0 ;
6. Y (1) = T T 0 em R e X (1) = T T em T ;
7. O protocolo RI entre T e R inicializado;
8. Aps o ltimo passo, o protocolo RI finalizado;
9. KX2 e KY2 , so as sequncias finais do protocolo RI, em T e R, respectivamente;
10. O valor hash h(KX2 ) calculado em T e enviado para R;
11. O valor hash h(KY2 ) calculado em R;
12. Em R, se h(KX2 ) = h(KY2 ) e |KY2 | n , o sistema acusa autenticao POSITIVA.

Em T , KX1 KX2 e na base de dados EPW (SC, SS, KX1 ) EPW (SC, SS, KY2 ).
13. Se h(KX2 ) 6= h(KY2 ) ou |KY2 | < n , o sistema acusa autenticao NEGATIVA;

0
14. SC0 , SS0 , KX1 e PW 0 so descartados e a verificao finalizada.
Desde j, para trabalhos posteriores, sugerimos a verificao da distncia informacional

entre as chaves geradas no final do algoritmo BSKAPD, KXt e KXt1 , em que t corresponde a
um processo completo de autenticao.
O protocolo de reconciliao da informao proposto utilizado no sistema BSKPAD e
seu estudo analtico, sero vistos em detalhes no Captulo 8.
C APTULO 8
Estudo Analtico do Protocolo Proposto de

Reconciliao da Informao
Neste captulo so mostrados em detalhes o protocolo de reconciliao da informao do

esquema BSKAPD-RFID e seu estudo analtico. Na Seo 8.1 um protocolo de reconciliao
da informao composto de 3 passos proposto e seu fluxograma apresentado na Subseo
8.1.1. As equaes analticas da taxa de erro por bit e tamanho da sequncia ao final de cada
passo do protocolo so desenvolvidas na Subseo 8.1.2. Na Subseo 8.1.4 so analisados os
efeitos do comprimento de bloco (ki ) de um passo do protocolo de reconciliao sobre o com-
primento da sequncia final e a taxa de erro final por bit, para uma dada distncia de Hamming
normalizada (HdN ) escolhida. Na Seo 8.2 dois cenrios so apresentados. O primeiro, no
qual o template transformado no sofre insero de bits, ou seja, seu comprimento o mesmo
do vetor caracterstica da ris extrado pelo mtodo Daugman. No segundo cenrio, o template
transformado possui um total de 2.048 bits, uma vez que foram inseridos 860 bits aleatrios aos
1.188 bits do cdigo ris. Para cada um dos cenrios a populao das comparaes intraclasse e
interclasse so modeladas por uma funo gaussiana. A partir destes modelos os parmetros de
desempenho FRR (taxa de falsa rejeio) e FAR (taxa de falsa aceitao) so encontrados e sua
validao obtida a partir dos FRR e FAR obtidos diretamente dos histogramas das compara-
es intraclasse e das comparaes interclasse.
Estudo Analtico do Protocolo Proposto de Reconciliao da Informao 76
8.1 Protocolo Proposto para Reconciliao da Informao

O protocolo de reconciliao proposto neste trabalho, com algumas modificaes incor-
poradas, segue os moldes dos protocolos RI aplicados em sistemas de acordo de chave secreta
por discusso pblica aplicados em sistemas QKD (Quantum Key Distribution) e cujo modelo
geral terico da informao foi introduzido por Maurer [23]. Conforme descrito na Seo
2.1, normalmente os protocolos de acordo de chave secreta so constitudos por quatro fases,
distribuio, destilao de vantagem, reconciliao da informao (RI) e amplificao da priva-
cidade.
O objetivo do protocolo RI permitir que Alice e Bob, ao final do protocolo, concordem
em uma mesma sequncia. O protocolo de reconciliao executado por diversas vezes at que
as sequncias de Alice e Bob no possuam mais bits diferentes. Cada execuo do protocolo
RI referenciada como um passo. Geralmente, em cada passo dos protocolos RI propostos na
literatura executam as seguintes aes:
Permutao aleatria e diviso das sequncias em blocos de comprimento k.

No incio de cada passo uma mesma permutao aleatria executada nas sequncias
de Alice e de Bob, permitindo assim, uma distribuio uniforme dos bits diferentes nas
sequncias a reconciliar. Em seguida, Alice e Bob dividem suas sequncias em blocos de
comprimento k (k 3).
Busca dos bits diferentes entre as sequncias de Alice e Bob.

Alice e Bob trocam as paridades de seus respectivos blocos pelo canal pblico, e testam
suas paridades. Ento, aps identificada a diferena de paridade em um bloco, Alice e
Bob iniciam uma busca dicotmica, a fim de localizar o bit diferente.
Correo ou descarte dos bits diferentes aps serem encontrados.

Aps encontrado o bit diferente, alguns protocolos descartam este bit, enquanto outros
optam por corrigi-lo.
As principais caractersticas que distinguem o esquema proposto dos tradicionais esque-

mas de acordo de chave secreta por discusso pblica so:
1. Utilizao do Sistema RFID como elementos comunicantes do esquema.

As partes comunicantes do sistema so a etiqueta RFID (Alice) e o leitor RFID (Bob). Os
mesmos se comunicam pelo canal pblico na presena da adversria Eve.
2. As sequncias iniciais so formadas pelo template biomtrico transformado.

O cenrio inicial da distribuio das sequncias iniciais (seja nos esquemas de distribui-
o quntica, seja nos sistemas clssicos de distribuio satlite em canais ruidosos)
substitudo pelas etapas de aquisio e proteo do template biomtrico da ris, os quais
so implementados nas fases de inscrio e verificao do sistema BSKAPD-RFID pro-

posto.
A sequncia binria inicial da etiqueta RFID, o template transformado T T , gerado na
fase de inscrio conforme descrito na Seo 7.3. Durante a fase de verificao, o usurio
para se autenticar perante o sistema, fornece sua senha, sua imagem da ris e est de posse
da etiqueta RFID obtida durante a fase de inscrio. A presena destes trs fatores pe-
rante o sistema de verificao, permite a gerao da sequncia binria inicial, o template
transformado T T 0 (ver Seo 7.4), utilizado pelo leitor RFID (Bob) durante o protocolo
de reconciliao da informao.
Numa autenticao genuna as sequncias iniciais da etiqueta RFID e do leitor RFID so
geradas a partir de dois templates biomtricos da ris de uma mesma pessoa, respecti-
vamente na fase de inscrio e na fase de verificao; por esta razo, a taxa de erro por
bit entre as sequncias iniciais da etiqueta e do leitor , com alta probabilidade, menor
que a taxa de erro por bit entre a sequncia inicial da adversria e qualquer um dos dois
comunicantes genunos. Isto esperado pois a adversria gera sua sequncia inicial sem
nenhuma informao a respeito da biometria dos comunicantes genunos. Portanto, este
esquema proposto no necessitaria da etapa de destilao de vantagem.
O protocolo de destilao de vantagem oferece outra caracterstica que o torna til para
o esquema cripto-biomtrico proposto: sua capacidade de reduzir altas taxas de erro por
bit iniciais (acima de 15%), mesmo que ao custo de um nmero elevado de bits descar-
tados. Estudos empricos, a partir de uma base de dados real de imagens da ris, realiza-
dos neste trabalho, revelaram que aps aplicao da transformao de template, proposta
nesta Tese, a taxa de erro por bit entre duas sequncias geradas a partir de templates
genunos, possui limite superior relativamente alto (dHN < 26%) para um protocolo de
reconciliao padro, cujo tamanho de bloco inicia com k = 3. Por esta razo, o proto-
colo de reconciliao proposto nesta Tese, inicia com k = 2, que equivale a incorporar o
protocolo de destilao de vantagem.
Principais caractersticas do protocolo RI proposto:
Incorporao do protocolo de bit de paridade executado na fase de destilao de

vantagens dos algoritmos de reconciliao tradicionais. No protocolo RI proposto
quando o comprimento do bloco assume valor k = 2 o protocolo possui execuo
semelhante ao protocolo de bit de paridade, descartando o primeiro bit do bloco
(como k = 2, o bloco possui dois bits) quando o teste de paridade nos blocos das
sequncias de Alice e Bob no acusa nmero mpar de bits diferentes1 e, descartando
os dois bits quando o teste acusa que apenas um dos bits diferente.
1O teste de paridade nos blocos de Alice e Bob s acusa diferena quando os blocos possuem nmero mpar de
bits diferentes.
Descarte dos bits diferente quando os mesmos so localizados. Na proposio desta

Tese o protocolo RI descarta o bit diferente aps o mesmo ser localizado, ao invs de
corrigir o bit diferente, como ocorre nos protocolos RI tradicionais. O procedimento
de busca pelo bit diferente utiliza o mecanismo de busca dicotmica, semelhante aos
utilizados pelos protocolos RI tradicionais.
Manuteno da privacidade por descarte de um bit para cada informao lateral
de paridade adquirida por Eve. Para cada teste de paridade observado por Eve,
ela ganha at um bit de informao. O protocolo RI proposto garante ganho de
informao nula de Eve sobre a sequncia ao final de cada passo, por descartar
durante a execuo do passo um bit para cada teste de paridade realizado. Com
este procedimento, ao final de todos os passos do protocolo, a adversria Eve possui
informao desprezvel, adquirida sobre a sequncia final do protocolo. Por esta
razo a fase de amplificao de privacidade no necessria no esquema BSKAPD-
RFID.
Os descartes de bits diferentes e de bits responsveis pela manuteno da privacidade

tornam, a cada passo do protocolo, a sequncia processada menor, reduzindo o custo com-
putacional de execuo do protocolo, caracterstica importante para dispositivos restritos em
processamento como as etiquetas RFID passivas.
O protocolo RI normalmente executado em mais de um passo. O nmero de passos
e o comprimento de bloco ki de cada passo i condicionam a capacidade do protocolo em obter
ou no uma sequncia reconciliada ao final do protocolo, bem como o seu comprimento final.
Aps a realizao de estudos empricos direcionados ao sistema cripto-biomtrico proposto,
foi possvel observar que algoritmos de reconciliao com trs passos e com quatro passos so
suficientes para garantir a discriminao entre um usurio genuno e um impostor2 .
A escolha do parmetro comprimento de bloco ki de cada passo tem como objetivo a
discriminao entre um usurio autntico e um usurio impostor na fase de verificao, ou seja,
espera-se que a verificao de um usurio autntico (genuno) gere na sada do sistema uma
autenticao positiva, enquanto que a verificao de um usurio impostor gere uma autenticao
negativa.
Dois critrios so necessrios pelo esquema BSKAPD-RFID para que o mesmo efetue
uma autenticao positiva do usurio que est sendo verificado:
As sequncias finais do protocolo RI, X (i) e Y (i) (da etiqueta e do leitor, respectiva-
mente), tm que reconciliar, ou seja, possuir nenhum bit diferente, distncia de Hamming
Hd (X (i) ,Y (i) ) = 0, em que i o ltimo passo do protocolo.
Os comprimentos das sequncias finais tm que ser maior que um limiar estabelecido.
2 Na fase de verificao, um usurio dito ser genuno quando a amostra da ris, a senha e a etiqueta RFID a
verificar pertencem a mesma pessoa que realizou o cadastro no sistema. Por outro lado, um usurio dito impostor
quando a ris, a senha e a etiqueta RFID no pertencem a pessoa que realizou o cadastro.
No esquema BSKAPD-RFID as sequncias a reconciliar so os templates transforma-

dos, T T e T T 0 , obtidos respectivamente na fase de cadastro e na fase de verificao, com arma-
zenamento respectivamente na etiqueta T e no leitor R do sistema RFID.
No protocolo de reconciliao do esquema BSKAPD-RFID quanto maior a taxa de erro
por bit das sequncias iniciais, menor a probabilidade de reconciliao ao final do protocolo.
O comprimento da sequncia reconciliada diminui quando se aumenta a taxa de erro por bit das
sequncias iniciais do protocolo RI. A taxa de erro por bit entre as sequncias T T e T T 0 quando
T T 0 pertence a um impostor maior que a taxa de erro por bit quando T T 0 pertence a um usurio
genuno, permitindo assim, a escolha de um limiar de taxa de erro por bit que discrimine um
usurio impostor de um genuno, objetivo principal do esquema BSKAPD-RFID.
8.1.1 Fluxograma do Protocolo Proposto para a Reconciliao

Notao
i : passo do protocolo de reconciliao da informao, RI = {RI (i) |i {1, 2, 3, 4}}.

nIi : comprimento das sequncias X (i) e Y (i) no incio do passo i.
ni : comprimento das sequncias X (i) e Y (i) no incio do passo i aps inserir qi zeros ao
final da sequncia, de modo que ni seja divisvel por ki .
hni i : comprimento das sequncias X (i) e Y (i) ao final do passo i.
ki : comprimento do bloco no passo i.
qi : nmero de zeros a concatenar ao final das sequncias X (i) e Y (i) a fim de torn-las
divisveis por ki ; qi = ki ri ; ri : resto da razo nIi /ki .
ni /ki : nmero de blocos no passo i.
X (i) : sequncia de bits iniciais da etiqueta (T ; Tag) no passo i; X (i) = (0, 1)nIi ;
X (i) = {xsi | s N, s = (1, 2, ..., nIi )}.
Y (i) : sequncia de bits iniciais do leitor (R, Read), no passo i; Y (i) = (0, 1)nIi ;
Y (i) = {yis | s N, s = (1, 2, ..., nIi )}.
(i) (i)
X j e Y j : blocos j do passo i das sequncias X (i) e Y (i) , respectivamente; j {1, 2, ..., ni /ki };
X j = {xk( j1)+1 , xk( j1)+2 , ..., xk j }; Y j = {yk( j1)+1 , yk( j1)+2 , ..., yk j }.
n . Ento, X
Seja a sequncia X = {xv }v=1 ab uma subsequncia de X definida por
b | 1 a b n , a, b e n N.
Xab = {xv }v=a
: operao lgica XOR.
H [Xab ] := {bi=a xi = (xa xa+1 . . . xb ) a, b e i N e a < b}.
H [Yab ] := {bi=a yi = (ya ya+1 . . . yb ) a, b e i N e a < b}.
: funo de permutao em todas as bijees de {1, 2, ..., ni }.
ein
i : taxa de erro por bit no incio do i-simo passo de RI, antes da insero de zeros.
ei : taxa de erro por bit no incio do i-simo passo de RI, aps insero de qi zeros.
hei i : taxa de erro por bit aps o i-simo passo de RI, ou seja, aps os descartes de bits.
(ki , ei ): probabilidade de um bloco de comprimento ki possuir no mpar de bits diferentes.
(i)
NEB : no esperado de blocos com no par de bits diferentes no passo i. Em que EB : Even Block.
(i) o o
NOB : n esperado de blocos com n mpar de bits diferentes no passo i. Em que OB : Odd Block.
(i)
NT D : no total esperado de bits a descartar ao fim do passo i.
(i)
NT DE : no esperado de bits a descartar de todos os blocos com no par de bits diferentes.
(i)
NT DO : no esperado de bits a descartar de todos os blocos com no mpar de bits diferentes.
PDO : somatrio do produto das probabilidades parciais de um bloco possuir no mpar de
bits diferentes pelo seus respectivos valores esperados de bits a descartar.
NBDd : valor esperado do no de bits diferentes a descartar de todos os blocos que possuem
no mpar de bits diferentes.
mi := dlog2 ki e.
Na Figura 8.1 mostrado o fluxograma do algoritmo de reconciliao da informao

proposto. Alguns blocos do fluxograma so identificados com uma letra dentro de uma bola
preta e referenciados na descrio a seguir. O fluxograma generalizado com relao ao nmero
de passos P(no diagrama da Figura 8.1 a caixa p define qual ser o ltimo passo). Entretanto,
nos trabalhos empricos foram obtidos resultados satisfatrios aplicando trs e quatro passos.
a Incio
Ler: X(0) em T , Y(0) em R , Ler k1, k2, k3 , k4
i=1 q
i=i+1
r = ni ki . ni/ki
b
N Concatena ki-r zeros
r =0 ni =ni +(ki-r)
no final de X e Y
(i) (i)
S
c
X = (X
(i) (i-1)
) ; Y(i) = (Y(i-1))
j=1
d j=j+1
a=k(j-1)+1; b=k.j
N
f N
Paridade? Descarta os
e H[X ( ) =H[Y ( ) j=(ni/ki) i=P p
S bits xa e ya S
N S
L=ki r
h KX2=X(P) em T
g ki>2 N Descarta os bits xa , xb , ya e yb
KY2=Y(P) em R
S
i h= L/2 ; c=a+h-1; d=c+1 L=h; b=c
a=d;
S
s Fim
L=b-d+1 l
Paridade? N Descarta os
j H[X ( ) =H[Y ( ) |X
()
|>2
bits xd e yd P o nr. total de
b=a+L-1 S N passos.
m o
Descarta os bits xa e ya Descarta os bits
xa , xc , ya e yc
S ()
|X |>2
N
S
Descarta os bits xd e yd
()
|X |=1
n
N Descarta os bits xd , xb , yd e yb
Figura 8.1 Fluxograma do protocolo proposto de reconciliao da informao.

a Incio do protocolo RI
A unidade de verificao composta por um leitor biomtrico da ris, um leitor RFID,
uma entrada para login/senha e uma unidade central de processamento (UCP) que possui
acesso base de dados. Na fase de verificao, o usurio que deseja obter autenticao
do sistema, apresenta-se com sua senha e etiqueta RFID cadastradas na fase de inscrio,
e permite que o sistema capture a imagem de sua ris.
A etiqueta RFID, apresentada pelo usurio no ato da verificao, possui duas sequncias
binrias armazenadas, o template transformado T T e a chave inicial KX1 . A sequncia
T T resultado da transformao aplicada amostra biomtrica da ris adquirida na fase
de inscrio, enquanto KX1 a chave inicial gerada pseudo aleatoriamente na fase de
inscrio, ver a Seo 7.3.
Para inicializar, o protocolo RI necessita da sequncia binria de template transformado
T T 0 , obtida pela transformao da amostra biomtrica da ris extrada na verificao, e
0
da chave KX1 que foi armazenada na base de dados de forma cifrada. A gerao de T T 0 e
0
extrao de KX1 necessitam da leitura da ris e da senha do usurio. No incio do protocolo
de reconciliao X (0) T T na etiqueta RFID (T ) e Y (0) T T 0 no leitor RFID (R).
Os trs (ou quatro) comprimentos de bloco correspondentes aos trs (ou quatro) passos
do protocolo, k1 , k2 , k3 (ou k4 ) fazem parte dos parmetros do protocolo e so carregados
tambm no incio.

b Complemento com bits zero
Se as sequncias inicias de X (i) e de Y (i) em cada passo no so mltiplas do comprimento

de bloco ki selecionado no passo i, ento, bits zeros so concatenados ao final destas
sequncias para torn-las divisveis por ki . Portanto, seja ri o resto da diviso dos nIi bits
de X (i) e Y (i) no incio do passo i. Seja qi , qi 0 , ento, o menor nmero de bits nulos
a inserir em X (i) e Y (i) , necessrio para tornar | X (i) | e | Y (i) | divisveis por ki dado por
ri = nIi ki .bnIi /ki c , (8.1)

qi = ki ri . (8.2)
Se ri 6= 0, ento qi bits zero sero concatenados ao final das sequncias X (i) e Y (i) .
Assim, o novo comprimento das sequncias aps insero de bits zero ser

(i) (i) nIi
ni =| X |=| Y |= nIi + qi = . ki . (8.3)
ki

c Permutao
qs
m ; define-se K como uma subsequncia da sequncia K , em que
Seja KX1 , {w j } j=1 X1 X1
qs s
KX1 = {w j } j=q | 1 q s m , q e s N.
qs
Do mesmo modo, K 0 X1 definida como uma subsequncia de K 0 X1 , em que K 0 X1 =
0 m e K 0 qs = {w } s | 1 q s m , q e s N.
{w j } j=1 X1 j j=q
qs
Seja K qs uma funo de permutao pseudo-aleatria indexada por subsequncias KX1
X1
derivadas da chave secreta inicial KX1 . Na etiqueta RFID, a funo de permutao K qs
X1
executa uma permutao pseudo-aleatria em X (i) . Da mesma forma no leitor RFID, uma
qs
subsequncia, K 0 X1 , da chave secreta inicial K 0 X1 utilizada como semente para proceder
uma permutao pseudo-aleatria K 0 qs em Y (i) . Assim,
X1
X (i) = kqs (X (i1) ) em T .

X1
Y (i) = k0 qs (Y (i1) ) em R.
X1
Observaes importantes para a segurana:
Quando a senha e etiqueta RFID, utilizadas no momento da verificao, so as mes-

mas utilizadas na fase de inscrio, ento
qs qs
KX1 = K 0 X1 , KX1 = K 0 X1 e K qs = K 0 qs .
X1 X1
qs
A cada passo i, a subsequncia utiliza trechos diferentes da sequncia KX1 , con-
KX1
sequentemente, a permutao muda a cada passo do protocolo.
No esquema BSKAPD-RFID, quando uma autenticao positiva efetivada, as cha-
ves secretas KX1 armazenadas na etiqueta e na base de dados so renovadas, ver
esquema de verificao da Figura 7.5.
qs qs
T e R utilizam, respectivamente, as subsequncias KX1 and K 0 X1 , na autenticao
de suas comunicaes;
As subsequncias da chave secreta KX1 tambm so utilizadas no mdulo de deciso,
como indexador que seleciona a funo hash dentre uma famlia de funes hash,
tanto em T e como em R.

d Seleo dos blocos
Em cada passo i as sequncias X (i) e Y (i) , respectivamente em T e R, possuiro ni /ki
blocos de comprimento ki bits.
(i)
O bloco j de X (i) formado por X( j) = {x(ki .( j1)+1) , . . . , x(ki . j) } , em que j = {1, 2, . . . , ni /ki }.
Na Figura 8.2, para simplificao de notao, omitiu-se o sub-ndice i do comprimento
de bloco ki .
X
bits dasequnciadosimo X
passo()

x x x x x x x x x x x x

k Elementos k Elementos k Elementos k Elementos

dobloco1 dobloco2 dobloco dobloco /
Passo Passo Passo Passo
Figura 8.2 Sequncia de bits de X no i-simo passo.


e Teste de paridade do bloco
Seja H [Xab ] a paridade dos elementos do vetor Xab . Ento,
H [Xab ] := {bi=a xi = (xa xa+1 . . . xb ) a, b e i N e a < b}, em que representa
a operao lgica XOR. h i
(i)
Para a = x(ki .( j1)+1) e b = x(ki . j) , tem-se que H [Xab ] =H X( j) , ou seja, corresponde a
paridade do bloco j da sequncia X (i) .
Para cada bloco j, j = (1, 2, ..., ni /ki ), realizado o teste de paridade. Aps as paridades
dos blocos em X (i) e Y (i) serem computadas e comunicadas pelo canal, estas paridades
so comparadas. Portanto,
h i h i
(i) (i)
f Se H X( j) = H Y( j) , T e R descartam o primeiro bit do bloco j em questo e con-

tinuam comparando a paridade do prximo bloco, at que todos os blocos tenham sua
paridade testada. Quando todos os blocos tiverem suas paridades testadas, o algoritmo
avana para o prximo passo ou finaliza caso j esteja no ltimo passo;
h i h i
(i) (i)
g Se H X( j) 6= H Y( j) , verificado se o comprimento do bloco maior do que dois bits.

Assim,
Se o comprimento do bloco for igual a dois bits, ento os dois bits do bloco sero
descartados (no diagrama da Figura 8.1 caixa ).
h
Se o comprimento do bloco for maior que dois bits, ento iniciada uma busca
dicotmica.
,
i ,
j ,
l ,
m ,
n o Busca dicotmica
O protocolo de busca dicotmica objetiva localizar o bit que difere entre os blocos de
duas sequncias (sequncias de T e R). Para tal, ele utiliza o mecanismo de dividir a
sequncia de bits do bloco em duas subsequncias3 , aqui referenciadas como subsequn-
cia e subsequncia . Em seguida, a fim de descobrir em qual das subsequncias
o bit diferente se encontra, um teste de paridade realizado na subsequncia . A sub-
sequncia que no possui o bit diferente ter seu primeiro bit descartado, enquanto que na
subsequncia que possui o bit diferente um teste de comprimento de bloco realizado. Se
a subsequncia com o bit diferente possui comprimento menor ou igual a dois bits, os bits
desta subsequncia sero descartados. Possuindo a subsequncia comprimento maior que
dois bits, o mecanismo de busca dicotmica novamente aplicado nesta subsequncia.
Este processo repetido at que a subsequncia com o bit diferente possua comprimento
menor ou igual a dois bits, e neste instante, os bits sero descartados. Quando um bloco
de comprimento ki possua nmero mpar de bits diferentes e, dependendo da posio que
3 Seja L o comprimento da sequncia a dividir. Ento, estabelecido que a primeira subsequncia (subsequncia
) possuir comprimento dL/2e.
o bit diferente se encontra no bloco, o protocolo proposto realizar (incluindo o 1o teste

de paridade) mi ou mi + 1 descartes de bits (mi = dlog2 ki e) para garantir tanto o descarte
do bit diferente, como a manuteno da privacidade que ser vista a seguir. Ver exemplos
no Apndice B.
,
f ,
h ,
l ,
m ,n
o Privacidade - Descartes de bits compensando as informaes laterais trans-
mitidas.
No protocolo RI proposto, Alice (T ) e Bob (R) trocam paridades de blocos de suas
sequncias pelo canal pblico com o propsito de localizar e descartar seus bits dife-
rentes. Porm, para cada paridade trocada pelo canal, a adversria Eve ganha at bit de
informao lateral, ver Apndice B. A fim de garantir a privacidade de Alice e Bob, o
protocolo descartar um bit das sequncias X (i) e Y (i) para cada paridade comunicada
pelo canal.
Na caixa f do diagrama da Figura 8.1 foi visto que T e R descartam o primeiro bit
do bloco j quando suas paridades so iguais. Durante a busca dicotmica que realizada
naqueles blocos cuja paridade diferiu, aps a diviso do bloco em duas subsequncias,
uma delas possuir o bit que difere (consequentemente as paridades destas subsequncias
de T e R sero diferentes), enquanto a outra subsequncia possuir a mesma paridade.
Neste protocolo RI as subsequncias nas quais o teste de paridade detectou igualdade,
tero seu primeiro bit descartado (no diagrama da Figura 8.1 caixas l e ),
m enquanto
que nas subsequncias cujo teste de paridade acusou diferena, a busca dicotmica ser
continuada desde que estas subsequncias possuam comprimento maior que dois bits.
Entretanto, se as subsequncias cujo teste de paridade detectou diferena possuem com-
primento menor ou igual a dois bits, estes bits sero descartados (no diagrama da Figura
8.1 caixas n e ).
o
Este protocolo alm de descartar pelo menos um bit diferente4 existente naqueles blocos
cujo nmero de bits diferentes mpar (quando o teste de paridade entre o bloco j de
X e o bloco j de Y acusa diferena), garante a manuteno da privacidade por meio de
descarte de bits compensando as informaes laterais cedidas a adversria por trocas de
paridades pelo canal.
No Apndice B, o protocolo proposto de reconciliao aplicado em blocos de compri-
mentos k com nmero mpar de bits diferentes. Nesse apndice, observa-se que em blocos
com comprimentos k = {2, 4, 8}, o protocolo descarta (dlog2 ke + 1) bits, incluindo nestes
o bit que difere e os necessrios para garantir a privacidade dos bits remanescentes de
Alice e Bob, enquanto que em blocos com comprimentos k = {3, 5, 6, 7, 9, 10, 11, 12},
dependendo da localizao dos bits diferentes, o protocolo descarta (dlog2 ke) ou
4 Os descartes de bits necessrios para manter a privacidade pode descartar bits iguais e/ou diferentes.
(dlog2 ke + 1) bits, dentre estes esto inclusos os bits diferentes e os necessrios para ma-
nuteno da privacidade.
Na caixa p (diagrama da Figura 8.1) um teste realizado para identificar o ltimo passo.
Neste a varivel P pode assumir valor igual a 3 ou a 4, respectivamente para protocolo
com 3 passos ou com 4 passos. Quando detectado o ltimo passo (i = P), as sequn-
cias KX2 X (P) em T e KY2 Y (P) em R e finaliza o protocolo de reconciliao (no
diagrama da Figura 8.1 caixas
r e ,
s respectivamente).
8.1.2 Estudo Analtico do Protocolo Proposto de Reconciliao da Infor-

mao
O protocolo proposto de reconciliao formado por trs ou quatro passos (RI(1) , RI(2) ,
RI(3) , RI(4) ). A seguir, sero deduzidas as expresses analticas para:
(i)
NT D , nmero total de bits descartados no passo i pelos dispositivos T e R RFIDs;
hni i, comprimento das sequncias de T e R ao final do passo i.
hei i, taxa de erro por bit entre T e R ao final do passo i;
A fim de facilitar a anlise, cada passo ser dividido em quatro etapas:
(E.a) Condies iniciais do passo i
(E.b) Descartes de bits no passo i
(E.c) Comprimento das sequncias finais no passo i
(E.f) Taxa de erro por bit das sequncias finais no passo i
(E.a) Condies iniciais do passo i
Comprimento das sequncias X (i) e Y (i) iniciais de T e R, respectivamente, antes da

insero de bits zeros: nIi
Comprimento do bloco no passo i: ki
Insero de bits zero para tornar o comprimento da sequncia X (i) ( Y (i) ) mltipla de ki .
Seja ri o resto da razo (nIi /ki ). Ento de 8.1 e 8.2,
ri = nIi ki .bnIi /ki c
Se ri 6= 0, qi zeros (qi = ki ri ) sero concatenados ao final das sequncias X (i) e Y (i) .
O novo comprimento das sequncias ser

(i) (i) nIi
ni =| X |=| Y |= nIi + qi = . ki . (8.4)
ki
Nmero de blocos no passo i: ni /ki
Taxa de erro por bit no incio do passo i, antes da insero de zeros: ein
i
Taxa de erro por bit no incio do passo i, aps insero de zeros: ei
ein
i . nIi
ei = . (8.5)
ni
(E.b) Descartes de bits no passo i

O mdulo de reconciliao da informao (RI) a penltima etapa do esquema de au-
tenticao BSKAPD-RFID e executado na fase de verificao. Fazendo uso do mdulo RI
a etiqueta RFID cuja sequncia armazenada o template transformado T T (gerado na fase de
inscrio) e o leitor RFID com a sequncia de template transformado T T 0 (obtida durante a fase
de verificao) trocam informaes de paridades pelo canal a fim de alcanar a reconciliao
entre T T e T T 0 quando o usurio, a senha e etiqueta RFID na fase de verificao so genunos.
A fim de procurar os seus bits diferentes, T e R dividem suas sequncias em blocos e
nestes so realizados testes de paridades. Dois blocos, um de X (i) e o outro de Y (i) , possuiro
paridades diferentes apenas quando a quantidade de seus bits diferentes ocorrer em nmero m-
par de vezes. Por outro lado, se em um par de blocos (pertencentes a X (i) e a Y (i) ), a quantidade
de bits diferentes ocorrer em nmero par de vezes, as paridades dos blocos sero iguais, de
modo que o teste de paridade no acusar a existncia de bits diferentes. As aes tomadas pelo
protocolo aps o teste de paridade sero apresentadas a seguir. No Apndice D foi demonstrada
a Equao 8.6, que define a probabilidade de um bloco possuir um nmero mpar de bits dife-
rentes em funo do comprimento k do bloco e da taxa de erro por bit inicial e. Ento, para o
passo i, a probabilidade de um bloco possuir um nmero mpar de bits diferentes ser
1 (1 2ei )ki
(ki , ei ) = . (8.6)
2
Portanto, o nmero esperado de blocos que possuem nmero mpar de bits diferentes,
com notao5 NOB , ou seja, aqueles que so detectados pelo teste de paridade, igual ao pro-
duto do nmero total de blocos pela probabilidade de um bloco possuir nmero mpar de bits
diferentes,

ni
NOB = (numero
total de blocos).(ki , ei ) = (ki , ei ) . (8.7)
ki
5 Em favor da simplificao, a partir de agora sero suprimidos os ndices i sobrescritos. Assim, subentende-
se que a nomenclatura NOB (representando NOB i ) refere-se ao passo i.
O nmero esperado de blocos cujas paridades no diferem (possuem nmero par de bits
diferentes, NEB ) igual ao produto do nmero total de blocos pela probabilidade de um bloco
possuir nmero par de bits diferentes,

ni
NEB = 1 (ki , ei ) . (8.8)
ki
Seja NT DE e NT DO o nmero esperado de bits a descartar em cada passo para todos os

blocos com nmero de bits diferentes par e mpar, respectivamente. Ento, o nmero total
esperado de bits a descartar em cada passo, NT D , dado por
NT D = NT DE + NT DO . (8.9)
Na Figura 8.3 apresentado o diagrama de Venn dos ndices dos bits da sequncia inicial
de T e dos bits a serem descartados no passo i .
A
B
C
D
E
Figura 8.3 Diagrama de Venn dos ndices dos bits da sequncia inicial de T e descartes realizados no
passo i. (A) Conjunto formado pelos ndices dos bits iniciais de T ; (B) Conjunto formado pelos ndices
dos bits de T diferentes dos bits de R, no incio do protocolo; (C) Conjunto formado pelos ndices
dos bits de T que so diferentes dos bits de R, os quais sero encontrados por busca dicotmica e
descartados; (D) Conjunto formado pelos ndices dos bits de T que pertencem aos blocos com nmero
mpar de bits diferentes os quais sero descartados pelo protocolo. (E) Conjunto formado pelos ndices
dos bits de T que pertencem aos blocos com nmero par de bits diferentes, os quais sero descartados
pelo protocolo.
Portanto,
A : Conjunto formado pelos ndices dos bits iniciais de T , A = {r = 1, ..., r = ni };
B : Conjunto formado pelos ndices dos bits de T que diferem de R,
B = {r|xri yir = 1};
C : Conjunto formado pelos ndices dos bits de T que so diferentes dos bits de R,
encontrados por busca dicotmica e a serem descartados. A cardinalidade de C corresponde a
quantidade de blocos j em T e R cujas paridades diferem, |C| = PX (i) PY (i) ;
j j j
D : Conjunto formado pelos ndices dos bits de T que pertencem aos blocos com n-
mero mpar de bits diferentes os quais sero descartados pelo protocolo. Estes bits so compos-
tos pelos bits diferentes detectados e localizados pela busca dicotmica (os quais sero descar-
tados) e os bits descartados para compensar as informaes laterais declaradas no canal durante
as buscas dicotmicas.
E : Conjunto formado pelos ndices dos bits de T que pertencem aos blocos com n-
mero par de bits diferentes os quais sero descartados pelo protocolo.
D E : Conjunto formado pelos ndices de todos os bits a serem descartados no passo
i, representado por NT D , Equao 8.9. Assim, o nmero total de bits a serem descartados cor-
responde a soma dos bits descartados dos blocos cuja paridade de bloco no difere (primeiro
bit de cada um destes blocos) com os bits descartados dos blocos cuja paridade difere, ou seja,
|D E| = |D| + |E|.
Descartes de bits para blocos com nmero par e mpar de bits diferentes:
(a) O bloco possui nmero par de bits diferentes. Valor esperado de NT DE .

Neste caso o protocolo ir descartar apenas o primeiro bit do bloco, compensando a infor-
mao lateral adquirida por Eve. Assim, o nmero de bits esperado a descartar referentes
a todos os blocos da sequncia que possuem nmero par de bits diferentes, NT DE , ser
igual a NEB , expresso na Equao 8.8. No diagrama de Venn da Figura 8.3, NT DE corres-
ponde aos bits com ndices pertencentes ao conjunto E.

ni
NT DE = NEB = 1 (ki , ei ) . (8.10)
ki
(b) O bloco possui nmero mpar de bits diferentes. Valor esperado de NT DO .
No diagrama de Venn da Figura 8.3, NT DO corresponde aos bits com ndices pertencentes
ao conjunto D.
No Apndice B so apresentados alguns exemplos de aplicao do protocolo RI para
diversos comprimentos de bloco ki . Nestes exemplos, pode-se observar que nos pares de
blocos (X j , Y j ) cujas paridades diferem, o nmero de bits descartados pode assumir dois
valores, dependendo do ki e da posio em que o bit diferente (aquele a ser detectado) se
encontra: mi bits descartados e (mi + 1) bits descartados, em que mi = dlog2 ki e e o ndice
i corresponde ao passo do protocolo.
Seja PDO a probabilidade do nmero de bits a descartar (iguais e/ou diferentes) por bloco;
PDO corresponde ao somatrio do produto das probabilidades parciais de um bloco pos-
suir nmero mpar de bits diferentes pelos seus respectivos valores esperados de nmero
de bits a descartar.
Desta forma, o nmero esperado de bits a descartar referentes a todos os blocos da sequn-
cia que possuem nmero mpar de bits diferentes, NT DO , igual a

ni
NT DO = (PDO ) . (8.11)
ki
No Apndice C apresentado, para cada um dos valores de comprimento de bloco (ki =

{2, 3, ..., 13}), a probabilidade do nmero de bits a descartar, PDO , em funo da proba-
bilidade de erro por bit inicial ei . As Equaes de PDO encontradas no Apndice C foram
transportadas para a Tabela 8.1.
Tabela 8.1 Equaes da probabilidade do nmero de bits a descartar por bloco, PDO , em funo do
comprimento de bloco ki , do comprimento inicial ni da sequncia X (i) e da probabilidade de erro por bit
ei .
ki PDO
2 (4ei (1 ei ))
8ei (1 ei )2 + 2e3i

3
12ei (1 ei )3 + 12e3i (1 ei )

4
17ei (1 ei )4 + 32e3i (1 ei )2 + 3e5i

5
22ei (1 ei )5 + 72e3i (1 ei )3 + 18e5i (1 ei )

6
27ei (1 ei )6 + 133e3i (1 ei )4 + 77e5i (1 ei )2 + 3e7i

7
32ei (1 ei )7 + 224e3i (1 ei )5 + 224e5i (1 ei )3 + 32e7i (1 ei )

8
38ei (1 ei )8 + 350e3i (1 ei )6 + 518e5i (1 ei )4 + 146e7i (1 ei )2 + 4e9i

9
44ei (1 ei )9 + 524e3i (1 ei )7 + 1068e5i (1 ei )5 + 500e7i (1 ei )3 + 40e9i (1 ei )

10
11 (50ei (1 ei )10 + 744e3i (1 ei )8 + 2048e5i (1 ei )6 + 1412e7i (1 ei )4 + 222e9i (1 ei )2 +
+4e11i )
12 (56ei (1 ei )11 + 1024e3i (1 ei )9 + 3648e5i (1 ei )7 + 3536e7i (1 ei )5 +
+904e9i (1 ei )3 + 48e11i (1 ei ))
13 (62ei (1 ei )12 + 1358e3i (1 ei )10 + 6064e5i (1 ei )8 + 7948e7i (1 ei )6 +
+3182e9i (1 ei )4 + 326e11 2
i (1 ei ) + 4ei )
13
Descartes totais de bits aps um passo do protocolo. Estimando NT D .
Aplicando a Equao 8.6 na Equao 8.10 e este resultado juntamente com a Equao
8.11 na Equao 8.9, obtm-se o nmero total esperado de bits a descartar em cada passo, NT D ,
em funo do comprimento de bloco ki , do comprimento inicial ni de X e da probabilidade de
erro por bit inicial, ei , apresentado na Equao 8.12.

ni n 1 + (1 2e )ki
i i
NT D = 1 (ki , ei ) + (PDO ) = + (PDO ) . (8.12)
ki ki 2
(E.c) Comprimento (hnhni ii) das sequncias finais de X (i) e Y (i) no passo i
Seja hni i o comprimento das sequncias X (i) e Y (i) ao final do passo i, aps todos os
descartes de bits. Ento
hni i = ni NT D . (8.13)
Substituindo a Equao 8.12 na Equao 8.13, obtm-se a Equao 8.14, que expressa
o comprimento final da sequncia X (i) , hni i, em funo do comprimento de bloco ki , do com-
primento inicial ni de X (i) e da probabilidade de erro por bit inicial, ei ,
1 1 + (1 2ei )ki

hni i = ni 1 + (PDO ) . (8.14)
ki 2
Aplicando os valores de PDO da Tabela 8.1 na Equao 8.14, obtm-se as Equaes da
Tabela 8.2.
Tabela 8.2 Equaes do comprimento final esperado (hni i) das sequncias X (i) e Y (i) ao final do passo
i, aps todos os descartes de bits, em funo do comprimento do bloco ki , da taxa de erro por bit ei e do
comprimento das sequncias iniciais ni .
ki hni i, Comprimento das sequncias X (i) e Y (i) no final do passo i
k

1 1+(12ei ) i
2 ni 1 ki 2 + 4ei (1 ei )
k

i)
ni 1 k1i 1+(12e
i 2 + 2e3
3 2 + 8e i (1 ei ) i
k

1 1+(12ei ) i 3 3
4 ni 1 ki 2 + 12ei (1 ei ) + 12ei (1 ei )
k

i)
ni 1 k1i 1+(12e
i 4 + 32e3 (1 e )2 + 3e5
5 2 + 17e i (1 e i ) i i i
ki

1 1+(12ei ) 5 3 3 5
6 ni 1 ki 2 + 22ei (1 ei ) + 72ei (1 ei ) + 18ei (1 ei )
k

i) i
7 ni 1 k1i 1+(12e
2 + 27e i (1 e i )6 + 133e3 (1 e )4 + 77e5 (1 e )2 + 3e7
i i i i i
ki

1+(12e )
8 ni 1 k1i 2
i
+ 32e i (1 e i )7 + 224e3 (1 e )5 + 224e5 (1 e )3 + 32e7 (1 e )
i i i i i i
ki
i)
9 ni (1 k1i ( 1+(12e
2 + (38ei (1 ei )8 + 350e3i (1 ei )6 + 518e5i (1 ei )4 + 146e7i (1 ei )2 +
+4e9i )))
ki
i)
10 ni (1 k1i ( 1+(12e
+40e9i (1 ei ))))
ki
i)
11 ni (1 k1i ( 1+(12e
+222e9i (1 ei )2 + 4e11i )))
ki
i)
12 ni (1 k1i ( 1+(12e
+904e9i (1 ei )3 + 48e11i (1 ei ))))
ki
i)
13 ni (1 k1i ( 1+(12e
+3182e9i (1 ei )4 + 326e11 2 13
i (1 ei ) + 4ei )))
Expandindo as expresses da Tabela 8.2, obtm-se as expresses da Tabela 8.3

Tabela 8.3 Equaes expandidas do comprimento final esperado (hni i) das sequncias X (i) e Y (i) ao
final do passo i, aps todos os descartes de bits, em funo do comprimento do bloco ki , da taxa de erro
por bit ei e do comprimento das sequncias iniciais ni .
ki hni i, Comprimento das sequncias X (i) e Y (i) no final do passo i

1 2
2 ni 1 ki 1 + 2ei 2ei

3 ni 1 k1i 1 + 5ei 10e2i + 6e3i

1 2 3 4
4 ni 1 ki 1 + 8ei 24ei + 32ei 16ei

5 ni 1 k1i 1 + 12ei 48e2i + 94e3i 92e4i + 36e5i

1 2 3 4 5 6
6 ni 1 ki 1 + 16ei 80ei + 212ei 316ei + 248ei 80ei

7 ni 1 k1i 1 + 20ei 120e2i + 398e3i 792e4i + 944e5i 624e6i + 176e7i

1 2 3 4 5 6 7 8
8 ni 1 ki 1 + 24ei 168ei + 672ei 1680ei + 2688ei 2688ei + 1536ei 384ei
9 ni (1 k1i (1 + 29ei 232e2i + 1078e3i 3220e4i + 6412e5i 8512e6i + 7264e7i 3616e8i +
+800e9i ))
10 ni (1 k1i (1 + 34ei 306e2i + 1628e3i 5684e4i + 13584e5i 22504e6i + 25536e7i 19008e8i +
+8384e9i 1664e10 i ))
1
11 ni (1 ki (1 + 39ei 390e2i + 2334e3i 9312e4i + 25988e5i 51768e6i + 73592e7i 73152e8i +
+48416e9i 19200e10 11
i + 3456ei ))
12 ni (1 k1i (1 + 44ei 484e2i + 3224e3i 14496e4i + 46320e5i 107856e6i +
+184352e7i 229504e8i + 202880e9i 120832e10 11
i + 43520ei 7168ei ))
12
1
13 ni (1 ki (1 + 49ei 588e2i + 4306e3i 21500e4i + 77272e5i 205664e6i +
+410384e7i 613856e8i + 679712e9i 541440e10 11 12
i + 293760ei 97280ei + 14848ei ))
13
hei ii) das sequncias finais no passo i

(E.d) Taxa de erro por bit (he
A seguir ser analisado o efeito do descarte de bits sobre a taxa de erro por bit final para
os dois tipos de blocos, com nmero par e com nmero mpar de bits diferentes:
(a) O bloco possui nmero par de bits diferentes, ou seja, suas paridades no diferem.
Uma vez que uma permutao aleatria executada no incio de cada passo, pode-se
afirmar que os descartes do primeiro bit de cada bloco que possui nmero par de bits
diferentes no altera a taxa de erro por bit da sequncia inicial, ou seja hei i = ei .
Prova:
Sem perda de generalidade, considere o efeito isolado sobre a taxa de erro por bit dos
descartes de todos os primeiros bits de cada bloco (descartes que compensam a informa-
o lateral obtida por Eve) que possuem nmero par de bits diferentes. Seja ei a taxa de
erro por bit no incio do passo i, aps inseres de zeros (se necessrio). Ento, a taxa de
erro por bit hei i ao final do passo i, aps todos os descartes do primeiro bit de cada bloco
que possui nmero par de bits diferentes, dada pela Equao 8.15,
(i)
ni ei NEB ei
hei i = (i)
= ei . (8.15)
ni NEB
(b) O bloco possui nmero mpar de bits diferentes, ou seja, suas paridades diferem.
Seja NBDd o valor esperado do nmero de bits diferentes a descartar por todos os pares
de blocos (X j ,Y j ) que possuem nmero mpar de bits diferentes, em funo de ni , ki e ei ;
em que NBDd corresponde ao produto de ni /ki pelo somatrio do produto das probabili-
dades parciais de um bloco possuir nmero mpar de bits diferentes pelos seus respectivos
valores esperados de nmero de bits diferentes a descartar.
No Apndice C apresentado, para cada um dos valores de comprimento de bloco (ki =
{2, 3, ..., 13}), os valores de NBDd , em funo de ni , ki e ei . As Equaes de NBDd
encontradas no Apndice C foram transportadas para a Tabela 8.1.2.
Tabela 8.4 Equaes para NBDd , valor esperado do nmero de bits diferentes a descartar por todos os
blocos (X j ,Y j ) que possuem nmero mpar de bits diferentes, em funo de ni , ki e ei .
ki NBDd , valor esperado do nmero de bits diferentes a descartar por todos os blocos (X j ,Y j )
que possuem nmero mpar de bits diferentes, em funo de ni , ki e ei
ni
2 (2ei (1 ei ))
ki
ni
3ei (1 ei )2 + 2e3i

3
k
nii
4ei (1 ei )3 + 8e3i (1 ei )

4
k
nii
5ei (1 ei )4 + 19e3i (1 ei )2 + 3e5i

5
k
nii
6ei (1 ei )5 + 34e3i (1 ei )3 + 16e5i (1 ei )

6
k
nii
7ei (1 ei )6 + 57e3i (1 ei )4 + 53e5i (1 ei )2 + 3e7i

7
k
nii
8ei (1 ei )7 + 88e3i (1 ei )5 + 136e5i (1 ei )3 + 24e7i (1 ei )

8
k
nii
9 (9ei (1 ei )8 + 127e3i (1 ei )6 + 283e5i (1 ei )4 + 105e7i (1 ei )2 + 4e9i )
k
nii
10 (10ei (1 ei )9 + 176e3i (1 ei )7 + 536e5i (1 ei )5 + 328e7i (1 ei )3 + 38e9i (1 ei ))
ki
ni
11 (11ei (1 ei )10 + 236e3i (1 ei )8 + 938e5i (1 ei )6 + 864e7i (1 ei )4 + 187e9i (1 ei )2 + 4e11
i )
ki
ni
ki
+44e11 i (1 ei ))
ni
ki
+277e11 2
i (1 ei ) + 4ei )
13
A taxa de erro por bit (hei i) aps um passo i em funo de ei , ki e de ni
ni ei NBDd
hei i = . (8.16)
ni NT DO
A partir dos valores esperados de NBDd da Tabela e de NT DO obtidos pela substituio

dos valores da Tabela 8.1 na Equao 8.11, por substituir estes valores na Equao 8.16 con-
solidada a Tabela 8.5 das equaes para taxa de erro por bit (hei i) das sequncias finais no passo
i em funo da taxa de erro por bit inicial ei , do comprimento de bloco ki e do comprimento das
sequncias ni de X (i) (e Y (i) ) no incio do passo i.
Tabela 8.5 Equaes para taxa de erro por bit (hei i) das sequncias finais no passo i em funo da taxa de erro por bit ei e do comprimento de bloco ki .
ki hei i, Taxa de erro por bit no final do passo i
ki ei 2ei (1 ei )
2
ki 4ei (1 ei )
ki ei 3ei (1 ei )2 + 2e3i
3
ki 8ei (1 ei )2 + 2e3i
ki ei 4ei (1 ei )3 + 8e3i (1 ei )
4
ki 12ei (1 ei )3 + 12e3i (1 ei )
ki ei 5ei (1 ei )4 + 19e3i (1 ei )2 + 3e5i
5
ki 17ei (1 ei )4 + 32e3i (1 ei )2 + 3e5i
ki ei 6ei (1 ei )5 + 34e3i (1 ei )3 + 16e5i (1 ei )
6
ki 22ei (1 ei )5 + 72e3i (1 ei )3 + 18e5i (1 ei )
ki ei 7ei (1 ei )6 + 57e3i (1 ei )4 + 53e5i (1 ei )2 + 3e7i
7
ki 27ei (1 ei )6 + 133e3i (1 ei )4 + 77e5i (1 ei )2 + 3e7i
ki ei 8ei (1 ei )7 + 88e3i (1 ei )5 + 136e5i (1 ei )3 + 24e7i (1 ei )
8
ki 32ei (1 ei )7 + 224e3i (1 ei )5 + 224e5i (1 ei )3 + 32e7i (1 ei )
ki ei 9ei (1 ei )8 + 127e3i (1 ei )6 + 283e5i (1 ei )4 + 105e7i (1 ei )2 + 4e9i
9
Estudo Analtico do Protocolo Proposto de Reconciliao da Informao
ki 38ei (1 ei )8 + 350e3i (1 ei )6 + 518e5i (1 ei )4 + 146e7i (1 ei )2 + 4e9i

ki ei 10ei (1 ei )9 + 176e3i (1 ei )7 + 536e5i (1 ei )5 + 328e7i (1 ei )3 + 38e9i (1 ei )
10
ki 44ei (1 ei )9 + 524e3i (1 ei )7 + 1068e5i (1 ei )5 + 500e7i (1 ei )3 + 40e9i (1 ei )
i
ki ei 11ei (1 ei )10 + 236e3i (1 ei )8 + 938e5i (1 ei )6 + 864e7i (1 ei )4 + 187e9i (1 ei )2 + 4e11
11
ki 50ei (1 ei )10 + 744e3i (1 ei )8 + 2048e5i (1 ei )6 + 1412e7i (1 ei )4 + 222e9i (1 ei )2 + 4e11 i
ki ei 12ei (1 ei )11 + 308e3i (1 ei )9 + 1552e5i (1 ei )7 + 1984e7i (1 ei )5 + 708e9i (1 ei )3 + 44e11 i (1 ei )
12
ki 56ei (1 ei )11 + 1024e3i (1 ei )9 + 3648e5i (1 ei )7 + 3536e7i (1 ei )5 + 904e9i (1 ei )3 + 48e11 i (1 ei )
2 13
ki ei 13ei (1 ei )12 + 393e3i (1 ei )10 + 2438e5i (1 ei )8 + 4162e7i (1 ei )6 + 2185e9i (1 ei )4 + 277e11 i (1 ei ) + 4ei
13 2 13

ki 62ei (1 ei )12 + 1358e3i (1 ei )10 + 6064e5i (1 ei )8 + 7948e7i (1 ei )6 + 3182e9i (1 ei )4 + 326e11 i (1 ei ) + 4ei
95
8.1.3 Validao das Equaes do Algoritmo do Protocolo de Reconcilia-

o da Informao
O cdigo do algoritmo de reconciliao da informao proposto nesta Tese, cujo fluxo-
grama est detalhado na Figura 8.1, foi implementado no Matlabr a fim de validar as equaes
de:
Comprimento das sequncias, hni i, de X (i) e Y (i) (respectivamente em T e R RFIDs),

aps um passo i, Tabelas 8.2 e 8.3.
Taxa de erro por bit, hei i, das sequncias X (i) e Y (i) aps um passo i, Tabela 8.5.
Simulao realizada em Matlabr e clculos analticos:
1. Duas sequncias binrias X (i) e Y (i) com comprimento de 2.048 bits e distncia de Hamming
normalizada (HdN ) foram geradas aleatoriamente a cada vez que o algoritmo foi execu-
tado.
2. Seja o vetor HdN com 12 valores escolhidos dentro da faixa das distncias de Hamming
sobre as distribuies das comparaes intraclasse com insero de 860 bits. HdN =
{HdN j }12
j=1 ;
HdN ={0,0435 0,0635 0,0830 0,1030 0,1230 0,1431 0,1631 0,1831 0,2031 0,2231 0,2432 0,2632}
3. Seja o vetor K composto por 12 comprimentos de bloco:

K = {ks }12
s=1 = {2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13}.
4. Um nico passo do algoritmo do protocolo RI, Figura 8.1, foi executado 10.000 vezes
para cada um dos pares [(HdN j , ks )], para todo 1 j 12 e 1 s 12.
5. Sejam hni isimul e hei isimul os valores mdios calculados sobre os resultados de hni i e de
hei i, respectivamente, obtidos das 10.000 simulaes para cada um dos pares [(HdN j , ks )],
para todo 1 j 12 e 1 s 12. Sejam hni icalc e hei icalc os valores calculados utili-
zando as equaes de hni i (Tabelas 8.2 e 8.3) e as equaes de hei i (Tabela 8.5), respecti-
vamente, cuja variveis independentes so todos os valores do par [(HdN j , ks )], para todo
1 j 12 e 1 s 12, definidos acima.
Seja 4hni i e 4hei i as variaes relativas de hni i e hei i, respectivamente, ento
hni icalc hni isimul

4hni i = . (8.17)
hni icalc
hei icalc hei isimul

4hei i = . (8.18)
hei icalc

nIi
6. O parmetro nIi = 2.048 bits. O parmetro ni obtido da Equao 8.4, ni = ki .
ki
O vetor HdN corresponde ao vetor do parmetro ein

i . O vetor ei obtido da Equao 8.5,
in
ei = ei . nIi /ni .
Concluses:
Na Tabela 8.6, os resultados analticos e empricos do comprimento final das sequncias

de X (i) e Y (i) aps um passo do protocolo e suas variaes percentuais so observados. Pelos
resultados, pode-se afirmar que, tanto as equaes do comprimento final das sequncias (Tabe-
las 8.2 e 8.3), quanto o algoritmo do protocolo (fluxograma da Figura 8.1) esto mutuamente
validados.
Da mesma forma, nas Tabela 8.7, os resultados analticos e empricos da taxa de erro por
bit final das sequncias de X (i) e Y (i) aps um passo do protocolo e suas variaes percentuais
so observados. Pelos resultados, pode-se afirmar que, tanto as equaes da taxa de erro por bit
final das sequncias (Tabela 8.5), quanto o algoritmo do protocolo (fluxograma da Figura 8.1)
esto mutuamente validados.
Tabela 8.6 Resultados analticos e empricos do comprimento das sequncias hni i de X (i) e Y (i) , aps
um passo. Comprimento do bloco k : 2 a 13 bits.
Comprimento de bloco k = 2 Comprimento de bloco k = 3 Comprimento de bloco k = 4
ein
i hni icalc hni isimul 4hni i(%) hni icalc hni isimul 4hni i(%) hni icalc hni isimul 4hni i(%)
0,0435 939 939 0,00 1230 1230 0,00 1380 1380 0,00
0,0635 902 902 0,00 1176 1176 0,00 1321 1321 0,00
0,0830 868 868 0,00 1127 1127 0,00 1272 1271 0,08
0,1030 835 835 0,00 1082 1082 0,00 1227 1227 0,00
0,1230 803 803 0,00 1042 1042 0,00 1189 1189 0,00
0,1431 773 773 0,00 1005 1005 0,00 1157 1157 0,00
0,1631 744 744 0,00 973 973 0,00 1130 1129 0,09
0,1831 718 718 0,00 945 944 0,11 1107 1106 0,09
0,2031 693 693 0,00 920 919 0,11 1088 1087 0,09
0,2231 669 669 0,00 899 898 0,11 1072 1071 0,09
0,2432 647 647 0,00 881 881 0,00 1060 1059 0,09
0,2632 627 627 0,00 866 865 0,12 1050 1049 0,10
ein
0,0435 1460 1460 0,00 1518 1518 0,00 1561 1560 0,06
0,0635 1398 1398 0,00 1456 1456 0,00 1502 1501 0,07
0,0830 1347 1347 0,00 1408 1408 0,00 1457 1457 0,00
0,1030 1304 1304 0,00 1369 1368 0,07 1423 1423 0,00
0,1230 1269 1269 0,00 1339 1338 0,07 1398 1397 0,07
0,1431 1241 1241 0,00 1316 1315 0,08 1380 1380 0,00
0,1631 1219 1218 0,08 1298 1298 0,00 1367 1367 0,00
0,1831 1202 1201 0,08 1286 1285 0,08 1358 1358 0,00
0,2031 1189 1188 0,08 1276 1276 0,00 1353 1352 0,07
0,2231 1179 1178 0,08 1270 1270 0,00 1349 1349 0,00
0,2432 1173 1172 0,09 1266 1266 0,00 1347 1346 0,07
0,2632 1168 1168 0,00 1264 1264 0,00 1346 1346 0,00
ein
0,0435 1593 1593 0,00 1619 1618 0,06 1637 1637 0,00
0,0635 1538 1537 0,07 1565 1565 0,00 1586 1586 0,00
0,0830 1498 1498 0,00 1529 1529 0,00 1554 1553 0,06
0,1030 1469 1468 0,07 1504 1503 0,07 1532 1531 0,07
0,1230 1448 1447 0,07 1487 1486 0,07 1518 1517 0,07
0,1431 1434 1434 0,00 1476 1475 0,07 1510 1509 0,07
0,1631 1424 1424 0,00 1469 1468 0,07 1505 1504 0,07
0,1831 1418 1418 0,00 1465 1465 0,00 1502 1502 0,00
0,2031 1414 1414 0,00 1463 1462 0,07 1501 1501 0,00
0,2231 1411 1411 0,00 1462 1462 0,00 1500 1500 0,00
0,2432 1410 1410 0,00 1461 1461 0,00 1501 1500 0,07
0,2632 1409 1409 0,00 1461 1462 -0,07 1501 1501 0,00
ein
0,0435 1661 1660 0,06 1673 1673 0,00 1690 1689 0,06
0,0635 1614 1613 0,06 1629 1629 0,00 1650 1649 0,06
0,0830 1584 1584 0,00 1603 1603 0,00 1627 1626 0,06
0,1030 1566 1565 0,06 1588 1587 0,06 1614 1614 0,00
0,1230 1554 1554 0,00 1579 1579 0,00 1606 1606 0,00
0,1431 1548 1548 0,00 1574 1574 0,00 1603 1603 0,00
0,1631 1544 1545 -0,06 1571 1571 0,00 1601 1601 0,00
0,1831 1543 1543 0,00 1570 1570 0,00 1600 1600 0,00
0,2031 1542 1542 0,00 1569 1569 0,00 1600 1600 0,00
0,2231 1542 1542 0,00 1569 1569 0,00 1600 1600 0,00
0,2432 1542 1542 0,00 1569 1569 0,00 1601 1601 0,00
0,2632 1543 1543 0,00 1570 1570 0,00 1601 1601 0,00
Tabela 8.7 Resultados analticos e empricos da taxa de erro por bit hei i, aps um passo. Comprimento
do Bloco k : 2 a 13 bits.
ein
i hei icalc hei isimul 4hei i(%) hei icalc hei isimul 4hei i(%) hei icalc hei isimul 4hei i(%)
0,0435 0,00206 0,00203 1,59 0,00408 0,00402 1,46 0,00596 0,00581 2,43
0,0635 0,00458 0,00456 0,28 0,00896 0,00881 1,71 0,01289 0,01260 2,28
0,0830 0,00813 0,00803 1,16 0,01575 0,01553 1,37 0,02226 0,02178 2,15
0,1030 0,01301 0,01293 0,63 0,02490 0,02453 1,49 0,03450 0,03370 2,32
0,1230 0,01929 0,01912 0,86 0,03634 0,03587 1,29 0,04928 0,04811 2,36
0,1431 0,02713 0,02697 0,58 0,05020 0,04939 1,62 0,06650 0,06481 2,54
0,1631 0,03659 0,03635 0,66 0,06632 0,06525 1,61 0,08577 0,08328 2,90
0,1831 0,04784 0,04770 0,28 0,08471 0,08334 1,62 0,10686 0,10384 2,83
0,2031 0,06099 0,06092 0,12 0,10526 0,10350 1,67 0,12948 0,12580 2,84
0,2231 0,07618 0,07609 0,12 0,12779 0,12574 1,61 0,15332 0,14905 2,78
0,2432 0,09360 0,09327 0,36 0,15223 0,14980 1,60 0,17818 0,17325 2,77
0,2632 0,11317 0,11284 0,29 0,17807 0,17515 1,64 0,20354 0,19819 2,63
ein
0,0435 0,00775 0,00759 2,12 0,00945 0,00921 2,53 0,01103 0,01073 2,69
0,0635 0,01655 0,01625 1,80 0,01989 0,01946 2,16 0,02286 0,02245 1,82
0,0830 0,02814 0,02767 1,68 0,03333 0,03266 1,99 0,03772 0,03697 1,99
0,1030 0,04287 0,04220 1,55 0,04999 0,04891 2,16 0,05568 0,05456 2,01
0,1230 0,06013 0,05912 1,68 0,06902 0,06761 2,04 0,07571 0,07408 2,15
0,1431 0,07961 0,07820 1,77 0,09000 0,08796 2,27 0,09731 0,09530 2,06
0,1631 0,10071 0,09915 1,56 0,11222 0,10980 2,15 0,11975 0,11739 1,97
0,1831 0,12310 0,12129 1,46 0,13534 0,13264 1,99 0,14274 0,14028 1,73
0,2031 0,14639 0,14469 1,16 0,15901 0,15603 1,87 0,16602 0,16346 1,54
0,2231 0,17025 0,16858 0,98 0,18297 0,17999 1,63 0,18937 0,18677 1,37
0,2432 0,19453 0,19283 0,87 0,20712 0,20388 1,57 0,21280 0,21016 1,24
0,2632 0,21877 0,21773 0,48 0,23111 0,22796 1,36 0,23600 0,23348 1,06
ein
0,0435 0,01253 0,01224 2,29 0,01391 0,01359 2,28 0,01526 0,01498 1,88
0,0635 0,02558 0,02502 2,17 0,02802 0,02743 2,09 0,03034 0,02984 1,65
0,0830 0,04158 0,04076 1,97 0,04498 0,04420 1,72 0,04811 0,04737 1,55
0,1030 0,06048 0,05934 1,89 0,06464 0,06350 1,76 0,06837 0,06727 1,61
0,1230 0,08114 0,07957 1,94 0,08577 0,08431 1,70 0,08985 0,08860 1,39
0,1431 0,10304 0,10122 1,77 0,10788 0,10614 1,61 0,11208 0,11060 1,32
0,1631 0,12549 0,12348 1,60 0,13031 0,12848 1,41 0,13447 0,13292 1,16
0,1831 0,14826 0,14617 1,41 0,15291 0,15108 1,20 0,15694 0,15544 0,96
0,2031 0,17115 0,16901 1,25 0,17552 0,17373 1,02 0,17935 0,17793 0,79
0,2231 0,19402 0,19192 1,08 0,19805 0,19636 0,85 0,20167 0,20030 0,68
0,2432 0,21692 0,21477 0,99 0,22057 0,21886 0,78 0,22397 0,22264 0,59
0,2632 0,23958 0,23764 0,81 0,24286 0,24135 0,62 0,24602 0,24489 0,46
ein
0,0435 0,01640 0,01608 1,95 0,01391 0,01359 2,28 0,01866 0,01831 1,91
0,0635 0,03219 0,03160 1,85 0,02802 0,02743 2,09 0,03576 0,03522 1,50
0,0830 0,05048 0,04970 1,54 0,04498 0,04420 1,72 0,05492 0,05421 1,30
0,1030 0,07102 0,07004 1,39 0,06464 0,06350 1,76 0,07593 0,07513 1,05
0,1230 0,09257 0,09149 1,17 0,08577 0,08431 1,70 0,09758 0,09672 0,88
0,1431 0,11469 0,11335 1,18 0,10788 0,10614 1,61 0,11957 0,11861 0,80
0,1631 0,13688 0,13558 0,95 0,13031 0,12848 1,41 0,14148 0,14050 0,69
0,1831 0,15908 0,15789 0,74 0,15291 0,15108 1,20 0,16334 0,16241 0,57
0,2031 0,18120 0,18009 0,61 0,17552 0,17373 1,02 0,18511 0,18430 0,44
0,2231 0,20322 0,20212 0,54 0,19805 0,19636 0,85 0,20679 0,20605 0,36
0,2432 0,22523 0,22421 0,45 0,22057 0,21886 0,78 0,22847 0,22771 0,33
0,2632 0,24702 0,24614 0,36 0,24286 0,24135 0,62 0,24996 0,24933 0,25
8.1.4 Otimizao do Protocolo de Reconciliao pelas Escolhas dos Com-

primentos dos Blocos k1 , k2 , k3 e k4
No protocolo proposto para a reconciliao da informao, quanto menor for o tamanho
do bloco k, maior ser o nmero de bits diferentes entre as sequncias de T e R encontrados e
descartados ao fim de um passo do protocolo, ou seja, o nmero de bits diferentes descartados
inversamente proporcional ao comprimento k do bloco. Em termos de taxa de erro por bit
(hei i) ao final de um passo i, observa-se que esta cresce na medida que o valor de k cresce, ver
resultados da Tabela 8.7 e Figura 8.4. Por outro lado, o comprimento hni i das sequncias de T
e R, aps um passo do protocolo RI, diretamente proporcional ao comprimento do bloco ki ,
ver resultados da Tabela 8.6 e Figura 8.5.
Figura 8.4 Taxa de erro por bit final (hei i) aps um passo de RI em funo da taxa de erro por bit inicial
(ein
i ) e do comprimento do bloco (ki ).
No esquema BSKAPD-RFID, o protocolo de reconciliao da informao aplicado s

sequncias de T e R composto por trs ou quatro passos. A escolha adequada dos compri-
mentos dos blocos de cada passo, k1 , k2 , k3 e k4 , respectivamente passo 1, 2, 3 e 4, permite
obter melhor eficincia do protocolo.
Dois atributos so importantes para estabelecer a eficincia de um protocolo RI com P

passos, a capacidade de reconciliar sequncias com maior taxa de erro inicial possvel e obter
sequncias finais reconciliadas (sem bits divergentes), com maior nmero de bits possveis, ou
seja, com menor quantidade de descartes durante o protocolo.
Figura 8.5 Comprimento das sequncias (hni i) de T e R aps o primeiro passo do protocolo RI em
funo da taxa de erro inicial (ein
1 ) e do comprimento do bloco (k1 ). Comprimento inicial das sequncias
n1 = 1.188 bits.
Neste momento, ser adotado o critrio segundo o qual as sequncias finais so conside-
radas reconciliadas, quando o produto da taxa de erro por bit final pelo comprimento final das
sequncias, for menor ou igual a 0,5 bit. Portanto,
he3 i.hn3 i < 0, 5 bit Sequncia Reconciliada; (8.19)
Os exemplos e grficos apresentados a seguir, utilizaro esquemas de reconciliao com

trs passos, porm, estas anlises podem perfeitamente ser expandidas para protocolos com
quatro passos. Na Tabela A.1 do Apndice A observa-se os valores de k1 , k2 e k3 com melhor
desempenho para cada HdN de modo que o produto he3 i.hn3 i satisfaa a Inequao 8.19. Os
valores de he3 i e hn3 i foram calculados de forma recursiva por meio das Equaes da Subseo
8.1.2 para valores dos comprimentos de bloco k1 , k2 e k3 variando de 2 a 12 bits, taxa de erro
inicial ein
1 (distncia de Hamming normalizada, HdN ) variando de 0,0850 a 0,4735 e nmero de
bits das sequncias iniciais n1 de T e R igual a 1.188 bits.
A Figura 8.6 foi construda a partir da Tabela A.1 do Apndice A. Nesta figura obser-
vado que a medida que a taxa de erro inicial ein1 (HdN ) aumenta, os parmetros (k1 , k2 e k3 ) dos
trs passos do protocolo RI vo diminuindo. Este comportamento explicado pela necessidade
de aumentar a capacidade de correo do protocolo RI de modo a garantir a reconciliao das
sequncias finais de T e R (Inequao 8.19). Ainda na Figura 8.6 observado que quanto
maior o HdN inicial, menor ser o comprimento final das sequncias. Os seguintes procedi-
mentos utilizando a Figura 8.6, so seguidos para escolha dos valores de k1 , k2 e k3 que levam a
uma melhor eficincia do protocolo RI, no sentido de conseguir a reconciliao com sequncias
finais com maior nmero de bits quanto possvel:
1. Seleo da taxa de erro inicial ein

1 (HdN ) que se deseja reconciliar;
2. Identificao dos valores de k1 , k2 e k3 correspondentes ao HdN escolhido;
3. Identificao do limite inferior do comprimento da sequncia final reconciliada, hn3 imin .
Para melhor compreenso, apresentado um exemplo seguir:

(Exemplo-1) Considere que se deseja excluir os erros entre duas sequncias com com-
primentos n1 = 1.188 bits escolhidas aleatoriamente cuja distncia de Hamming normalizada
HdN 0, 1735. Pela Figura 8.6, para o limite superior HdN = 0, 1735 os parmetros sero:
k1 = 4, k2 = 4 e k3 = 6 e o menor comprimento final da sequncia, hn3 i, ser 320 bits. O valor
esperado do nmero de bits errados aps o protocolo ser he3 i.hn3 i = 0, 499 bit, ou seja, menos
de meio bit. Para HdN > 0, 1735 a sequncia final no ser reconciliada (he3 i.hn3 i > 0, 5 bit).
Por exemplo, para HdN = 0, 1780, utilizando os parmetros k1 , k2 e k3 acima, os clculos levam
a he3 i.hn3 i = 0, 651 bit, e pelo critrio adotado (Inequao 8.19), no haver reconciliao.
Figura 8.6 Nmero mdio de bits errados (hn3 i.he3 i) e comprimento das sequncias de T e R, ao final
do protocolo RI, em funo da taxa de erro inicial ein
1 (HdN ) e dos comprimentos dos blocos k1 , k2 e k3 .
Comprimento inicial das sequncias n1 = 1.188 bits.
8.2 Modelo Gaussiano das Distribuies Intraclasse e Inter-

classe
Nesta seo dois cenrios so apresentados, o primeiro no qual o template transformado,
T T , no possui insero de bits advindo do bloco de insero de bit, ver Figura 7.3, ou seja,
seu comprimento o mesmo do vetor caracterstica da ris extrado pelo mtodo Daugman,
CI, e o segundo cenrio em que o template transformado possui 860 bits aleatrios inseridos
ao CI. Para cada um dos cenrios, os histogramas das comparaes intraclasse e interclasse
foram obtidos respectivamente, a partir das 13.836 comparaes intraclasse e 14.240 compara-
es interclasse computadas das imagens obtidas da base de dados ND-IRIS-0405 [18]. Estes
histogramas foram modelados por mistura gaussiana e a partir destes modelos os parmetros de
desempenho FRR (taxa de falsa rejeio) e FAR (taxa de falsa aceitao) foram encontrados e
validados.
De um modo geral, o objetivo principal de um sistema de reconhecimento biomtrico,
quer seja um sistema de identificao ou verificao biomtrica, permitir a comparao de
duas amostras biomtricas, a primeira extrada na fase de cadastro e a segunda, chamada amos-
tra consulta a qual se deseja verificar. O resultado desta comparao a afirmao ou negao
que a amostra consulta pertence a mesma pessoa que cadastrou a amostra biomtrica utilizada
na comparao em questo. Amostras de um mesmo usurio so ditas serem amostras genunas
ou amostras intraclasse. Uma amostra a verificar que no pertence ao usurio cadastrado dita
ser amostra impostora ou amostra interclasse.
No esquema BSKAPD-RFID, com objetivo de proteger os dados biomtricos do usu-
rio, duas transformaes (blocos de concatenao e embaralhamento ou permutao) so re-
alizadas ao vetor caracterstica da ris (CI) extrado pelo mtodo Daugman. O bloco de con-
catenao executa a concatenao da sequncia de concatenao SC ao vetor caracterstica da
ris CI, permitindo uma maior separao entre as distribuies das distncias de Hamming das
comparaes intraclasse e interclasse, bem como um menor desvio padro da distribuio das
comparaes intraclasse. Na Subseo 8.2.1 a seguir, analisado o cenrio em que nenhum bit
da sequncia SC inserido (|SC| = 0 bit).
8.2.1 Cenrio 1: Modelo sem insero de Bit

Neste cenrio em que nenhum bit inserido ao vetor caracterstica da ris, CI, a sequn-
cia de concatenao SC nula. Como nenhuma concatenao de bits ser realizada e objeti-
vando aumentar a proteo do template, sugerido uma substituio do mdulo de concatena-
o por um mdulo de operao XOR bit a bit, tanto no cadastro como na etapa de verificao.
Este mdulo executa uma operao XOR entre a sequncia binria CI e uma sequncia de igual
comprimento gerada pseudo aleatoriamente. No mdulo seguinte executado o embaralha-
mento. Ver Figura 8.7.
Inscrio Verificao
Extrator de Extrator de
Template da ris Template da ris
SX
SS Embaralhamento Embaralhamento
PRNG
= , ( ) = , ( )
SX SS
Senha
EPW(SX,SS, ) EPW DPW (EPW) PW
Base de
Dados
Senha
PW
Reconciliao Iterativa com
Etiq. RFID Seg. Terica da Informao. Leitor RFID
TT Template Transformado
Pseudnimo Identificador
Figura 8.7 Diagrama do esquema acordo da chave cripto-biomtrica com substituio do mdulo con-
catenao pelo mdulo XOR para |SX| = |IC| = |SX 0 | = |IC0 |
As sequncias de template transformado T T na etiqueta (gerada na fase de cadastro)

e T T 0 no leitor (gerada a partir da amostra consulta, na fase de verificao) obtidas aps os
mdulos de transformao (esquema da Figura 7.3) iro possuir o mesmo comprimento que
a sequncia CI, uma vez que neste cenrio no houve concatenao de bits (|SC| = 0 bit).
No esquema proposto, estas sequncias de template transformado sero utilizadas no prximo
mdulo de reconciliao da informao (RI). A seguir, sero realizadas anlises estatsticas e
analticas das comparaes das sequncias T T e T T 0 para duas situaes: T T 0 pertencente a
um usurio genuno e T T 0 pertencente a um usurio impostor. A partir da base de dados citada
acima so selecionadas aleatoriamente 13.836 comparaes intraclasse e 14.240 comparaes
interclasse. As distncias de Hamming normalizadas (HdN ) so computadas e consideradas
como evento de dois processos aleatrios, o processo intraclasse para comparaes genunas e
o processo interclasse para comparaes impostoras.
Com o resultado destes processos foi gerada a tabela de frequncia relativa para diversos
valores de HdN (ver Tabela A.2 no Apndice A) e apresentado o histograma de densidade de
probabilidade das comparaes intraclasse e interclasse entre as sequncias template transfor-
mado T T (T ) e T T 0 (R) (ver Figura 8.8) e a curva de frequncia relativa acumulada para as
comparaes intraclasse (FRR, taxa de falsa rejeio) e comparaes interclasse (FAR, taxa de
falsa aceitao) em funo da HdN (Figura 8.13). Para este cenrio de nenhum bit inserido,
neste histograma percebida uma interseco entre as distribuies intraclasse e interclasse. A
fim de permitir expresses analticas para medidas de desempenho, as distribuies da Figura
8.8 foram aproximadas por funes gaussianas. Ver Figura 8.9 e Tabela 8.8 para a distribuio
intraclasse e Figura 8.10 e Tabela 8.9 para a distribuio interclasse.
Figura 8.8 Histograma de densidade de probabilidade referente a 13.836 comparaes intraclasse e

14.240 comparaes interclasse, sem insero de bits ao vetor caracterstica da ris CI.
Nos sistemas de reconhecimento biomtrico as funes de densidade de probabilidade

(FDP) dos elementos individuais do template biomtrico no espao caracterstica6 , fornecem
subsdios para estudos analticos que permitem definir os critrios de deciso. Entretanto, es-
timar estas FDPs so tarefas difceis devido s correlaes existentes entre estes elementos
individuais do template biomtrico. Portanto, assim como em muitos outros sistemas, nos sis-
temas biomtricos as probabilidades a priori so normalmente desconhecidas, no podendo ser
utilizadas como critrio de deciso. Porm, sendo conhecidas as distribuies a posteriori, uma
alternativa tratar os problemas de deciso destes sistemas por meio das formulaes de testes
de hipteses de Neyman-Pearson [135] cuja regra de deciso escolhida a partir das taxas de
FRR e de FAR exigidas, sumarizada na Figura 8.11.
Modelo Gaussiano para FDP Intraclasse
A funo de densidade de probabilidade das comparaes intraclasse, com nenhum bit

inserido no mdulo de concatenao, pode ser modelada pela mistura de duas gaussianas de
acordo com a Equao 8.20, e mostrada na Figura 8.9, cujos parmetros das gaussianas7 parciais
que levam melhor aproximao sobre as realizaes empricas so mostrados na Tabela 8.8.

g(x) = A1 N (1 , 12 ) + A2 N (2 , 22 ) =
(x 1 )2 (x 2 )2

A1 A2
= exp + exp . (8.20)
1 2 212 2 2 222
6O espao caracterstica para biometria da ris, cuja extrao das caractersticas utiliza o mtodo Daugman,
corresponde ao conjunto de todos os vetores caracterstica, antes de serem quantizados.
7 Estes parmetros foram obtidos utilizando o software OriginLabPror , cuja funo NLFit (Nonlinear Curve
Fitter) encontra os parmetros da curva que melhor se ajusta a um conjunto de dados.

Figura 8.9 Histograma das comparaes intraclasse (com nenhum bit inserido ao CI) e o modelo esti-
mado da funo densidade de probabilidade como mistura de duas gaussianas.
Modelo: Mistura Gaussiana g(x)

= A1 N (1 , 12 ) + A2 N (2 , 22 )
2 : 1, 62.106
Xred | Nr. pontos: 320 | Graus de liberdade (): 314
Coeficiente de determinao (R2 ): 0,89
Parmetros Valor Desvio padro
A1 0,676 5, 48.104
1 0,2132 53, 5.104
A1 N (1 , 12 )
1 0,0440 54, 4.104
A2 0,324 5, 58.104
2 0,2953 8, 51.102
A2 N (2 , 22 )
2 0,0677 3, 68.102
Tabela 8.8 Parmetros do modelo da aproximao mistura gaussiana, g(x),

das comparaes intraclasse
(com nenhum bit inserido ao CI). Utilizando Chi-quadrado-reduzido (Xred ) = X 2 /, em que o grau
2
de liberdade. O coeficiente de determinao R2 varia entre 0 e 1, de modo que, quanto mais prximo de
1, mais fiel aos dados o modelo. Aproximao obtida com o uso do software OriginLabPror .
Modelo Gaussiano para FDP Interclasse
A funo de densidade de probabilidade das comparaes interclasse, para o cenrio de

nenhum bit inserido ao CI, pode ser modelada por uma gaussiana de acordo com a Equao
8.21, e mostrada na Figura 8.10, cujos parmetros que levam melhor aproximao sobre as
realizaes empricas so mostrados na Tabela 8.9.
(x 3 )2

1
f(x) = N (3 , 32 ) = exp . (8.21)
3 2 232
Figura 8.10 Histograma normalizado das comparaes interclasse (com nenhum bit inserido ao CI) e
seu modelo estimado representado por uma gaussiana.
Modelo: Gaussiano f(x) = N (3 , 32 )

2 : 4, 89.1006
3 0,4992 2, 74.104
3 0,0148 2, 74.104
Tabela 8.9 Parmetros do modelo da aproximao gaussiana, f(x), das comparaes interclasse (com
2 ) = X 2 /, em que o grau de
nenhum bit inserido ao CI). Utilizando Chi-quadrado-reduzido (Xred
r
liberdade. Fitting obtido com o uso do software OriginLabPro .
Na Figura 8.11 o histograma das distncias de Hamming (dH ) intraclasses e interclasses,

sem bits inseridos sequncia CI, so aproximadas por gaussianas conforme Equaes 8.20 e
8.21, com parmetros dado pelas Tabelas 8.8 e 8.9, respectivamente. O limiar um parmetro
importante para estimar a taxa de falsa rejeio (FRR) e a taxa de falsa aceitao (FAR) que o
esquema propicia, aps as escolhas dos parmetros k1 , k2 e k3 , respectivamente o comprimento
do bloco no primeiro, segundo e terceiro passo do protocolo de reconciliao da informao.
Cada aplicao tem exigncias especficas de FRR e FAR.
A fim de dimensionar o protocolo RI, a escolha dos parmetros k1 , k2 e k3 ser auxi-

liada pela Figura 8.6. Neste cenrio no houve concatenao de bits, ou seja, as sequncias
de template transformado T T e T T 0 possuem comprimento n1 = 1.188 bits. Normalmente os
Figura 8.11 Aproximaes gaussianas dos histogramas das comparaes intraclasse e interclasse, para
cenrio com nenhum bit inserido ao CI. Zoom visualizando a taxa de falsa rejeio (FRR) e taxa de falsa
aceitao (FAR) para um dado limiar da dHN .
esquemas biomtricos utilizam o limiar na regio prxima ao cruzamento das duas distribui-
es intra e interclasse, conforme mostrado na Figura 8.11. Entretanto, neste cenrio a HdN
inicial na regio de cruzamento bastante elevada (dHN 0, 45), de modo que com parmetros
(k1 = 2, k2 = 2 e k3 = 2; Ver Figura 8.6) o protocolo RI reconcilia sequncias finais com compri-
mento muito pequeno (hn3 i < 40 bits), tornando o esquema ineficiente para uso em aplicaes
de segurana, uma vez que a sequncia final corresponde a chave secreta gerada pelo esquema
proposto.
Um valor razovel de comprimento da sequncia final reconciliada, hn3 i, esperado para
sistemas com biometria da ris seria hn3 i 100 bits. Assim, apenas como exerccio para verifi-
car qual a FRR para esta ordem de grandeza de hn3 i segue o Exemplo-2.
(Exemplo-2) Neste exemplo um valor limiar = 0, 3070 do HdN escolhido intencio-
nalmente, Ver Figura 8.12. Para este valor de os valores dos parmetros do protocolo RI so
k1 = 2, k2 = 3 e k3 = 6 levaram a um bom desempenho; e o limite inferior da sequncia final
reconciliada, hn3 imin , igual a 128 bits, ver Figura 8.6 e Tabela A.1 do Apndice A. Os valores
de FRR e de FAR calculados esto na Tabela A.2 do Apndice A.
Para x = = 0, 3070 a taxa de falsa rejeio ser FRR = 14, 6% e taxa de falsa aceitao
ser FAR = 0%, ver Figura 8.13 e Tabela A.2 no Apndice A. Esse valor encontrado de FRR
demasiado elevado para utilizao prtica. Assim, com os objetivos de diminuir estes valores de
FRR, afastar as FDPs intraclasse e interclasse e aumentar o comprimento das sequncias finais
do protocolo, o esquema proposto utiliza o mdulo de insero de bits, analisados no Cenrio
2, na Subseo 8.2.5.
Figura 8.12 Aproximao gaussiana dos histogramas das distncias de Hamming normalizadas intra-
classe e interclasse para cenrio sem insero de bit ao CI e limiar = 0, 3055.
8.2.2 FRR e FAR a Partir dos Histogramas Obtidos Empiricamente, Ce-

nrio 1
As funes de distribuio acumulada (FDAs) das comparaes intraclasses (genunas)
e interclasses (impostoras), respectivamente GX (x) e FX (x) so expressas pelas Equaes 8.22
e 8.23, e calculadas a partir do histograma das comparaes intraclasse e interclasse entre as
sequncias template transformado T T (T ) e T T 0 (R) (ver Figura 8.8), obtidos da tabela de
frequncia relativa para diversos valores de HdN (ver Tabela A.2 no Apndice A).
GX (x) = pge (xi ) , (8.22)

i:xi x
FX (x) = pimp (xi ) . (8.23)

i:xi x
Para cada limiar (dHN ) escolhido pode-se calcular a taxa de falsa rejeio FRR e a
taxa de falsa aceitao FAR (ver Figura 8.13) conforme expresso abaixo, Equaes 8.24 e 8.25,
x j > xi e |HdN (x j ) = ,
FRR = 1 GX (x j ) = 1 pge (xi ) , (8.24)

i:xi x j
FAR = FX (x j ) = pimp (xi ) . (8.25)

i:xi x j
Figura 8.13 Curvas FRR e FAR levantadas empiricamente, em que nenhum bit foi inserido ao CI .
8.2.3 FRR e FAR a Partir dos Modelos Gaussianos, Cenrio 1

Sejam g(x)
a funo de densidade de probabilidade das comparaes intraclasse dada
pela Equao 8.20 e f(x) a funo de densidade de probabilidade das comparaes interclasse
dada pela Equao 8.21, sendo ambas uma aproximao dos histogramas encontrados a partir
das realizaes das comparaes intraclasse e interclasse, respectivamente. As taxas de falsa
rejeio FRR e de falsa aceitao FAR correspondem s reas sob as curvas FDPs conforme
Figura 8.11 e podem ser calculadas em funo do limiar por
Z Z
FRR = dx = 1 G
g(x) bX (x) = 1 dx ,
g(x) (8.26)

Z
FAR = FbX (x) = f(x) dx . (8.27)

Substituindo a Equao 8.20 de g(x)

na Equao 8.26 obtem-se
(x 1 )2 (x 2 )2
Z x= Z x=
A1 A2
FRR = 1 exp dx + exp dx ,
1 2 212 2 2 222
(8.28)
seja z = (x )/ ,
Z z 2 Z z 2
A1 z A2 z
FRR = 1 exp dz + exp dz . (8.29)
2 2 2 2
Estas integrais no so resolvveis analiticamente, mas podem ser calculadas por m-

todos numricos de integrao. Seja (z) a funo de distribuio acumulada de uma normal
padro, definida por
Z z 2
1 z
(z) = exp dz . (8.30)
2 2
A Equao 8.30 pode ser reescrita como

1 2
FRR() = 1 A1 + A2 . (8.31)
1 2
Usando os mesmos mtodos, tem-se, para a FAR,

3
FAR() = A3 . (8.32)
3
8.2.4 Validao das Aproximaes Gaussianas do Cenrio 1, Utilizando

os Parmetros de Desempenho FRR e FAR
Na Tabela 8.10 foram selecionados ao acaso alguns valores de . Para cada um destes
valores, foram encontrados os valores dos parmetros de desempenho FRR e FAR utilizando
dois procedimentos, um empiricamente e o outro por estimao, este ltimo utilizando o mo-
delo gaussiano das distribuies das comparaes intraclasse e interclasse. No primeiro, os
valores de FRR e FAR foram obtidos empiricamente aplicando as Equaes 8.24 e 8.25 sobre o
histograma das distribuies das comparaes intraclasse e interclasse g(x) e f (x). Ver Figuras
8.8 e 8.13 e Tabela A.2 do Apndice A.
No segundo procedimento os parmetros FRR e FAR foram calculados a partir dos modelos
e f(x), Figuras 8.9
gaussianos das distribuies das comparaes intraclasse e interclasse, g(x)
e 8.10. Portanto, substituindo os parmetros do modelo da aproximao mistura gaussiana,
g(x), da Tabela 8.8 na Equao 8.31 e os parmetros do modelo da aproximao gaussiana,

f(x), da Tabela 8.9 na Equao 8.32, e com o uso de uma tabela de distribuio normal padro
acumulada, tem-se para o modelo gaussiano das FDPs intraclasse e interclasse os valores esti-
mados de FRRd e FAR.
d Os resultados da Tabela 8.10 validam os modelos gaussianos propostos.
8.2.5 Cenrio 2: Modelo com Insero de 860 bits ao Vetor CI

Neste cenrio, em que 860 bits so inseridos ao vetor caracterstica da ris, CI, a sequn-
cia de concatenao SC do esquema BSKAPD-RFID8 da Figura 7.3 possui 860 bits gerados
aleatoriamente.
8 BSKAPD-RFID o esquema proposto nesta Tese, intitulado como: Conciliao de chave secreta baseada em
biometria por discusso pblica com sistemas RFID, cuja sgla foi extrada do ttulo em ingls, Biometrics-based
Secret Key Agreement by Public Discussion with RFID system )
Tabela 8.10 Resultados empricos e estimados dos parmetros de desempenho FRR e FAR, cenrio 1.
limiar Obtidos empiricamente dos Obtidos a partir dos modelos
(HdN ) histogramas de g(x) e f (x) e f(x)
gaussianos g(x)
FRR(%) FAR(%) FRR(%)
d FAR(%)
d
0,400 2,1 0,00 2,0 0,00
0,351 6,3 0,00 6,7 0,00
0,330 9,4 0,00 10,1 0,00
0,300 16,4 0,00 16,9 0,00
0,270 26,6 0,00 27,6 0,00
As sequncias de template transformado T T na etiqueta (gerada na fase de cadastro) e

TT0 no leitor (gerada a partir da amostra consulta, na fase de verificao) obtidas aps os m-
dulos de transformao (concatenao e embaralhamento, esquema da Figura 7.3) iro possuir
2.048 bits de comprimento (|T T | = |IC| + |SC| = 1188 + 860). No esquema BSKAPD-RFID
proposto, estas sequncias de template transformado sero utilizadas pelo mdulo de reconci-
liao da informao (RI).
A seguir, sero realizadas anlises estatsticas e analticas das comparaes das sequn-
cias T T e T T 0 para duas situaes: com relao a T T , T T 0 pertencente a um usurio genuno
e T T 0 pertencente a um usurio impostor (as amostras biomtricas no pertencem ao mesmo
usurio), correspondendo respectivamente s comparaes intraclasse e interclasse. A partir da
base de dados (Seo 4.1) foram selecionadas aleatoriamente 13.836 comparaes intraclasse
e 14.240 comparaes interclasse. As distncias de Hamming normalizadas (HdN ) so com-
putadas e consideradas como evento de dois processos aleatrios, o processo intraclasse para
comparaes genunas e o processo interclasse para comparaes impostoras.
Com os resultados destes processos, foi gerada a tabela de frequncia relativa para diver-
sos valores de HdN (ver Tabela A.3 no Apndice A), desenhado o histograma de densidade de
probabilidade das comparaes intraclasse e interclasse entre as sequncias template transfor-
mado T T (T ) e T T 0 (R) (ver Figura 8.14) e desenhadas as curvas FRR (taxa de falsa rejeio)
e FAR (taxa de falsa aceitao) em funo da HdN (Figura 8.16).
Quando comparado o histograma do cenrio 2 (860 bits inseridos, Figura 8.14) com o
histograma do cenrio 1 (nenhum bit inserido, Figura 8.8), observa-se:
1. Afastamento entre os histogramas das comparaes intraclasse e interclasse,
2. O valor mximo da HdN da comparao intraclasse reduz de 0,439 para 0,268; ver Tabelas
A.2 e A.3 no Apndice A),
3. As varincias dos histogramas das comparaes intraclasse e interclasse diminuem.
O protocolo BSKAPD-RFID proposto possui 3 ou 4 passos de reconciliao da infor-

mao (RI). Os comprimentos de bloco ki de cada passo i (i = {1, 2, 3, 4}) devem ser escolhidos
de modo a otimizar os resultados finais do protocolo RI. So dois os resultados esperados:
Figura 8.14 Histograma de densidade de probabilidade referente a 13.836 comparaes intraclasse e

14.240 comparaes interclasse com 860 bits inseridos ao vetor caracterstica da ris CI.
(1) Maximizao do comprimento da sequncia final do protocolo hn3 i, e

(2) Finalizar o ltimo passo do protocolo com as sequncias template transformado T T
0
e T T das amostras intraclasse reconciliadas9 . Neste estudo analtico, foi arbitrado que uma
sequncia considerada reconciliada quando o nmero de erros da sequncia aps o terceiro e
ltimo passo do protocolo RI calculados algebricamente menor que 0,5 bit, ou seja,
he3 i.hn3 i < 0, 5 bit , (8.33)
em que he3 i a taxa de erro por bit e hn3 i o comprimento da sequncia final aps o protocolo
RI .
Na Tabela A.4 do Apndice A, observa-se os valores timos de k1 , k2 e k3 para cada
HdN de modo que o produto he3 i.hn3 i satisfaa a Inequao 8.33. Os valores de he3 i e hn3 i
foram calculados de forma recursiva por meio das Equaes da Subseo 8.1.2 para valores dos
comprimentos de bloco k1 , k2 e k3 variando de 2 a 12 bits, taxa de erro inicial ein1 (distncia de
Hamming normalizada, HdN ) variando de 0,045 a 0,274 e nmero de bits das sequncias iniciais
n1 de T e R (T T e T T 0 , respectivamente) igual a 2.048 bits. Intencionalmente esta faixa de
HdN foi escolhida para englobar todos os eventos do histograma das comparaes intraclasse
entre T T e T T 0 .
A Figura 8.15 foi obtida a partir da Tabela A.4 do Apndice A. Nesta Figura observado
que, a medida que a taxa de erro inicial ein 1 (HdN ) aumenta, os parmetros (k1 , k2 e k3 ) dos trs
passos do protocolo RI tendem a diminuir. Ainda na Figura 8.15, observado que quanto maior
9 Sequncias template transformado T T e T T 0 pertencem ao grupo intraclasse quando T T 0 foi gerado a partir de
uma imagem da ris genuna ou seja pertencente ao usurio cuja imagem cadastrada gerou o template transformado
TT.
o HdN inicial, menor ser o comprimento final das sequncias. Os seguintes procedimentos
utilizando a Figura 8.6 so seguidos para escolha dos valores para k1 , k2 e k3 que levam a um
melhor desempenho do protocolo RI:
1. Seleo da taxa de erro inicial ein

1 (HdN ) que se deseja reconciliar;
2. Identificao dos valores de k1 , k2 e k3 correspondente ao HdN escolhido;
3. Identificao do limite inferior do comprimento da sequncia final reconciliada, hn3 imin .
Figura 8.15 Nmero mdio de bits errados (hn3 i.he3 i) e comprimento (hn3 i) das sequncias de T e R
ao final do protocolo RI em funo da taxa de erro inicial ein
1 (HdN ) e os comprimento dos blocos k1 , k2
e k3 . Comprimento inicial das sequncias n1 = 2.048 bits.
FRR e FAR a Partir dos Histogramas Obtidas Empiricamente, Cenrio 2
Da mesma forma que definido no cenrio 1, as funes de distribuio acumulada

das comparaes intraclasses (genunas) e interclasses (impostoras), respectivamente GX (x) e
FX (x), so expressas pelas Equaes 8.34 e 8.35, e calculadas a partir do histograma das com-
paraes intraclasse e interclasse entre as sequncias template transformado T T (T ) e T T 0 (R)
(ver Figura 8.14), obtidos da tabela de frequncia relativa para diversos valores de HdN (ver
Tabela A.3 no Apndice A).
GX (x) = pge (xi ) , (8.34)

i:xi x
FX (x) = pimp (xi ) . (8.35)

i:xi x
Para cada limiar (HdN ) escolhido, pode-se calcular a taxa de falsa rejeio FRR e a
taxa de falsa aceitao FAR (ver Figura 8.16) conforme expresses a seguir.
x j > xi e |HdN (x j ) = ,
FRR = 1 GX (x j ) = 1 pge (xi ) , (8.36)

i:xi x j
FAR = FX (x j ) = pimp (xi ) . (8.37)

i:xi x j
Figura 8.16 Curvas FRR e FAR para 860 bits inseridos ao CI.
Modelo Mistura Gaussiana para Comparaes Intraclasse (cenrio 2, com 860 bits
inseridos)
Seja g(x)
uma funo obtida da aproximao por mistura de gaussianas do histograma
das comparaes intraclasse entre as sequncias de template transformado T T na etiqueta e
T T 0 no leitor, cuja sequncias tiveram 860 bits inseridos no mdulo de concatenao. A funo
modelo g(x)
tambm definida como funo de densidade de probabilidade das comparaes
intraclasse representada pela Equao 8.38, e mostrada na Figura 8.17, cujos parmetros das
gaussianas parciais que levam melhor aproximao sobre as realizaes empricas so mos-
trados na Tabela 8.11.

g(x) = A1 N (1 , 12 ) + A2 N (2 , 22 ) =
(x 1 )2 (x 2 )2

A1 A2
= exp + exp . (8.38)
1 2 212 2 2 222
Figura 8.17 Modelo estimado de mistura de gaussianas para comparaes intraclasse e modelo gaussi-
ano para comparaes interclasse (com 860 bits inseridos ao CI).
Modelo: Mistura Gaussiana

g(x) = A1 N (1 , 12 ) + A2 N (2 , 22 )
2 : 3,51E-7
A1 0,698 1,6E-4
1 0,1235 13,5E-4
A1 N (1 , 12 )
1 0,0255 13,6E-4
A2 0,302 1,6E-4
2 0,1711 2,12E-2
A2 N (2 , 22 )
2 0,0392 9,2E-3
Tabela 8.11 Parmetros do modelo da aproximao mistura gaussiana, g(x), das comparaes intra-
classe (com 860 bits inseridos ao CI). Utilizando Chi-quadrado-reduzido (Xred ) = X 2 /. Ajustamento
2
(do ingls Fitting) obtido com o uso do software OriginLabPror .
Modelo Gaussiano para FDP Interclasse (cenrio 2, com 860 bits inseridos)
Seja f(x) uma funo obtida da aproximao por uma gaussiana do histograma das
comparaes interclasse entre as sequncias de template transformado T T na etiqueta e T T 0 no
leitor, cuja sequncias tiveram 860 bits inseridos. A funo modelo f(x) tambm definida como
funo de densidade de probabilidade das comparaes interclasse representada pela Equao
8.39 e mostrada na Figura 8.17, cujos parmetros da gaussiana que leva melhor aproximao
sobre as realizaes empricas so mostrados na Tabela 8.12.
(x 3 )2

1
f(x) = N (3 , 32 ) = exp . (8.39)
3 2 232
Modelo: Gaussiano f(x) = N (3 , 32 )

2 : 5,91E-07 | Nr. pontos: 500 | Graus de liberdade (): 497
Xred
3 0,4996 7,6E-5
3 0,0112 7,6E-5
Tabela 8.12 Parmetros do modelo da aproximao gaussiana, FDP das comparaes interclasse (com
2 ) = X 2 /. Fitting obtido com o uso
860 bits inseridos ao CI). Utilizando Chi-quadrado-reduzido (Xred
do software OriginLabPror .
8.2.6 Validao das Aproximaes Gaussianas do Cenrio 2, Utilizando

os Parmetros de Desempenho FRR e FAR
Na Tabela 8.13 foram selecionados ao acaso alguns valores de , e para cada um destes
valores, foram encontrados os valores dos parmetros de desempenho FRR e FAR por interm-
dio de dois procedimentos. No primeiro, os valores de FRR e FAR foram obtidos empiricamente
aplicando as Equaes 8.36 e 8.37 sobre o histograma das distribuies das comparaes intra-
classe e interclasse g(x) e f (x). Ver Figuras 8.14 e 8.16 e Tabela A.3 do Apndice A.
No segundo procedimento, os parmetros FRR e FAR foram calculados a partir dos modelos
e f(x), Figura 8.17.
gaussianos das distribuies das comparaes intraclasse e interclasse, g(x)
Portanto, substituindo os parmetros do modelo da aproximao mistura gaussiana, g(x), da

Tabela 8.11 na Equao 8.31 e os parmetros do modelo da aproximao gaussiana, f (x), da
Tabela 8.12 na Equao 8.32, e com o uso de uma tabela de distribuio normal padro acumu-
lada, tem-se para o modelo gaussiano das FDPs intraclasse e interclasse os valores estimados
de FRR
d e FAR.
d Os resultados na Tabela 8.13 validam os modelos gaussianos propostos.
Tabela 8.13 Resultados empricos e estimados dos parmetros de desempenho FRR e FAR, cenrio 2.
limiar Obtidos empiricamente dos Obtidos a partir dos modelos
(HdN ) histogramas de g(x) e f (x) e f(x)
gaussianos g(x)
FRR(%) FAR(%) FRR(%)
d FAR(%)
d
0,24 1,26 0,00 1,19 0,00
0,22 3,49 0,00 3,21 0,00
0,20 7,14 0,00 7,06 0,00
0,18 13,18 0,00 13,32 0,00
0,15 31,55 0,00 31,71 0,00
C APTULO 9
Resultados Experimentais, Ataques e

Avaliaes
Para avaliar o sistema BSKAPD, foram realizadas simulaes utilizando o Matlabr

para extrair seus parmetros de desempenho. Alm da avaliao do sistema, objetivamos com-
parar os resultados com os de outros sistemas cripto-biomtrico apresentados na literatura. Para
isso, algumas condies inicias foram estabelecidas:
A base de dados, o software OSIRIS para extrao das caractersticas da ris, o algoritmo
de extrao do cdigo ris e o algoritmo de ajuste de rotao do olho so descritos no
Captulo 4;
Nmero de pontos de aplicao: 198 pontos. Escolhidos conforme mtodo Pontos de

Aplicao com Menor Densidade de Ocluso, proposto no Captulo 6;
Comprimento do cdigo ris extrado, |CI| = 1.188 bits;
Comprimento da sequncia de concatenao, |SC| = 860 bits; Portanto, tm-se como

comprimento do template transformado, |T T | = 2.048 bits
O protocolo RI descrito no Captulo 8 foi executado utilizando 3 passos e 4 passos;
Foram realizadas 13.836 comparaes genunas (intraclasse) e 14.240 comparaes im-

postoras (interclasse), a partir das respectivas matrizes de comparao descrita na Seo
4.3.4;
No mdulo de deciso foi utilizado o critrio que considera tanto a igualdade dos valores

hash, como um limite inferior do tamanho de chave, ou seja, h(KX2 ) = h(KY2 ) AND

|KX2 | n , os quais definem se a verificao assumida ser POSITIVA, em que n um
parmetro escolhido representando o limite inferior do comprimento final da chave |KY2 |
(= |KX2 |) e AND representa uma operao lgica booleana;
Resultados Experimentais, Ataques e Avaliaes 121
Num primeiro momento, a entropia foi calculada da mesma forma determinada por Daug-
man [136], estimando o degrees-of-freedom (DoF) da sequncia final do protocolo RI
baseado nos dados estatsticos obtidos das comparaes impostoras. Daugman determi-
nou que o DoF da distribuio da distncia de Hamming do impostor com mdia e
desvio padro DoF = (1 )/ 2 . Os valores das entropias estimadas expressos
nos resultados, foram obtidos pela subtrao de (2s+2) bits sobre os valores dos DoFs
calculados, conforme descrito na Subseo 7.1.4 das definies de segurana, em que s
um parmetro de segurana, escolhido nesta Tese com valor s = 5.
O protocolo RI foi simulado utilizando 3 passos (k1 , k2 , k3 ) e 4 passos (k1 , k2 , k3 , k4 ), com

os melhores resultados apresentados na Tabela 9.1. A partir da escolha dos ki s e do valor limite
inferior n do comprimento de KX2 , obtivemos trs parmetros: FRR, FAR e a entropia.
Tabela 9.1 Resultados experimentais utilizando

protocolos RI com 3 passos e 4 passos, e critrio de
deciso h(KX2 ) = h(KY2 ) AND |KY2 | n , n Menor comprimento de chave final.
k1 k2 k3 k4 Menor chave Entropia FRR(%) FAR(%)
2 2 7 210 155 0.421 0,00
2 2 9 217 161 0,624 0,00
2 2 16 231 165 0.928 0,00
2 2 18 234 167 1,131 0,00
2 3 7 263 177 4,249 0,00
2 3 10 280 180 4,343 0,00
2 2 16 16 225 162 0,196 0,00
2 3 12 12 253 177 0,595 0,00
2 4 9 9 263 182 1,204 0,00
2 5 16 16 306 192 2,444 0,00
2 5 15 18 311 194 2,697 0,00
2 7 15 18 327 196 4,532 0,00
A fim de comparar nossos resultados com outros trabalhos relacionados, apresentamos

na Tabela 9.2 resultados obtidos por esquemas de regenerao de chave utilizando biometria
da ris, os quais utilizaram cdigos corretores de erros e tambm a base de dados ICE-2005.
Em todos os trabalhos apresentados nesta tabela, a extrao biomtrica foi sobre uma nica ris
do usurio, exceto o trabalho [14], que extraiu o cdigo ris utilizando as duas ris do usurio
(mtodo denominado de multi-instncia).
Tabela 9.2 Comparaes do esquema BSKAPD com esquemas de regenerao de chave.

Ref. Cdigo Bits Menor Entropia FRR(%) FAR(%)
ris inseridos chave (bits)
[84] 2,048 42 19,41
[85] 2,048 42 5,62 105
[13] 1,188 764 198 83 0,055 1,04
[19] 1,188 764 varivel 94 0,760 0,096
[14] 2x1,188 1,528 287 160 0,337 0,00
(*) 1,188 860 217 161 0,624 0,00
(**) 1,188 860 253 177 0,595 0,00
(*) BSKAPD com 3 passos, (k1 , k2 , k3 ) = (2, 2, 9)
(**) BSKAPD com 4 passos, (k1 , k2 , k3 , k4 ) = (2, 3, 12, 12)
(*) e (**) Utilizaram o threshold: KX2 =KY2 AND |KY2 | n
Observe na Tabela 9.2 que, entre os trabalhos que utilizaram uma nica ris, o melhor
resultado de entropia encontra-se em [19], que obteve uma entropia estimada de 94 bits para
FRR = 0, 760% e FAR = 0, 096%. Ento, observando os resultados de nosso esquema apresen-
tados na Tabela 9.1, utilizando RI com 4 passos, com (k1 , k2 , k3 , k4 ) = (2, 3, 12, 12), foi obtido
uma entropia estimada de chave igual a 177 bits, quase o dobro do esquema de regenerao de
chave proposto em [19], e ainda com valores menores de FRR e FAR, dados por FRR = 0, 595%
e FAR = 0, 0%.
Um resumo da comparao entre as principais caractersticas do esquemas BSKAPD e

do melhor resultado, at a presente data, do esquema de regenerao de chave [19] apresentado
na Figura 9.1.
Esq. Concordncia de Esq. Regenerao

Chave - BSKAPD de Chave (Kanade-2009 )
Concordada apenas no final da Gerada desde o incio do
autenticao positiva protocolo
Renovada a cada autenticao
No renovvel
positiva
Entropia: 177 bits Entropia: 94 bits
Figura 9.1 Comparao entre o esquema de concordncia de chave cripto-biomtrica e o melhor resul-
tado do esquema de regenerao de chave cripto-biomtrica.
9.1 Ataques e Anlise de Segurana

assumido o modelo de segurana descrito na subseo 7.1.3. Quatro tipos de ataques
foram analisados:
Ataque I O adversrio monitora, pelo canal pblico, durante um processo de autenticao

genuna, todas comunicaes entre T e R;
Ataque II O adversrio se apropria da etiqueta do usurio, porm desconhece sua senha;
Ataque III O adversrio de alguma forma consegue gerar uma etiqueta RFID com seus
dados biomtricos, porm desconhece a senha do usurio;
Ataque IV O adversrio se apropria da etiqueta RFID e da senha do usurio genuno.
Ataque I:
Neste ataque, o adversrio identifica todas as posies dos bits descartados por T e R,
e repete estes descartes na sua sequncia inicial, ZZ. No entanto, antes deste procedimento, o
adversrio precisar construir sua sequncia ZZ, cujo comprimento dever ser o mesmo do tem-
plate transformado T T , |ZZ| = 2.048 bits. Sua melhor estratgia ser escolher um cdigo ris
pertencente s distribuies impostoras e aplicar neste, concatenao e embaralhamento, utili-
zando parmetros escolhidos de forma aleatria. Da mesma forma, o adversrio desconhece a
chave secreta inicial KX1 , conhecida por T e R. Das trs funes da chave KX1 , a mais impor-
tante para este ataque, a escolha da semente da funo permutao , aplicada no incio de
cada passo do protocolo RI. Por desconhecer a semente da permutao, a melhor estratgia do
adversrio, escolher aleatoriamente suas permutaes. Para um caso particular, k1 = 2, k2 = 3,
k3 = 12, k4 = 12 e n = 253 bits, ns obtivemos uma entropia estimada DoF = 177 bits para
FAR = 0, 0% e FRR = 0.595%. Ver Tabela 9.1 para outros casos.
Anlise de segurana do ataque I:

Considerando o ltimo caso particular, para (k1 , k2 , k3 , k4 )=(2, 3, 12, 12), constata-se um
bom nvel de segurana com probabilidade de coliso igual a 1/2177 . As vantagens obtidas
pelo adversrio, por monitorar as comunicaes de T e R, so canceladas quando T e R
descartam 1 bit para cada paridade trocada pelo canal, seguindo o protocolo. Porm, mesmo
que o adversrio conseguisse obter uma chave KX2 idntica chave gerada pela etiqueta e leitor
na reconciliao genuna, o adversrio no obtm acesso com esta chave em um outro momento,
numa falsa tentativa de acesso. Isto porque, em um prximo processo de autenticao, duas
novas chaves so geradas e verificadas se so idnticas para liberao do acesso (autenticao
POSITIVA).
Ataque II:
O adversrio de posse da etiqueta do usurio, permite a leitura de sua ris (cujo cdigo
ris pertence a distribuio interclasse), pela unidade verificadora. Por no possuir a senha do
usurio genuno, as sequncias de concatenao (SC0 ), de embaralhamento (SS0 ) e a chave ini-
0
cial (KX1 ) sero diferentes das utilizadas na fase de inscrio.
Anlise de segurana do ataque II:

O protocolo no ser executado por questes de erros na autenticao da comunicao
entre a T e R, isto porque KX0 1 do leitor ser diferente do KX1 da etiqueta RFID. Caso o advers-
rio conseguisse adivinhar a senha (12 caracteres escolhidos aleatoriamente), cuja probabilidade
de coliso igual a 1/252 [132], este ataque se transformaria no ataque IV, visto a seguir.
Ataque III:
O adversrio com uma etiqueta com seu dados cadastrados, permite a leitura de sua ris
(cujo cdigo ris pertence a distribuio intraclasse em relao ao T T gravado na etiqueta), pela
unidade verificadora. Por no possuir a senha do usurio genuno, as sequncias de concate-
0
nao (SC0 ), de embaralhamento (SS0 ) e a chave inicial (KX1 ) sero diferentes das utilizadas na
fase de inscrio.
Anlise de segurana do ataque III:

O protocolo no seria executado, pois sendo a senha diferente, ento KX0 1 6= KX1 e con-
sequentemente as comunicaes entre T e R no seriam autenticadas. Caso o atacante conse-
guisse adivinhar a senha, cuja probabilidade de coliso igual a 1/252 , precisaria tambm adivi-
nhar as sequncias SC0 , SS0 e KX0 1 armazenadas na base de dados, cuja probabilidade de coliso
respectivamente 1/2860 , 1/2256 , 1/2n . Ento, a probabilidade de coliso necessria para este
ataque se transformar em um processo de autenticao genuna igual a 1/(252+860+256+n ).
Ataque IV:
Neste ataque, os dados biomtricos do adversrio pertencero distribuio interclasse
(impostora) em relao aos dados gravados na etiqueta. Por possuir a senha do usurio genuno,
as sequncias SC0 , SS0 e KX0 1 sero iguais s utilizadas na fase de inscrio.
Anlise de segurana do ataque IV:

Com o comprometimento de ambos, senha e etiqueta do usurio, toda a fora de segu-
rana estar depositada na biometria. Para um caso particular k1 = 2, k2 = 3, k3 = 12, k4 = 12
e n = 253 bits, obtivemos FAR = 14, 59% e entropia estimada igual a 56 bits, maior do que
a entropia da senha. Observamos que para este caso particular, utilizando o critrio de deciso
simples (apenas reconciliou/no reconciliou, h(KX2 ) =

6= h(KY2 ) , sem agregar o critrio com-
primento final limiar (n ), a taxa de falsa aceitao aumenta de 14, 59% para FAR = 61, 53%.
Na Tabela 9.3 so apresentados os resultados experimentais perante o ataque IV, para alguns
esquemas escolhidos, e utilizando os dois tipos de critrio limiar de deciso estudados, crit-

rio de deciso simples, h(KX2 ) = h(KY2 ) , e critrio de deciso dupla, h(KX2 ) = h(KY2 ) AND

|KY2 | n .
Tabela 9.3 Resultados experimentais em que o usurio teve sua T e senha comprometidas, usando
RI com 3 passos e 4 passos,para algoritmos com critrio de deciso simples, h(KX2 ) =
protocolo
h(KY2 ) , e com critrio de deciso dupla, h(KX2 ) = h(KY2 ) AND |KY2 | n .
Comp. bloco Threshold simples(*) Threshold duplo (**)
(k1 ,k2 ,k3 ,k4 ) Menor chave FAR(%) Menor chave (n ) FAR(%)
(2, 2, 7, ) 125 68,86 210 11,99
(2, 2, 9, ) 140 62,16 217 12,49
(2, 2, 16, ) 152 46,64 231 12,01
(2, 2, 18, ) 154 44,34 234 10,11
(2, 3, 7, ) 168 24,53 263 6,85
(2, 3, 10, ) 180 17,82 280 4,94
(2, 2, 16, 16) 127 86,80 217 18,67
(2, 3, 12, 12) 146 61,53 253 14,59
(2, 4, 9, 9) 152 51,88 263 13,08
(2, 5, 16, 16) 215 13,65 306 5,74
(2, 5, 15, 18) 217 13,23 311 5,20
(2, 7, 15, 18) 247 4,24 327 2,22
(*) critrio de deciso simples, h(KX2 ) = h(KY2 )
(**) critrio de deciso duplo, h(KX2 ) = h(KY2 ) AND |KY2 | n
C APTULO 10
Concluses e Perspectivas
Neste captulo, so sintetizados os principais resultados obtidos nesta Tese, nossas con-
tribuies e sugestes para pesquisas futuras.
10.1 Concluses
Esta Tese apresentou uma nova tcnica para obteno de chaves criptogrficas baseadas
em biometria, a qual denominamos concordncia de chave cripto-bio (Crypto-bio agreement),
em que trs fatores de autenticao so utilizados: biometria da ris, etiqueta RFID passiva
e senha, representando respectivamente os fatores de segurana baseados nas caractersticas
intrnsecas do usurio, no que a pessoa possui e no que a pessoa sabe.
Alm da utilizao da conhecida tcnica salting, que permite diversidade e proteo do
template biomtrico, o sistema proposto utiliza o canal de comunicao entre a etiqueta RFID
passiva e o leitor RFID, para realizar uma discusso pblica objetivando uma reconciliao da
informao, de modo a concordar em uma chave secreta quando a autenticao genuna. O
esquema implementado nesta Tese foi denominado Concordncia de Chave Secreta Baseado
em Biometria por Discusso Pblica em Sistemas RFID, com sigla BSKAPD (Biometrics-
Based Secret Key Agreement by Public Discussion).
As seguintes caractersticas e resultados foram obtidos com o sistema cripto-biomtrico
BSKAPD:
1. Utiliza trs fatores de segurana: a biometria da ris, senha e etiqueta RFID passiva. Este
ltimo apresenta um diferencial com relao s outras tcnicas cripto-biomtricas que
utilizam smartcards com contato, uma vez que uma etiqueta RFID passiva no necessita
contatos eltricos nem estar visvel no instante da verificao. Um outro ponto impor-
tante que a tcnica proposta, permite uma fcil substituio do dispositivo RFID, por
dispositivo smartphone, to difundido e presente em nosso cotidiano;
Concluses e Perspectivas 127
2. Ao gerar chaves cripto-biomtricas, o sistema BSKAPD agrega um importante atributo

necessrio para sistemas de controle de acesso lgico e fsico, o no repdio. Resultados
experimentais apresentaram FAR = 0, 00%, o que garante com alta probabilidade que
uma autenticao positiva de acesso fornecida a um dado usurio A, no pode ser negada
a posteriori por este usurio;
3. As chaves secretas simtricas, uma na etiqueta RFID e outra no leitor RFID (na unidade
verificadora), so geradas apenas aps a execuo completa do protocolo proposto e con-
dicionado autenticao positiva do usurio;
4. Renovao das chaves secretas simtricas aps cada processo de autenticao positiva,
aumentando a segurana do sistema;
5. A inscrio de um usurio no sistema BSKAPD revogvel;
6. Proteo contra ataques ao template biomtrico original. O template biomtrico sofre

uma transformao reversvel, e todo o processo de concordncia de chave e verificao
de autenticao ocorrem no domnio transformado. Os parmetros de transformao so
armazenados na base de dados sob a forma cifrada, cuja chave de cifragem a senha de
conhecimento apenas do usurio (usurio-especfica);
7. O sistema BSKPAD garante diversidade e proteo de template;
8. Um novo protocolo de reconciliao da informao foi proposto, e suas expresses ana-

lticas foram deduzidas e validadas por simulaes;
9. O protocolo RI no vaza informao fsica dos bits das sequncias a reconciliar. Esta ca-
racterstica tem suma importncia, pois estas sequncias so os templates transformados,
os quais possuem bits do template biomtrico, apesar de estarem protegidos pela tcnica
salting;
10. Dos resultados experimentais apresentados nesta Tese, obtivemos uma entropia estimada
da chave igual a 177 bits (quase o dobro do melhor resultado apresentado na literatura,
[19]), com parmetros de desempenho FRR = 0, 595% e FAR = 0, 00%. At a presente
data, dos esquemas propostos na literatura, o melhor resultado foi o trabalho apresentado
por Kanade et al. [19], que relatou uma entropia estimada da chave igual a 94 bits para
FRR = 0, 76% e FAR = 0, 096%, cujo esquema utilizou a tcnica regenerao de chave
cripto-bio, e faz uso de cdigos corretores de erro para regenerar uma chave criptogrfica
baseada em biometria da ris;
11. A partir das possibilidades de comprometimento dos trs fatores de segurana (Etiqueta
RFID, biometria da ris e senha) pelo adversrio, os seguintes ataques foram analisados:
(a) Ataque I - O adversrio (atacante) no compromete nenhum dos trs fatores de se-
gurana do usurio e utiliza como estratgia de ataque, a monitorao das comuni-
caes pelo canal pblico. O protocolo RI no revelar bits fsicos ao adversrio. A
partir de experimentos de simulao foram obtidas chaves secretas simtricas com
entropia estimada de 177 bits, para FAR = 0, 0% e FRR = 0.595%. Assim, consta-
tamos um bom nvel de segurana com probabilidade de coliso igual a 1/2177 ;
(b) Ataque II - O adversrio tenta obter acesso ao sistema se passando por um usurio
cadastrado utilizando sua prpria ris, de posse da etiqueta genuna do usurio, po-
rm, o mesmo desconhece a senha cadastrada pelo usurio. Neste ataque o protocolo
RI no ser executado por questes de erros na autenticao da comunicao entre
a T e R, isto porque KX0 1 do leitor ser diferente do KX1 da etiqueta RFID. Caso o
adversrio conseguisse adivinhar a senha (12 caracteres escolhidos aleatoriamente),
cuja probabilidade de coliso igual a 1/278 [132], este ataque se transformaria no
ataque IV, visto a seguir;
(c) Ataque III - O adversrio por algum meio, gera uma falsa etiqueta com seu pr-
prio dado biomtrico, porm, o mesmo desconhece a senha cadastrada pelo usurio
e tenta obter acesso ao sistema utilizando sua prpria ris. Perante este ataque, o
protocolo no seria executado, pois sendo a senha diferente, ento KX0 1 6= KX1 e con-
sequentemente as comunicaes entre T e R no seriam autenticadas. Caso o ata-
cante conseguisse adivinhar a senha, cuja probabilidade de coliso igual a 1/252 ,
precisaria tambm adivinhar as sequncias SC0 , SS0 e KX0 1 armazenadas na base de
dados, cuja probabilidade de coliso respectivamente 1/2860 , 1/2256 , 1/2n . En-
to, a probabilidade de coliso necessria para este ataque se transformar em um
processo de autenticao genuna igual a 1/(278+860+256+n );
(d) Ataque IV - O adversrio compromete dois fatores de segurana, a etiqueta RFID e a
senha do usurio. Neste ataque, o adversrio tenta obter acesso ao sistema utilizando
sua prpria ris juntamente com a etiqueta RFID e senha roubadas do usurio. Com o
comprometimento de ambos, senha e etiqueta do usurio, toda a fora de segurana
estar depositada na biometria. Para um caso particular k1 = 2, k2 = 3, k3 = 12,
k4 = 12 e n = 253 bits, obtivemos FAR = 14, 59% e entropia estimada igual a 56
bits;
12. As FDPs das comparaes intraclasse e interclasse foram modeladas por mistura de gaus-
sianas. Com o uso destes modelos, as equaes dos parmetros de desempenho FRR e
FAR foram deduzidas e validadas a partir dos histogramas obtidos empiricamente das
comparaes intraclasse e interclasse;
13. Melhoramento do mtodo de Daugman de extrao do cdigo ris para aplicaes que
possuem restrio quanto ao uso da mscara de ocluso. Esse mtodo, proposto nesta
Tese, permite a distribuio dos pontos de aplicao evitando regies com alto ndice de
ocluso, melhorando o desempenho dos esquemas cripto-biomtricos que possuem res-
tries ao uso da mscara de ocluso. O sistema BSKPAD, aqui proposto, um exemplo
de sistema cripto-biomtrico que apresenta restrio ao uso da mscara de ocluso, como
sugerido pelo mtodo Daugman. Esta restrio imposta pela etiqueta RFID passiva, que
possui limitao de memria e capacidade computacional.
10.2 Principais Contribuies

1. Novo esquema de chave cripto-biomtrica: concordncia de chave BSKAPD;
2. Novo protocolo de RI, que no declara informao fsica de bits;
3. Deduo e validao das expresses analticas do protocolo RI proposto;
4. Aperfeioamento do mtodo Daugman de extrao de template da ris, por selecionar os

pontos de aplicao com baixa probabilidade de ocluso;
5. Aproximao por Gaussianas das distribuies de probabilidade das comparaes intra e

interclasse.
10.3 Perspectivas para Pesquisas Futuras

O trabalho realizado permite novas investigaes. Listam-se a seguir algumas perspec-
tivas para futuros trabalhos:
Realizar estudos objetivando substituir a etapa de transformao do template biomtrico,

utilizando funes no invertveis;
Aplicar a tcnica de concordncia de chave cripto-bio a outras biometrias, por exemplo a

biometria da impresso digital;
Verificar a distncia informacional entre as chaves geradas no final do protocolo RI, KXt
e KXt1 , em que t corresponde a um processo completo de autenticao;
Implementar o sistema BSKPAD utilizando emulao dos sistemas RFID por mdulos de
rdio controlado por software;
Implementar em FPGA o algoritmo executado na etiqueta RFID, a fim de obter o nmero

de portas necessrios para execuo deste algoritmo;
Utilizar dispositivos smartphones. A unidade leitora da ris pode utilizar a prpria cmera
do smartphone. O uso do smartphone, substitui o sistema RFID, de modo que o prprio
smartphone passa a ser o fator de autenticao baseado no que a pessoa possui. Assim, as
comunicaes sem fio podem ser realizadas pelo sinal da operadora de celular, pelo sinal
WiFi local, ou por emparelhamento Bluetooth. Alm do mais, o smartphone, por meio de
seu GPS, permite agregar um quarto fator de segurana, onde a pessoa est;
Estimar a entropia do sistema biomtrico aps a utilizao da distribuio dos pontos de

aplicao evitando regies com alto ndice de ocluso;
Realizar anlises e comparaes de desempenho do protocolo de reconciliao proposto

com os outros protocolos RI existentes;
Algoritmos genticos para busca dos melhores valores dos comprimentos de bloco ki do
protocolo RI, de modo a maximizar a eficincia do protocolo.
A PNDICE A
Tabelas
HdN k1 k2 k3 <n3> <n3>.<e3> HdN k1 k2 k3 <n3> <n3>.<e3> HdN k1 k2 k3 <n3> <n3>.<e3> HdN k1 k2 k3 <n3> <n3>.<e3> HdN k1 k2 k3 <n3> <n3>.<e3>
0,0850 7 8 9 582 0,246 0,1630 4 4 6 334 0,339 0,2410 2 4 12 220 0,427 0,3190 2 2 12 113 0,393 0,3970 2 2 3 61 0,326
0,0865 7 8 9 573 0,275 0,1645 4 4 6 333 0,357 0,2425 2 4 12 208 0,469 0,3205 2 2 12 113 0,410 0,3985 2 2 3 61 0,331
0,0880 7 8 9 564 0,312 0,1660 4 4 6 333 0,377 0,2440 2 4 12 208 0,488 0,3220 2 2 12 113 0,421 0,4000 2 2 3 61 0,338
0,0895 7 8 9 563 0,345 0,1675 4 4 6 332 0,396 0,2455 2 4 8 200 0,321 0,3235 2 2 12 113 0,438 0,4015 2 2 3 60 0,344
0,0910 7 8 9 562 0,378 0,1690 4 4 6 327 0,426 0,2470 2 4 8 200 0,337 0,3250 2 2 12 113 0,448 0,4030 2 2 3 60 0,356
0,0925 7 8 9 561 0,416 0,1705 4 4 6 326 0,447 0,2485 2 4 8 200 0,348 0,3265 2 2 12 113 0,461 0,4045 2 2 3 58 0,367
0,0940 7 8 9 560 0,453 0,1720 4 4 6 326 0,470 0,2500 2 4 8 200 0,367 0,3280 2 2 12 113 0,479 0,4060 2 2 3 58 0,380
0,0955 4 12 12 558 0,222 0,1735 4 4 6 320 0,499 0,2515 2 4 8 200 0,382 0,3295 2 2 12 113 0,496 0,4075 2 2 3 58 0,393
0,0970 4 12 12 546 0,254 0,1750 2 10 12 308 0,284 0,2530 2 4 8 200 0,393 0,3310 2 2 8 105 0,333 0,4090 2 2 3 58 0,400
0,0985 4 12 12 546 0,279 0,1765 2 10 12 307 0,298 0,2545 2 4 8 199 0,406 0,3325 2 2 8 105 0,347 0,4105 2 2 3 58 0,406
0,1000 4 12 12 534 0,310 0,1780 2 10 12 307 0,316 0,2560 2 4 8 192 0,442 0,3340 2 2 8 105 0,360 0,4120 2 2 3 58 0,419
0,1015 4 12 12 533 0,338 0,1795 2 10 12 296 0,355 0,2575 2 4 8 192 0,458 0,3355 2 2 8 105 0,374 0,4135 2 2 3 58 0,431
0,1030 4 12 12 533 0,371 0,1810 2 10 12 295 0,369 0,2590 2 4 8 192 0,476 0,3370 2 2 8 105 0,378 0,4150 2 2 3 57 0,438
0,1045 4 12 12 532 0,403 0,1825 2 10 12 295 0,389 0,2605 2 4 8 192 0,494 0,3385 2 2 8 105 0,392 0,4165 2 2 3 55 0,454
0,1060 4 12 12 531 0,437 0,1840 2 10 12 295 0,408 0,2620 2 4 6 178 0,357 0,3400 2 2 8 105 0,407 0,4180 2 2 3 55 0,462
0,1075 4 12 12 519 0,494 0,1855 2 10 12 294 0,429 0,2635 2 4 6 178 0,376 0,3415 2 2 8 104 0,414 0,4195 2 2 3 55 0,477
0,1090 4 8 11 506 0,229 0,1870 2 10 12 294 0,449 0,2650 2 4 6 177 0,388 0,3430 2 2 8 104 0,423 0,4210 2 2 3 55 0,493
0,1105 4 8 11 495 0,257 0,1885 2 10 12 294 0,473 0,2665 2 4 6 177 0,402 0,3445 2 2 8 104 0,438 0,4225 2 2 3 55 0,499
0,1120 4 8 11 495 0,279 0,1900 2 10 12 293 0,495 0,2680 2 4 6 177 0,413 0,3460 2 2 8 104 0,455 0,4240 2 2 2 43 0,215
0,1135 4 8 11 494 0,303 0,1915 2 8 11 287 0,333 0,2695 2 4 6 177 0,432 0,3475 2 2 8 104 0,467 0,4255 2 2 2 43 0,222
0,1150 4 8 11 493 0,327 0,1930 2 8 11 287 0,345 0,2710 2 4 6 171 0,463 0,3490 2 2 6 92 0,354 0,4270 2 2 2 43 0,229
0,1165 4 8 11 493 0,353 0,1945 2 8 11 277 0,385 0,2725 2 4 6 171 0,474 0,3505 2 2 6 91 0,363 0,4285 2 2 2 43 0,237
0,1180 4 8 11 482 0,395 0,1960 2 8 11 276 0,403 0,2740 2 4 6 171 0,491 0,3520 2 2 6 91 0,376 0,4300 2 2 2 42 0,241
0,1195 4 8 11 481 0,425 0,1975 2 8 11 276 0,421 0,2755 2 3 8 153 0,334 0,3535 2 2 6 91 0,386 0,4315 2 2 2 42 0,249
0,1210 4 8 11 481 0,459 0,1990 2 8 11 276 0,442 0,2770 2 3 8 153 0,346 0,3550 2 2 6 91 0,393 0,4330 2 2 2 42 0,257
0,1225 4 8 11 480 0,491 0,2005 2 8 11 276 0,461 0,2785 2 3 8 152 0,356 0,3565 2 2 6 91 0,407 0,4345 2 2 2 42 0,265
0,1240 4 6 11 445 0,297 0,2020 2 8 11 275 0,482 0,2800 2 3 8 152 0,368 0,3580 2 2 6 91 0,417 0,4360 2 2 2 42 0,272
0,1255 4 6 11 444 0,319 0,2035 2 6 12 264 0,315 0,2815 2 3 8 152 0,381 0,3595 2 2 6 91 0,433 0,4375 2 2 2 41 0,280
0,1270 4 6 11 444 0,342 0,2050 2 6 12 253 0,341 0,2830 2 3 8 152 0,394 0,3610 2 2 6 91 0,440 0,4390 2 2 2 41 0,289
0,1285 4 6 11 443 0,367 0,2065 2 6 12 253 0,358 0,2845 2 3 8 152 0,407 0,3625 2 2 6 91 0,456 0,4405 2 2 2 40 0,291
0,1300 4 6 11 433 0,408 0,2080 2 6 12 252 0,371 0,2860 2 3 8 152 0,421 0,3640 2 2 6 90 0,462 0,4420 2 2 2 40 0,296
0,1315 4 6 11 432 0,434 0,2095 2 6 12 252 0,389 0,2875 2 3 8 145 0,457 0,3655 2 2 6 90 0,479 0,4435 2 2 2 40 0,298
0,1330 4 6 11 432 0,464 0,2110 2 6 12 252 0,405 0,2890 2 3 8 144 0,464 0,3670 2 2 5 82 0,396 0,4450 2 2 2 40 0,308
0,1345 4 6 11 431 0,493 0,2125 2 6 12 252 0,433 0,2905 2 3 8 144 0,484 0,3685 2 2 5 82 0,409 0,4465 2 2 2 40 0,317
0,1360 4 5 9 400 0,277 0,2140 2 6 12 251 0,452 0,2920 2 3 8 144 0,494 0,3700 2 2 5 82 0,424 0,4480 2 2 2 40 0,327
0,1375 4 5 9 392 0,301 0,2155 2 6 12 251 0,469 0,2935 2 3 6 134 0,361 0,3715 2 2 5 81 0,428 0,4495 2 2 2 39 0,337
0,1390 4 5 9 391 0,323 0,2170 2 6 8 235 0,321 0,2950 2 3 6 134 0,373 0,3730 2 2 5 81 0,436 0,4510 2 2 2 39 0,344
0,1405 4 5 9 390 0,344 0,2185 2 6 8 234 0,332 0,2965 2 3 6 134 0,385 0,3745 2 2 5 81 0,450 0,4525 2 2 2 39 0,355
0,1420 4 5 9 390 0,365 0,2200 2 6 8 234 0,347 0,2980 2 3 6 134 0,397 0,3760 2 2 5 81 0,466 0,4540 2 2 2 39 0,366
0,1435 4 5 9 381 0,393 0,2215 2 6 8 234 0,370 0,2995 2 3 6 134 0,414 0,3775 2 2 5 81 0,477 0,4555 2 2 2 39 0,378
0,1450 4 5 9 381 0,423 0,2230 2 6 8 234 0,384 0,3010 2 3 6 129 0,440 0,3790 2 2 4 76 0,370 0,4570 2 2 2 38 0,388
0,1465 4 5 9 380 0,449 0,2245 2 6 8 233 0,399 0,3025 2 3 6 129 0,453 0,3805 2 2 4 76 0,381 0,4585 2 2 2 38 0,400
0,1480 4 5 9 380 0,474 0,2260 2 6 8 226 0,425 0,3040 2 3 6 128 0,458 0,3820 2 2 4 76 0,395 0,4600 2 2 2 37 0,395
0,1495 4 4 9 376 0,313 0,2275 2 6 8 226 0,443 0,3055 2 3 6 128 0,477 0,3835 2 2 4 76 0,409 0,4615 2 2 2 37 0,407
0,1510 4 4 9 375 0,333 0,2290 2 6 8 226 0,462 0,3070 2 3 6 128 0,497 0,3850 2 2 4 73 0,423 0,4630 2 2 2 37 0,410
0,1525 4 4 9 367 0,364 0,2305 2 6 8 226 0,488 0,3085 2 3 5 120 0,400 0,3865 2 2 4 73 0,438 0,4645 2 2 2 37 0,422
0,1540 4 4 9 366 0,385 0,2320 2 4 12 221 0,334 0,3100 2 3 5 119 0,409 0,3880 2 2 4 73 0,452 0,4660 2 2 2 37 0,435
0,1555 4 4 9 366 0,405 0,2335 2 4 12 221 0,349 0,3115 2 3 5 119 0,421 0,3895 2 2 4 73 0,467 0,4675 2 2 2 37 0,448
0,1570 4 4 9 365 0,432 0,2350 2 4 12 220 0,362 0,3130 2 3 5 119 0,437 0,3910 2 2 4 73 0,475 0,4690 2 2 2 36 0,460
0,1585 4 4 9 357 0,466 0,2365 2 4 12 220 0,381 0,3145 2 3 5 119 0,450 0,3925 2 2 4 73 0,485 0,4705 2 2 2 36 0,473
0,1600 4 4 9 356 0,491 0,2380 2 4 12 220 0,397 0,3160 2 3 5 115 0,475 0,3940 2 2 4 72 0,495 0,4720 2 2 2 36 0,483
0,1615 4 4 6 339 0,313 0,2395 2 4 12 220 0,413 0,3175 2 3 5 115 0,489 0,3955 2 2 3 61 0,315 0,4735 2 2 2 36 0,497
Tabela A.1 Valores timos de k1 , k2 e k3 que permitem reconciliao das sequncias (Inequao 8.19)
de T e R em funo de valores de HdN . Comprimento das sequncias iniciais n1 igual a 1.188 bits.
Tabelas 132
Frequncia Relativa Frequncia Relativa Frequncia Relativa Frequncia Relativa Frequncia Relativa Frequncia Relativa
FRR = FAR = FRR = FAR = FRR = FAR = FRR = FAR = FRR = FAR = FRR = FAR =
Intra Inter Intra Intra Inter Intra Intra Inter Intra Inter Intra Intra Inter Intra Intra Inter Intra
HdN class class Acum.
1-(Intra Inter HdN class class Acum.
1-(Intra Inter HdN class class
Intra
Acum.
1-(Intra Inter
Acum.) Acum. Acum.) Acum. Acum.) Acum. Acum.) Acum. Acum.) Acum. Acum.) Acum.
0,085 0,000 0,000 0,000 1,000 0,000 0,165 0,006 0,000 0,096 0,904 0,000 0,244 0,011 0,000 0,595 0,405 0,000 0,324 0,003 0,000 0,896 0,104 0,000 0,403 0,001 0,000 0,981 0,019 0,000 0,483 0,000 0,026 1,000 0,000 0,147
0,087 0,000 0,000 0,000 1,000 0,000 0,166 0,003 0,000 0,099 0,901 0,000 0,246 0,011 0,000 0,607 0,393 0,000 0,325 0,001 0,000 0,897 0,103 0,000 0,405 0,001 0,000 0,982 0,018 0,000 0,484 0,000 0,014 1,000 0,000 0,161
0,088 0,000 0,000 0,000 1,000 0,000 0,168 0,007 0,000 0,106 0,894 0,000 0,247 0,011 0,000 0,618 0,382 0,000 0,327 0,003 0,000 0,901 0,099 0,000 0,406 0,001 0,000 0,983 0,017 0,000 0,486 0,000 0,029 1,000 0,000 0,190
0,090 0,000 0,000 0,000 1,000 0,000 0,169 0,009 0,000 0,115 0,885 0,000 0,249 0,005 0,000 0,623 0,377 0,000 0,328 0,003 0,000 0,903 0,097 0,000 0,408 0,000 0,000 0,984 0,016 0,000 0,487 0,000 0,032 1,000 0,000 0,222
0,091 0,000 0,000 0,000 1,000 0,000 0,171 0,007 0,000 0,122 0,878 0,000 0,250 0,010 0,000 0,633 0,367 0,000 0,330 0,003 0,000 0,906 0,094 0,000 0,409 0,001 0,000 0,985 0,015 0,000 0,489 0,000 0,034 1,000 0,000 0,256
0,093 0,000 0,000 0,000 1,000 0,000 0,172 0,009 0,000 0,132 0,868 0,000 0,252 0,012 0,000 0,644 0,356 0,000 0,331 0,003 0,000 0,909 0,091 0,000 0,411 0,001 0,000 0,986 0,014 0,000 0,490 0,000 0,036 1,000 0,000 0,292
0,094 0,000 0,000 0,000 1,000 0,000 0,174 0,004 0,000 0,136 0,864 0,000 0,253 0,009 0,000 0,653 0,347 0,000 0,333 0,001 0,000 0,910 0,090 0,000 0,412 0,001 0,000 0,986 0,014 0,000 0,492 0,000 0,020 1,000 0,000 0,312
0,096 0,000 0,000 0,000 1,000 0,000 0,175 0,008 0,000 0,144 0,856 0,000 0,255 0,011 0,000 0,664 0,336 0,000 0,334 0,003 0,000 0,913 0,087 0,000 0,414 0,001 0,000 0,987 0,013 0,000 0,493 0,000 0,039 1,000 0,000 0,351
0,097 0,000 0,000 0,000 1,000 0,000 0,177 0,008 0,000 0,152 0,848 0,000 0,256 0,004 0,000 0,668 0,332 0,000 0,336 0,003 0,000 0,916 0,084 0,000 0,415 0,000 0,000 0,988 0,012 0,000 0,495 0,000 0,044 1,000 0,000 0,395
0,099 0,000 0,000 0,000 1,000 0,000 0,178 0,009 0,000 0,161 0,839 0,000 0,258 0,008 0,000 0,676 0,324 0,000 0,337 0,003 0,000 0,919 0,081 0,000 0,417 0,001 0,000 0,989 0,011 0,000 0,496 0,000 0,046 1,000 0,000 0,441
0,100 0,000 0,000 0,001 0,999 0,000 0,180 0,003 0,000 0,164 0,836 0,000 0,259 0,008 0,000 0,684 0,316 0,000 0,339 0,001 0,000 0,920 0,080 0,000 0,418 0,001 0,000 0,989 0,011 0,000 0,498 0,000 0,023 1,000 0,000 0,464
0,102 0,000 0,000 0,001 0,999 0,000 0,181 0,009 0,000 0,173 0,827 0,000 0,261 0,008 0,000 0,692 0,308 0,000 0,340 0,002 0,000 0,922 0,078 0,000 0,420 0,001 0,000 0,990 0,010 0,000 0,499 0,000 0,046 1,000 0,000 0,510
0,103 0,000 0,000 0,001 0,999 0,000 0,183 0,009 0,000 0,182 0,818 0,000 0,262 0,009 0,000 0,702 0,298 0,000 0,342 0,003 0,000 0,925 0,075 0,000 0,421 0,001 0,000 0,991 0,009 0,000 0,501 0,000 0,044 1,000 0,000 0,554
0,105 0,000 0,000 0,001 0,999 0,000 0,184 0,010 0,000 0,192 0,808 0,000 0,264 0,004 0,000 0,706 0,294 0,000 0,343 0,002 0,000 0,927 0,073 0,000 0,423 0,001 0,000 0,991 0,009 0,000 0,502 0,000 0,044 1,000 0,000 0,597
0,106 0,000 0,000 0,001 0,999 0,000 0,186 0,011 0,000 0,203 0,797 0,000 0,265 0,009 0,000 0,715 0,285 0,000 0,345 0,002 0,000 0,929 0,071 0,000 0,424 0,001 0,000 0,992 0,008 0,000 0,504 0,000 0,044 1,000 0,000 0,642
0,108 0,000 0,000 0,002 0,998 0,000 0,187 0,004 0,000 0,207 0,793 0,000 0,267 0,008 0,000 0,723 0,277 0,000 0,346 0,001 0,000 0,930 0,070 0,000 0,426 0,001 0,000 0,992 0,008 0,000 0,505 0,000 0,022 1,000 0,000 0,664
0,109 0,000 0,000 0,002 0,998 0,000 0,189 0,010 0,000 0,217 0,783 0,000 0,268 0,007 0,000 0,730 0,270 0,000 0,348 0,002 0,000 0,932 0,068 0,000 0,427 0,001 0,000 0,993 0,007 0,000 0,507 0,000 0,043 1,000 0,000 0,707
0,111 0,000 0,000 0,002 0,998 0,000 0,190 0,010 0,000 0,227 0,773 0,000 0,270 0,004 0,000 0,734 0,266 0,000 0,349 0,002 0,000 0,934 0,066 0,000 0,429 0,000 0,000 0,993 0,007 0,000 0,508 0,000 0,038 1,000 0,000 0,745
0,112 0,000 0,000 0,002 0,998 0,000 0,192 0,011 0,000 0,238 0,762 0,000 0,271 0,007 0,000 0,742 0,258 0,000 0,351 0,002 0,000 0,937 0,063 0,000 0,430 0,001 0,000 0,994 0,006 0,000 0,510 0,000 0,036 1,000 0,000 0,781
0,114 0,000 0,000 0,003 0,997 0,000 0,193 0,007 0,000 0,244 0,756 0,000 0,273 0,008 0,000 0,749 0,251 0,000 0,352 0,001 0,000 0,938 0,062 0,000 0,432 0,001 0,000 0,994 0,006 0,000 0,511 0,000 0,016 1,000 0,000 0,797
0,115 0,001 0,000 0,003 0,997 0,000 0,195 0,011 0,000 0,255 0,745 0,000 0,274 0,005 0,000 0,754 0,246 0,000 0,354 0,002 0,000 0,940 0,060 0,000 0,433 0,001 0,000 0,995 0,005 0,000 0,513 0,000 0,031 1,000 0,000 0,827
0,117 0,001 0,000 0,004 0,996 0,000 0,196 0,011 0,000 0,266 0,734 0,000 0,276 0,006 0,000 0,760 0,240 0,000 0,355 0,002 0,000 0,942 0,058 0,000 0,435 0,001 0,000 0,996 0,004 0,000 0,514 0,000 0,024 1,000 0,000 0,851
0,118 0,001 0,000 0,005 0,995 0,000 0,198 0,010 0,000 0,276 0,724 0,000 0,277 0,003 0,000 0,763 0,237 0,000 0,357 0,002 0,000 0,944 0,056 0,000 0,436 0,000 0,000 0,996 0,004 0,000 0,516 0,000 0,027 1,000 0,000 0,878
0,120 0,001 0,000 0,006 0,994 0,000 0,199 0,011 0,000 0,286 0,714 0,000 0,279 0,007 0,000 0,770 0,230 0,000 0,358 0,002 0,000 0,946 0,054 0,000 0,438 0,001 0,000 0,996 0,004 0,000 0,517 0,000 0,021 1,000 0,000 0,899
0,121 0,001 0,000 0,007 0,993 0,000 0,201 0,004 0,000 0,291 0,709 0,000 0,280 0,006 0,000 0,776 0,224 0,000 0,360 0,001 0,000 0,947 0,053 0,000 0,439 0,001 0,000 0,997 0,003 0,000 0,519 0,000 0,010 1,000 0,000 0,909
0,123 0,001 0,000 0,007 0,993 0,000 0,202 0,012 0,000 0,302 0,698 0,000 0,282 0,006 0,000 0,782 0,218 0,000 0,361 0,001 0,000 0,948 0,052 0,000 0,441 0,000 0,000 0,998 0,002 0,000 0,520 0,000 0,017 1,000 0,000 0,926
0,124 0,001 0,000 0,008 0,992 0,000 0,204 0,013 0,000 0,315 0,685 0,000 0,283 0,003 0,000 0,786 0,214 0,000 0,363 0,002 0,000 0,950 0,050 0,000 0,442 0,000 0,000 0,998 0,002 0,000 0,522 0,000 0,014 1,000 0,000 0,940
0,126 0,002 0,000 0,009 0,991 0,000 0,205 0,011 0,000 0,326 0,674 0,000 0,285 0,006 0,000 0,792 0,208 0,000 0,364 0,002 0,000 0,951 0,049 0,000 0,444 0,000 0,000 0,998 0,002 0,000 0,523 0,000 0,011 1,000 0,000 0,952
0,127 0,001 0,000 0,010 0,990 0,000 0,207 0,012 0,000 0,338 0,662 0,000 0,286 0,005 0,000 0,797 0,203 0,000 0,366 0,001 0,000 0,953 0,047 0,000 0,445 0,000 0,000 0,998 0,002 0,000 0,525 0,000 0,012 1,000 0,000 0,964
0,129 0,001 0,000 0,011 0,989 0,000 0,208 0,005 0,000 0,343 0,657 0,000 0,288 0,006 0,000 0,803 0,197 0,000 0,367 0,001 0,000 0,954 0,046 0,000 0,447 0,000 0,000 0,999 0,001 0,000 0,526 0,000 0,005 1,000 0,000 0,968
0,130 0,002 0,000 0,013 0,987 0,000 0,210 0,011 0,000 0,355 0,645 0,000 0,289 0,004 0,000 0,807 0,193 0,000 0,369 0,002 0,000 0,955 0,045 0,000 0,448 0,000 0,000 0,999 0,001 0,000 0,528 0,000 0,008 1,000 0,000 0,976
0,132 0,001 0,000 0,014 0,986 0,000 0,211 0,012 0,000 0,367 0,633 0,000 0,291 0,004 0,000 0,810 0,190 0,000 0,370 0,002 0,000 0,957 0,043 0,000 0,450 0,000 0,000 0,999 0,001 0,000 0,529 0,000 0,006 1,000 0,000 0,982
0,133 0,002 0,000 0,016 0,984 0,000 0,213 0,012 0,000 0,379 0,621 0,000 0,292 0,006 0,000 0,816 0,184 0,000 0,372 0,001 0,000 0,958 0,042 0,000 0,451 0,000 0,000 0,999 0,001 0,001 0,531 0,000 0,004 1,000 0,000 0,986
0,135 0,002 0,000 0,018 0,982 0,000 0,214 0,006 0,000 0,385 0,615 0,000 0,294 0,004 0,000 0,820 0,180 0,000 0,373 0,001 0,000 0,959 0,041 0,000 0,453 0,000 0,001 0,999 0,001 0,001 0,532 0,000 0,002 1,000 0,000 0,987
0,136 0,002 0,000 0,020 0,980 0,000 0,216 0,014 0,000 0,399 0,601 0,000 0,295 0,005 0,000 0,825 0,175 0,000 0,375 0,002 0,000 0,961 0,039 0,000 0,454 0,000 0,001 1,000 0,000 0,002 0,534 0,000 0,004 1,000 0,000 0,991
0,138 0,002 0,000 0,022 0,978 0,000 0,217 0,013 0,000 0,412 0,588 0,000 0,297 0,004 0,000 0,830 0,170 0,000 0,376 0,001 0,000 0,962 0,038 0,000 0,456 0,000 0,000 1,000 0,000 0,002 0,535 0,000 0,002 1,000 0,000 0,993
0,139 0,002 0,000 0,023 0,977 0,000 0,219 0,010 0,000 0,422 0,578 0,000 0,298 0,003 0,000 0,833 0,167 0,000 0,378 0,002 0,000 0,964 0,036 0,000 0,457 0,000 0,001 1,000 0,000 0,003 0,537 0,000 0,002 1,000 0,000 0,995
0,141 0,003 0,000 0,026 0,974 0,000 0,220 0,011 0,000 0,433 0,567 0,000 0,300 0,004 0,000 0,836 0,164 0,000 0,379 0,001 0,000 0,965 0,035 0,000 0,459 0,000 0,001 1,000 0,000 0,004 0,538 0,000 0,002 1,000 0,000 0,997
0,142 0,003 0,000 0,029 0,971 0,000 0,222 0,006 0,000 0,438 0,562 0,000 0,301 0,001 0,000 0,838 0,162 0,000 0,381 0,000 0,000 0,965 0,035 0,000 0,460 0,000 0,001 1,000 0,000 0,005 0,540 0,000 0,001 1,000 0,000 0,998
0,144 0,003 0,000 0,032 0,968 0,000 0,223 0,012 0,000 0,450 0,550 0,000 0,303 0,004 0,000 0,842 0,158 0,000 0,382 0,002 0,000 0,967 0,033 0,000 0,462 0,000 0,002 1,000 0,000 0,008 0,541 0,000 0,001 1,000 0,000 0,998
0,145 0,001 0,000 0,033 0,967 0,000 0,225 0,013 0,000 0,463 0,537 0,000 0,304 0,003 0,000 0,845 0,155 0,000 0,384 0,001 0,000 0,969 0,031 0,000 0,463 0,000 0,000 1,000 0,000 0,008 0,543 0,000 0,001 1,000 0,000 0,999
0,147 0,003 0,000 0,036 0,964 0,000 0,226 0,012 0,000 0,475 0,525 0,000 0,306 0,005 0,000 0,850 0,150 0,000 0,385 0,001 0,000 0,970 0,030 0,000 0,465 0,000 0,003 1,000 0,000 0,011 0,544 0,000 0,000 1,000 0,000 0,999
0,148 0,004 0,000 0,041 0,959 0,000 0,228 0,006 0,000 0,481 0,519 0,000 0,307 0,004 0,000 0,854 0,146 0,000 0,387 0,000 0,000 0,970 0,030 0,000 0,466 0,000 0,003 1,000 0,000 0,014 0,546 0,000 0,000 1,000 0,000 1,000
0,150 0,004 0,000 0,045 0,955 0,000 0,229 0,011 0,000 0,493 0,507 0,000 0,309 0,005 0,000 0,859 0,141 0,000 0,388 0,001 0,000 0,971 0,029 0,000 0,468 0,000 0,005 1,000 0,000 0,020 0,547 0,000 0,000 1,000 0,000 1,000
0,151 0,005 0,000 0,050 0,950 0,000 0,231 0,010 0,000 0,503 0,497 0,000 0,310 0,004 0,000 0,862 0,138 0,000 0,390 0,001 0,000 0,972 0,028 0,000 0,469 0,000 0,006 1,000 0,000 0,026 0,549 0,000 0,000 1,000 0,000 1,000
0,153 0,002 0,000 0,052 0,948 0,000 0,232 0,013 0,000 0,516 0,484 0,000 0,312 0,006 0,000 0,868 0,132 0,000 0,391 0,002 0,000 0,974 0,026 0,000 0,471 0,000 0,003 1,000 0,000 0,029 0,550 0,000 0,000 1,000 0,000 1,000
0,154 0,005 0,000 0,056 0,944 0,000 0,234 0,011 0,000 0,527 0,473 0,000 0,313 0,004 0,000 0,873 0,127 0,000 0,393 0,001 0,000 0,975 0,025 0,000 0,472 0,000 0,009 1,000 0,000 0,037 0,552 0,000 0,000 1,000 0,000 1,000
0,156 0,006 0,000 0,062 0,938 0,000 0,235 0,005 0,000 0,532 0,468 0,000 0,315 0,004 0,000 0,876 0,124 0,000 0,394 0,001 0,000 0,976 0,024 0,000 0,474 0,000 0,011 1,000 0,000 0,048 0,553 0,000 0,000 1,000 0,000 1,000
0,157 0,005 0,000 0,067 0,933 0,000 0,237 0,011 0,000 0,544 0,456 0,000 0,316 0,006 0,000 0,883 0,117 0,000 0,396 0,001 0,000 0,977 0,023 0,000 0,475 0,000 0,012 1,000 0,000 0,060 0,555 0,000 0,000 1,000 0,000 1,000
0,159 0,003 0,000 0,070 0,930 0,000 0,238 0,012 0,000 0,556 0,444 0,000 0,318 0,002 0,000 0,885 0,115 0,000 0,397 0,001 0,000 0,978 0,022 0,000 0,477 0,000 0,007 1,000 0,000 0,067 0,556 0,000 0,000 1,000 0,000 1,000
0,160 0,007 0,000 0,077 0,923 0,000 0,240 0,011 0,000 0,567 0,433 0,000 0,319 0,003 0,000 0,888 0,112 0,000 0,399 0,001 0,000 0,979 0,021 0,000 0,478 0,000 0,016 1,000 0,000 0,083 0,558 0,000 0,000 1,000 0,000 1,000
0,162 0,006 0,000 0,083 0,917 0,000 0,241 0,013 0,000 0,580 0,420 0,000 0,321 0,004 0,000 0,892 0,108 0,000 0,400 0,001 0,000 0,979 0,021 0,000 0,480 0,000 0,018 1,000 0,000 0,101 0,559 0,000 0,000 1,000 0,000 1,000
0,163 0,007 0,000 0,091 0,909 0,000 0,243 0,005 0,000 0,585 0,415 0,000 0,322 0,003 0,000 0,894 0,107 0,000 0,402 0,001 0,000 0,980 0,020 0,000 0,481 0,000 0,021 1,000 0,000 0,122 0,561 0,000 0,000 1,000 0,000 1,000
Tabela A.2 Planilha frequncia relativa em funo da HdN entre as sequncias de template transformado
T T e T T 0 sem insero de bits. Computados a partir das 13.836 comparaes intraclasse e 14.240
comparaes interclasse. Coluna FRR igual a (1 xi pintra (xi )). Coluna FAR igual a xi pinter (xi ).
Tabelas 133
Frequncia Relativa Frequncia Relativa Frequncia Relativa Frequncia Relativa Frequncia Relativa
FRR = 1- FRR = 1- FRR = 1- FRR = 1- FRR = 1-
Intra Inter FAR = Inter Intra Inter FAR = Inter Intra Inter FAR = Inter Intra Inter FAR = Inter Intra Inter FAR = Inter
HdN (Intra HdN (Intra HdN (Intra HdN (Intra HdN (Intra
class class Acum.)
Acum. class class Acum.)
Acum.
0,0450 0,00E+00 0,00E+00 1,0000E+00 0,0000E+00 0,1450 1,11E-02 0,00E+00 3,6101E-01 0,0000E+00 0,2450 1,01E-03 0,00E+00 8,1671E-03 0,0000E+00 0,3450 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,4450 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00
0,0460 0,00E+00 0,00E+00 1,0000E+00 0,0000E+00 0,1460 9,68E-03 0,00E+00 3,5133E-01 0,0000E+00 0,2460 3,61E-04 0,00E+00 7,8057E-03 0,0000E+00 0,3460 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,4460 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00
0,0470 7,23E-05 0,00E+00 9,9993E-01 0,0000E+00 0,1470 1,03E-02 0,00E+00 3,4099E-01 0,0000E+00 0,2470 7,95E-04 0,00E+00 7,0107E-03 0,0000E+00 0,3470 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,4470 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00
0,0480 0,00E+00 0,00E+00 9,9993E-01 0,0000E+00 0,1480 9,11E-03 0,00E+00 3,3189E-01 0,0000E+00 0,2480 4,34E-04 0,00E+00 6,5770E-03 0,0000E+00 0,3480 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,4480 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00
0,0560 0,00E+00 0,00E+00 9,9971E-01 0,0000E+00 0,1560 6,94E-03 0,00E+00 2,6554E-01 0,0000E+00 0,2560 6,50E-04 0,00E+00 2,0960E-03 0,0000E+00 0,3560 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,4560 0,00E+00 7,02E-05 0,0000E+00 7,0225E-05
0,0570 7,23E-05 0,00E+00 9,9964E-01 0,0000E+00 0,1570 7,16E-03 0,00E+00 2,5838E-01 0,0000E+00 0,2570 2,17E-04 0,00E+00 1,8792E-03 0,0000E+00 0,3570 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,4570 0,00E+00 0,00E+00 0,0000E+00 7,0225E-05
0,0610 2,89E-04 0,00E+00 9,9863E-01 0,0000E+00 0,1610 6,72E-03 0,00E+00 2,3323E-01 0,0000E+00 0,2610 4,34E-04 0,00E+00 7,9503E-04 0,0000E+00 0,3610 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,4610 0,00E+00 7,02E-05 0,0000E+00 1,4045E-04
0,0660 6,50E-04 0,00E+00 9,9668E-01 0,0000E+00 0,1660 5,78E-03 0,00E+00 1,9991E-01 0,0000E+00 0,2660 0,00E+00 0,00E+00 2,1683E-04 0,0000E+00 0,3660 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,4660 0,00E+00 6,32E-04 0,0000E+00 1,4747E-03
0,0680 1,01E-03 0,00E+00 9,9523E-01 0,0000E+00 0,1680 5,57E-03 0,00E+00 1,8965E-01 0,0000E+00 0,2680 7,23E-05 0,00E+00 0,0000E+00 0,0000E+00 0,3680 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,4680 0,00E+00 4,21E-04 0,0000E+00 2,2472E-03
0,0690 9,40E-04 0,00E+00 9,9429E-01 0,0000E+00 0,1690 5,93E-03 0,00E+00 1,8372E-01 0,0000E+00 0,2690 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,3690 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,4690 0,00E+00 1,19E-03 0,0000E+00 3,4410E-03
0,1350 1,12E-02 0,00E+00 4,7875E-01 0,0000E+00 0,2350 1,16E-03 0,00E+00 1,7274E-02 0,0000E+00 0,3350 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,4350 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,5350 0,00E+00 0,00E+00 0,0000E+00 9,9972E-01
0,1420 1,11E-02 0,00E+00 3,9860E-01 0,0000E+00 0,2420 7,23E-04 0,00E+00 1,1130E-02 0,0000E+00 0,3420 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,4420 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,5420 0,00E+00 7,02E-05 0,0000E+00 1,0000E+00
0,1430 1,62E-02 0,00E+00 3,8241E-01 0,0000E+00 0,2430 7,23E-04 0,00E+00 1,0408E-02 0,0000E+00 0,3430 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,4430 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,5430 0,00E+00 0,00E+00 0,0000E+00 1,0000E+00
0,1440 1,03E-02 0,00E+00 3,7207E-01 0,0000E+00 0,2440 1,23E-03 0,00E+00 9,1790E-03 0,0000E+00 0,3440 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,4440 0,00E+00 0,00E+00 0,0000E+00 0,0000E+00 0,5440 0,00E+00 0,00E+00 0,0000E+00 1,0000E+00
Tabela A.3 Planilha freq. relativa em funo da HdN entre as sequncias de template transformado
T T e T T 0 com insero de 860 bits. Computados a partir das 13.836 comparaes intraclasse e 14.240
comparaes interclasse. Coluna FRR igual a (1 xi pintra (xi )). Coluna FAR igual a xi pinter (xi ).
Tabelas 134
HdN k1 k2 k3 <n3> <n3>.<e3> HdN k1 k2 k3 <n3> <n3>.<e3> HdN k1 k2 k3 <n3> <n3>.<e3> HdN k1 k2 k3 <n3> <n3>.<e3> HdN k1 k2 k3 <n3> <n3>.<e3>
0,045 12 12 12 1293 0,119 0,091 4 11 12 949 0,243 0,137 4 4 12 694 0,428 0,183 2 8 12 509 0,467 0,229 2 4 11 373 0,486
0,046 12 12 12 1292 0,136 0,092 4 11 12 948 0,261 0,138 4 4 12 693 0,446 0,184 2 8 12 509 0,483 0,230 2 4 11 372 0,497
0,047 12 12 12 1280 0,158 0,093 4 11 12 937 0,282 0,139 4 4 12 693 0,470 0,185 2 8 12 508 0,500 0,231 2 4 10 369 0,458
0,048 12 12 12 1279 0,180 0,094 4 11 12 936 0,301 0,140 4 4 12 681 0,497 0,186 2 7 12 489 0,403 0,232 2 4 10 369 0,476
0,049 12 12 12 1267 0,205 0,095 4 11 12 935 0,321 0,141 4 4 8 654 0,325 0,187 2 7 12 488 0,416 0,233 2 4 10 368 0,484
0,050 12 12 12 1265 0,230 0,096 4 11 12 923 0,351 0,142 4 4 8 654 0,341 0,188 2 7 12 488 0,432 0,234 2 4 10 368 0,499
0,051 12 12 12 1264 0,259 0,097 4 11 12 923 0,374 0,143 4 4 8 653 0,356 0,189 2 7 12 488 0,446 0,235 2 4 9 357 0,463
0,052 12 12 12 1252 0,296 0,098 4 11 12 922 0,397 0,144 4 4 8 646 0,376 0,190 2 7 12 488 0,460 0,236 2 4 9 356 0,476
0,053 12 12 12 1239 0,333 0,099 4 11 12 921 0,423 0,145 4 4 8 645 0,392 0,191 2 7 12 487 0,475 0,237 2 4 9 356 0,489
0,054 12 12 12 1238 0,371 0,100 4 11 12 920 0,449 0,146 4 4 8 645 0,408 0,192 2 7 11 471 0,463 0,238 2 4 8 356 0,441
0,055 12 12 12 1236 0,411 0,101 4 11 12 909 0,489 0,147 4 4 8 637 0,431 0,193 2 7 11 470 0,477 0,239 2 4 8 349 0,466
0,056 12 12 12 1235 0,456 0,102 4 8 11 880 0,259 0,148 4 4 8 637 0,448 0,194 2 7 11 470 0,491 0,240 2 4 8 348 0,476
0,057 11 11 12 1207 0,334 0,103 4 8 11 879 0,275 0,149 4 4 8 637 0,468 0,195 2 7 10 466 0,454 0,241 2 4 8 348 0,489
0,058 11 11 12 1194 0,376 0,104 4 8 11 879 0,292 0,150 4 4 8 636 0,488 0,196 2 7 10 465 0,469 0,242 2 4 7 344 0,422
0,059 11 11 12 1193 0,415 0,105 4 8 11 868 0,316 0,151 4 4 6 597 0,353 0,197 2 7 10 465 0,484 0,243 2 4 7 337 0,442
0,060 11 11 12 1192 0,457 0,106 4 8 11 867 0,335 0,152 4 4 6 597 0,368 0,198 2 6 12 455 0,449 0,244 2 4 7 337 0,454
0,061 8 11 12 1179 0,210 0,107 4 8 11 867 0,356 0,153 4 4 6 596 0,384 0,199 2 6 12 455 0,463 0,245 2 4 7 337 0,465
0,062 8 11 12 1178 0,232 0,108 4 8 11 866 0,376 0,154 4 4 6 591 0,403 0,200 2 6 12 455 0,479 0,246 2 4 7 337 0,478
0,063 8 11 12 1166 0,261 0,109 4 8 11 855 0,406 0,155 4 4 6 590 0,418 0,201 2 7 8 445 0,441 0,247 2 4 7 337 0,496
0,064 8 11 12 1165 0,287 0,110 4 8 11 854 0,430 0,156 4 4 6 590 0,436 0,202 2 7 8 445 0,452 0,248 2 4 6 322 0,418
0,065 8 11 12 1153 0,318 0,111 4 8 11 854 0,453 0,157 4 4 6 584 0,456 0,203 2 7 8 437 0,480 0,249 2 4 6 322 0,430
0,066 8 11 12 1152 0,347 0,112 4 8 11 853 0,478 0,158 4 4 6 584 0,475 0,204 2 7 8 437 0,494 0,250 2 4 6 322 0,443
0,067 8 11 12 1151 0,380 0,113 4 6 12 816 0,300 0,159 4 4 6 583 0,493 0,205 2 7 7 425 0,433 0,251 2 4 6 316 0,458
0,068 8 11 12 1138 0,423 0,114 4 6 12 805 0,324 0,160 2 12 12 565 0,371 0,206 2 7 7 425 0,446 0,252 2 4 6 316 0,470
0,069 8 11 12 1137 0,461 0,115 4 6 12 804 0,341 0,161 2 12 12 565 0,386 0,207 2 7 7 425 0,458 0,253 2 4 6 316 0,480
0,070 8 11 12 1136 0,499 0,116 4 6 12 804 0,361 0,162 2 12 12 564 0,400 0,208 2 7 7 425 0,473 0,254 2 4 6 316 0,498
0,071 8 8 10 1093 0,239 0,117 4 6 12 803 0,380 0,163 2 12 12 564 0,416 0,209 2 7 7 418 0,499 0,255 2 3 11 295 0,462
0,072 8 8 10 1083 0,265 0,118 4 6 12 792 0,408 0,164 2 12 12 552 0,451 0,210 2 6 8 418 0,433 0,256 2 3 11 295 0,475
0,073 8 8 10 1082 0,287 0,119 4 6 12 791 0,429 0,165 2 12 12 552 0,466 0,211 2 6 8 410 0,457 0,257 2 3 11 295 0,488
0,074 8 8 10 1072 0,314 0,120 4 6 12 790 0,451 0,166 2 12 12 552 0,485 0,212 2 6 8 410 0,469 0,258 2 3 11 294 0,499
0,075 8 8 10 1071 0,340 0,121 4 6 12 779 0,484 0,167 2 11 11 541 0,387 0,213 2 6 8 410 0,482 0,259 2 3 10 290 0,459
0,076 8 8 10 1061 0,373 0,122 4 6 8 751 0,316 0,168 2 11 11 541 0,402 0,214 2 6 8 410 0,498 0,260 2 3 10 290 0,474
0,077 8 8 10 1059 0,402 0,123 4 6 8 750 0,332 0,169 2 11 11 530 0,432 0,215 2 6 7 402 0,431 0,261 2 3 10 290 0,484
0,078 8 8 10 1058 0,434 0,124 4 6 8 743 0,354 0,170 2 11 11 530 0,450 0,216 2 6 7 396 0,456 0,262 2 3 10 289 0,498
0,079 8 8 10 1057 0,468 0,125 4 6 8 742 0,370 0,171 2 11 11 529 0,463 0,217 2 6 7 395 0,467 0,263 2 3 9 279 0,458
0,080 6 8 12 1014 0,242 0,126 4 6 8 742 0,390 0,172 2 11 11 529 0,482 0,218 2 6 7 395 0,479 0,264 2 3 9 279 0,473
0,081 6 8 12 1002 0,266 0,127 4 6 8 734 0,412 0,173 2 11 11 529 0,497 0,219 2 4 12 392 0,381 0,265 2 3 9 279 0,483
0,082 6 8 12 1002 0,287 0,128 4 6 8 734 0,434 0,174 2 8 12 523 0,323 0,220 2 4 12 392 0,393 0,266 2 3 9 278 0,493
0,083 6 8 12 1001 0,308 0,129 4 6 8 726 0,459 0,175 2 8 12 523 0,335 0,221 2 4 12 392 0,408 0,267 2 3 8 274 0,454
0,084 6 8 12 989 0,338 0,130 4 6 8 726 0,481 0,176 2 8 12 511 0,359 0,222 2 4 12 391 0,420 0,268 2 3 8 273 0,464
0,085 6 8 12 988 0,362 0,131 4 4 12 707 0,317 0,177 2 8 12 511 0,372 0,223 2 4 12 391 0,431 0,269 2 3 8 273 0,473
0,086 6 8 12 987 0,388 0,132 4 4 12 707 0,333 0,178 2 8 12 511 0,387 0,224 2 4 12 391 0,445 0,270 2 3 8 273 0,488
0,087 6 8 12 987 0,416 0,133 4 4 12 706 0,348 0,179 2 8 12 510 0,400 0,225 2 4 12 391 0,460 0,271 2 3 7 262 0,429
0,088 6 8 12 975 0,453 0,134 4 4 12 695 0,371 0,180 2 8 12 510 0,414 0,226 2 4 12 390 0,471 0,272 2 3 7 262 0,440
0,089 6 8 12 974 0,484 0,135 4 4 12 695 0,389 0,181 2 8 12 510 0,429 0,227 2 4 12 390 0,486 0,273 2 3 7 261 0,452
0,090 4 11 12 961 0,222 0,136 4 4 12 694 0,409 0,182 2 8 12 509 0,452 0,228 2 4 11 373 0,471 0,274 2 3 7 261 0,461
Tabela A.4 Valores timos de k1 , k2 e k3 que permitem reconciliao das sequncias (Inequao 8.19)
de T e R em funo de valores de HdN . Comprimento das sequncias iniciais n1 igual a 2.048 bits.
A PNDICE B
Exemplos de Reconciliaes
Neste apndice ser aplicado o protocolo de reconciliao da informao proposto nesta

Tese, com fluxograma na Figura 8.1, Subseo 8.1.1. Sejam Alice e Bob duas entidades que
trocam paridades por um canal de comunicao pblico (na presena de uma adversria passiva
Eve) com o objetivo de localizar e extrair os bits diferentes entre suas sequncias, de tal modo
que ao final do protocolo, cheguem a uma sequncia reconciliada, ou seja, duas sequncias
finais sem erros de bit, cuja informao de Eve sobre estas sequncias finais seja desprezvel.
Nos exemplos a seguir, observa-se:
Sem perda de generalidade, a fim de facilitar a visualizao, os bits de Bob sero todos
nulos. Assim qualquer bit de Alice com valor igual a 1 ser diferente do bit de Bob.
A adversria Eve inicia o protocolo com 2k sequncias possveis e enquanto observa as

informaes laterais (paridades) trocadas entre Alice e Bob, seu nmero de sequncias
possveis diminui. Os descartes de bits por Alice e Bob so contramedidas a esta vantagem
adquirida por Eve.
Quando a busca dicotmica secciona uma sequncia de comprimento L em duas sub-

sequncias, definido que o nmero de bits da 1 subsequncia ser dL/2e.
n . Ento, X
Seja a sequncia X = {xv }v=1 ab uma subsequncia de X definida como
b | 1 a b n , a, b e n N. Exemplo: X = {x , x , x }; X = {x }.
Xab = {xv }v=a 35 3 4 5 33 3
A paridade de Xab H [Xab ] := {bi=a xi = (xa xa+1 . . . xb ) a, b e i N e a < b}.

Em que representa o XOR. Exemplo: H [X35 ] = {x3 x4 x5 }; H [X33 ] = {x3 }.
Sempre que | Xab |= 2 e H [Xab ] 6=H [Yab ] os pares de bits (xa , xb ) e (ya , yb ) sero descar-
tados. Esta ao simplifica o protocolo, pois continuar a busca dicotmica para encontrar
o bit diferente entre um par de bit, revelar os dois bits. Por esta razo, optou-se neste
protocolo pelo descarte antecipado dos dois bits. Quando | Xab |= 2 e H [Xab ] =H [Yab ]
apenas o 1o bit ser descartado.
Exemplos de Reconciliaes 136
Da Paridade ao bit de Informao
Suponha que Alice possui uma senha secreta binria composta de 4 bits X = (1011)
escolhidos aleatoriamente para acessar um sistema. Agora suponha a existncia de uma adver-
sria Eve e que esta no possui nenhuma informao sobre esta sequncia de Alice. Portanto,
se Eve tentar obter acesso a este sistema por meio de adivinhao, sua probabilidade de acerto
em uma tentativa ser 1/24 , uma vez que a senha possui 4 bits. Porm, por alguma razo, Alice
envia a paridade (H [X] = 1) desta senha de 4 bits para um interlocutor, aqui chamado de Bob,
pelo canal pblico o qual Eve possui livre acesso.
A questo : Tendo o conhecimento desta paridade, qual a nova probabilidade de acerto
de Eve em uma nica tentativa?
Antes de Eve conhecer a paridade da senha, as possibilidades de adivinhao seriam 16
sequncias binrias de 4 bits. Ao conhecer a paridade, Eve pode descartar de suas opes a
tentar 50% delas (aquelas com paridade par), ou seja, Eve s precisar testar 8 sequncia de 4
bits, Tabela B.1. A sua nova probabilidade de acerto em um a nica tentativa ser 1/8 = 1/23 .
Ou seja, ao conhecer a paridade, Eve ganhou um bit de informao.
Uma alternativa para Alice manter a privacidade descartar um bit de sua senha, isto , reduzi-
la a 3 bits. Se Alice descartar seu 1o bit x1 , Eve ter que testar todas as possibilidades de uma
sequncia com 3 bits, 23 sequncias, Tabela B.2.
Tabela B.1 Sequncias possveis de Tabela B.2 Sequncias possveis de

Eve tendo a informao H [X] = 1 Eve aps Alice descartar o primeiro bit
z1 z2 z3 z4 z1 z2 z3 z4
0 0 0 0 0 0 0 0
0 0 0 1 0 0 0 1
0 0 1 0 0 0 1 0
0 0 1 1 0 0 1 1
0 1 0 0 0 1 0 0
0 1 0 1 0 1 0 1
0 1 1 0 0 1 1 0
0 1 1 1 0 1 1 1
1 0 0 0 1 0 0 0
1 0 0 1 1 0 0 1
1 0 1 0 1 0 1 0
1 0 1 1 1 0 1 1
1 1 0 0 1 1 0 0
1 1 0 1 1 1 0 1
1 1 1 0 1 1 1 0
1 1 1 1 1 1 1 1
(Exemplo 1) k = 3 , X = {1, 0, 0} , Y = {0, 0, 0}
x1 x2 x3 y1 y2 y3 z1 z2 z3
1 0 0 0 0 0 0 0 0
X13]=1 Y13]=0 (a) 0 0 1
0 1 0
1 0 0 0 0 1 1
X12]=1 Y12]=0 (b)
1 0 0
1 0 1
(I) (II) (I) (II) 1 1 0
1 1 1
(c) (d)
Etapas do Protocolo RI Ao em Alice (X) e Bob (Y ) Ao tomada por Eve (Z)

Teste de paridade do bloco Iniciar busca dicotmica (a) Retira as opes
H[X13 ] = 1 ; H[Y13 ] = 0 dividindo X13 e Y13 em com H[Z13 ] = 1
H[X13 ] 6= H[Y13 ] duas subsequncias: (001), (010), (100), (111)
Ento X13 possui no mpar X12 e X33 , Y12 e Y33
de bits diferentes de Y13
Teste de paridade de X12 e Y12 1a subsequncia: (b) Retira as opes com
(I) Descarta x1 e x2 em X e H[Z12 ] = 1 : (011), (100)
H[X12 ] = 1 ; H[Y12 ] = 0 y1 e y2 em Y por possuir erro (c) Descarta os bits z1 e z2
H[X12 ] 6= H[Y12 ] 2a subsequncia: Seq. possvel: ( 0)
Ento o erro est no bit x1 ou x2 (II) Descarta x3 e y3 , Por Eve conhecer y3 , ento
por estarem declarados (d) x3 deve ser descartado
Seq. final: ( )
Aps todos os descartes V X f inal = Y f inal = Z f inal = { }, zero bits
bits totais descartados = 3 bits = dlog2 ke + 1
Idem quando X = {x1 , x2 , x3 } e Y = {x1 , x2 , x3 } (dlog2 ke + 1) bits descartados
(Exemplo 2) k = 3 , X = {0, 0, 1} , Y = {0, 0, 0}
x1 x2 x3 y1 y2 y3 z1 z2 z3
0 0 1 0 0 0 0 0 0
X13]=1 Y13]=0 (a) 0 0 1
0 1 0
0 0 0 0 0 1 1
X12]=0 Y12]=0 (b)
1 0 0
1 0 1
(I) (II) (I) (II) 1 1 0
1 1 1
(d) (c)

H[X13 ] 6= H[Y13 ] duas subsequncias: (001), (010), (100), (111)
Ento X13 possui no mpar X12 e X33 , Y12 e Y33
Teste de paridade de X12 e Y12 1a subsequncia: (b) Retira as opes
(I) Descarta x1 e y1 , 1o bit com H[Z12 ] = 1
H[X12 ] = 0 ; H[Y12 ] = 0 de X12 e Y12 , respectivamente (011), (100)
H[X12 ] = H[Y12 ]. 2a subsequncia: (c) Descarta o bit z3
Ento o erro est na 2a (II) descarta x3 e y3 , os bits 2 possib. p/ Eve: (00)(11),
subsequncia diferentes (d) x1 ou x2 deve ser descartado
Aps todos os descartes V X f inal = {x2 } = {0} ; Y f inal = {y2 } = {0} ;
Z f inal = {z2 } = {0} ou {1} O bit restante em Alice e Bob desconhecido de Eve;
bits totais descartados = 2 bits = dlog2 ke
(Exemplo 3) k = 4 , X = {0, 1, 0, 0} , Y = {0, 0, 0, 0}
x1 x2 x3 x4 y1 y2 y3 y4 z1 z2 z3 z4 z1 z2 z3 z4
0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0
(b)
0 0 0 1 1 0 0 1
X14 1 X14 0 0 0 1 0 1 0 1 0
0 1 0 0 0 0 1 1 (a) 1 0 1 1
X12 1 X12 0
0 1 0 0 1 1 0 0
(b)
0 1 0 1 1 1 0 1
(b) (c) (b) (c)
0 1 1 0 1 1 1 0
0 1 1 1 1 1 1 1
(c) (d) (c) (d)

H[X14 ] 6= H[Y14 ] duas subsequncias: (0001), (0010), (0100), (0111),
Ento X14 possui no mpar X12 e X34 , Y12 e Y34 (1000), (1011), (1101), (1110)
Teste de paridade de X12 e Y12 1a subsequncia: (b) Retira as opes H[Z12 ] = 1:
(I) Descarta x1 e x2 em X e (0101)(0110)(1001)(1010)
H[X12 ] = 1 ; H[Y12 ] = 0 y1 e y2 em Y por possuir erro (c) Descarta os bits z1 e z2
H[X12 ] 6= H[Y12 ] 2a subsequncia: Seq. possveis: ( 00)( 11)
Ento o erro est no bit x1 (II) Descarta x3 e y3 , 1o bit, Eve precisa apenas 2 tentativas,
ou x2 de X34 e Y34 , respectivamente (d) x3 ou x4 deve ser descartado
Idem quando X = {x1 , x2 , x3 , x4 } e Y = {x1 , x2 , x3 , x4 }
X = {x1 , x2 , x3 , x4 } e Y = {x1 , x2 , x3 , x4 } (dlog2 ke + 1) bits descartados
X = {x1 , x2 , x3 , x4 } e Y = {x1 , x2 , x3 , x4 }
(Exemplo 4) k = 5 , X = {1, 0, 0, 0, 0} , Y = {0, 0, 0, 0, 0}
Alice Bob Possibilidades para Eve

x1 x2 x3 x4 x5 y1 y2 y3 y4 y5 z1 z2 z3 z4 z5 z1 z2 z3 z4 z5
1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0
0 0 0 0 1 1 0 0 0 1
X15 1 Y15 0 0 0 0 1 0 1 0 0 1 0
1 0 0 0 0 0 0 0 0 0 0 0 0 1 1 1 0 0 1 1
X13 1 Y13 0 0 0 1 0 0 1 0 1 0 0
0 0 1 0 1 1 0 1 0 1
1 0 0 0 0 0 0 0 0 0 0 0 1 1 0 1 0 1 1 0
X12 1 Y12 0
0 0 1 1 1 1 0 1 1 1
(II) (III) (I) (II) (III) (I) 0 1 0 0 0 1 1 0 0 0

0 1 0 0 1 1 1 0 0 1
0 1 0 1 0 1 1 0 1 0
0 1 0 1 1 1 1 0 1 1
0 1 1 0 0 1 1 1 0 0
(a) Y15 1 z1 z2 z3 z4 z5 0 1 1 0 1 1 1 1 0 1
0 1 1 1 0 1 1 1 1 0
(b) Y13 1 z1 z2 z3 z4 z5
0 1 1 1 1 1 1 1 1 1
(c) Y12 1 z1 z2 z3 z4 z5
(d) (e) (f) (d) (e) (f)

Teste de paridade do bloco Iniciar busca dicotmica (a) Retira as opes de
H[X15 ] = 1 ; H[Y15 ] = 0 dividindo X15 e Y15 em sequncias com H[Z15 ] = 1
H[X15 ] 6= H[Y15 ]. Ento X15 dois sub-blocos:
tem no mpar de bits diferentes X13 e X45 , Y13 e Y45
Teste de paridade em X13 e Y13 2o sub-bloco, X45 e Y45 :
H[X13 ] = 1 ; H[Y13 ] = 0 (I) Descarta 1o bit x4 e y4 (b) Retira as opes de
H[X13 ] 6= H[Y13 ] 1o sub-bloco, X13 e Y13 : sequncias com H[Z13 ] = 1
Ento o erro est em X13 Continua busca dicot. em X13
dividindo-o em X12 e X33
Teste de paridade em X12 e Y12 1o subsub-bloco X12 e Y12 : (c) Retira as opes de
(II) Descarta x1 e x2 em X e sequncias com H[Z12 ] = 1
H[X12 ] = 1 ; H[Y12 ] = 0 y1 e y2 em Y por possuir erro (d) Descarta z1 e z2
H[X12 ] 6= H[Y12 ]. Ento o bit 2o subsub-bloco X33 e Y33 : (e) Descarta z3
diferente x1 ou x2 (III) Descarta x3 e y3 , 2 possib.:( 00),( 11)
por estarem declarados (f) x4 ou x5 deve ser descartado
Idem quando X = {x1 , x2 , x3 , x4 , x5 } e Y = {x1 , x2 , x3 , x4 , x5 } (dlog2 ke + 1) bits descartados
(Exemplo 5) k = 5 , X = {0, 0, 1, 0, 0} , Y = {0, 0, 0, 0, 0}

0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0
0 0 0 0 1 1 0 0 0 1
X15 1 Y15 0 0 0 0 1 0 1 0 0 1 0
0 0 1 0 0 0 0 0 0 0 0 0 0 1 1 1 0 0 1 1
X13 1 Y13 0 0 0 1 0 0 1 0 1 0 0
0 0 1 0 1 1 0 1 0 1
0 0 1 0 0 0 0 0 0 0 0 0 1 1 0 1 0 1 1 0
X12 1 Y12 0
0 0 1 1 1 1 0 1 1 1
(III) (II) (I) (III) (II) (I) 0 1 0 0 0 1 1 0 0 0

0 1 0 0 1 1 1 0 0 1
0 1 0 1 0 1 1 0 1 0
0 1 0 1 1 1 1 0 1 1
0 1 1 0 0 1 1 1 0 0
(a) Y15 1 z1 z2 z3 z4 z5 0 1 1 0 1 1 1 1 0 1
0 1 1 1 0 1 1 1 1 0
(b) Y13 1 z1 z2 z3 z4 z5
0 1 1 1 1 1 1 1 1 1
(c) Y12 1 z1 z2 z3 z4 z5
(e) (d) (f) (e) (d) (f)

Teste de paridade em X13 e Y13 2o sub-bloco, X45 e Y45 :
H[X13 ] = 1 ; H[Y13 ] = 0 (I) Descarta 1o bit x4 e y4 (b) Retira as opes de
H[X13 ] 6= H[Y13 ] 1o sub-bloco, X13 e Y13 : sequncias com H[Z13 ] = 1
Ento o erro est em X13 Continua busca dicot. em X13
dividindo-o em X12 e X33
Teste de paridade em X12 e Y12 2a subsub-bloco X33 e Y33 : (c) Retira as opes H[Z12 ] = 1
H[X12 ] = 0 ; H[Y12 ] = 0 (II) Descarta x3 e y3 (bit erro) (d) Descarta z3
H[X12 ] = H[Y12 ]. 1o subsub-bloco X12 e Y12 : 4 possib.:(00 00),(00 11),
Ento o bit diferente x3 (III) Descarta 1o bit, x1 e y1 (11 00),(11 11)
(e) x1 ou x2 deve ser descartado e
(f) x4 ou x5 deve ser descartado
Aps todos os descartes V X f inal = {x2 , x5 } = {0, 0} ; Y f inal = {y2 , y5 } = {0, 0} ;
Z f inal = {z2 , z5 } = {0, 0} ou {0, 1} ou {1, 0} ou {1, 1} Eve desconhece os 2 bits de Alice e Bob;
(Exemplo 5) k = 5 , X = {0, 0, 0, 1, 0} , Y = {0, 0, 0, 0, 0}

0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0
0 0 0 0 1 1 0 0 0 1
X15 1 Y15 0 0 0 0 1 0 1 0 0 1 0
0 0 0 1 0 0 0 0 0 0 0 0 0 1 1 1 0 0 1 1
X13 0 Y13 0 0 0 1 0 0 1 0 1 0 0
0 0 1 0 1 1 0 1 0 1
(I) (II) (I) (II)
0 0 1 1 0 1 0 1 1 0
0 0 1 1 1 1 0 1 1 1
0 1 0 0 0 1 1 0 0 0
0 1 0 0 1 1 1 0 0 1
0 1 0 1 0 1 1 0 1 0
0 1 0 1 1 1 1 0 1 1
0 1 1 0 0 1 1 1 0 0
(a) Y15 1 z1 z2 z3 z4 z5 0 1 1 0 1 1 1 1 0 1
0 1 1 1 0 1 1 1 1 0
(b) Y13 1 z1 z2 z3 z4 z5
0 1 1 1 1 1 1 1 1 1
(c) (d) (c) (d)

Teste de paridade em X13 e Y13 1o sub-bloco, X13 e Y13 : (b) Retira as opes H[Z13 ] = 1
H[X13 ] = 0 ; H[Y13 ] = 0 (I) Descarta 1o bit x1 e y1 (c) Descarta z1
H[X13 ] = H[Y13 ] 2o sub-bloco, X45 e Y45 : (d) Descarta z4 e z5
Ento o erro est em X45 (II) Descarta x4 e x5 em X e 4 possib.:(00 ),(01 ),
y4 e y5 em Y por possuir erro (10 ),(11 )
Aps todos os descartes V X f inal = {x2 , x3 } = {0, 0} ; Y f inal = {y2 , y3 } = {0, 0} ;
Z f inal = {z2 , z3 } = {0, 0} ou {0, 1} ou {1, 0} ou {1, 1} Eve desconhece os 2 bits de Alice e Bob;
Idem quando X = {x1 , x2 , x3 , x4 , x5 } e Y = {x1 , x2 , x3 , x4 , x5 } (dlog2 ke) bits descartados
Na Tabela B.3 o protocolo proposto de reconciliao aplicado nas sequncias X e Y .

Na coluna tem-se o comprimento de bloco k (k = 2, 3, ..12); na 2a as possveis sequncias de
1a
X como funo dos bits de Y (sem perda de generalidade, s esto representados as sequncias
com um bit diferente); na 3a coluna tm-se as sequncias finais de X e Y , aps descartes; na 4a
e 5a colunas so apresentados os nos de bits descartados em funo do comprimento de bloco
k. Observa-se que estas colunas permitem dois possveis no de bits descartados, dependo da
posio no bloco do bit que ser detectado: (dlog2 ke) bits e (dlog2 ke + 1) bits.
Tabela B.3 Sequncias possveis com um nico erro entre um bloco de comprimento k de X e Y , suas
respectivas sequncias finais e valor esperado do nmero de bits descartados para um nico bloco de
comprimento k cujo teste de paridade de bloco em X e Y diferiu.
k X = f (Y ) X f inal = Y f inal No de descartes
(y1 y2 ) ( )
2 (y1 y2 ) ( ) (dlog2 ke + 1) bits 2 bits
(y1 y2 y3 ) ( )
3 (y1 y2 y3 ) ( ) (dlog2 ke + 1) bits 3 bits
(y1 y2 y3 ) (x2 ) (dlog2 ke) bits 2 bits
(y1 y2 y3 y4 ) (x4 )
(y1 y2 y3 y4 ) (x4 ) (dlog2 ke + 1) bits 3 bits
4 (y1 y2 y3 y4 ) (x2 )
(y1 y2 y3 y4 ) (x2 )
(y1 y2 y3 y4 y5 ) (x5 )
(y1 y2 y3 y4 y5 ) (x5 ) (dlog2 ke + 1) bits 4 bits
5 (y1 y2 y3 y4 y5 ) (x2 x5 )
(y1 y2 y3 y4 y5 ) (x2 x3 ) (dlog2 ke) bits 3 bits
(y1 y2 y3 y4 y5 ) (x2 x3 )
(y1 y2 y3 y4 y5 y6 ) (x5 x6 )
(y1 y2 y3 y4 y5 y6 ) (x5 x6 ) (dlog2 ke + 1) bits 4 bits
(y1 y2 y3 y4 y5 y6 ) (x2 x3 )
6 (y1 y2 y3 y4 y5 y6 ) (x2 x3 )
(y1 y2 y3 y4 y5 y6 ) (x2 x5 x6 )
(y1 y2 y3 y4 y5 y6 ) (x2 x3 x5 ) (dlog2 ke) bits 3 bits
(y1 y2 y3 y4 y5 y6 y7 ) (x4 x6 x7 )
(y1 y2 y3 y4 y5 y6 y7 ) (x4 x6 x7 )
(y1 y2 y3 y4 y5 y6 y7 ) (x2 x6 x7 ) (dlog2 ke + 1) bits 4 bits
7 (y1 y2 y3 y4 y5 y6 y7 ) (x2 x6 x7 )
(y1 y2 y3 y4 y5 y6 y7 ) (x2 x3 x4 )
(y1 y2 y3 y4 y5 y6 y7 ) (x2 x3 x4 )
(y1 y2 y3 y4 y5 y6 y7 ) (x2 x3 x4 x6 ) (dlog2 ke) 3 bits
(y1 y2 y3 y4 y5 y6 y7 y8 ) (x4 x6 x7 x8 )
(y1 y2 y3 y4 y5 y6 y7 y8 ) (x4 x6 x7 x8 )
(y1 y2 y3 y4 y5 y6 y7 y8 ) (x2 x6 x7 x8 )
(y1 y2 y3 y4 y5 y6 y7 y8 ) (x2 x6 x7 x8 ) (dlog2 ke + 1) bits 4 bits
8 (y1 y2 y3 y4 y5 y6 y7 y8 ) (x2 x3 x4 x8 )
(y1 y2 y3 y4 y5 y6 y7 y8 ) (x2 x3 x4 x8 )
(y1 y2 y3 y4 y5 y6 y7 y8 ) (x2 x3 x4 x6 )
(y1 y2 y3 y4 y5 y6 y7 y8 ) (x2 x3 x4 x6 )
(Esta Tabela continua a seguir)

(Continuao da Tabela B.3)
k X = f (Y ) X f inal = Y f inal No de descartes

(y1 y2 y3 y4 y5 y6 y7 y8 y9 ) (x5 x7 x8 x9 )
(y1 y2 y3 y4 y5 y6 y7 y8 y9 ) (x5 x7 x8 x9 ) (dlog2 ke + 1) bits 5 bits
(y1 y2 y3 y4 y5 y6 y7 y8 y9 ) (x2 x5 x7 x8 x9 )
(y1 y2 y3 y4 y5 y6 y7 y8 y9 ) (x2 x3 x7 x8 x9 )
9 (y1 y2 y3 y4 y5 y6 y7 y8 y9 ) (x2 x3 x7 x8 x9 )
(y1 y2 y3 y4 y5 y6 y7 y8 y9 ) (x2 x3 x4 x5 x9 ) (dlog2 ke) bits 4 bits
(y1 y2 y3 y4 y5 y6 y7 y8 y9 ) (x2 x3 x4 x5 x9 )
(y1 y2 y3 y4 y5 y6 y7 y8 y9 ) (x2 x3 x4 x5 x7 )
(y1 y2 y3 y4 y5 y6 y7 y8 y9 ) (x2 x3 x4 x5 x7 )
(y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 ) (x5 x7 x8 x9 x10 )
(y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 ) (x5 x7 x8 x9 x10 ) (dlog2 ke + 1) bits 5 bits
10 (y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 ) (x2 x5 x7 x8 x9 x10 )
(y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 ) (x2 x3 x7 x8 x9 x10 )
(y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 ) (x2 x3 x7 x8 x9 x10 ) (dlog2 ke) bits 4 bits
(y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 y11 ) (x5 x6 x8 x9 x10 x11 )
(y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 y11 ) (x2 x3 x8 x9 x10 x11 ) (dlog2 ke + 1) bits 5 bits
11 (y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 y11 ) (x2 x3 x4 x5 x6 x11 )
(y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 y11 ) (x2 x5 x6 x8 x9 x10 x11 )
(y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 y11 ) (x2 x3 x4 x5 x6 x8 x11 ) (dlog2 ke) bits 4 bits
(y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 y11 y12 ) (x5 x6 x8 x9 x10 x11 x12 )
(y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 y11 y12 ) (x2 x3 x8 x9 x10 x11 x12 ) (dlog2 ke + 1) bits 5 bits
12 (y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 y11 y12 ) (x2 x3 x4 x5 x6 x11 x12 )
(y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 y11 y12 ) (x2 x5 x6 x8 x9 x10 x11 x12 )
(y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 y11 y12 ) (x2 x3 x5 x8 x9 x10 x11 x12 ) (dlog2 ke) bits 4 bits
(y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 y11 y12 ) (x2 x3 x4 x5 x6 x8 x11 x12 )
((y1 y2 y3 y4 y5 y6 y7 y8 y9 y10 y11 y12 ) (x2 x3 x4 x5 x6 x8 x9 x11 )
A PNDICE C
Valor Esperado do Nmero de bits a

Descartar dos Blocos com Nmero mpar
de bits Diferentes. Anlise pelas
Probabilidades Parciais de Ocorrncia.
Neste Apndice so demonstradas, para diversos comprimento de bloco ki , as equaes

para o valor esperado do nmero de bits diferentes a descartar e o valor esperado do total de
bits a descartar (bits iguais e/ou diferentes) para cada uma das possibilidades de ocorrncia do
bloco possuir nmero mpar de bits diferentes.
Seja NBDd o valor esperado do nmero de bits diferentes a descartar de todos os blocos de X (e
Y ) que possuem nmero mpar de bits diferentes; NBDd corresponde ao produto de ni /ki pelo
somatrio do produto das probabilidades parciais de um bloco possuir nmero mpar de bits
diferentes pelos seus respectivos valores esperados de bits diferentes a descartar.
Seja PDO a probabilidade do nmero de bits a descartar (iguais e/ou diferentes) por bloco; em
que PDO corresponde ao somatrio do produto das probabilidades parciais de um bloco possuir
nmero mpar de bits diferentes pelos seus respectivos valores esperados de bits a descartar.
Seja NT DO o valor esperado do total de bits a descartar em todos os blocos com nmero mpar
de bits diferentes.
Para cada um dos comprimentos de bloco ki sero demonstradas suas respectivas equaes:
(a) Comprimento de bloco ki = 2.

A partir da Tabela C.1 obtm-se as Equaes:
ni
NBDd = 2ei (1 ei ) ; (C.1)
ki
PDO = 4ei (1 ei ) ; (C.2)
ni ni
NT DO = (PDO ) = 4ei (1 ei ) . (C.3)
ki ki
Valor Esperado do Nmero de bits a Descartar dos Blocos com Nmero mpar de bits Diferentes. 146
A B C D E = A.B.D F = A.C.D
Comp. de bloco Ocorrncia de n
N de bits difer.
BDd(parcial) PDo(parcial)
Possibilidades
Subtotal de
a descartar
k = 2 bits mpar de bits dif.
descartar
parciais
bits a
X1 X2 e( ) e( ) e( )
Y1 Y2 1 1 2 1 1 2
Y1 Y2 1 1 2 1 1 2
Coefic.() : 2 4
Legenda:
Y1 bit diferente que ser detectado e descartado.
Y1 Corresponde a operao lgica complementar de Y1 (se Y1 = 0, ento Y1 = 1; se Y1 = 1, ento Y1 = 0).
BDd(parcial) Valor esperado parcial de bits diferentes a descartar por bloco.
PDo(parcial) Valor esperado parcial de total de bits a descartar por bloco, considerando cada probabilidade parcial.
Tabela C.1 Valor esperado do nmero de bits diferentes a descartar e total de bits a descartar, para cada
probabilidade parcial de ocorrncia de nmero mpar de bits diferentes no bloco. Bloco ki = 2 bits.
(b) Comprimento de bloco ki = 3.

ni 2 3

NBDd = 3ei (1 ei ) + 2ei ; (C.4)
ki
PDO = 8ei (1 ei )2 + 2e3i ; (C.5)
ni ni
8ei (1 ei )2 + 2e3i .

NT DO = (PDO ) = (C.6)
ki ki
Comprimento de bloco Ocorrncia de n
Subtotal de bits
N de bits difer.
Possibilidades
a descartar
a descartar
parciais
( )
( )
( )
X1 X2 X3
Y1 Y2 Y3 1 1 2 1 0 1 0 2 0
Y1 Y2 Y3 1 2 2 0 1 0 2 0 2
Y1 Y2 Y3 1 1 3 1 0 1 0 3 0
Y1 Y2 Y3 1 1 3 1 0 1 0 3 0
Coefic.(): 3 2 8 2
Legenda:
Y1 Outros bits diferentes que podero ou no serem descartados.
(c) Comprimento de bloco ki = 4.

ni
NBDd = 4ei (1 ei )3 + 8e3i (1 ei ) ; (C.7)
ki
PDO = 12ei (1 ei )3 + 12e3i (1 ei ) ; (C.8)
ni ni
12ei (1 ei )3 + 12e3i (1 ei ) .

NT DO = (PDO ) = (C.9)
ki ki
Comprimento de bloco Ocorrncia de n
Subtotal de bits a BDd(parcial) PDo(parcial)
N de bits difer.
Possibilidades
a descartar
descartar
parciais
( )
( )
( )
( )
( )
( )
X1 X2 X3 X4
Y1 Y2 Y3 Y4 4 2 3 0 1 0 8 0 12
Y1 Y2 Y3 Y4 4 1 3 1 0 4 0 12 0
Coefic.(): 4 8 12 12
Legenda:
(d) Comprimento de bloco ki = 5.

ni
NBDd = 5ei (1 ei )4 + 19e3i (1 ei )2 + 3e5i ; (C.10)
ki
PDO = 17ei (1 ei )4 + 32e3i (1 ei )2 + 3e5i ; (C.11)
ni ni
17ei (1 ei )4 + 32e3i (1 ei )2 + 3e5i .

NT DO = (PDO ) = (C.12)
ki ki
Comprimento de bloco Ocorrncia de n mpar
Subtotal de bits
k = 5 bits de bits dif.
N de bits difer.
Possibilidades
a descartar
a descartar
parciais
( )
( )
( )
( )
( )
( )
X1 X2 X3 X4 X5
Y1 Y2 Y3 Y4 Y5 1 2 3 C(2,1) 0 4 0 0 6 0
Y1 Y2 Y3 Y4 Y5 1 1 3 C(2,0) C(2,2) 1 1 0 3 3 0
Y1 Y2 Y3 Y4 Y5 1 2 3 C(2,1) 0 4 0 0 6 0
Y1 Y2 Y3 Y4 Y5 1 1 3 C(2,0) C(2,2) 1 1 0 3 3 0
Y1 Y2 Y3 Y4 Y5 1 2 3 1 0 2 0 0 3 0
Y1 Y2 Y3 Y4 Y5 1 3 3 1 0 0 3 0 0 3
Y1 Y2 Y3 Y4 Y5 1 1 3 1 1 0 0 3 0 0
Y1 Y2 Y3 Y4 Y5 1 2 3 1 0 2 0 0 3 0
Y1 Y2 Y3 Y4 Y5 1 1 4 1 1 0 0 4 0 0
Y1 Y2 Y3 Y4 Y5 1 3 4 1 0 3 0 0 4 0
Y1 Y2 Y3 Y4 Y5 1 1 4 1 1 0 0 4 0 0
Y1 Y2 Y3 Y4 Y5 1 2 4 1 0 2 0 0 4 0
Coefic.(): 5 19 3 17 32 3
Legenda:
Y2 Posies possveis de ocorrncia de bits diferentes.
(e) Comprimento de bloco ki = 6.

ni
NBDd = 6ei (1 ei )5 + 34e3i (1 ei )3 + 16e5i (1 ei ) ; (C.13)
ki
PDO = 22ei (1 ei )5 + 72e3i (1 ei )3 + 18e5i (1 ei ) ; (C.14)
ni ni
22ei (1 ei )5 + 72e3i (1 ei )3 + 18e5i (1 ei ) . (C.15)

NT DO = (PDO ) =
ki ki
Comprimento de bloco Ocorrncia de n mpar de
k = 6 bits Subtotal de bits bits diferentes
N de bits difer.
Possibilidades
a descartar
a descartar
parciais
( )
( )
( )
( )
( )
( )
( )
( )
( )
X1 X2 X3 X4 X5 X6
Y1 Y2 Y3 Y4 Y5 Y6 2 2 3 C(2,1) 0 8 0 0 12 0
Y1 Y2 Y3 Y4 Y5 Y6 2 3 3 C(2,1) 0 0 12 0 0 12
Y1 Y2 Y3 Y4 Y5 Y6 2 1 3 C(2,0) C(2,2) 2 2 0 6 6 0
Y1 Y2 Y3 Y4 Y5 Y6 2 2 3 C(2,0) C(2,2) 0 4 4 0 6 6
Y1 Y2 Y3 Y4 Y5 Y6 2 2 4 C(2,1) 0 8 0 0 16 0
Y1 Y2 Y3 Y4 Y5 Y6 2 1 4 C(2,0) C(2,2) 2 2 0 8 8 0
Y1 Y2 Y3 Y4 Y5 Y6 2 2 4 C(2,1) 0 8 0 0 16 0
Y1 Y2 Y3 Y4 Y5 Y6 2 1 4 C(2,0) C(2,2) 2 2 0 8 8 0
Coefic.(): 6 34 16 22 72 18
Legenda:
(f) Comprimento de bloco ki = 7.

ni
NBDd = 7ei (1 ei )6 + 57e3i (1 ei )4 + 53e5i (1 ei )2 + 3e7i ; (C.16)
ki
PDO = 27ei (1 ei )6 + 133e3i (1 ei )4 + 77e5i (1 ei )2 + 3e7i ; (C.17)
ni
NT DO = (PDO )
ki
ni
27ei (1 ei )6 + 133e3i (1 ei )4 + 77e5i (1 ei )2 + 3e7i .

NT DO = (C.18)
ki
Ocorrncia de n mpar de
Comp. de cloco k = 7 bits BDd(parcial) PDo(parcial)
bits diferentes
Subtotal de bits
N de bits difer.
Possibilidades
a descartar
a descartar
parciais
( )
( )
( )
( )
( )
( )
( )
( )
( )
X1 X2 X3 X4 X5 X6 X7
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 2 3 C(3,1) C(3,3) 0 6 2 0 0 9 3 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 1 3 C(3,0) C(3,2) 1 3 0 0 3 9 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 3 3 C(3,1) C(3,3) 0 0 9 3 0 0 9 3
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 2 3 C(3,0) C(3,2) 0 2 6 0 0 3 9 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 2 4 C(3,1) C(3,3) 0 6 2 0 0 12 4 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 1 4 C(3,0) C(3,2) 1 3 0 0 4 12 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 2 4 C(3,1) C(3,3) 0 6 2 0 0 12 4 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 1 4 C(3,0) C(3,2) 1 3 0 0 4 12 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 3 4 C(2,1) 0 0 6 0 0 0 8 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 2 4 C(2,0) C(2,2) 0 2 2 0 0 4 4 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 2 4 C(2,1) 0 4 0 0 0 8 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 1 4 C(2,0) C(2,2) 1 1 0 0 4 4 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 3 4 C(2,1) 0 0 6 0 0 0 8 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 2 4 C(2,0) C(2,2) 0 2 2 0 0 4 4 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 2 4 C(2,1) 0 4 0 0 0 8 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 1 4 C(2,0) C(2,2) 1 1 0 0 4 4 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 3 4 C(2,1) 0 0 6 0 0 0 8 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 2 4 C(2,0) C(2,2) 0 2 2 0 0 4 4 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 2 4 C(2,1) 0 4 0 0 0 8 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 1 4 C(2,0) C(2,2) 1 1 0 0 4 4 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 3 4 C(2,1) 0 0 6 0 0 0 8 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 2 4 C(2,0) C(2,2) 0 2 2 0 0 4 4 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 2 4 C(2,1) 0 4 0 0 0 8 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 1 1 4 C(2,0) C(2,2) 1 1 0 0 4 4 0 0
Coefic.(): 7 57 53 3 27 133 77 3
Legenda:
(g) Comprimento de bloco ki = 8.

ni
NBDd = 8ei (1 ei )7 + 88e3i (1 ei )5 + 136e5i (1 ei )3 + 24e7i (1 ei ) ;(C.19)
ki
PDO = 32ei (1 ei )7 + 224e3i (1 ei )5 + 224e5i (1 ei )3 + 32e7i (1 ei ) ; (C.20)
ni
NT DO = (PDO ) (C.21)
ki
ni
32ei (1 ei )7 + 224e3i (1 ei )5 + 224e5i (1 ei )3 + 32e7i (1 ei ) .

NT DO =
ki
Ocorrncia de n mpar de
Comp. de Bloco k = 8 bits BDd(parcial) PDo(parcial)
Subtotal de bits a bits diferentes
N de bits difer. a
Possibilidades
descartar
descartar
parciais
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
X1 X2 X3 X4 X5 X6 X7 X8
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 8 2 4 C(3,1) C(3,3) 0 48 16 0 0 96 32 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 8 3 4 C(3,1) C(3,3) 0 0 72 24 0 0 96 32
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 8 1 4 C(3,0) C(3,2) 8 24 0 0 32 96 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 8 2 4 C(3,0) C(3,2) 0 16 48 0 0 32 96 0
Coefic.(): 8 88 136 24 32 224 224 32
Legenda:
(h) Comprimento de bloco ki = 9.

ni
NBDd = 9ei (1 ei )8 + 127e3i (1 ei )6 + 283e5i (1 ei )4 + 105e7i (1 ei )2
ki

+ 4e9i ; (C.22)
PDO = 38ei (1 ei )8 + 350e3i (1 ei )6 + 518e5i (1 ei )4 + 146e7i (1 ei )2 +
+ 4e9i ; (C.23)
ni ni
NT DO = (PDO ) = 38ei (1 ei )8 + 350e3i (1 ei )6 + 518e5i (1 ei )4 +
ki ki
+ 146e7i (1 ei )2 + 4e9i .

(C.24)
Comprimento de bloco k = 9 bits Ocorrncia de n mpar de bits diferentes BDd(parcial) PDo(parcial)
N de bits difer. a
Subtotal de bits
Possibilidades
a descartar
descartar
parciais
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
X1 X2 X3 X4 X5 X6 X7 X8 X9
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 4 2 4 C(4,1) C(4,3) 0 32 32 0 0 0 64 64 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 4 3 4 C(4,1) C(4,3) 0 0 48 48 0 0 0 64 64 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 4 1 4 C(4,0) C(4,2) C(4,4) 4 24 4 0 0 16 96 16 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 4 2 4 C(4,0) C(4,2) C(4,4) 0 8 48 8 0 0 16 96 16 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 2 2 4 C(2,1)*C(3,0) C(2,1)*C(3,2) 0 8 24 0 0 0 16 48 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 2 3 4 C(2,1)*C(3,1) C(2,1)*C(3,3) 0 0 36 12 0 0 0 48 16 0
C(2,0)*C(3,2) +
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 2 1 4 C(2,0)*C(3,0) C(2,2)*C(3,2) 2 8 6 0 0 8 32 24 0 0
C(2,2)*C(3,0)
C(2,0)*C(3,3) +
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 2 2 4 C(2,0)*C(3,1) C(2,2)*C(3,3) 0 12 16 4 0 0 24 32 8 0
C(2,2)*C(3,1)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 1 4 4 C(3,1) C(3,3) 0 0 0 12 4 0 0 0 12 4
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 1 3 4 C(3,0) C(3,2) 0 0 3 9 0 0 0 4 12 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 1 3 4 C(3,1) C(3,3) 0 0 9 3 0 0 0 12 4 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 1 2 4 C(3,0) C(3,2) 0 2 6 0 0 0 4 12 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 1 3 4 C(3,1) C(3,3) 0 0 9 3 0 0 0 12 4 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 1 2 4 C(3,0) C(3,2) 0 2 6 0 0 0 4 12 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 1 2 4 C(3,1) C(3,3) 0 6 2 0 0 0 12 4 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 1 1 4 C(3,0) C(3,2) 1 3 0 0 0 4 12 0 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 2 3 5 C(3,1) C(3,3) 0 0 18 6 0 0 0 30 10 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 2 2 5 C(3,0) C(3,2) 0 4 12 0 0 0 10 30 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 2 2 5 C(3,1) C(3,3) 0 12 4 0 0 0 30 10 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 2 1 5 C(3,0) C(3,2) 2 6 0 0 0 10 30 0 0 0
Coefic.(): 9 127 283 105 4 38 350 518 146 4
Legenda:
(j) Comprimento de bloco ki = 10. A partir da Tabela C.9 obtm-se as Equaes:
ni
NBDd = (10ei (1ei )9 +176e3i (1ei )7 +536e5i (1ei )5 +328e7i (1ei )3 +38e9i (1ei )) ; (C.25)
ki
PDO = 44ei (1ei )9 +524e3i (1ei )7 +1068e5i (1ei )5 +500e7i (1ei )3 +40e9i (1ei ) ; (C.26)
ni ni
NT DO = (PDO )= 44ei (1ei )9 +524e3i (1ei )7 +1068e5i (1ei )5 +500e7i (1ei )3 +
ki ki

+ 40e9i (1ei ) . (C.27)
Comprimento de Bloco k = 10 bits Ocorrncia de n mpar de bits dif. BDd(parcial) PDo(parcial)
Subtotal de bits a
N de bits difer. a
Possibilidades
descartar
descartar
parciais
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
X1 X2 X3 X4 X5 X6 X7 X8 X9 X10
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 4 3 4 0 0 96 96 0 0 0 128 128 0
C(4,2)*C(2,2) + C(4,2)* C(4,3)*C(2,0)+ C(4,1)*
C(4,3)*
C(4,4)*C(2,0) C(2,1) C(4,1)*C(2,2) C(2,1)
C(2,1)
C(4,1)*C(2,0)
C(4,3)*C(2,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 4 2 4 0 32 64 32 0 0 64 128 64 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 4 2 4 0 16 96 16 0 0 32 192 32 0
C(4,2)*C(2,0) + C(4,0)*
C(4,4)*
C(4,0)*C(2,2) C(2,1)
C(2,1)
C(4,0)*C(2,0)
C(4,1) C(4,3) C(4,4)*C(2,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 4 1 4 4 28 28 4 0 16 112 112 16 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 3 4 0 0 24 24 0 0 0 32 32 0
C(4,1)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 4 4 0 0 0 32 32 0 0 0 32 32
C(4,3)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 2 4 0 16 16 0 0 0 32 32 0 0
C(4,1)
C(4,2) C(4,4) C(4,1) C(4,3) C(4,2) C(4,4) C(4,1) C(4,3) C(4,2) C(4,4) C(4,0) C(4,2) C(4,1) C(4,3)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 3 4 0 0 24 24 0 0 0 32 32 0
C(4,2) C(4,4) C(4,3)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 2 4 0 4 24 4 0 0 8 48 8 0
C(4,0)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 3 4 0 0 6 36 6 0 0 8 48 8
C(4,4)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 1 4 2 12 2 0 0 8 48 8 0 0
C(4,0)
C(4,1) C(4,0) C(4,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 2 4 0 4 24 4 0 0 8 48 8 0
C(4,4)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 2 5 0 16 16 0 0 0 40 40 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 3 5 0 0 24 24 0 0 0 40 40 0
C(4,3)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 1 5 2 12 2 0 0 10 60 10 0 0
C(4,0)
C(4,1) C(4,0) C(4,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 2 5 0 4 24 4 0 0 10 60 10 0
C(4,4)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 2 5 0 16 16 0 0 0 40 40 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 3 5 0 0 24 24 0 0 0 40 40 0
C(4,3)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 1 5 2 12 2 0 0 10 60 10 0 0
C(4,0)
C(4,0) C(4,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 2 2 5 0 4 24 4 0 0 10 60 10 0
C(4,4)
Coefic.(): 10 176 536 328 38 44 524 1068 500 40

Legenda:
(l) Comprimento de bloco ki = 11. A partir da Tabela C.10 obtm-se as Equaes:
ni
NBDd = 11ei (1ei )10 +236e3i (1ei )8 +938e5i (1ei )6 +864e7i (1ei )4 +187e9i (1ei )2 +
ki

+ 4e11
i ; (C.28)
PDO = i ; (C.29)
50ei (1ei )10 +744e3i (1ei )8 +2048e5i (1ei )6 +1412e7i (1ei )4 +222e9i (1ei )2 +4e11
ni ni
ki ki

+ 222e9i (1ei )2 +4e11
i . (C.30)
(m) Comprimento de bloco ki = 12. A partir da Tabela C.11 obtm-se as Equaes:
ni
ki

+ 44e11
i (1ei ) ; (C.31)
PDO = 56ei (1ei )11 +1024e3i (1ei )9 +3648e5i (1ei )7 +3536e7i (1ei )5 +904e9i (1ei )3 +
+ 48e11
i (1ei ) ; (C.32)
ni ni
ki ki

+ 904e9i (1ei )3 +48e11
i (1ei ) . (C.33)
(n) Comprimento de bloco ki = 13. A partir da Tabela C.12 obtm-se as Equaes:
ni
ki

+ 277e11 2 13 ;
i (1ei ) +4ei (C.34)
PDO = 62ei (1ei )12 +1358e3i (1ei )10 +6064e5i (1ei )8 +7948e7i (1ei )6 +3182e9i (1ei )4 +
+ 326e11 2 13
i (1ei ) +4ei ; (C.35)
ni ni
NT DO = (PDO )= 62ei (1ei )12 +1358e3i (1ei )10 +6064e5i (1ei )8 +7948e7i (1ei )6 +3182e9i (1ei )4 +
ki ki

+ 326e11 2 13 .
i (1ei ) +4ei (C.36)
Subtotal de bits a
N de bits difer. a
Possibilidades
descartar
descartar
parciais
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
X1 X2 X3 X4 X5 X6 X7 X8 X9 X10 X11
( )
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 3 4 0 0 60 120 12 0 0 0 80 160 16 0
C(5,2)*C(2,2)+ C(5,2)* C(5,1)*C(2,2)+ C(5,1)*
C(5,4)* C(5,5)*C(2,0)+ C(5,3)*
C(5,5)*
C(5,4)*C(2,0) C(2,1) C(5,3)*C(2,0) C(2,1)
C(2,1) C(5,3)*C(2,2) C(2,1)
C(2,1)
C(5,1)*C(2,0)
C(5,5)*C(2,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 2 4 0 20 60 44 4 0 0 40 120 88 8 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 2 4 0 8 80 40 0 0 0 16 160 80 0 0
C(5,2)*C(2,0)+ C(5,0)*
C(5,0)*C(2,2) C(2,1)
C(5,0)*C(2,0)
C(5,4) C(5,4) C(5,2) C(5,5) C(5,3) C(5,3) C(5,1) C(5,4)*C(2,2)

Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 1 4 2 22 30 10 0 0 8 88 120 40 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 1 4 4 0 0 0 20 40 4 0 0 0 20 40 4
C(5,5) C(5,5) C(5,3)
C(5,5)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 1 3 4 0 0 15 30 3 0 0 0 20 40 4 0
C(5,4) C(5,2) C(5,3) C(5,1) C(5,4) C(5,2) C(5,2) C(5,0) C(5,3) C(5,1) C(5,1)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 1 3 4 0 0 15 30 3 0 0 0 20 40 4 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 1 2 4 0 10 20 2 0 0 0 20 40 4 0 0
C(5,1)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 1 3 4 0 0 3 30 15 0 0 0 4 40 20 0
C(5,4)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 1 2 4 0 2 20 10 0 0 0 4 40 20 0 0
C(5,2) C(5,0) C(5,0)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 1 2 4 0 2 20 10 0 0 0 4 40 20 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 1 1 4 1 10 5 0 0 0 4 40 20 0 0 0
C(5,0)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 3 5 0 0 30 60 6 0 0 0 50 100 10 0

C(5,4) C(5,5) C(5,3)
C(5,5)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 2 5 0 20 40 4 0 0 0 50 100 10 0 0

C(5,2) C(5,0) C(5,1)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 2 5 0 4 40 20 0 0 0 10 100 50 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 1 5 2 20 10 0 0 0 10 100 50 0 0 0

C(5,0)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 4 4 0 0 0 64 64 0 0 0 0 64 64 0
C(2,0)*C(4,4)+ C(2,0)*C(4,3)+ C(2,1)* C(2,1)* C(2,1)* C(2,1)*
C(2,1)* C(2,1)*
C(2,2)*C(4,2) C(2,2)*C(4,1) C(4,4) C(4,3) C(4,2) C(4,1)
C(4,4) C(4,3)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 3 4 0 0 12 72 12 0 0 0 16 96 16 0
C(2,1)* C(2,1)* C(2,1)*
C(4,2) C(4,1) C(4,0)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 3 4 0 0 48 48 0 0 0 0 64 64 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 2 4 0 8 48 8 0 0 0 16 96 16 0 0
C(2,1)*
C(4,0)
C(2,0)*C(4,1)
C(2,2)*C(4,3)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 3 4 0 0 24 48 24 0 0 0 32 64 32 0
C(2,0)*C(4,4)+ C(2,0)*C(4,3)+ C(2,1)* C(2,1)*C C(2,0)*C(4,4)+ C(2,0)*C(4,3)+ C(2,0)*C(4,2)+
C(2,2)*C(4,2) C(2,2)*C(4,1) C(4,2) (4,1) C(2,2)*C(4,2) C(2,2)*C(4,1) C(2,2)*C(4,0)
C(2,0)*C(4,0)
C(2,2)*C(4,4)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 2 4 0 4 28 28 4 0 0 8 56 56 8 0
C(2,0)*C(4,1)
C(2,2)*C(4,3)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 2 4 0 16 32 16 0 0 0 32 64 32 0 0
C(2,0)*C(4,2)+
C(2,2)*C(4,0)
C(2,0)*C(4,0)
C(2,2)*C(4,4)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 2 1 4 2 14 14 2 0 0 8 56 56 8 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 4 3 5 0 0 96 96 0 0 0 0 160 160 0 0

C(2,1)* C(2,1)*C
C(4,4) (4,3)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 4 2 5 0 16 96 16 0 0 0 40 240 40 0 0

C(2,1)*
C(4,0)
C(2,0)*C(4,1)
C(2,2)*C(4,4) C(2,2)*C(4,3)
Y2 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 4 2 5 0 32 64 32 0 0 0 80 160 80 0 0

C(2,2)*C(4,0)+
C(2,0)*C(4,0)
C(2,0)*C(4,2)
Y2 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 4 1 5 4 28 28 4 0 0 20 140 140 20 0 0
Coefic.(): 11 236 938 864 187 4 50 744 2048 1412 222 4

Legenda:
N de bits difer. a
Subtotal de bits
Possibilidades
a descartar
descartar
parciais
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
X1 X2 X3 X4 X5 X6 X7 X8 X9 X10 X11 X12
( )
C(5,3)*C(2,1) C(5,1)*C(2,1)
C(5,5)*C(2,1) C(5,3)*C(2,1)
C(5,5)*C(2,1)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 4 4 4 0 0 0 160 320 32 0 0 0 160 320 32
C(5,1)*C(2,0) C(5,1)*C(2,1)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 4 3 4 0 0 120 240 24 0 0 0 160 320 32 0
C(5,5)*C(2,0)+ C(5,3)*C(2,0)+
C(5,5)*C(2,0)+
C(5,3)*C(2,2) C(5,1)*C(2,2)
C(5,3)*C(2,2)
C(5,5)*C(2,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 4 3 4 0 0 60 180 132 12 0 0 80 240 176 16
C(5,3)*C(2,0)+
C(5,1)*C(2,0)
C(5,1)*C(2,2)
C(5,4)*C(2,1) C(5,5)*C(2,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 4 2 4 0 40 120 88 8 0 0 80 240 176 16 0
C(5,2)*C(2,1) C(5,0)*C(2,1)
C(5,4)*C(2,1) C(5,2)*C(2,1)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 4 3 4 C(5,0)*C(2,0) C(5,0)*C(2,1) 0 0 24 240 120 0 0 0 32 320 160 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 4 2 4 0 16 160 80 0 0 0 32 320 160 0 0

C(5,4)*C(2,0)+ C(5,2)*C(2,0)+
C(5,4)*C(2,0)+
C(5,2)*C(2,2) C(5,0)*C(2,2)
C(5,2)*C(2,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 4 2 4 C(5,4)*C(2,2) 0 8 88 120 40 0 0 16 176 240 80 0

C(5,2)*C(2,0)+
C(5,0)*C(2,0)
C(5,0)*C(2,2)
C(5,4)*C(2,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 4 1 4 4 44 60 20 0 0 16 176 240 80 0 0

C(5,1)*C(2,1)
C(5,3)*C(2,1)
C(5,5)*C(2,1)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 8 3 5 0 0 240 480 48 0 0 0 400 800 80 0

C(5,1)*C(2,2)+
C(5,5)*C(2,0)+
C(5,1)*C(2,0)
C(5,3)*C(2,0)
C(5,3)*C(2,2)
C(5,5)*C(2,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 8 2 5 0 80 240 176 16 0 0 200 600 440 40 0

C(5,0)*C(2,1)
C(5,2)*C(2,1)
C(5,4)*C(2,1)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 8 2 5 0 32 320 160 0 0 0 80 800 400 0 0

C(5,2)*C(2,0)+
C(5,4)*C(2,0)+
C(5,0)*C(2,0)
C(5,0)*C(2,2)
C(5,2)*C(2,2)
C(5,4)*C(2,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 8 1 5 8 88 120 40 0 0 40 440 600 200 0 0
Coefic.(): 12 308 1552 1984 708 44 56 1024 3648 3536 904 48

Legenda:
N de bits difer. a
Subtotal de bits
Possibilidades
a descartar
descartar
parciais
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
X1 X2 X3 X4 X5 X6 X7 X8 X9 X10 X11 X12 X13
( )
( )
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 2 4 4 0 0 0 96 320 96 0 0 0 0 96 320 96 0
C(6,6)*C(2,0)+ C(6,4) * C(6,5)*C(2,0)+ C(6,3) * C(6,6)*C(2,0)+ C(6,4)*C(2,0)+ C(6,4) * C(6,2) * C(6,5)*C(2,0)+ C(6,3)*C(2,0)+ C(6,3) * C(6,1) *
C(6,5)*C(2,0)+ C(6,5) * C(6,3) *
C(6,5) *
C(6,4)*C(2,2) C(2,1) C(6,3)*C(2,2) C(2,1) C(6,4)*C(2,2) C(6,2)*C(2,2) C(2,1) C(2,1) C(6,3)*C(2,2) C(6,1)*C(2,2) C(2,1) C(2,1)
C(6,3)*C(2,2) C(2,1) C(2,1)
C(2,1)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 2 3 4 0 0 72 240 72 0 0 0 0 96 320 96 0 0
C(6,1) *
C(2,1)
C(6,1)*C(2,0)
C(6,5)*C(2,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 2 3 4 0 0 36 156 156 36 0 0 0 48 208 208 48 0
C(6,4)*C(2,0)+ C(6,2) * C(6,3)*C(2,0)+ C(6,1) * C(6,4)*C(2,0)+ C(6,2)*C(2,0)+ C(6,2) * C(6,0) * C(6,3)*C(2,0)+

C(6,1)*C(2,0)
C(6,2)*C(2,2) C(2,1) C(6,1)*C(2,2) C(2,1) C(6,2)*C(2,2) C(6,0)*C(2,2) C(2,1) C(2,1) C(6,1)*C(2,2)
C(6,5)*C(2,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 2 2 4 0 24 104 104 24 0 0 0 48 208 208 48 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 2 3 4 0 0 12 180 180 12 0 0 0 16 240 240 16 0
C(6,6)*C(2,0)+ C(6,6) * C(6,4) *
C(6,6) *
C(6,4)*C(2,2) C(2,1) C(2,1)
C(2,1)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 2 2 4 0 8 120 120 8 0 0 0 16 240 240 16 0 0
C(6,0) *
C(2,1)
C(6,0)*C(2,0)
C(6,6)*C(2,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 2 2 4 0 4 64 120 64 4 0 0 8 128 240 128 8 0
C(6,2)*C(2,0)+
C(6,0)*C(2,0)
C(6,0)*C(2,2)
C(6,6)*C(2,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 2 1 4 2 32 60 32 2 0 0 8 128 240 128 8 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 4 3 5 0 0 144 480 144 0 0 0 0 240 800 240 0 0
C(6,5) *
C(2,1)
C(6,1)*C(2,0)
C(6,5)*C(2,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 4 2 5 0 48 208 208 48 0 0 0 120 520 520 120 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 4 2 5 0 16 240 240 16 0 0 0 40 600 600 40 0 0

C(6,2)*C(2,0)+ C(6,0) *
C(6,6) *
C(6,0)*C(2,2) C(2,1)
C(2,1)
C(6,0)*C(2,0)
C(6,6)*C(2,2)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 4 1 5 4 64 120 64 4 0 0 20 320 600 320 20 0 0
C(3,3)*C(5,3)+ C(3,3)*C(5,2)+ C(3,3)*C(5,1)+
C(3,3)*C(5,3)+
C(3,1)*C(5,1)
C(3,1)*C(5,5) C(3,1)*C(5,4) C(3,1)*C(5,3)
C(3,1)*C(5,5)
C(3,3)*C(5,5)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 1 4 4 0 0 0 60 140 52 4 0 0 0 60 140 52 4
C(3,2)*C(5,3)+ C(3,2)*C(5,2)+ C(3,2)*C(5,1)+ C(3,3)*C(5,2)+ C(3,3)*C(5,1)+ C(3,3)*C(5,0)+
C(3,1)*C(5,1) C(3,1)*C(5,0)
C(3,0)*C(5,5) C(3,0)*C(5,4) C(3,0)*C(5,3) C(3,1)*C(5,4) C(3,1)*C(5,3) C(3,1)*C(5,2)
C(3,3)*C(5,5) C(3,3)*C(5,4)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 1 3 4 0 0 9 93 75 15 0 0 0 12 124 100 20 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 1 3 4 0 0 45 105 39 3 0 0 0 60 140 52 4 0

C(3,3)*C(5,0)+
C(3,1)*C(5,0)
C(3,1)*C(5,2)
C(3,3)*C(5,4)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 1 2 4 0 6 62 50 10 0 0 0 12 124 100 20 0 0

C(3,2)*C(5,3)+
C(3,0)*C(5,1)
C(3,0)*C(5,5)
C(3,2)*C(5,5)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 1 3 4 0 0 15 75 93 9 0 0 0 20 100 124 12 0

C(3,2)*C(5,2)+ C(3,2)*C(5,1)+ C(3,2)*C(5,0)+
C(3,0)*C(5,1) C(3,0)*C(5,0)
C(3,0)*C(5,4) C(3,0)*C(5,3) C(3,0)*C(5,2)
C(3,2)*C(5,5) C(3,2)*C(5,4)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 1 2 4 0 2 26 70 30 0 0 0 4 52 140 60 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 1 2 4 0 10 50 62 6 0 0 0 20 100 124 12 0 0

C(3,2)*C(5,0)+
C(3,0)*C(5,0)
C(3,0)*C(5,2)
C(3,2)*C(5,4)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 1 1 4 1 13 35 15 0 0 0 4 52 140 60 0 0 0

C(3,2)*C(5,3)+ C(3,3)*C(5,2)+ C(3,3)*C(5,1)+
C(3,3)*C(5,3)+
C(3,1)*C(5,1)
C(3,0)*C(5,5) C(3,1)*C(5,4) C(3,1)*C(5,3)
C(3,1)*C(5,5)
C(3,3)*C(5,5)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 2 3 5 0 0 90 210 78 6 0 0 0 150 350 130 10 0

C(3,2)*C(5,2)+ C(3,2)*C(5,1)+ C(3,3)*C(5,0)+
C(3,0)*C(5,1) C(3,1)*C(5,0)
C(3,0)*C(5,4) C(3,0)*C(5,3) C(3,1)*C(5,2)
C(3,2)*C(5,5) C(3,3)*C(5,4)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 2 2 5 0 12 124 100 20 0 0 0 30 310 250 50 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 2 2 5 0 20 100 124 12 0 0 0 50 250 310 30 0 0

C(3,2)*C(5,0)+
C(3,0)*C(5,0)
C(3,0)*C(5,2)
C(3,2)*C(5,4)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 2 1 5 2 26 70 30 0 0 0 10 130 350 150 0 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 4 4 5 0 0 0 160 320 32 0 0 0 0 200 400 40 0

C(2,0)*C(5,5)+ C(2,1) * C(2,1) * C(2,0)*C(5,4)+ C(2,0)*C(5,3)+ C(2,1) * C(2,1) *
C(2,0)*C(5,5)+ C(2,1) * C(2,1) *
C(2,1) *
C(2,2)*C(5,3) C(5,4) C(5,3) C(2,2)*C(5,2) C(2,2)*C(5,1) C(5,2) C(5,1)
C(2,2)*C(5,3) C(5,4) C(5,3)
C(5,5)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 4 3 5 0 0 24 240 120 0 0 0 0 40 400 200 0 0

C(2,1) *
C(5,0)
C(2,0)*C(5,1)
C(2,2)*C(5,5)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 4 3 5 0 0 60 180 132 12 0 0 0 100 300 220 20 0

C(2,0)*C(5,4)+ C(2,0)*C(5,3)+ C(2,1) * C(2,1) * C(2,0)*C(5,2)+
C(2,0)*C(5,0)
C(2,2)*C(5,2) C(2,2)*C(5,1) C(5,2) C(5,1) C(2,2)*C(5,0)
C(2,2)*C(5,4)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 4 2 5 0 8 88 120 40 0 0 0 20 220 300 100 0 0
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 4 3 5 0 0 120 240 24 0 0 0 0 200 400 40 0 0

C(2,1) *
C(5,5)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 4 2 5 0 16 160 80 0 0 0 0 40 400 200 0 0 0

C(2,1) *
C(5,0)
C(2,0)*C(5,1)
C(2,2)*C(5,5)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 4 2 5 0 40 120 88 8 0 0 0 100 300 220 20 0 0

C(2,0)*C(5,2)+
C(2,0)*C(5,0)
C(2,2)*C(5,0)
C(2,2)*C(5,4)
Y1 Y2 Y3 Y4 Y5 Y6 Y7 Y8 Y9 Y10 Y11 Y12 Y13 4 1 5 4 44 60 20 0 0 0 20 220 300 100 0 0 0
Legenda: Ver Tabelas anteriores Coefic.(): 13 393 2438 4162 2185 277 4 62 1358 6064 7948 3182 326 4
A PNDICE D
Probabilidade de Um Bloco do Algoritmo

de Reconciliao Possuir Nmero mpar
de bits Diferentes
Um algoritmo de reconciliao da informao por discusso pblica normalmente baseia-

se na troca de informaes de paridades de blocos de bits pelo canal de comunicao e, a partir
do teste de paridade, executado um algoritmo que ao final permita obter duas sequncias sem
erros de bit. Entretanto, o teste de paridade entre dois blocos s difere quando os bits diferen-
tes destes blocos ocorrem em nmero mpar de vezes. A seguir, ser estimado analiticamente
a probabilidade de um bloco k (o ndice i foi omitido para simplificao de nomenclatura) de
uma sequncia X (i) possuir nmero mpar de bits diferentes em relao ao mesmo bloco de uma
sequncia Y (i) .
Seja:
i : passo do protocolo de reconciliao da informao (RI (i) {RI (1) , RI (2) , RI (3) , RI (4) });
i {1, 2, 3, 4};
X (i) e Y (i) : sequncias de bits iniciais da etiqueta (T , Tag) e leitor (R, Read),
respectivamente, no passo i. |X (i) | = |Y (i) | ;
Em cada passo i, X (i) e Y (i) so divididos em blocos com comprimento k;
Proposio: Dadas duas sequncias X (i) e Y (i) com comprimento n, cuja taxa de erro por
bit entre elas e, divide-se estas duas sequncias em j blocos de comprimento k, com
j = (1, 2, ..., n/k). Ento, a probabilidade de um bloco j com comprimento k de X (i) possuir
nmero mpar de bits diferentes em relao ao bloco j de Y (i) , (k, e)
1 (1 2e)k
(k, e) = . (D.1)
2
Probabilidade de Um Bloco do Algoritmo de Reconciliao Possuir Nmero mpar de bits Diferentes 159
Consideraes:
a) Os erros so uniformemente distribudos no incio do protocolo.
b) No incio de cada passo i, uma permutao i escolhida aletoriamente entre todas as bi-
jees de {1, ..., n} e aplicada s sequncias iniciais a reconciliar. Desta forma, legtimo
considerar que os erros continuaro uniformemente distribudos entre as sequncias de bits em
cada passo.
Prova:
Seja Ir uma varivel aleatria de Bernoulli1 indicadora de erro na posio r em um

bloco de comprimento k de uma sequncia X (i) da etiqueta T em comparao com o bloco da
sequncia Y (i) do leitor R.
*
Ir = 1 ocorre um erro de bit.
Ir = 0 ocorre um acerto de bit.
Assim, a distribuio de probabilidade de Ir dada por:
*
P {Ir = 1} = e, 0 e 1.
(D.2)
P {Ir = 0} = 1 e.
O valor esperado de Ir
E [Ir ] = 1 P {Ir = 1} + 0 P {Ir = 0} = e . (D.3)
Define-se a varivel aleatria Sk como sendo o nmero de erros de bits entre elementos
de um bloco de comprimento k de duas sequncias X (i) e Y (i) de T e R, respectivamente.
k
Assim, Sk , Ir .
r=1
Para um bloco formado por uma sequncia de bits de comprimento k, cuja probabili-
dade de erro de 1 bit igual a e, a varivel aleatria Sk tem uma distribuio binomial com
parmetros (k, e) dada por:

k l
P {Sk = l} = e (1 e)kl , l = 0, 1, 2, ..., k . (D.4)
l
Em que l o nmero de ocorrncia de erros no bloco e o termo kl

representa o nmero de
possibilidades de ocorrer l erros em um bloco de comprimento k.
Sabendo-se que o teste de paridade s detecta nmero mpar de erros de bits, ento,
deseja-se calcular qual a probabilidade de Sk ser mpar.
1 James Bernoulli, matemtico suo do sculo XVII.
Seja k a probabilidade de Sk ser mpar, ento
k , P[ Sk ser mpar, para B(k, e)] , (D.5)
em que B(k, e) uma distribuio binomial com parmetros k e e definida na Equao D.4.
Uma estratgia para obter a expresso da probabilidade de ocorrer um nmero mpar de
erros em um bloco de comprimento k, usar uma equao de diferenas, que pode ser montada
por induo em k, vista a seguir.
Para ocorrer um nico erro de bit (Equao D.2),
1 = e . (D.6)
Para a observao do bit k + 1, a probabilidade de Sk+1 ser mpar , Sk ter sido mpar
(P[Sk ] = k ) e no ocorrer erro no bit seguinte (Ik+1 = 0); ou Sk ter sido par (P[Sk ] = 1 k ) e
ocorrer erro no bit seguinte (Ik+1 = 1). Ento
k+1 = k (1 e) + (1 k ) e , (D.7)
k+1 (1 2e)k e = 0 . (D.8)
A soluo geral da equao de diferena no homognea (D.8) formada pela soma da soluo
para a equao homognea com a soluo particular para a equao no homognea,
k = kh + kp . (D.9)
a) Soluo para equao homognea, kh .

Esta soluo encontrada pelo mtodo da equao caracterstica.
h
k+1 (1 2e)kh = 0 . (D.10)
Suponha a seguinte soluo para a equao homognea (D.10),
kh = qk , (D.11)
cujo parmetro q deseja-se encontrar. Assim, (D.11) em (D.10) tem-se
qk+1 (1 2e)qk = 0 , (D.12)
com solues: *
q= 0 ,
q (D.13)
q = (1 2e) .
assim,
kh = (1 2e)k . (D.14)
b) Soluo particular para a equao no homognea.

Utilizando o mtodo dos coeficientes a determinar, suponha a seguinte soluo particular:
kp = Akh + B , (D.15)
kp = A(1 2e)k + B , (D.16)
(D.16) em (D.8)
A(1 2e)k+1 + B [A(1 2e)k + B][1 2e] e = 0 ,

1
B = . (D.17)
2
Aplicando (D.17) em (D.16) e em seguida, juntamente com (D.14), aplicando em (D.9),
1
k = (1 2e)k + A(1 2e)k + , (D.18)
2
para k = 1,
1
1 = (1 2e)1 + A(1 2e)1 + =e ,
2
3
A= . (D.19)
2
Substituindo (D.19) em (D.18), obtem-se a probabilidade (k, e) de um bloco de com-

primento k, pertencente a uma sequncia X (i) , possuir um no mpar de bits diferentes, em relao
a um bloco de outra sequncia Y (i) , dado que a taxa de erro por bit entre X (i) e Y (i) e. Ento,
1 (1 2e)k
(k, e) = , c.q.d. (D.20)
2
A PNDICE E
Biografia e Publicaes
Marcus Vinicius C. Rodrigues nasceu em Recife, Pernambuco, em 17 de setembro de

1963, e Professor do Instituto Federal de Educao, Cincia e Tecnologia de Pernambuco
(IFPE), desde 1986. Tcnico em telecomunicaes pela Escola Tcnica Federal de Pernam-
buco, em 1984. Graduado em Engenharia Eltrica, modalidade Eletrnica em 1988, pela Uni-
versidade Federal de Pernambuco (UFPE). Mestre em Engenharia Eltrica pela Universidade
Federal de Campina Grande (UFCG), em 2010. Atualmente aluno do doutorado em Enge-
nharia Eltrica pela UFCG. Tem experincia e interesse na rea de Engenharia Eltrica, com
nfase em Eletrnica, Telecomunicaes e Teoria da Informao, atuando principalmente nos
seguintes temas: Sistemas de telefonia e telecomunicaes, Sistemas de segurana, Sistemas
cripto-biomtricos com especial enfoque em biometria da ris e Sistemas RFID.
As principais publicaes do autor esto listadas a seguir.
1. Marcus V. C. Rodrigues, Felippe T. Angelo, Felipe M. Masculo, Francisco M. de Assis e

Bruno B. Albert. Iris feature extraction using optimized method of selecting points with
less occlusion. In: XXXIV Simpsio Brasileiro de Telecomunicaes e Processamento
de Sinais (SBrT16), SantarmPA. (Submitted in 19-Abr-2016)
2. Marcus V. C. Rodrigues, Francisco M. de Assis, Bruno B. Albert. Analysis of a biometrics-

based secret key agreement by public discussion. IET Information Security Journal.
(Submitted in 20-jan-2016)
3. Marcus V. C. Rodrigues, F. M. Masculo, F. M. De Assis, and B. B. Albert, Biometrics-

based secret key agreement by public discussion with RFID system,. In Cyberworlds
(CW), 2014 International Conference on. IEEE, 2014, pp. 313318, Santander-Espanha.
4. Marcus V. C. Rodrigues. Controle de Acesso por Biometria e Etiquetas RFID. In:

Encontro Anual do Iecom em Comunicaes, Redes e CriptografiaENCOM13, 2013,
Recife-PE.
Biografia e Publicaes 163
5. Marcus V. C. Rodrigues, B. B. Albert e F. M. de Assis. Protocolo de Autenticao para

Sistemas RFID com Baixo Custo Computacional. In: XXIX Simpsio Brasileiro de
Telecomunicaes (SBrT11), 2011, CuritibaPR.
Referncias Bibliogrficas
[1] Anil K. Jain, K. Nandakumar, and A. Nagar. Biometric template security. EURASIP
Journal on Advances in Signal Processing, 2008(11):A1A17, 2008.
[2] S. Kanade, D. Petrovska-Delacretaz, and B. Dorizzi. Enhancing Information Security

and Privacy by Combining Biometrics with Cryptography. Morgan & Claypool Pu-
blishers, 2012.
[3] Philippe C. Cattin. Biometric Authentication System Using Human Gait. PhD thesis,
Swiss Federal Institute of Technology, 2002.
[4] John G. Daugman. High confidence visual recognition of persons by a test of statis-
tical independence. IEEE Transactions on Pattern Analysis and Machine Intelligence,
15(11):11481161, 1993.
[5] R. L. Rivest, A. Shamir, and L. Adleman. A method for obtaining digital signatures and
public-key cryptosystems. Communications of the ACM, 21(2):120126, 1978.
[6] B. Preneel, C. Paar, and J. Pelzl. Understanding Cryptography: A Textbook for Students
and Practitioners. Springer, 2009.
[7] J. Daemen and V. Rijmen. The Design of Rijndael: AES-The Advanced Encryption
Standard. Springer, 2002.
[8] DES Encryption Standard. National Bureau of Standards (US). Federal Information
Processing Standards Publication, vol. 46, 1997.
[9] NIST Special Publication 800-78-4. Cryptographic algorithms and key sizes for personal
identity verification. http://dx.doi.org/10.6028/NIST.SP.800-78-4, May 2015, accessed
29 December 2015.
[10] I-En Liao, Cheng-Chi Lee, and Min-Shiang Hwang. A password authentication scheme
over insecure networks. Journal of Computer and System Sciences, 72(4):727740, 2006.
[11] R. Song. Advanced smart card based password authentication protocol. Computer Stan-
dards & Interfaces, 32(5):321325, 2010.
165
[12] C. Rathgeb and A. Uhl. A survey on biometric cryptosystems and cancelable biometrics.
EURASIP Journal on Information Security, 2011(1):125, 2011.
[13] S. Kanade, D. Camara, E. Krichen, D. Petrovska-Delacretaz, and Bernadette Dorizzi.

Three factor scheme for biometric-based cryptographic key regeneration using iris. In
Biometrics Symposium, pages 5964. IEEE, 2008.
[14] D. P. Camara, J. S. Lemos Neto, and V. C Rocha Jr. Multi-instance based cryptographic
key regeneration system. Journal of Communication and Information Systems, 29(1),
2014.
[15] C. H. Bennett, F. Bessette, G. Brassard, L. Salvail, and J. Smolin. Experimental quantum

cryptography. Journal of cryptology, 5(1):328, 1992.
[16] G. Brassard and L. Salvail. Secret-key reconciliation by public discussion. In Advances

in Cryptology-EUROCRYPT93, volume 765, pages 410423. Springer, 1994.
[17] S. Liu, H. C. A. Van Tilborg, and M. Van Dijk. A practical protocol for advantage
distillation and information reconciliation. Designs, Codes and Cryptography, 30(1):39
62, 2003.
[18] K. W. Bowyer and P. J. Flynn. The ND-IRIS-0405 iris image dataset. Notre Dame CVRL
Technical Report, 2009.
[19] S. Kanade, D. Camara, D. Petrovska-Delacrtaz, and B. Dorizzi. Application of bio-

metrics to obtain high entropy cryptographic keys. Proceedings of World Academy on
Science, Engineering, and Technology, Hong Kong, 52, 2009.
[20] C. H. Bennett, G. Brassard, and J. M. Robert. How to reduce your enemys information.
In Advances in Cryptology-CRYPTO85 Proceedings, pages 468476. Springer, 1986.
[21] C. H. Bennett, G. Brassard, and J. M. Robert. Privacy amplification by public discussion.

SIAM Journal on Computing, 17(2):210229, 1988.
[22] R. Ahlswede and I. Csiszar. Common randomness in information theory and crypto-
graphy. I. Secret sharing. IEEE Transactions on Information Theory, 39(4):11211132,
1993.
[23] Ueli M. Maurer. Secret key agreement by public discussion from common information.
IEEE Transactions on Information Theory, 39(3):733742, 1993.
[24] C. H. Bennett. Quantum cryptography: Public key distribution and coin tossing. In
International Conference on Computer System and Signal Processing, IEEE, 1984, pages
175179, 1984.
166
[25] U. M. Maurer. Protocols for secret key agreement by public discussion based on common
information. In Advances in Cryptology-CRYPTO92, pages 461470. Springer, 1993.
[26] M. J. Gander and U. M. Maurer. On the secret-key rate of binary random variables. In
Proceedings on Symposium IEEE International Information Theory, 1994.
[27] G. Van Assche and C. Nicolas. Information-Theoretic Aspects of Quantum Key Distribu-
tion. PhD thesis, Universit Libre de Bruxelles, 2005.
[28] K. Yamazaki, M. Osaki, and O. Hirota. On reconciliation of discrepant sequences shared

through quantum mechanical channels. In Information Security, pages 345356. Sprin-
ger, 1997.
[29] S. Liu. Information-Theoretic Secret Key Agreement. PhD thesis, Technische Universiteit
Eindhoven, 2002.
[30] E. Furukawa and K. Yamazaki. Application of existing perfect code to secret key recon-
ciliation. In ISCIT 2001, International Symposium on Communications and Information
Technologies, pages 397400, 2001.
[31] W. T. Buttler, S. K. Lamoreaux, J. R. Torgerson, G. H. Nickel, C. H. Donahue, and C. G.

Peterson. Fast, efficient error reconciliation for quantum cryptography. Phys. Rev. A,
67:052303, May 2003.
[32] C. Rathgeb, A. Uhl, and P. Wild. Iris Biometrics: From Segmentation to Template Secu-
rity, volume 59. Springer Science & Business Media, 2012.
[33] G. I. Davida, Y. Frankel, and B. J. Matt. On enabling secure applications through off-
line biometric identification. In Security and Privacy, 1998. Proceedings. 1998 IEEE
Symposium, pages 148157. IEEE, 1998.
[34] G. I. Davida, Y. Frankel, B. Matt, and R. Peralta. On the relation of error correction and
crypto raphy to an o ine biometric based identification scheme. In Proceedings of the
Workshop on Codes and Crypto raphy 1999. Citeseer, 1998.
[35] H. C. Van Tilborg and S. Jajodia. Encyclopedia of Cryptography and Security. Springer
Science & Business Media, 2014.
[36] Raffaele Cappelli, Alessandra Lumini, Dario Maio, and Davide Maltoni. Can fingerprints
be reconstructed from ISO templates? In 9th International Conference on Control, Au-
tomation, Robotics and Vision, ICARCV06, pages 16. IEEE, 2006.
[37] Raffaele Cappelli, Dario Maio, Alessandra Lumini, and Davide Maltoni. Fingerprint
image reconstruction from standard templates. IEEE Transactions on Pattern Analysis
and Machine Intelligence, 29(9):14891503, 2007.
167
[38] Arun Ross, Jidnya Shah, and Anil K. Jain. From template to image: Reconstructing
fingerprints from minutiae points. IEEE Transactions on Pattern Analysis and Machine
Intelligence, 29(4):544560, 2007.
[39] Davide Maltoni, Dario Maio, Anil K. Jain, and Salil Prabhakar. Handbook of Fingerprint
Recognition. Springer, 2009.
[40] Patrizio Campisi. Security and Privacy in Biometrics. Springer, 2013.
[41] Andrew Teoh Beng Jin, David Ngo Chek Ling, and Alwyn Goh. Biohashing: Two
factor authentication featuring fingerprint data and tokenised random number. Pattern
recognition, 37(11):22452255, 2004.
[42] Tee Connie, Andrew Teoh, Michael Goh, and David Ngo. PalmHashing: A novel
approach for cancelable biometrics. Information Processing Letters, 93(1):15, 2005.
[43] Adams Kong, King-Hong Cheung, David Zhang, Mohamed Kamel, and Jane You. An
analysis of biohashing and its variants. Pattern Recognition, 39(7):13591368, 2006.
[44] Andrew Teoh, Beng Jin, Tee Connie, David Ngo, and Chek Ling. Remarks on biohash
and its mathematical foundation. Information Processing Letters, 100(4):145150, 2006.
[45] Andrew B.J. Teoh, Alwyn Goh, and David C.L. Ngo. Random multispace quantization
as an analytic mechanism for biohashing of biometric and random identity inputs. IEEE
Transactions on Pattern Analysis and Machine Intelligence, 28(12):18921901, 2006.
[46] Chong Chin Siew, Andrew Beng Jin Teoh, and David Chek Ling Ngo. High security
iris verification system based on random secret integration. Computer Vision and Image
Understanding, 102(2):169177, 2006.
[47] Jinyu Zuo, Nalini K. Ratha, and Jonathan H. Connell. Cancelable iris biometric. In 19th
International Conference on Pattern Recognition, 2008. ICPR 2008., pages 14. IEEE,
2008.
[48] Yagiz Sutcu, Husrev Taha Sencar, and Nasir Memon. A secure biometric authentication
scheme based on robust hashing. In Proceedings of the 7th Workshop on Multimedia and
Security, pages 111116. ACM, 2005.
[49] Bian Yang, Christoph Busch, Patrick Bours, and Davrondzhon Gafurov. Robust minu-
tiae hash for fingerprint template protection. In IS&T/SPIE Electronic Imaging, pages
75410R75410R. International Society for Optics and Photonics, 2010.
[50] Nalini K. Ratha, Jonathan H. Connell, and Ruud M. Bolle. Enhancing security and
privacy in biometrics-based authentication systems. IBM systems Journal, 40(3):614
634, 2001.
168
[51] Ruud M. Bolle, Jonathan H. Connell, and Nalini K. Ratha. Biometric perils and patches.
Pattern Recognition, 35(12):27272738, 2002.
[52] Nalini K. Ratha, Sharat Chikkerur, Jonathan H. Connell, and Ruud M. Bolle. Generating
cancelable fingerprint templates. IEEE Transactions on Pattern Analysis and Machine
Intelligence, 29(4):561572, 2007.
[53] Pim Tuyls, Boris koric, and Tom Kevenaar. Security with noisy data: on private bio-
metrics, secure key storage and anti-counterfeiting. Springer Science & Business Media,
2007.
[54] Terrance E. Boult, Walter J. Scheirer, and Robert Woodworth. Revocable fingerprint bi-
otokens: Accuracy and security analysis. In Conference on Computer Vision and Pattern
Recognition, 2007. CVPR07, pages 18. IEEE, 2007.
[55] Karthik Nandakumar, Abhishek Nagar, and Anil K. Jain. Hardening fingerprint fuzzy
vault using password. In Advances in Biometrics, pages 927937. Springer, 2007.
[56] Xavier Boyen. Reusable cryptographic fuzzy extractors. In Proceedings of the 11th ACM
Conference on Computer and Communications Security, pages 8291. ACM, 2004.
[57] Ari Juels and Martin Wattenberg. A fuzzy commitment scheme. In Proceedings of the
6th ACM Conference on Computer and Communications Security, pages 2836. ACM,
1999.
[58] Ari Juels and Madhu Sudan. A fuzzy vault scheme. Codes and Cryptography Designs,
38(2):237257, 2006.
[59] T. Charles Clancy, Negar Kiyavash, and Dennis J. Lin. Secure smartcard-based finger-
print authentication. In Proceedings of the 2003 ACM SIGMM workshop on Biometrics
methods and applications, pages 4552. ACM, 2003.
[60] Shenglin Yang and Ingrid Verbauwhede. Automatic secure fingerprint verification system
based on fuzzy vault scheme. In Proceedings in Acoustics, Speech, and Signal 2005.
(ICASSP05). IEEE International Conference, volume 5, pages v609. IEEE, 2005.
[61] Yongwha Chung, Daesung Moon, Sungju Lee, Seunghwan Jung, Taehae Kim, and Do-
sung Ahn. Automatic alignment of fingerprint features for fuzzy fingerprint vault. In
Information Security and Cryptology, pages 358369. Springer, 2005.
[62] Umut Uludag and Anil Jain. Securing fingerprint template: Fuzzy vault with helper
data. In Conference on Computer Vision and Pattern Recognition Workshop, 2006. CV-
PRW06, pages 163163. IEEE, 2006.
169
[63] Abhishek Nagar and Santanu Chaudhury. Biometrics based asymmetric cryptosystem
design using modified fuzzy vault scheme. In 18th International Conference on Pattern
Recognition, 2006. ICPR 2006, volume 4, pages 537540. IEEE.
[64] Youn Joo Lee, Kwanghyuk Bae, Sung Joo Lee, Kang Ryoung Park, and Jaihie Kim.
Biometric key binding: Fuzzy vault based on iris images. In Advances in Biometrics,
pages 800808. Springer, 2007.
[65] Yi Cheng Feng and Pong C Yuen. Protecting face biometric data on smartcard with reed-
solomon code. In Conference on Computer Vision and Pattern Recognition Workshop,
2006. CVPRW06, pages 2929. IEEE, 2006.
[66] M Freire-Santos, J Fierrez-Aguilar, and Javier Ortega-Garca. Cryptographic key gene-

ration using handwritten signature. In Defense and Security Symposium, pages 62020N
62020N. International Society for Optics and Photonics, 2006.
[67] Fabian Monrose, Michael K Reiter, and Susanne Wetzel. Password hardening based on
keystroke dynamics. International Journal of Information Security, 1(2):6983, 2002.
[68] Yuo-Jen Chang, Wende Zhang, and Tsiihun Chen. Biometrics-based cryptographic key
generation. In 2004 IEEE International Conference on Multimedia and Expo, 2004.
ICME04, volume 3, pages 22032206. IEEE, 2004.
[69] Clam Vielhauer, Ralf Steinmetz, and Astrid Mayerhfer. Biometric hash based on statis-
tical features of online signatures. In 16th International Conference on Pattern Recogni-
tion, 2002. Proceedings, volume 1, pages 123126. IEEE, 2002.
[70] Yevgeniy Dodis, Leonid Reyzin, and Adam Smith. Fuzzy extractors: How to generate
strong keys from biometrics and other noisy data. In Advances in Cryptology-Eurocrypt
2004, pages 523540. Springer, 2004.
[71] Yevgeniy Dodis, Rafail Ostrovsky, Leonid Reyzin, and Adam Smith. Fuzzy extrac-
tors: How to generate strong keys from biometrics and other noisy data. Advances in
Cryptology-EUROCRYPT 2005, pages 523540, 2005.
[72] Arathi Arakala, Jason Jeffers, and KJ Horadam. Fuzzy extractors for minutiae-based
fingerprint authentication. In Advances in Biometrics, pages 760769. Springer, 2007.
[73] Xuebing Zhou. Template protection and its implementation in 3d face recognition sys-
tems. In Defense and Security Symposium, pages 65390L65390L. International Society
for Optics and Photonics, 2007.
[74] Abhishek Nagar, Karthik Nandakumar, and Anil K. Jain. Multibiometric cryptosystems
based on feature-level fusion. IEEE Transactions on Information Forensics and Security,
7(1):255268, 2012.
170
[75] Alessandra Lumini and Loris Nanni. An improved biohashing for human authentication.
Pattern recognition, 40(3):10571065, 2007.
[76] T. Boult. Robust distance measures for face-recognition supporting revocable biometric
tokens. 2013 10th IEEE International Conference and Workshops on Automatic Face
and Gesture Recognition (FG), 0:560566, 2006.
[77] C. Rathgeb, F. Breitinger, and C. Busch. Alignment-free cancelable iris biometric tem-
plates based on adaptive bloom filters. In Biometrics (ICB), 2013 International Confe-
rence, pages 18. IEEE, 2013.
[78] C. Rathgeb, F. Breitinger, C. Busch, and H. Baier. On application of bloom filters to iris
biometrics. IET Biometrics, 3(4):207218, 2014.
[79] Yukio Itakura and Shigeo Tsujii. Proposal on a multifactor biometric authentication
method based on cryptosystem keys containing biometric signatures. International Jour-
nal of Information Security, 4(4):288296, 2005.
[80] Fabian Monrose, Michael K Reiter, Qi Li, and Susanne Wetzel. Cryptographic key gene-
ration from voice. In 2001 IEEE Symposium on Security and Privacy, 2001. S&P 2001.
Proceedings, pages 202213. IEEE, 2001.
[81] Savvas Argyropoulos, Dimitrios Tzovaras, Dimosthenis Ioannidis, and Michael G Strint-
zis. A channel coding approach for human authentication from gait sequences. IEEE
Transactions on Information Forensics and Security, 4(3):428440, 2009.
[82] Xiangqian Wu, Ning Qi, Kuanquan Wang, and David Zhang. A novel cryptosystem
based on iris key generation. 2013 International Conference on Computing, Networking
and Communications (ICNC), 4:5356, 2008.
[83] Gang Zheng, Wanqing Li, and Ce Zhan. Cryptographic key generation from biometric
data using lattice mapping. In 18th International Conference on Pattern Recognition,
2006. ICPR 2006, volume 4, pages 513516. IEEE, 2006.
[84] Feng Hao, Ross Anderson, and John G. Daugman. Combining crypto with biometrics
effectively. IEEE Transactions on Computers, 55(9):10811088, 2006.
[85] Julien Bringer, Herv Chabanne, Grard Cohen, Bruno Kindarji, and Gilles Zmor.
Theoretical and practical boundaries of binary secure sketches. IEEE Transactions on
Information Forensics and Security, 3(4):673683, 2008.
[86] Anil Jain, Arun A. Ross, and Karthik Nandakumar. Introduction to biometrics. Springer
Science & Business Media, 2011.
171
[87] M. Liakat Ali, Charles C. Tappert, Meikang Qiu, and John V. Monaco. Authentication
and identification methods used in keystroke biometric systems. In High Performance
Computing and Communications (HPCC), 2015 IEEE 7th Intern. Symposium on Cybers-
pace Safety and Security (CSS), pages 14241429. IEEE, 2015.
[88] Jugurta Montalvao, Eduardo O. Freire, Murilo A Bezerra Jr, and Rodolfo Garcia. Contri-
butions to empirical analysis of keystroke dynamics in passwords. Pattern Recognition
Letters, 52:8086, 2015.
[89] Anil K. Jain, Arun Ross, and Salil Prabhakar. An introduction to biometric recognition.
IEEE Transactions on Circuits and Systems for Video Technology, 14(1):420, 2004.
[90] Lawrence O. Gorman. Comparing passwords, tokens, and biometrics for user authenti-
cation. Proceedings of the IEEE, 91(12):20212040, 2003.
[91] John G. Daugman. Recognising persons by their iris patterns. Advances in Biometric
Person Authentication, pages 783814, 2005.
[92] John G. Daugman. How iris recognition works. IEEE Transactions on Circuits and
Systems for Video Technology, 14(1):2130, 2004.
[93] L. Dhir, N. Habib, D. Monro, and S. Rakshit. Effect of cataract surgery and pupil dilation
on iris pattern recognition for personal authentication. Eye Journal, 24(6):10061010,
2009.
[94] Adam Czajka. Pupil dynamics for iris liveness detection. IEEE Transactions on Infor-
mation Forensics and Security, 10(4):726735, 2015.
[95] Tsutomu Matsumoto, Hiroyuki Matsumoto, Koji Yamada, and Satoshi Hoshino. Impact
of artificial gummy fingers on fingerprint systems. In Proceedings of SPIE, volume 4677,
pages 275289, 2002.
[96] Stephanie Schuckers, Larry Hornak, Tim Norman, Reza Derakhshani, and Sujan Partha-
saradhi. Issues for liveness detection in biometrics. In Biometric Consortium Conference,
2002 Biometrics Symposium, 2002.
[97] EPCglobal. Radio-frequency identity protocols class-1 generation-2 UHF

RFID protocol for communications at 860 MHz-960 MHz version 1.0.9.
URL:http://www.epcglobalinc.org/standards, 20042008.
[98] E. W. Schuster, S. J. Allen, and D. L. Brock. Global RFID: the value of the EPCglobal
network for supply chain management. Springer Verlag, 2007.
[99] A. Juels. RFID security and privacy: A research survey. IEEE Journal on Selected Areas
in Communications, 24(2):381394, 2006.
172
[100] S. Spiekermann and S. Evdokimov. Critical RFID privacy-enhancing technologies. Se-

curity & Privacy, IEEE, 7(2):5662, 2009.
[101] M. Aigner and T. Burbridge. The economic relevance of secure RFID solutionsa quali-
tative perspective (d. 4.1. 3). 2007.
[102] S. A. Weis. Security and Privacy in Radio-Frequency Identification Devices. PhD thesis,
Massachusetts Institute of Technology, 2003.
[103] S. Sarma. Some issues related to RFID and security. In Vortrag am zweiten Workshop
uber RFID Security (RFIDSec06), Graz, Osterreich, Juli, 2006.
[104] M. Ohkubo, K. Suzuki, S. Kinoshita, et al. Cryptographic approach to privacy-friendly

tags. In RFID Privacy Workshop, volume 82. Citeseer, 2003.
[105] D. Ranasinghe, D. Engels, and P. Cole. Low-cost RFID systems: Confronting security
and privacy. In Auto-ID labs research workshop, pages 5477. Citeseer, 2004.
[106] Y. Zhang and P. Kitsos. Security in RFID and sensor networks. Auerbach Publications,
2009.
[107] A. J. Menezes, P. C. Van Oorschot, and S. A. Vanstone. Handbook of applied crypto-

graphy. CRC, 2001.
[108] H. Chabanne and G. Fumaroli. Noisy Cryptographic Protocols for Low-cost RFID Tags.
IEEE Transactions on Information Theory, 52(8):35623566, 2006.
[109] K. Yuksel. Universal Hashing for Ultra-low-power Cryptographic Hardware Applica-

tions. PhD thesis, Worcester Polytechnic Institute, 2004.
[110] Emine Krichen, Anouar Mellakh, Sonia Salicetti, and Bernadette Dorizzi. OSIRIS (Open
Source for IRIS) Reference System. BioSecure Project, 2008.
[111] Guillaume Sutra, Sonia Garcia-Salicetti, and Bernadette Dorizzi. The viterbi algorithm
at different resolutions for enhanced iris segmentation. In 2012 5th IAPR International
Conference on Biometrics (ICB), pages 310316. IEEE, 2012.
[112] Leonard Flom and Aran Safir. Iris recognition system, 1987.
[113] L. Masek. Recognition of human iris patterns for biometric identification. Masters
thesis, University of Western Australia, 2003.
[114] John G. Daugman. Uncertainty relation for resolution in space, spatial frequency, and
orientation optimized by two-dimensional visual cortical filters. JOSA A, 2(7):1160
1169, 1985.
173
[115] Kazuyuki Miyazawa, Koichi Ito, Takafumi Aoki, Koji Kobayashi, and Hiroshi Nakajima.
An effective approach for iris recognition using phase-based image matching. IEEE
Transactions on Pattern Analysis and Machine Intelligence, 30(10):17411756, 2008.
[116] Emine Krichen, Sonia Garcia-Salicetti, and Bernadette Dorizzi. A new phase-
correlation-based iris matching for degraded images. IEEE Transactions on Systems,
Man, and Cybernetics, Part B: Cybernetics, 39(4):924934, 2009.
[117] Li Ma, Tieniu Tan, Yunhong Wang, and Dexin Zhang. Efficient iris recognition by cha-
racterizing key local variations. IEEE Transactions on Image Processing, 13(6):739750,
2004.
[118] Wai-Kin Kong and David Zhang. Detecting eyelash and reflection for accurate iris
segmentation. International Journal of Pattern Recognition and Artificial Intelligence,
17(06):10251034, 2003.
[119] Carmen Sanchez-Avila and Raul Sanchez-Reillo. Two different approaches for iris re-
cognition using gabor filters and multiscale zero-crossing representation. Pattern Recog-
nition, 38(2):231240, 2005.
[120] Li Ma, Tieniu Tan, Yunhong Wang, and Dexin Zhang. Personal identification based on
iris texture analysis. IEEE Transactions on Pattern Analysis and Machine Intelligence,
25(12):15191533, 2003.
[121] Richard P. Wildes, Jane C. Asmuth, Gilbert L. Green, Stephen C. Hsu, Raymond J.
Kolczynski, James R. Matey, and Sterling E. McBride. A system for automated iris
recognition. In Proceedings of the Second IEEE Workshop on Applications of Computer
Vision, 1994, pages 121128. IEEE, 1994.
[122] Ping S. Huang, Chung-Shi Chiang, and Ji-Ren Liang. Iris recognition using fourier-
wavelet features. In Audio-and Video-Based Biometric Person Authentication, pages
1422. Springer, 2005.
[123] Bert Gutschoven and Patrick Verlinde. Multi-modal identity verification using support
vector machines (svm). In 2000. Proceedings of the Third International Conference on
Information Fusion, volume 2, pages THB33. IEEE, 2000.
[124] Byungjun Son and Yillbyung Lee. Biometric authentication system using reduced joint
feature vector of iris and face. In Audio-and Video-Based Biometric Person Authentica-
tion, pages 513522. Springer, 2005.
[125] Richard P Wildes. Iris recognition: an emerging biometric technology. Proceedings of

the IEEE, 85(9):13481363, 1997.
174
[126] C. Tisse, Lionel Martin, Lionel Torres, Michel Robert, et al. Person identification tech-
nique using human iris recognition. In Proceedings on Vision Interface, pages 294299,
2002.
[127] C. Cachin and U. M. Maurer. Linking information reconciliation and privacy amplifica-
tion. In Advances in Cryptology-EUROCRYPT94, pages 266274. Springer, 1995.
[128] C. Cachin. Entropy measures and unconditional security in cryptography. Masters the-
sis, Swiss Federal Institute of Technology, 1997.
[129] Chong Siew Chin, Andrew Teoh Beng Jin, and David Ngo Chek Ling. High security
iris verification system based on random secret integration. Computer Vision and Image
Understanding, 102(2):169177, 2006.
[130] Hisham Al-Assam, Torben Kuseler, Sabah Jassim, and Sherali Zeadally. Privacy in bio-
metric systems. In Privacy in a Digital, Networked World, pages 235262. Springer,
2015.
[131] Lin Wang and Zhi Hu. New sequences of period pn and p(n+1) via projective linear
groups. In Information Security and Cryptology, pages 311330. Springer, 2013.
[132] William E. Burr, Donna F. Dodson, and William T. Polk. Electronic authentication gui-
deline. Citeseer, February 2013.
[133] M. N. Wegman and J. L. Carter. New hash functions and their use in authentication and
set equality. Journal of Computer and System Sciences, 22(3):265279, 1981.
[134] J. Black, S. Halevi, H. Krawczyk, T. Krovetz, and P. Rogaway. UMAC: Fast and se-
cure message authentication. In Advances in Cryptology-CRYPTO99, pages 216233.
Springer, 1999.
[135] Jerzy Neyman and Egon S. Pearson. The testing of statistical hypotheses in relation
to probabilities a priori. In Mathematical Proceedings of the Cambridge Philosophical
Society, volume 29, pages 492510. Cambridge University Press, 1933.
[136] John G. Daugman. The importance of being random: Statistical principles of iris recog-
nition. Pattern Recognition, 36(2):279291, 2003.

Concordância de Chave Secreta Aplicada A Controle de Acesso Utilizando Biometria Da Íris e Sistemas RFID

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Concordância de Chave Secreta Aplicada A Controle de Acesso Utilizando Biometria Da Íris e Sistemas RFID

Transféré par

Droits d'auteur :

Formats disponibles

Universidade Federal de Campina Grande

Centro de Engenharia Eltrica e Informtica

Concordncia de Chave Secreta Aplicada a

Marcus Vinicius Corra Rodrigues

Campina Grande PB, Brasil

Concordncia de Chave Secreta Aplicada a Controle de

Marcus Vinicius Corra Rodrigues

Tese de Doutorado apresentada Coordenao do Programa de

rea de Concentrao: Processamento da Informao.

Francisco Marcos de Assis

Bruno Barbosa Albert

Campina Grande, Paraba, Brasil

R696c Rodrigues, Marcus Vinicius Corra.

Tese (Doutorado em Engenharia Eltrica) - Universidade Federal de

1. Engenharia Eltrica - Chave Secreta. 2. Controle de Acesso.

Aos amigos do Iquanta;

Ao professor Valdemar C. Rocha Jr. e Danielle P. B. Camara, pelas contribuies iniciais

Aos professores do Departamento de Engenharia Eltrica da Universidade Federal de

Aos meus colegas do IFPE;

A todos amigos e colegas que no foram citados nominalmente;

Ao apoio recebido pela CAPES, COPELE-UFCG e IFPE;

Palavras-chave: Chave secreta, Controle de acesso, biometria da ris, reconciliao, RFID,

4 Base de Dados e Software Utilizados 40

4.3 Algoritmos Implementados em Matlabr . . . . . . . . . . . . . . . . . . . . 42

5 Mtodo Daugman de Extrao de Cdigo ris 44

6 Melhoramento do Mtodo de Daugman - Pontos de Aplicao com Menor Densi-

7 Concordncia de Chave Secreta Baseada em Biometria por Discusso Pblica com

8 Estudo Analtico do Protocolo Proposto de Reconciliao da Informao 75

8.2 Modelo Gaussiano das Distribuies Intraclasse e Interclasse . . . . . . . . . . 103

9 Resultados Experimentais, Ataques e Avaliaes 120

10 Concluses e Perspectivas 126

B Exemplos de Reconciliaes 135

D Probabilidade de Um Bloco do Algoritmo de Reconciliao Possuir Nmero mpar

E Biografia e Publicaes 162

Referncias Bibliogrficas 164

2.1 Modelo do canal de transmisso de Maurer. . . . . . . . . . . . . . . . . . . . 11

3.1 O olho humano. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

5.1 Etapas de extrao do cdigo ris, mtodo Daugman. . . . . . . . . . . . . . . 45

6.1 Pontos de aplicao com distribuio homognea . . . . . . . . . . . . . . . . 54

6.5 Histogramas das comparaes intra/interclasse com distribuio livre de oclu-

7.1 Diagrama do protocolo de execuo da fase de inscrio do BSKPAD. . . . . . 62

8.1 Fluxograma do protocolo proposto de reconciliao da informao. . . . . . . . 81

8.14 Histograma de densidade de probabilidade referente a 13.836 comparaes in-

9.1 Comparao entre o esquema de concordncia de chave cripto-biomtrica e o

6.1 Tabela de desempenho em funo do mtodo de distribuio dos pontos de apli-

8.1 Equaes da probabilidade do nmero de bits a descartar por bloco, PDO , em

8.13 Resultados empricos e estimados dos parmetros de desempenho FRR e FAR,

9.1 Resultados experimentais utilizando protocolos RI com 3 passos e 4 passos, e

A.1 Valores timos de k1 , k2 e k3 que permitem reconciliao das sequncias (Ine-

B.1 Sequncias possveis de Eve tendo a informao H (X)=1 . . . . . . . . . . . . 136

AES - Advanced Encryption Standard

ICE-Exp1 - ICE Experiment-1 (right eye experiment)

As chaves secretas simtricas so geradas apenas aps a concluso do protocolo de au-

A comunicao entre a unidade verificadora (leitor RFID) e a etiqueta RFID do usurio

As chaves secretas fortemente ligadas ao usurio e geradas simetricamente pelos dispo-

As chaves secretas so renovadas a cada autenticao positiva do usurio, aumentando a

1.2 Principais Contribuies

Durante o processo de concepo do sistema cripto-biomtrico proposto BSKAPD, desta-

2. Melhoramento do desempenho do mtodo de Daugman de extrao do cdigo ris,

3. Proposio de um protocolo de reconciliao da informao, cuja busca dicotmica4

terminsticos, porm, bit de informao no sentido da teoria da informao de Shannon, no necessariamente

4. Deduo das expresses analticas do protocolo de reconciliao da informao pro-

5. Validao das expresses analticas do protocolo RI proposto.