 |
| BIOIDENTIFIKATION |
| Fragen und Antworten |
Letzte
Änderung: 2007-12-09
|
|
|
|
|
|
| Welche
Fingerprint-Merkmale lassen sich zur Identifikation nutzen? |
Es stehen drei Typen von Merkmalen
zur Verfügung:
-
Grobmerkmale (Schleife,
Tanne, Wirbel, ...)
-
Feinmerkmale (Minuzien)
-
Porenstruktur
Grobmerkmale haben
stark genotypische Anteile und eignen sich zur Vorsortierung bei einer
Identifikation über sehr großen Datenbanken. Die Minuzien sind
vorwiegend randotypischer Natur und machen die Einmaligkeit eines Fingerabdrucks
aus, weshalb sie direkt oder indirekt (bei Bildkorrelationsverfahren) von
fast allen Fingerprintsystemen ausgewertet werden. Die Porenstruktur wird
wegen der starken Qualitätsschwankungen bei der Bildaufnahme nur selten
betrachtet.
| Haben
alle Menschen Fingerabdrücke? |
Grundsätzlich
ja. Allerdings können an einzelnen Fingern permanente Störungen
(seltene Hautkrankheiten) oder vorübergehende Störungen (Verschmutzung,
Abnutzung durch mechanischen Abrieb) auftreten, die eine Erfassung und
Auswertung stark erschweren oder unmöglich machen. Optimale Sensorik
und Auswertesoftware vorausgesetzt, liegt die Nutzerausfallrate der Gesamtbevölkerung
unter ca. 5%. Betrachtet man ausschließlich Bürotätige,
sinkt die Nutzerausfallrate unter ca. 1%.
| Welche
Arten von Fingerprint-Sensoren gibt es? |
Statisch kapazitive
Typ 1
Statisch kapazitive
Typ 2
Dynamisch kapazitive
Lumineszierend kapazitive
Optisch reflexive
Optisch streuende
Optisch transmissive
mit Lichtleiterplatte
Optisch kontaktlose
Akustische (Ultraschall)
Drucksensitive
Thermische Zeilensensoren
Kapazitive und optische
Zeilensensoren
| Wie
arbeiten Fingerprint-Sensoren? |
Alle Fingerprintsensoren
versuchen ein digitales Bild der Fingeroberfläche zu erzeugen. Dieses
Bild hat üblicherweise eine Auflösung von 500 dpi für die
einzelnen Bildpunkte (Pixel genannt). Die Bilderzeugung selbst kann für
jeden Sensortyp anders aussehen:
Statisch kapazitiver
Sensor Typ 1
Hier steht
für jedes Pixel eine Elektrode zur Verfügung, die die Kapazität
zu den Nachbarelektroden/-pixeln misst (Interpixel-Messung). Die Kapazität
wiederum hängt vom Dielektrikum ab. Trifft ein Pixel auf eine Rille,
also Luft, ist die Kapazität wesentlich niedriger als bei einer aufliegenden
Fingerlinie. In diesem Fall ist das Dielektrikum Wasser, das sich durch
eine sehr hohe Dielektrizitätskonstante auszeichnet. Die Messung der
Kapazität ist statisch in dem Sinne, dass eine Aufladung mit z. B.
festen Ladungspaketen erfolgt und dann die Ladespannung gemessen wird.
In praktischen Systemen treten immer Mischformen von Typ 1 und Typ 2 auf.
Statisch kapazitiver
Sensor Typ 2
Auch hier
steht für jedes Pixel eine Elektrode zur Verfügung, nur erfolgt
die Kapazitätsmessung zwischen Pixel und Masse/Erde, wobei die Leitfähigkeit
des Fingers eine nicht unerhebliche Rolle spielt. Die Kapazitätsmessung
ist prinzipiell die gleiche wie bei Typ 1. In praktischen Systemen treten
immer Mischformen von Typ 1 und Typ 2 auf.
Dynamisch kapazitiver
Sensor
Hier erfolgt die
Kapazitätsmessung per Wechselspannung. Auch hier können Inter-Pixel-
und Pixel-Erde-Messungen angewendet werden.
Lumineszierend
kapazitiver Sensor
Eine Elektrolumineszenzfolie
mit einer durchsichtigen Rückseitenelektrode benutzt auf der Vorderseite
den Finger als Gegenelektrode. Dort, wo die Fingerlinien aufliegen, ist
die elektrische Feldstärke und damit das Leuchten am größten.
Somit entsteht auf der Rückseite ein leuchtendes Abbild der Fingerlinien,
das ähnlich wie beim optischen Sensor von einem Bildsensorchip erfasst
werden kann.
Optisch reflexiver
Sensor (unterdrückte Reflexion)
Der Finger
liegt z. B. an einer Prismenfläche auf. Dort, wo der Finger mit seinen
Linien das Glas berührt, wird eine Totalreflexion von Licht innerhalb
des Glases gestört. Dies liefert z. B. auf einem Kamerachip
die Abbildung der Fingerlinien.
Optisch streuender
Sensor
Wie beim
optisch reflexiven Sensor berührt der Finger eine Prismenfläche.
Durch eine andere Lichtführung und Kamerachipanordnung wird jedoch
erreicht, dass das Licht dort, wo die Fingerlinien die Glasoberfläche
berühren, gestreut und vom Kamerachip ausgewertet wird. An den übrigen
Stellen wird das Licht verschluckt statt reflektiert. Es entsteht also
ein inverses Bild mit hellen Fingerlinien und dunklen Tälern.
Optisch transmissive
Sensoren mit Lichtleiterplatte
Hier wird
der Finger von einer geeigneten Lichtquelle durchleuchtet. Der Finger liegt
direkt auf einer Lichtleiterplatte auf, die wiederum direkt mit einem Kamerachip
verbunden ist. Die Lichtleiterplatte sorgt dafür, dass der Finger
nicht den Kamerachip berührt, das Licht aber trotzdem ohne Schärfeverlust
und ohne sonstige Optik den Kamerachip erreicht.
Optisch kontaktloser
Sensor
Die Fingerabdruck
wird über eine geeignete Optik direkt von einem Kamerachip ohne Berührung
der Fringeroberfläche erfasst.
Akustische (Ultraschall)
Sensoren
Hier erfolgt
die Abbildung der auf Glas aufliegenden Fingeroberfläche durch sehr
hochfrequenten Ultraschall.
Drucksensitive
Sensoren
Bei Drucksensoren
wird pixelweise der Druck des aufliegenden Fingers gemessen.
Thermische Zeilensensoren
Bei diesem Sensor
bewegt man den Finger linear über ein zeilenförmiges Array aus
Thermosensoren, wie man sie in Groß von automatischen Türöffnern
kennt. Die Thermosensoren registrieren zeitliche Temperaturdifferenzänderungen,
die zwischen Fingerlinien und -rillen unterschiedlich ausfallen.
Kapazitive und
optische Zeilensensoren
Diese Sensortypen
arbeiten wie die thermischen Zeilensensoren, nur dass die für jeden
Bildpunkt zuständigen Einzelsensorzellen die Kapazität messen
bzw. lichtempfindlich sind.
| Welches
Sensorprinzip ist das beste? |
Diese Frage
lässt sich leider nicht pauschal beantworten, da jede Anwendung andere
Anforderungen stellt und jedes Sensorprinzip seine spezifischen Vor- und
Nachteile hat. Folgende Kriterien können hier weiterhelfen:
-
Kosten
-
Reifegrad
-
Bildqualität unter
erschwerten Bedingungen
-
indoor/outdoor
-
persönliche/öffentliche
Nutzung
-
Normalfinger/Problemfinger
-
trockene/feuchte Finger
-
Größe
-
Schutz gegen Vandalismus
-
Temperaturbeständigkeit
-
Fälschungsschutz
-
ESD-Festigkeit (Schutz
gegen elektrostatische Entladung)
| Anforderung |
Derzeit bestes Sensorprinzip |
| Niedrige
Kosten |
Kapazitiver Siliziumzeilensensor |
| Hoher
Reifegrad |
Optisch reflexiver Sensor |
| Hohe
Bildqualität |
Optisch reflexiver Sensor |
| Geringe
Größe |
Thermischer/kapazitiver
Zeilensensor |
| Hoher Vandalismus-Schutz |
Optisch transmissiver Sensor |
| Hoher Temperaturbereich |
Kapazitiver Siliziumsensor |
| Hoher
Fälschungsschutz |
Optisch transmissiver Sensor |
| Hohe
ESD-Festigkeit |
Optisch reflexiver Sensor |
| Was
kann der Anwender tun, um falsche Rückweisungen in einem Fingerprint-Authentifikationssystem
zu vermeiden? |
Der Finger
sollte sauber sein (frei von Kleberresten und Fett), je nach Sensor nicht
zu trocken (anhauchen!) oder zu feucht, sollte immer in gleicher Weise
aufgelegt (gleiche Lage, gleiche Ausrichtung) und nicht mit ungleichmäßigem
Druck (Beispiel: Finger fest auflegen und dann verdrehen) auf den Sensor
gepresst werden.
| Welchen
Einfluss haben kleine Wunden auf die Erkennung? |
Ist die
Wunde nicht zu tief, regeneriert sich das Fingerlinienbild wieder vollständig.
Tiefe Schnitte hinterlassen linienförmige Narben, die von guten Erkennungsalgorithmen
als solche erkannt werden, so dass kaum eine Beeinträchtigung der
Erkennungsleistung zu befürchten ist. Die meisten Systeme bieten die
Möglichkeit, beim Enrollment "Ersatzfinger" zu hinterlegen, so dass
auch während des Heilungsprozesses eine Fingerprint-Authentifikation
stattfinden kann.
| Ist
ein Fingerabdruck kopierbar? |
Ja. Fast
alle biometrischen Features sind mit mehr oder weniger großem Aufwand
kopierbar. Fingerabdrücke lassen sich als Datensatz, als Papierabdruck,
als Wachsabdruck usw. kopieren. Mit kriminaltechnischen Methoden ist es
auch möglich, die Latenz-Abdrücke/Kopien, die man auf Biergläsern,
Türgriffen usw. unbewusst hinterlässt, sichtbar zu machen und
auszuwerten. Das älteste derzeit bekannte High-Tech-Kopierverfahren
wurde im Jahr 1907 in einem Roman von R. Austin Freeman [Freeman]
beschrieben: Man nehme eine Chromatgelatineplatte, belichte diese mit dem
als Dia vorhandenen Fingerabdruck und wasche die Oberfläche aus. Dabei
werden die nicht durch das Licht ausgehärteten Stellen entfernt, so
dass ein Fingerlinienrelief entsteht. Vom Fingerprintsensor und den Auswertealgorithmen
hängt es ab, ob die Kopie, zu Fälschungszwecken eingesetzt, als
solche erkannt oder für das Original gehalten wird. Letztendlich entscheidet
aber die spezielle Anwendung darüber, ob sich das Kopieren überhaupt
lohnt und ob es schädlich ist. So hilft es in den meisten Anwendungen
wenig, wenn der Fälscher von seinem eigenen Finger eine perfekte Kopie
erstellen kann! Von einem optimierten Sicherheitssystem darf man erwarten,
dass durch Kopien kein Schaden entstehen kann.
| Wie
leicht ist ein Fingerabdruck kopierbar? |
Es ist relativ
einfach und kostengünstig, seinen eigenen Fingerabdruck zu
duplizieren (vergleichbar mit der Anfertigung eines Nachschlüssels).
Dies kann zum Beispiel in Form von Stempeln geschehen, die man über
einen Stempelhersteller mittels elektronischer Vorlage anfertigen lässt.
Mechanische Fingerkopien erfordern als Interimsschritt zunächst ein
Negativ. Papierkopien werden mit Hilfe eines Stempelkissens erstellt. Kopien
vom eigenen Finger sind eine Gefahr für Systeme, in denen die Vortäuschung
einer Authentifikation durch einen Mittäter einen Schaden anrichten
kann (Beispiel Zeiterfassungssystem: Vortäuschung einer Anwesenheit
durch Überlassung einer geeigneten Fingerabdruckkopie an einen Kollegen).
Weit schwieriger
ist die Anfertigung von Fingerbildkopien nichtkooperativer fremder Personen
(Merkmals-Diebstahl). Hier ist man darauf angewiesen, an den richtigen
Fingerabdruck der fremden Person zu kommen. Versucht man dies durch Auffinden
von latenten Fingerabdrücken, stellt sich in der Praxis oft heraus,
dass Latenzbilder
-
schwer auffindbar sind
-
meistens eine Qualität
haben, die zwar eine daktyloskopische Analyse ermöglichen, aber für
Verifikationszwecke an elektronischen Authentifikationseinrichtungen ungeeignet
sind
-
zum falschen Finger
gehören
-
den falschen Fingerausschnitt
zeigen
-
sich nicht erfassen
lassen, ohne deutliche Spuren (z. B. Grafitpuder) zu hinterlassen
Bei Sicherheitsbetrachtungen
wird häufig der Fehler gemacht, "kooperative Opfer" anzunehmen. Den
eigenen Latenzfingerabdruck oder den einer bewusst mitwirkenden Person
zu erfassen ist relativ einfach möglich. Vom Sicherungsbedarf einer
Anwendung hängt es ab, ob die Fingerprint-Authentifikationseinrichtung
kopierte Abrücke von echten unterscheiden können muss oder ob
man den Fingerabdruck quasi als Geheimnis betrachten darf.
| Was
versteht man unter Kompromittierung eines Fingerabdrucks? |
Kompromittierung
bezeichnet hier den Diebstahl eines den Fingerabdruck repräsentierenden
Datensatzes mit nachfolgender missbräuchlicher Nutzung. Wenn eine
Anwendung auf der Geheimhaltung des Fingerprints basiert, hätte dies
natürlich schwerwiegende Folgen, da jeder Finger einmalig aber auch
(anders als ein Passwort) unveränderbar ist. Kompromittierte Finger
wären dann vom Benutzer eventuell nicht mehr einsetzbar.
| Ist
die Kompromittierbarkeit des Fingerabdrucks ein Problem? |
Nein. Vorausgesetzt
natürlich, das Gesamtsystem ist vernünftig ausgelegt worden.
Eine Veröffentlichung des eigenen Fingerabdrucks ist z. B. dann kein
Problem, wenn die Anwendung den Fingerabdruck nicht als Datensatz irgendwoher
bezieht, sondern die Daten ausschließlich über den Sensor in
die Applikation gelangen können und dort sicher eingeschlossen sind.
Am Sensor bedarf es geeigneter Maßnahmen, um aus dem veröffentlichen
Datensatz angefertigte mechanische Kopien des Fingers abzuweisen, z. B.
durch Lebenderkennung.
Der Personalausweis ist ein schönes
Beispiel dafür, dass eine sichere Verifikation auch bei veröffentlichtem
biometrischen Merkmal (hier Gesicht) möglich ist. Es genügt,
wenn der Personalausweis fälschungssicher ist, d. h. Fälschungen
relativ einfach erkennbar sind.
| Welche
Maßnahmen gibt es gegen Fälschungen? |
Die Kopierbarkeit ist in vielen
Anwendungen kein Problem, weil das Kopieren zu aufwendig oder zu langsam
oder die Anwendung vom Berechtigten selber kontrollierbar ist (Fingerprint-Handy,
Schusswaffensicherung). In Hochsicherheitsanwendungen sind weitere Kriterien
aufzunehmen, die sicherstellen, dass der Berechtigte höchstselbst
zum Fingerabdruck gehört. Hierzu gibt es z. B. folgende Möglichkeiten:
-
Hinzunahme weiterer biometrischer Merkmale,
um den Fälschungsaufwand weiter zu erhöhen
-
Lebenderkennung zur Abwehr einfacher Kopien
-
Messung des Blutsauerstoffgehalts durch Messung
der Hämoglobinkonzentrationsverhältnisse auf der Basis der unterschiedlichen
Absorption von unterschiedlichen Infrarotlicht-Wellenlängen
-
Prüfung der Reaktion des Fingers auf
Sensoraktionen
-
Temperaturmessung
-
Hautwiderstandsmessung
-
Pulsmessung
-
Blutdurchflussmessung
-
Beschränkung der Auswertefläche
Man beschränkt sich auf einen speziellen
Ausschnitt des Fingerabdrucks, um sicherzustellen, dass nicht zufällig
auf Gegenständen hinterlassene Abdrücke aufbereitet und missbraucht
werden können, denn die Wahrscheinlichkeit, dass der kopierte Abdruck
mit diesem Ausschnitt übereinstimmt, ist sehr gering. Dieses Verfahren
setzt voraus, dass der Finger gut reproduzierbar positioniert werden kann
(Fingerführung!) und dass die Zahl der erfolglosen Authentifikationsversuche
eingeschränkt wird.
-
Benutzung einer Fingerprint-Chipkarte
Kombiniert man die gesamte Fingerprintverarbeitung
incl. Sensor, Merkmalabspeicherung mit einem einmaligen Schlüsselpärchen
(bestehend aus privatem und öffentlichen Schlüssel), erhält
man eine einmalige Kombination aus Besitz und Biometrie, mit der sich der
Benutzer für beliebige Anwendungen und Dienste identifiziert. Eine
Fälschung setzt voraus, dass die Karte in unberechtigte Hände
fällt. In diesem Fall können die auf der Karte nicht austauschbaren
Schlüssel in den Anwendungen gesperrt werden. Die Karte wird damit
für den Fälscher wertlos. Der Benutzer muss sich im Verlustfall
eine neue Karte besorgen, die einen neuen einmaligen Schlüssel enthält,
die Fingerabdrücke neu einspeichern und sich bei allen Anwendungen
und Diensten neu anmelden. Natürlich kann man sich auch präventiv
eine Ersatzkarte zulegen.
| Benötigt
jede Anwendung eine Fälschungserkennung? |
Nein. In der Praxis
müssen Fälscher außer der biometrischen Authentifikation
noch weitere Hürden überwinden. Folgende Beispiele sollen das
erläutern:
-
Der Anwender benutzt
daheim einen Internetzugang mit Fingerprint-Authentifikation, um sich das
Passwort nicht merken bzw. aufschreiben zu müssen. Ein Einbrecher
hätte zu wenig Zeit, um sich den passenden Finger vor Ort zu kopieren.
Natürlich könnte er den gesamten PC samt Authentifikationseinrichtung
mitnehmen, um sich dann in aller Ruhe mit den vielleicht in der Wohnung
gesammelten Fingerabdrücken geeignete Kopien zu basteln (Passwörter
suchen wäre deutlich einfacher). In der Zwischenzeit würde jedoch
das Opfer den Diebstahl bemerkt und für den Internetzugang das alte
Passwort, das per Fingerprint aktiviert wurde, geändert haben.
-
Der Anwender benutzt
zu Hause einen Internetzugang mit Fingerprint-Authentifikation, um sich
das Passwort nicht merken bzw. aufschreiben zu müssen. Weitere Familienmitglieder
könnten sich mit einer Fingerkopie Zugriff auf ein Online-Konto des
Anwenders verschaffen. "Leider" wird jede Überweisung dokumentiert
und damit aufgedeckt, so dass diese Art unautorisierten Zugriffs den Aufwand
nicht lohnen würde. Wesentlich kritischer wäre der Diebstahl
des Passworts, weil damit ein nicht an den heimischen PC gebundener Kontozugang
möglich wäre, was den Täterkreis unüberschaubar vergrößern
würde.
| Wie
bestimmt man die Ähnlichkeit zweier Fingerabdrücke auf der Basis
von Minuzien? |
Nacheinander
aufgenommene Fingerabdrücke sind auf Grund von Lageabweichungen, Anpressunterschieden,
unterschiedlichen Lagewinkeln, leichten Verschmutzungen und nicht zuletzt
wegen unterschiedlicher physiologischer Verfassung des Anwenders nie identisch,
sondern höchstens sehr "ähnlich". Das Maß für die
Ähnlichkeit wird häufig "Score" genannt. Je höher der Score,
desto ähnlicher zwei Fingerabdrücke und umgekehrt. Bei minuzienbasierten
Verfahren versucht man durch den Prozess des "Matchens" insbesondere die
Einflüsse von Lage- und Winkelabweichungen, gelegentlich auch Maßstababweichungen
(um das Wachstum im Alter zwischen null und ca. 18 Jahren herauszurechnen)
zu minimieren. Dabei wird das aktuelle Bild gegen das Referenzbild solange
gedreht und verschoben, bis die Abweichungen der Minuzien minimal werden.
In den sich dann ergebenden Score-Wert gehen z. B. folgende Größen
ein:
-
Zahl der Minuzien, die
übereinstimmen
-
Genauigkeit der Lage-Übereinstimmung
-
Grad der Übereinstimmung
der Minuzienrichtung
-
Übereinstimmung
des Minuzientyps (Linienendung versus -verzweigung)
-
Das ganze wird gewichtet
mit der Bildqualität an der Stelle einer Minuzie
Grundsätzlich
ist zu sagen, dass wenige, aber sehr gut übereinstimmende Minuzien
einen ähnlichen Score-Wert liefern können wie ein Fall mit sehr
vielen, aber nur schwach übereinstimmenden Minuzien.
| Seit
wann wird die Einmaligkeit des Fingerabdrucks genutzt? |
Aus China
ist bekannt, dass dort der Fingerabdruck zur Beurkundung von Verträgen
seit spätestens 700 n. Chr. offiziell eingesetzt wird. In Europa gab
es 1858 einen Vorschlag zur Einführung in der Kriminalistik, dem Deutschland
im Jahre 1903 folgte. [Heindl 1922, Seite 1-108]
| Wie
wirkt sich der Einsatz von mehreren Fingern auf die Performanz einer Verifikation
aus? |
Es gibt
zwei Extremfälle:
-
Es müssen alle
N (N < 11) Finger erkannt werden
-
Es ist mindestens 1
Finger von N (N < 11) zu erkennen
In Fall 1 verbessert
sich die Falschakzeptanzrate FAR (vorausgesetzt die Finger n (0 < n
< N+1) sind statistisch unabhängig) gemäß
| FAR = FAR1FAR2FAR3···FARN |
wobei FARn
die FAR für Finger n ist
|
| => |
FAR
= FAR1N |
falls alle FARn
gleich FAR1 sind
|
während sich
die Falschrückweisungsrate verschlechtert:
| FRR = 1 - (1 - FRR1)(1
- FRR2)(1 - FRR3)···(1 - FRRN) |
| => |
FRR
= 1 - (1 - FRR1)N |
falls alle FRRn
gleich FRR1 sind
|
| => |
FRR
~ N·FRR1 |
wenn
zusätzlich N·FRR1 << 1
|
In Fall 2
ist es genau umgekehrt:
| FAR
= 1 - (1 - FAR1)(1 - FAR2)(1 - FAR3)···(1
- FARN) |
| => |
FAR
= 1 - (1 - FAR1)N |
wenn alle FARn
gleich FAR1 sind
|
| => |
FAR
~ N·FAR1 |
wenn
zusätzlich N·FAR1 << 1
|
und für die FRR:
| FRR
= FRR1FRR2FRR3···FRRN |
| => |
FRR
= FRR1N |
wenn alle FRRn
gleich FRR1 sind
|
Es ist zu beachten,
dass die Annahme einer statistischen Unabhängigkeit zwar auf Grund
der Einmaligkeitshypothese gerechtfertigt erscheint. Nichtvollkommenheiten
wie beispielsweise ein verschmutzter Finger betreffen in der Regel jedoch
auch die anderen Finger, so dass eine gewisse statistische Abhängigkeit
nicht zu vermeiden ist. Für den Fall 2 bedeutet das z. B. eine reduzierte
Verbesserung der FRR. Desweiteren ist es in der Praxis eher die Ausnahme,
dass die Performanzdaten FAR und FRR für jeden Finger n gleich sind.
Fall 1 und 2 sind
Extremfälle. Durch geeignete Verfahren der Informationsfusion lassen
sich auch alle "Zwischenstufen" erreichen. Grundsätzlich sollte für
jede eingestellte Erkennungsschwelle ein Weg existieren, der bei Kombination
mehrerer Fingerabdrücke eine gleichzeitige Verbesserung der FAR und
der FRR ermöglicht.
| Lässt
sich die Einmaligkeit des Fingerabdrucks beweisen? |
Die Einmaligkeit
des Fingerabdrucks ist eine Arbeitshypothese, die sich im mathematischen
Sinne wohl kaum beweisen lässt. Beweisbar wäre eher das Gegenteil,
wenn es nämlich gelänge, zwei gleiche Fingerabdrücke zu
finden. Bis heute sind keine Fingerprints von unterschiedlichen Fingern
gefunden worden, die exakt gleich sind. Das gilt auch für eineiige
Zwillinge, rechte und linke Finger und ist sogar für geklonte Menschen
zu erwarten.
Wissenschaftlich
betrachtet, muss man den Begriff Einmaligkeit ersetzen durch die Wahrscheinlichkeit,
zwei gleiche Fingerabdrücke an unterschiedlichen Fingern zu finden.
Diese Wahrscheinlichkeit lässt sich empirisch ermitteln, indem man
kriminaltechnische Fingerprintsammlungen gegeneinander vergleicht, was
bei Sammlungen über 100 Millionen Abdrücken statistisch abgesichert
eine Wahrscheinlichkeit von weniger als 10-14 nachweisbar machen
sollte (in Wirklichkeit ist die Wahrscheinlickeit wegen statistischer Abhängigkeiten
höher, wird aber unter 10-6 liegen). Solch ein Großversuch
ist allerdings bis heute nicht unternommen worden. Auch ist zu befürchten,
und die Praxis mit wesentlich kleineren Sammlungen bestätigt dies,
dass die Wahrscheinlichkeit für Benennungsfehler (Fingerabdrücke
von gleichen Personen, die unter unterschiedlichen Namen eingeordnet sind)
wesentlich höher liegt und damit das Ergebnis eines solchen Versuchs
unbrauchbar wird.
Eine wissenschaftliche
Untersuchung zu diesem Thema findet sich bei [Pankant
et al. 2001].
Minuzien
sind die Endungen und Verzweigungen der Fingerlinien. Da diese einem stark
zufälligen Muster folgen, sind sie die Träger der "Einmaligkeitsinformation".
| Für
welche Anwendungen eignet sich die Fingerprint-Authentifikation? |
PC-Zugang
PC-Netz-Zugang (Internet,
Intranet, ...)
Zugang zu Räumen
(Schlüsselersatz)
Schutz von Waffen vor
Kindern und sonstigen Unberechtigten
Handy: Netzzugang, Diebstahlschutz,
mobile Finanztransaktionen, ...
Ausweis: Clubausweis,
Firmenausweis, Personalausweis, ...
Kreditkarte, Bankkarte,
EC-Karte
Kinderschutz (PC, Internet,
TV, Videorecorder, ...)
Auto: Sitz-, Spiegel-,
Temperatur- und sonstige persönliche Einstellungen
Automatisierung von
Hotels
Firmeninterne Automaten
(Getränke, ...)
Teilnahme an Sportveranstaltungen
Mitgliedschaften in
Diskotheken, Sonnenstudios, Spielsalons, Videotheken etc.
Persönlicher Zugriff
zu Patientendaten
...
| Welcher
Finger eignet sich am besten zur Erreichung einer hohen Performanz? |
Prinzipiell
ist jeder Finger als Abdruckgeber für Authentifikationszwecke geeignet.
Jedoch gibt es zwischen den 10 Fingern Unterschiede, die sich in einer
unterschiedlichen Performanz (FAR, FRR, FTE) äußern. Diese Unterschiede
haben ihren Ursprung in
-
unterschiedlicher Fingerbeschaffenheit
(Abnutzung, Feuchtigkeit, ...),
-
unterschiedlicher Größe
und
-
unterschiedlicher Ergonomie
(Systeme, die ergonomisch z. B. auf den Daumen optimiert wurden, lassen
den Gebrauch anderer Finger manchmal nur mit Verrenkungen zu),
wobei der Sensortyp
auf diese Unterschiede auch wieder ganz spezifisch reagiert. In den meisten
Fällen kann man davon ausgehen, dass man mit den beiden Zeigefingern
die beste Performanz bezüglich FAR und FRR erzielt.
| Wie
ändert sich die Performanz bei Verkleinerung des Fingerabdrucks? |
Die Größe
eines Fingerabdruck bestimmt in der Regel die Kosten eines Fingerprintsensors,
die Größe des zu speichernden Referenzmerkmals-Datensatzes und
nicht zuletzt die Verarbeitungszeit. Es kann deshalb Vorteile haben, nur
einen Ausschnitt des Fingerabdruck zu verarbeiten. Aber welchen Einfluss
hat diese Verkleinerung auf die Performanz?
Eine Näherungsbetrachtung
ist möglich, wenn man vereinfachend voraussetzt, dass unterschiedliche
Bereiche des Fingerabdrucks sich in Bezug auf die ausgewerteten Merkmale
statistisch unabhängig voneinander verhalten. In diesem Fall gilt
die gleiche Betrachtung wie für mehrere Finger, nur dass man die Zahl
der Finger durch einen Flächenfaktor ersetzt. Auch hier sind die gleichen
2 Extremfälle zu betrachten, wobei die "Verknüpfung" UND oder
ODER von den verwendeten Algorithmen abhängen und somit in der Regel
leider außerhalb des Einflussbereichs des Systemintegrators liegt.
Grundsätzlich gilt aber auch hier, dass sich eine Verkleinerung der
Fläche eines Fingerprints in einer Reduzierung der Gesamtperformanz
äußert. (Diese Betrachtung gilt nicht für unterschiedliche
Fingerprints unterschiedlicher Finger. Hier können durchaus kleinere
Fingerabdrücke auch schon mal eine größere Performanz erzielen
als große Fingerprints!)
| Warum
ist eine gute Fingerführung wichtig? |
Moderne
kostengünstige Fingerprint-Sensoren sind in der Regel kleiner als
ein kompletter Fingerabdruck, sie verarbeiten also nur einen Ausschnitt
eines Fingerabdrucks. Mit einer geeigneten mechanischen Fingerführung
lässt sich erreichen, dass trotzdem gute Erkennungsleistungen erreichbar
sind. Eine gute Fingerführung zeichnet sich durch folgende Eigenschaften
aus:
-
Es wird immer möglichst
der gleiche Ausschnitt des Fingerabdrucks vom Sensor erfasst
-
Sie ist sowohl für
große als auch für kleine Finger geeignet
-
Sie funktioniert auch
mit langen Fingernägeln
-
Sie fühlt sich
gut an
-
Sie stellt sicher, dass
die gesamte Sensorfläche vom Finger erreicht wird
-
Sie wird vom Anwender
intuitiv richtig genutzt
-
Sie ermöglicht
den Einsatz aller Finger der rechten und linken Hand
-
Sie erschwert Fälschungen
durch Fingerkopien so gut wie möglich
| Gegen
welche Angriffe muss ein Fingerprintsystem geschützt werden? |
Ist ein
Fingerabdruck-Erkennungssystem Teil eines Sicherheitskonzepts, ist mit
entsprechend spezialisierten Angriffen zu rechnen. Von der Anwendung selber
hängt es ab, welcher Sicherheitsbedarf quantitativ und qualitativ
zu berücksichtigen ist. Das Spektrum reicht von reinen Komfortanwendungen
bis hin zu Hochsicherheitsanwendungen mit entsprechend hohem Schadenspotential.
Aber selbst bei gleichem Schadenspotential machen nicht alle Angriffsarten
gleichermaßen Sinn. Es ist deshalb für jedes Anwendungszenario
genau zu ermitteln, welche Angriffe mit welcher Wahrscheinlichkeit zu erwarten
sind, um bestimmen zu können, mit welchem Aufwand für jede Angriffsart
Schutzvorkehrungen zu treffen sind.
Eine andere Vorgehensweise
kann erforderlich werden, wenn sich ein geplantes Authentifikationskonzept
für eine bestimmte Anwendung als nur schwer schützbar herausstellt.
Von großem Einfluss sind z. B. die Fragen "Identifikation oder Verifikation",
"lokale oder zentrale Referenzmerkmalsdatenhaltung", Einsatz von
Chipkarten mit oder ohne Kryptoprozessor, oder öffentlicher versus
geschützter Zugang zum Fingerprintsystem. Durch geeignete Auswahl
des Sicherheitskonzepts lassen sich die Anforderungen an den Schutz der
biometrischen Komponente manchmal erheblich reduzieren. In weiteren Fällen
kann die Analyse jedoch auch ergeben, dass der Einsatz von anderen biometrischen
Merkmalen als Fingerprint die bessere Lösung darstellt.
| Welche
Angriffsarten sind bei Fingerprintsystemen vorstellbar? |
Die folgende
Aufstellung liefert die wichtigsten Angriffsmöglichkeiten auf biometrische
Sicherheitskomponenten. Von der speziellen Anwendung hängt es ab,
gegen welche Angriffsarten Schutzmaßnahmen zu ergreifen sind.
Brute-Force-Angriffe
Bei einer "Brute-Force"-Attacke
wird dem biometrischen System eine große Anzahl von unterschiedlichen
Merkmalen angeboten, in der Hoffnung, dass eins davon ausreichend mit dem
abgespeicherten Referenzmerkmal des Berechtigten übereinstimmt. Die
Wahrscheinlichkeit für den Erfolg eines solchen Angriffs ist durch
die Falschakzeptanzrate FAR gegeben. Man beachte, dass die Zahl der Referenzen
in Identifikationssystemen einen großen Einfluss auf die FAR hat!
Bei der Spezifikation der FAR für
ein Fingerprintauthentifikationssystems sollte man berücksichtigen,
dass jeder Angreifer 10 Finger mit völlig unterschiedlichen Merkmalen
einsetzen kann. Für den Fall, dass man beliebig viele Versuche zulässt,
bedeutet dies, dass man von einer 10fach höheren FAR ausgehen sollte.
Latenzfingerabdruck-Reaktivierung
In Fingerabdrucksystemen
ist, je nach Sensortyp, damit zu rechnen, dass sich auf dem Sensor verbleibende
Latenzfingerabdrücke ohne Anwesenheit des Berechtigten z. B. durch
Anhauchen reaktivieren lassen und so zu einer falschen Akzeptanz führen.
Dieses Problem, das nur bei Flächensensoren auftreten kann, lässt
sich durch geeignete Software- und Systemmaßnahmen in den Griff kriegen.
Siehe auch "Wie gefährlich sind Latenzfingerabdrücke
auf dem Sensor?".
Replay-Attacken
Je nach Anwendung und
Systemkonzept
/ mechanischer Realisierung können Replayattacken zwischen
Sensor und Verarbeitungseinheit zu Sicherheitsproblemen führen. Hierbei
wird unmerklich das Sensorsignal eines Berechtigten abgegriffen, gespeichert
und bei Bedarf wieder eingespielt, um ohne Anwesenheit eines Berechtigten
eine Falscherkennung zu erzeugen. Ein USB-Sensor-Device benötigt allerdings
besonderes USB-Equipment, um Replayattacken durchzuführen. Falsche
Erkennungen durch Replayattacken lassen sich in vielen Fällen per
Software verhindern, indem geprüft wird, ob sich ein aktuelles Merkmal
lage- und winkelmäßig zu wenig von dem zuletzt erkannten Merkmal
unterscheidet. In Büroanwendungen sind biometrische Replayattacken
vergleichbar mit dem unbemerkten Abhören von Passwörtern auf
der Tastaturleitung, wobei eine USB-Leitung sicher besser geschützt
ist als eine übliche Tastaturleitung. Bei hohen Sicherheitsanforderungen
bietet sich das aus der Kryptografie bekannte Challenge-and-Response-Verfahren
an. Allerdings muss man sich hier die Frage stellen, ob die Verarbeitung
biometrischer Daten in diesem Fall überhaupt auf dem PC stattfinden
darf.
Angriffe durch Trojanische
Pferde
"Feindliche" Software,
die in einem (offenen) biometrischen System Replayangriffe oder Veränderungen
der Sicherheitseinstellungen ohne Wahrnehmung des Benutzers durchführen
kann, wird üblicherweise "Trojanisches Pferd" genannt. Trojanische
Pferde sind z. B. durch (aktuelle!) Virenscanner detektierbar. In besonders
sicheren Systemen sollte die biometrische Verarbeitung grundsätzlich
in einem geschlossenen System außerhalb des PCs stattfinden.
Falschfinger-Angriffe
Sensoren biometrischer
Systeme lassen sich im Prinzip durch mechanische Merkmalskopien (generiert
z. B. von Latenzfingerabdrücken!) täuschen. Während eine
Lebenderkennung gegen eine Identifikation durch Merkmale nichtlebender
Körperteile helfen kann, muss eine Falschfingererkennung deutlich
anspruchsvoller sein, um Kombinationen von falschen Merkmalen mit nicht
zugehörigen lebenden Fingern zu erkennen.
Angriffe durch nichtlebende
Merkmalsträger
In biometrischen Systemen
kann (zumindest eine gewisse Zeit lang) eine Identifikation auch durch
nichtlebende Körperteile hervorgerufen werden. Falls eine Anwendung
für solche Angriffe in Frage kommt, ist eine Lebenderkennung unerlässlich.
Beispiele sind die Messung des Blutsauerstoffgehalts oder die Messung der
Reaktion auf gesteuerte (vom Menschen kaum wahrgenommene) Stimulationen
des Nervensystems.
"Hill-climbing"-Angriffe
Bei dieser Art von Angriffen,
die eine systematische Art von "Brute-Force"-Attacken darstellen, geht
es darum, durch geeignete minimale (synthetische) Änderung der erfassten
Anfragemerkmale den Ähnlichkeitswert (der das Resultat der Vergleichoperation
Referenz- gegen Anfragemerkmal ist) immer weiter zu erhöhen. (Für
diese intelligente Art des "Trial-and-Error" gibt es mathematische Verfahren!)
Die Absicherung gegen solche Angriffe besteht z. B. darin, dass der Anwender
die Ähnlichkeitswert nicht oder nur in grober Quantisierung mitgeteilt
bekommt. [Soutar
2002]
Softwarefehler
Eine häufig vernachlässigte
Angriffsmöglichkeit sind Software- und Systemfehler, die beim Design
eines Sicherheitssystems Sicherheitslöcher entstehen lassen können.
Diese Möglichkeit lässt sich durch intensive Tests geeigneter
Sicherheitsexperten ("Hacker") minimieren.
Ausübung von Zwang
Ein Berechtigter kann
unter Einsatz oder Androhung körperlicher Gewalt gezwungen werden,
eine Authentifikation mit seinen eigenen Merkmalen durchzuführen,
um einer fremden Person einen Zugriff oder Zugang zu ermöglichen.
Desweiteren könnte auch der Zustand einer Bewusstlosigkeit ausgenutzt
werden.
Weitere Angriffe
Sämtliche Schnittstellen
innerhalb des Systems sind bei Bedarf mit den üblichen Methoden abzusichern.
Das Referenzarchiv muss gegen Manipulation geschützt sein.
Unbekannte Angriffe
Grundsätzlich sollte
man nicht damit rechnen, dass alle Arten von Angriffen im Voraus bekannt
sind!
| Wie
gefährlich sind Latenzfingerabdrücke auf dem Sensor? |
In Testberichten
über Fingerabdruck-Sensordevices wurde verschiedentlich beanstandet,
dass die permanenten Reste des Fingerabdrucks eines Berechtigten auf dem
Sensor von einem Angreifer z. B. durch Anhauchen reaktiviert werden können
und auf diese Weise unberechtigten Zugriff ermöglichen. Dieser Effekt
ist bei einigen Sensortypen (kapazitive und optische Flächensensoren)
tatsächlich nachweisbar, allerdings nur dann, wenn der Sensor vorher
unbenutzt oder geputzt worden war (was von den Testern oft gar nicht registriert
wurde!). Berührt man dagegen die Sensoroberfläche mehrmals, verschlechtert
sich die Qualität der Latenzabdrücke durch Überlagerung
so weit, dass das Risiko einer Falschakzeptanz deutlich zurückgeht.
Da ein Putzen des Sensors in der Praxis fast nie erforderlich ist, sind
Latenzabdrücke somit ein deutlich geringeres Risiko als bisher angenommen.
Dieses Risiko lässt
sich per Software weiter verringern, wenn man Fingerprints ablehnt, deren
Lage zu sehr mit dem letzten Abdruck übereinstimmt, der zu einer erfolgreichen
Authentifikation geführt hat. Dies lässt sich durch Abspeichern
der Lagekoordinaten erreichen. Voraussetzung für das Funktionieren
dieses Verfahrens ist allerdings, dass der Berechtigte seinen Finger nur
dann auf den Sensor auflegt, wenn eine Authentifikation erfolgt! Hinterlässt
der Berechtigte seinen Fingerabdruck auf einem inaktiven (und geputzten!)
Sensor, hat diese Form der Latenzbildrückweisung keine Chance!
Publikationen
-
Freeman, R. Austin:
"The Red Thumb Mark", ISBN 0486252108, 1907.
-
Heindl, Robert: "System
und Praxis der Daktyloskopie und der sonstigen technischen Methoden der
Kriminalpolizei", De Gruyter, Berlin 1922.
-
Jain, A.; Bolle. R.;Pankanti;
S. (Editors); "Biometrics: Personal Identification in Networked Society",
Kluwer Academic Publishers, 1999.
-
Pankant, S.; Prabhakar,
S.; Jain, A. K.: "On
the Individuality of Fingerprints", 2001.
-
Sandström, M.:
"Liveness
Detection in Fingerprint Recognition Systems", 2004.
-
Soutar, C.: "Biometric
System Security", in: Secure - The Silicon Trust Quarterly Report, 01/2002,
46-49.
|
Autor
Manfred U. A. Bromba begann 1968
eine Lehre bei der Nixdorf Computer AG und schloss diese als Elektroniker
ab. Es folgten ein Studium der Elektrotechnik und der Physik an der Universität
Paderborn. Nach seiner Promotion forschte er noch weitere 2 Jahre auf dem
Gebiet der digitalen Signalverarbeitung, bevor er 1983 zum Bereich Halbleiter
der Siemens AG wechselte. Dort war er für eine Reihe von Produktinnovationen
aus dem Bereich Multimedia verantwortlich:
Erster IC-Satz für Flimmerfreies 100
Hz-Fernsehen (1987)
Erstes Embedded-DRAM-IC für Fernsehgeräte
(1988)
Multiport Serial Access Memory for TV (TV-SAM)
High-End Grafik-IC für Teletext (MEGATEXTTM)
MultiMediaCardTM
Erster voll funktionsfähiger Prototyp
eines MP3-Players mit Speicherkarte (1995) (beauftragt bei Fa. Pontis)
1986 erfolgte die Gründung der Firma
"Dr. Bromba Infrarotindikatoren".
1997 übernahm Bromba im Siemens-Bereich
Private Netze (heute "Information & Communication Mobile") die Biometrieaktivitäten.
1999 entstanden die ersten Labormuster eines Mobiltelefons mit Fingerprint-Authentifikation
sowie einer ID-Card mit Fingerprintsensor und kompletter Verarbeitung auf
der Karte.
Als Mitglied in TeleTrusT e.V., im CAST-Forum
und in der NI-AHGB/NI-37 des DIN e.V. wirkt er heute aktiv bei der Förderung
und Standardisierung biometrischer Systeme mit. Manfred Bromba ist Autor
zahlreicher Veröffentlichungen
und Erfindungen.
|