Schutzmaßnahmen gegen sensorbasierte
Angriffe auf Fingerprint-Authentifizierungssysteme
Dr. Manfred Bromba · Bromba GmbH
Erstausgabe: 2008-09-17 - Stand: 2010-01-06
| Dieser Beitrag beschreibt die prinzipielle
Problematik eines Angriffs auf die Sensorschnittstelle mit dem Ziel, einem
Fingerprint-Authentifizierungssystem eine falsche Identität vorzutäuschen.
Speziell dem Entwickler solcher Systeme werden Hinweise für den Schutz
gegen diese Angriffe gegeben. Insbesondere Systeme mit höheren Vertrauenswürdigkeitsanforderungen
können davon profitieren. |
Inhalt
1 Fingerprint-Authentifizierung
| Der menschliche Fingerabdruck zeichnet
sich durch ein unverwechselbares Muster aus, das die zuverlässige
Unterscheidung unterschiedlicher Personen ermöglicht. Diese Eigenschaft
legt es nahe, die Identität einer Person durch den Fingerabdruck mit
hoher Gewissheit im Rahmen eines Authentifiziervorgangs zu bestimmen. |
| Ein Authentifiziervorgang besteht in der
Regel aus einer Identifizierung zur Feststellung der "behaupteten" Identität
einer Person und einer nachfolgenden Verifizierung [1].
Während die Identifizierung häufig nur untersucht, ob eine Identität
bekannt ist, dient die Verifizierung dazu, die "behauptete" Identität
mit der Identität der tatsächlichen Person zu vergleichen. So
verlangt beispielsweise die Standardauthentifizierung an einem Windows-Rechner
die Eingabe der Identität als einmaligen Benutzernamen. Es folgt im
Prinzip eine Identifizierung, die überprüft, ob der Benutzername
in der Datenbank aller Benutzer vorhanden ist. Existiert der Benutzername,
muss nur noch eine Überprüfung (= Verifizierung) erfolgen, ob
es tatsächlich der anzumeldende Benutzer ist, der Zugang zum PC begehrt.
Diese Verifizierung geschieht üblicherweise durch Eingabe eines geheimen
Passworts, das idealerweise nur der zugehörige Benutzer kennen sollte.
Eine Authentifizierung lässt sich in der Regel also in eine Identifizierung
mit einer nicht geheimen Information, der Benutzer-ID, und in eine Verifizierung
mit einer geheimen Information, z.B. dem Passwort, aufteilen. |
| Bei der Fingerprint-Authentifizierung
lassen sich zunächst zwei Extremfälle unterscheiden: |
|
• |
Man betrachtet das Fingerabdruckmuster
als nichtgeheime Information. |
|
• |
Man betrachtet das Fingerabdruckmuster
als geheime Information. |
| An dieser Stelle soll nicht entschieden
werden, welche dieser beiden Alternativannahmen in der Praxis eher zutrifft.
Möglich sind sicher beide, wenn man genau definiert, was man unter
geheim
verstehen will. Häufig wird geheim damit gleichgesetzt, dass
es nur mit größtem Aufwand möglich ist, die Information
offenzulegen. Wir werden stattdessen eine Information nur dann als geheim
betrachten, wenn sie bislang nicht in die "Hände" Unberechtigter gelangt
ist [2]. |
Definitionen
| Authentifizierung |
besteht aus Identifizierung und/oder Verifizierung |
| Identifizierung |
Vorgang der Ermittlung einer Identität
durch Vergleich einer personenspezifischen Information mit gespeicherten
Informationen bekannter Personen. Eine Identifizierung kann als Ergebnis
die richtige Identität (1), die falsche Identität (2), keine
Identität oder eine Liste mit quantitativ geschätzten Identitäten
als Entscheidungsvorlage (3) liefern. |
| Identität |
Teilmenge unverwechselbarer
Eigenschaften, die eine Person eindeutig charakterisieren |
| Verifizierung |
Vorgang des Nachweises, dass die behauptete
Identität einer Person mit der tatsächlichen übereinstimmt.
Als Ergebnis einer Verifizierung kommen folgende Möglichkeiten in
Frage: (1) Die Identität wird korrekterweise bestätigt. (2) Die
Identität wird korrekterweise widerlegt. (3) Die Identität wird
fälschlicherweise bestätigt. (4) Die Identität wird fälschlicherweise
widerlegt. (5) Das Ergebnis ist unbestimmt und besteht z.B. aus einem Wahrscheinlichkeitsmaß
für eine Übereinstimmung. |
| geheim |
bezieht sich auf Informationen, die nur
einem oder mehreren Berechtigten bekannt sind. Alternative: Information,
die einem potenziellen Angreifer nicht bekannt ist. |
| Lebenderkennung |
Nachweis, dass die zu authentifizierende
Person lebt |
| Fälschungserkennung |
Nachweis, dass die Authentifizierung nicht
durch ein Plagiat veranlasst wurde |
| Plagiat |
Nachbildung eines Fingers (in der Regel
mechanisch) und seines Abdruckmusters |
| Betrachtet man das Fingerabdruckmuster
als nichtgeheime Information, gibt es wiederum drei Möglichkeiten,
eine zuverlässige Fingerprintauthentifizierung zu realisieren: |
|
• |
Man nutzt den Fingerabdruck nur zur Identifizierung,
die Verifizierung der zugehörigen Person erfolgt klassisch z.B. per
Passwort oder mit weiteren biometrischen Charakteristika [9]. |
|
• |
Man nutzt den Fingerabdruck
zur Identifizierung und stellt per Verifizierung über "neuartige Methoden"
sicher, dass der Fingerabdruck zur authentifizierten Person gehört. |
|
• |
Man bedient sich
einer klassischen Identifizierung mit User-ID, lässt die Verifizierung
über das Fingermuster erfolgen und stellt über "neuartige Methoden"
sicher, dass der Fingerabdruck zur authentifizierten Person gehört. |
| Während die
erste Möglichkeit vor allem als Komfortfunktion zur Kostenreduktion
beitragen kann, sind die "neuartigen Methoden" häufig als Fälschungs-
und/oder Lebenderkennung bekannt. Allerdings ist das grundlegende Prinzip
gar nicht so neu, sondern bereits für Münzen und Banknoten
bekannt. In diesen beiden Fällen versucht man unabhängig vom
wertbestimmenden Muster (Prägung, Aufdruck) durch eine schwer kopierbare
Materialzusammensetzung (Metalllegierung, Spezialsubstanzen im Papier)
die Echtheit des Zahlungsmittels nachweisbar zu machen. An einem Automaten
wird also nicht nur der wertbestimmende Aufdruck ermittelt, sondern es
werden durch Materialprüfungen auch Fälschungen detektiert. Beim
menschlichen Finger bestimmt das leicht kopierbare Linienmuster die Identität.
Schwer kopierbar ist hingegen das Material des Fingers und der musterbehafteten
Hautoberfläche. Gelänge es, das für alle Menschen ähnliche
Fingermaterial einwandfrei zu analysieren und durch Bestimmung gemeinsamer
Eigenschaften dieses von allen anderen Materialien zu separieren, sollte
auf diese Weise eine (fast) perfekte Fälschungserkennung möglich
sein, jedenfalls, solange keine Finger im Reagenzglas züchtbar sind
oder das Fingermuster durch Transplantation übertragen wird. |
| Da für Fingerabdrücke heute
noch keine Fälschungserkennungsmethoden mit quantifizierbarer und
als ausreichend empfundener Zuverlässigkeit bekannt sind, bleiben
derzeit
nur zwei Grenzfälle für eine vertrauenswürdige Authentifizierung
übrig: |
|
• |
Man betrachtet das
Fingermuster als nicht geheim und nutzt es nur zur Identifizierung; die
Verifizierung erfolgt klassisch. |
|
• |
Man betrachtet das
Fingermuster als geheim und nutzt es zur Verifizierung. |
| Die Realität
besteht selten aus Grenzfällen. Beim Fingerabdruck bedeutet
dies: |
|
• |
Eine Authentifizierung muss nicht unzuverlässig
sein, wenn das Muster bekannt ist und keine explizite Fälschungserkennung
vorhanden ist. Denn zur Fälschung einer Authentifizierung ist immer
noch ein beträchtlicher Aufwand zu leisten. (Diesen Aufwand geeignet
zu quantifizieren, muss das Ergebnis zukünftiger Forschungen und Untersuchungen
sein.) |
|
• |
Mit einer Fingerpint-Authentifizierung
lassen sich Anwendungen mit einfachen Sicherheitsanforderungen auch durch
ein System realisieren, das den Fingerabdruck gleichzeitig zur Identifizierung
und
zur Verifizierung heranzieht. Denn im Vergleich zu einer User-ID mit Passwort
ist die Fingerprintinformation deutlich schwieriger zu übertragen,
z.B. scheidet eine mündliche Weitergabe oder ein Abfotografieren aus
der Ferne aus. |
| Ziel dieser Ausarbeitung soll es sein,
Hinweise zur geben, wie sich der Fälschungsaufwand durch geeignete
Systemmaßnahmen deutlich erhöhen lässt, um auch anspruchsvollere
Anforderungen erfüllen zu können. Dabei beschränken wir
uns auf Angriffe über den Sensor. Weitere Angriffsmöglichkeiten
sind in [8] beschrieben. |
2 Sicherheitsanforderungen
| Je größer der zu schützende
Wert ist, desto besser muss eine Authentifizierungseinrichtung Eindringversuche
Unberechtigter abwehren können. Dazu betrachten wir hier ausschließlich
Einrichtungen, die den Fingerabdruck zur Verifizierung nutzen. Würde
der Fingerabdruck innerhalb der Authentifizierung ausschließlich
zur Identifizierung genutzt [1], wäre
lediglich sicherzustellen, dass die Falschakzeptanzrate FAR niedrig genug
ist, um alle Nutzer eines Systems mit ausreichend hoher Wahrscheinlichkeit
voneinander zu unterscheiden. Andernfalls käme es zu "Falschrückweisungen"
bei der Verifizierung. Die Verifizierung ist in diesem Fall hauptsächlich
für den Schutz gegen Unberechtigte zuständig. Die Verifizierung
per Fingerprint setzt voraus, dass der Fingerabdruck ein Geheimnis ist,
oder dass der Aufwand, mit einem nachgemachten Fingerabdruck die Authentifizierung
zu täuschen, ausreichend hoch ist. In der Praxis wird man innerhalb
bestimmter Grenzen beides annehmen dürfen. |
3 Fingerprintsensoren
| In dieser Ausarbeitung
geht es ausschließlich um Angriffe, die über den Sensor stattfinden.
Dazu ist ein Finger bzw. die Fingeroberfläche mechanisch oder optisch
so nachzubilden, dass der Sensor mit diesem Plagiat ein Bild ausreichender
Qualität erzeugen kann. Da zur elektronischen Abbildung des Fingerabdrucks
unterschiedlichste physikalische Verfahren zur Anwendung kommen [7],
muss das Plagiat an die physikalischen Eigenschaften des Sensors angepasst
sein. Als Maß für die Eigenschaften eines Sensors oder Sensorprinzips
in Bezug auf Fälschungsaufwand sind letztendlich nur statistische
Messungen aussagekräftig, vorausgesetzt, die Messverfahren sind zumindest
dokumentiert und die Messung selbst statistisch signifikant. Der optimale
Sensor ist am besten über folgende Anforderung zu definieren: |
Für eine gegebene Falschrückweisungsrate
FRR und ein sensoroptimiertes "Restsystem" ist
die Fälschungsakzeptanzrate für das beste sensorspezifische Fälschungsverfahren
minimal.
|
| Im Unterschied zur gebräuchlichen
Definition der Falschakzeptanzrate FAR kommen bei der Fälschungsakzeptanzrate
nicht echte Finger mit falschem Muster, sondern echte Muster auf falschem
Material (Plagiate) zum Einsatz. (Hierbei lassen wir die eventuell vorhandene
Möglichkeit, künstliche Muster in echte Fingeroberflächen
einzufräsen, außer Acht.) Die Gesamt-FAR ergibt sich als Gewichtung
beider Fälle mit den Angriffswahrscheinlichkeiten und hängt somit
auch von der Gesamtanwendung und ihrem Umfeld ab. Im Folgenden werden wir
uns aber primär mit der vollständigen Angriffskette auseinandersetzen,
und die besteht nicht nur aus der Präsentation des Plagiats, sondern
auch aus der Aufdeckung des Fingerabdruckgeheimnisses und der Herstellung
des Plagiats. |
| Neben dem physikalischen
Bildgebungsverfahren unterscheidet man bei Fingerprintsensoren auch noch
die Scanning-Methode. Werden alle Bildpixelinformationen quasi gleichzeitig
erfasst, spricht man von einem Flächensensor. Flächensensoren
erfordern im Prinzip nur das statische Auflegen des Fingers auf eine plane
oder gewölbte Sensoroberfläche. Es gibt aber auch "berührungslose"
Flächensensoren, bei denen zumindest der zu messende Teil der Fingeroberfläche
nichts berühren muss. Daneben gibt es noch die kostengünstigen,
aber nicht weniger hochwertigen Streifensensoren, bei denen der Finger
aktiv über einen quasi eindimensionalen Sensor zu ziehen ist. Streifensensoren
mögen von manchen Nutzern als weniger komfortabel empfunden werden,
zeigen aber in Bezug auf den Fälschungsschutz einige Vorteile. |
| Fast alle Fingerprintsensoren
bilden das dreidimensionale Fingerprintmuster als 2D-Oberflächeninformation
ab, bei der ein 1 bis 8 bit-Grauwert den Abstand der Musteroberfläche
von der Sensoroberfläche angibt. Dabei spielt je nach Verfahren auch
die subkutane Beschaffenheit der mechanischen Fingeroberfläche eine
Rolle, d.h., die angesprochene 2D-Oberflächeninformation muss nicht
originalgetreu die möglicherweise gegen Verschmutzungen und Abrieb
empfindlichere mechanische Oberfläche widerspiegeln. |
4 Angriffe über
den Fingerprintsensor
| Ein Fälschungsversuch über den
Fingerprintsensor per Fingerprintduplikat ("Plagiat") setzt folgende Angriffsschritte
voraus [10]: |
|
1. |
Akquirieren eines geeigneten Fingermusters |
|
2. |
Assemblieren eines Plagiats |
|
3. |
Anwenden des Plagiats am Sensor |
| Übliche Publikationen [11,12,13,14,15]
betrachten oft nur Schritt 2 und mit Einschränkungen Schritt 3. Der
für den Angriffserfolg sehr wesentliche Schritt 1 wird dadurch umgangen,
dass man mit kooperativen Opfern arbeitet. Dies ist aber nur für bestimmte
Anwendungen ein vernünftiges Szenario, in denen der Betroffene selbst
der Betrüger sein kann. Das sind Anwendungen, in denen es für
den korrupten Betroffenen von Interesse sein könnte, einen biometrischen
Doppelgänger aufzubauen. Ein biometrischer Doppelgänger wäre
in diesem Fall eine eingeweihte Person, die der Betroffene mit seinem Charakteristikum
als Plagiat ausstattet. Beispiele wären Zeiterfassung am Arbeitsplatz
[17] (der Betroffene bittet einen Kollegen, für
ihn zu "stempeln"), Identitätsverfolgung beim Ein- und Auschecken
an Flughäfen, kombiniert mit absoluter Identitätsfeststellung
(Betroffener und Doppelgänger benutzen das gleiche biometrische Charakteristikum
für Enrolment und Authentifizierung) oder biometrische Bezahlanwendungen
[9] (der Betroffene schickt den Doppelgänger
Einkaufen und verschafft sich selbst ein Alibi, um später die Bezahleinwilligung
abzustreiten). |
| Ein Fälschungsversuch per Latenzbildreaktivierung
am Sensor [3] setzt voraus, dass die Oberfläche
eines Flächensensors vor dem Angriff gesäubert wurde, so dass
keine qualitätsmindernden Latenzbildüberlagerungen stattfinden
können. Dann lässt sich bei manchen Flächensensoren das
letzte Bild des Berechtigten z.B. durch Anhauchen reaktivieren, so dass
die Anwesenheit des Berechtigten vorgetäuscht wird, (vorausgesetzt
natürlich, der Latenzabdruck ist noch nicht zu alt [18]).
Berührungslose Flächensensoren und Streifensensoren sind von
diesem Phänomen grundsätzlich nicht betroffen. Bei allen anderen
Sensoren lässt sich dieser Angriff durch Abspeicherung der Lagekoordinaten
des letzten gültigen Fingerabdrucks wirkungsvoll per Software unterdrücken,
wobei allerdings die Falschrückweisungsrate leicht ansteigt. Denn
es gibt immer eine gewisse Wahrscheinlichkeit, dass der Berechtigte seinen
Finger exakt bis auf einige 100 µm genau wie bei der letzten Authentifizierung
auflegt. |
5 Fälschungsaufwand
5.1 Akquirieren
| Fingerabdrücke sind im eigentlichen
Bedeutungssinn eine Eigenschaft, die sie für die Kriminalistik unentbehrlich
macht: das häufig unbewusste Hinterlassen des Fingermusters als Abdruckspur
bzw. Latenzbild in Form von oftmals unsichtbaren chemischen Rückständen
der Hautoberfläche auf berührten Gegenständen aller Art.
Für Authentifizierungsaufgaben ist diese Eigenschaft eher gefährlich,
da sie die Geheimhaltung des Musters der Kontrolle des Betroffenen entzieht.
Somit gibt es beim Fingerabdruck im Gegensatz zu vielen anderen biometrischen
Merkmalen mindestens zwei Möglichkeiten, das Geheimnis des Musters
zu lüften: durch Direkt- und durch Latenzbildaufnahme. |
| Bei der Direktaufnahme ist in der Regel
die Mitwirkung des Betroffenen erforderlich. Dabei kommt ein Sensor, ein
Scanner oder eine Digitalkamera zum Einsatz, die direkt ein digitales Bild
liefern, das zur Weiterverarbeitung geeignet ist. Die Direktaufnahme kann
aber auch unter Zwang, unbemerkt (im Schlaf) oder durch manipulierte Hardware
erfolgen. (Angriffe durch manipulierte Hardware sind z.B. von Geldautomaten
bekannt, wo durch getarnte Vorsatzgeräte Kartendaten und PIN abgegriffen
werden.) |
| Moderne digitale Kleinkameras oder Handys
mit Videofunktion sind als besonders kritisch einzustufen, da es mit diesen
problemlos möglich ist, Passworteingaben heimlich zu filmen und "offline"
in Zeitlupe auszuwerten. Solche Kameras können auch unbemerkt genutzt
werden, wenn sich jemand per Fingerabdruck authentifiziert und das Fingerbild
als Rückmeldung auf einem Display angezeigt wird. Allerdings geht
hier beim Fingerabdruck die genaue Größeninformation verloren
und perspektivische Verzerrungen müssen nachträglich erkannt
und korrigiert werden. |
| Deutlich umständlicher ist die Aufnahme
von Latenzbildern. Was im Labor erfolgreich ist, kann sich in der Praxis
als äußerst mühselig erweisen, Erfolg nicht garantiert.
Bei der Suche nach Latenzbildern sind folgende natürliche Hürden
zu überwinden, wobei davon ausgegangen wird, einen bestimmten Fingerabdruck
finden zu müssen: |
|
• |
| Latenzabdrücke sind, wie der Name
sagt, nur selten als solche sichtbar |
|
• |
| Das Finden von Latenzabdrücken benötigt
spezielles Knowhow und Erfahrung |
|
• |
Häufig berührte Gegenstände
liefern nur unbrauchbare Latenzbildüberlagerungen |
|
|
• |
Das Suchen nach Latenzabdrücken ist
insbesondere für Nichtdaktyloskopen ein zeitaufwändiger Prozess |
|
|
• |
Die Aufnahme von Latenzabdrücken
benötigt spezielles Knowhow und praktische Erfahrung |
|
• |
Latenzabdrücke finden sich nur in
unmittelbarer Nähe der Aufenthaltsorte betroffener Personen |
|
• |
| Latenzabdrücke sind nicht direkt
zuordenbar, es kann sich auch um Abdrücke fremder Personen handeln |
|
• |
Je höher die Zahl fremder Latenzabdrücke,
desto kleiner die Chance, den gesuchten zu treffen |
|
• |
Latenzabdrücke können vom falschen
(d.h. nicht enrolten oder aktivierten) Finger einer berechtigten Person
stammen |
|
|
• |
| Latenzabdrücke haben in der Regel
eine schlechte Bildqualität |
|
• |
| Latenzabdrücke verschlechtern mit
der Zeit (ca. 1 h) rapide ihre Qualität [18] |
|
• |
Latenzabdrücke benötigen mit
zunehmendem Alter immer aufwändigere Aufnahmemethoden |
|
|
|
• |
| Latenzabdrücke sind oftmals nur Fragmente,
d.h. zeigen nur Teilbereiche eines Fingers |
|
• |
Latenzbildfragmente erlauben häufig
keine präzise Winkelbestimmung relativ zum Finger |
|
• |
Latenzbildfragmente erlauben häufig
keine präzise Lagebestimmung relativ zum Finger |
|
• |
Latenzbildfragmente erlauben häufig
keine Bestimmung der Fingernummer |
|
|
• |
Das Suchen nach Latenzabdrücken hinterlässt
in der Regel sichtbare Spuren |
| Das gern diskutierte [5]
und in der Praxis auch schon aufgetretene [6]
Abschneiden von Fingern lässt sich am wirkungsvollsten dadurch verhindern,
dass man keine zu großen Werte ausschließlich per Fingerprint-Authentifizierung
sichert. Eine für diesen Fall eigentlich sinnvolle Lebenderkennung
(was auch immer das genau sein mag) ließe sich für einen Betrüger
relativ leicht dadurch umgehen, dass man das Fingerabdruckmuster z.B. per
Stempelfarbe abnimmt (hierzu eignet sich der noch nicht geschrumpfte lebende
Finger natürlich am Besten), daraus eine Folie als Plagiat assembliert
und mit dieser die "Lebenderkennung" umgeht. Obwohl es sehr wirkungsvolle
Methoden zur Bestimmung des Lebens in Fingern gibt [16],
ist es beliebig schwer, nachzuweisen, dass der lebende Finger auch zum
Berechtigten gehört und nicht nur dessen Muster. (Beispiel: Folie
mit fremden Fingerabdruckmuster an eigenem Finger befestigt.) |
5.2 Assemblieren
| Sobald ein elektronisches Bild des Fingerabdrucks
vorliegt (wir betrachten hier weder rein mechanische noch opto-chemische
Duplizierungsverfahren [19]), hat man die
Auswahl unter verschiedenen Methoden zur Plagiatsanfertigung [20].
Das Wichtigste ist das zum Sensor passende Material. Hierbei ist Folgendes
zu beachten: |
|
• |
Das Material muss flexibel sein, da sonst
keine Planlage zu meist steifen Sensoroberflächen zustande kommt. |
|
• |
Das Material muss größenstabil
sein. So hängt bei Gelatine die Größe vom stark zeitlich
variierenden Wassergehalt ab. |
|
• |
Das Material muss bei Streifensensoren
mechanisch stabil genug sein, um dem Zug über den Sensor mehrfach
standzuhalten |
|
• |
Das Material muss bei bestimmten Sensoren
bestimmte physikalische Eigenschaften aufweisen, z.B. Leitfähigkeit
oder Dielektrizitätskonstante. |
| Gelatine ist für viele Sensoren gut
geeignet, allerdings sind Formstabilität und Haltbarkeit (Pilzbefall!)
mangelhaft. Andererseits ist auch Stempelgummi [3]
geeignet, wenn man die Stempeloberfläche je nach Sensor entsprechend
behandelt [4]. |
5.3 Anwenden
| Hat man die ersten zwei Stufen absolviert,
entscheidet erst der letzte Schritt über Erfolg oder Misserfolg, wenn
das Plagiat dem Authentifizierungssystem präsentiert wird. Hier kommen
für den Fälscher folgende Schwierigkeiten zusammen: |
|
• |
Es ist (in der Regel) die passende User-ID
einzugeben |
|
• |
Das Plagiat muss den richtigen Finger
repräsentieren |
|
• |
Das Plagiat muss den richtigen Fingerausschnitt
relativ zur Fingerführung zeigen (bei kleinen Sensoren) |
|
• |
Das Plagiat muss im richtigen Winkel aufliegen |
|
• |
Das Plagiat muss das zum Sensor passende
Material aufweisen |
|
• |
Das Plagiat muss je nach Sensor angehaucht
werden (zur Erhöhung der Feuchtigkeit) |
|
• |
Das Plagiat muss ganzflächig auf
dem Flächensensor aufliegen |
|
• |
Das Plagiat muss lückenfrei über
den Streifensensor gezogen werden |
|
• |
Das Plagiat muss vor Ort möglichst
viele Fälschungsversuche durchstehen können |
|
• |
Der Fälschungsversuch darf Anderen
nicht auffallen |
| Aus dieser Liste wird sofort klar, was
der Entwickler des Fingerprint-Authentifizierungssystems alles beachten
muss, um dem Betrüger das Leben möglichst schwer zu machen. |
6 Schutz gegen Angriffe
| Die ersten Fingerprintsysteme, die mit
Hilfe von Latenzbildreaktivierungen oder Plagiaten "getäuscht" wurden,
zeichneten sich durch einige ganz nette, aber in der Praxis eher unnötige
Merkmale aus, die aber Fälschern das Leben ganz wesentlich erleichterten:
Es waren beliebig viele Versuche erlaubt und das Sensorbild wurde in hoher
Qualität auf dem Display des PCs angezeigt. Beides zusammen ermöglichte
es den Fälschern, ihre Versuche solange zu optimieren, bis der gewünschte
Erfolg eintrat. Systeme die für einen hohen Schutz gegen Falschauthentifizierungen
jeglicher Art optimiert sind, sollten hingegen folgende Regeln beachten: |
Die Zahl der Authentifizierungsversuche sollte
auf maximal 3 beschränkt werden
| Danach erfolgt Sperrung des Users. Wie
häufig ein Berechtigter auf diese Weise ausgesperrt wird, hängt
primär von der Falschrückweisungsrate FRR ab. Heutige Systeme
haben eine FRR von unter 1% (hängt stark von der Person ab!). Nimmt
man für einen Berechtigten völlige stochastische Unabhängigkeit
der drei Versuche an, käme man auf eine Sperrungs-FRR von kleiner
als 10-6, so dass der Berechtigte im Normalfall kein Problem
haben sollte. Der andere Extremfall, die komplette Abhängigkeit, würde
die FRR bei 1% belassen. Tritt dieser Fall bei einem Berechtigten auf,
muss unabhängig von weiteren Versuchen davon ausgegangen werden, dass
ein grundlegendes Problem vorliegt, was wie bei allen Authentifizierungsverfahren
die Anwendung einer Rückfallmethode erfordern würde. Die Beschränkung
der Zahl der Versuche kann einhergehen mit einer Zeitsperre oder einer
ansteigenden Verzögerung zwischen zwei Versuchen bei ansteigender
Versuchszahl. |
Das Fingerabdruckmuster sollte nicht angezeigt
werden
| Dadurch vermeidet man, dass der Fälscher
sieht, was er falsch macht, denn in aller Regel klappt bei Plagiaten nicht
der erste Präsentationsversuch. Desweiteren verhindert man ein heimliches
Abfotografieren/-filmen des Fingerabdrucks eines Berechtigten. Will man
auf diese Funktion in "Komfortanwendungen" nicht verzichten, sollte die
Darstellung wenigstens perspektivisch verzerrt erfolgen. Andernfalls könnten
Komfortanwendungen zu einem Risiko für (fremde) Sicherheitsanwendungen
werden. |
Kleine Flächen-Sensoren haben in Verbindung
mit einer Fingerführung eine höhere Fälschungsresistenz
| Kleinere Sensoren führen zwar prinzipiell
zu einer höheren FAR. Da in aller Regel die FAR aber im Vergleich
zur Fälschungsakzeptanzrate keine Rolle spielt, kann es sich lohnen,
die Sensorfläche zu verkleinern. Dies reduziert die Fälschungsakzeptanzrate
in Verbindung mit der Begrenzung der Versuchszahl dadurch, dass der Fälscher
nicht weiß, welcher Ausschnitt enrolt wurde bzw. aktiv ist. Man muss
dann allerdings zur Erzielung einer brauchbaren FRR dafür sorgen,
dass immer der selbe Ausschnitt des Fingerabdrucks den Sensor trifft. Dies
ist durch eine geeignete Fingerführung zu gewährleisten. (Die
Verkleinerung der Sensorfläche und die Positionierung der gültigen
Fläche ließe sich übrigens auch softwaretechnisch mit einem
Sensor größerer Fläche lösen.) |
Der Fingerabdruck sollte eine Mindestfläche
aufweisen
| Auch wenn eine Erkennung des Musters noch
einwandfrei möglich sein sollte, ist es sinnvoll, eine Mindestfläche
für den aufliegenden Fingerabdruck zu fordern. Auf diese Weise lassen
sich kleinflächige Fragmente wirksam ausschließen. |
Sensor-ID
| Arbeitsplatzanwendungen sehen häufig
einen Sensor pro Arbeitsplatz vor. Sensoren mit einmaliger und nicht änderbarer
ID lassen sich dazu nutzen, z.B. räumliche Beschränkungen (auch
in Verbindung mit PC-ID und LAN-ID) einzuführen. Desweiteren wäre
auf diese Weise auch verhinderbar, dass manipulierte Geräte zum Einsatz
kommen, insbesondere, wenn die Übertragung der Daten vom Sensor verschlüsselt
abläuft, so dass die ID nicht auslesbar wäre. |
Finger mit geringster Latenzbildhäufigkeit
verwenden
| Nach [12]
sind nicht alle 10 Finger gleichhäufig als Latenzbild auffindbar.
Damit ließe sich durch Auswahl des richtigen Fingers die Chance verringern,
Opfer eines Latenzbildangriffs zu werden. |
Höchstens zwei Finger pro Person enrolen
| Mit jedem zusätzlich enrolten Finger,
der bei der Authentifizierung gleichberechtigt nutzbar ist, erhöht
sich für einen Fälscher die Chance, dass irgendein dem Fälscher
nicht genau bekannter Fingerabdruck erfolgreich erkannt wird. Man sollte
deshalb genau überlegen, ob nicht ein einziger Finger reicht, denn
die Chance, sich einen Finger zu verletzen, ist relativ gering und kann
durch das notwendige Rückfallverfahren aufgefangen werden. |
Mehrfingerauthentifizierung
| Das System kann im Falle höherer
Anforderungen die Verifizierung mit zwei Fingern in vorgegebener Reihenfolge
verlangen. Dies reduziert nicht nur deutlich die FAR, sondern auch das
Risiko einer erfolgreichen Fälschung. Allerdings muss man näherungsweise
mit einer Verdopplung der FRR rechnen. |
Bestimmte Finger oder Geräte können
gesperrt werden
| Sollte ein Finger korrumpiert sein, muss
er sich deaktivieren lassen. Im Falle seiner Nutzung kann dann ein unsichtbarer
Alarm erfolgen. Ähnliches lässt sich z.B. bei gestohlener Hardware
durch Sperrung der Sensor-ID oder weiterer Hardware-IDs erreichen. |
Alarmfinger
| Diese Maßnahme ist geeignet zur
Abwehr einer erzwungenen Authentifizierung, die dann nur zum Schein erfolgreich
ist. Als Alarmfinger kommen im Prinzip auch deaktivierte korrumpierte Finger
in Frage. |
Man wählt die kleinstmögliche FAR,
die eine akzeptable FRR erzeugt
| Auch wenn die FAR bei Fingerprintsystemen
so klein ist, dass sie innerhalb einer Verifizierung keine Rolle mehr spielt,
also deutlich kleiner ist als 0.0001, so führt doch eine kleinstmögliche
FAR auch zu einer verbesserten Abweisung von Fälschungen, da auch
Fälschungen in der Realität nie perfekt sind. |
Die Fingerführung sollte mechanisch gegen
Fälschungen optimiert sein
| Insbesondere bei Streifensensoren, begrenzt
aber auch bei Flächensensoren, kann eine geeignet geformte Fingerführung
die mechanische Anwendung von Plagiaten ganz wesentlich erschweren. Ein
gelungenes Beispiel sind die Tastaturen G-83-14600/14700 von Cherry, die
einer Anwendung von Plagiaten u.a. durch besondere Formgebung der Fingerführung
einen wirksamen Widerstand entgegensetzen. |
Gegen Fälschungen optimierte
Fingerführung
|
Keine Fingerprint-Identifizierung bei
hohem Schutzbedarf
| Eine Authentifizierung, die gleichzeitig
per Fingerprint identifiziert und das Ergebnis als Verifizierung betrachtet,
ist prinzipiell anfällig gegen die Benutzung beliebiger Fingerabdrücke
Nichtberechtigter. Dies gilt nicht nur für die mit der Fingerzahl
steigende FAR, sondern auch für die Chance, mit irgend einem zufällig
aufgefundenen Latenzabdruck eine erfolgreiche Authentifizierung zu erzielen. |
Der Winkelbereich des Fingers sollte auf ein
Minimum begrenzt werden
| Anwender sind immer wieder begeistert,
wenn man den Finger in beliebigem Winkel auf einen Flächensensor auflegen
kann. Schränkt man den Auflagewinkel jedoch z.B. auf praxisnahe ±15°
ein, vergrößert sich die FRR zwar kaum messbar, jedoch sinkt
die Wahrscheinlichkeit, dass der Fälscher bei kleinen Sensoren den
richtigen Winkel im ersten Versuch trifft, um bis zu einem Faktor 12! |
Es werden alle Finger enrolt, aber nicht alle
freigeschaltet
| Dadurch lassen sich Fälschungsversuche
in Echtzeit aufdecken, weil der Fälscher in der Regel nicht weiß,
welchen Finger er assembliert hat. Sollte zufälligerweise ein enrolter,
aber nicht aktivierter Finger dabei sein, kann dies für einen Fälschungsversuch
sprechen, wobei natürlich auch mit einer Fehlbedienung des Berechtigten
zu rechnen ist. |
Eine Fingerprintauthentifizierung sollte nicht
die äußerste von mehreren Hürden sein
| Erfolgt eine Berechtigungsabfrage mit
Zutrittssteuerung in mehreren Stufen unter Benutzung unterschiedlicher
Authentifizierungsmethoden, sollte eine Authentifizierung per Fingerabdruck
innerhalb dieser Kette nicht die erste Maßnahme sein. Beispiel für
eine mehrstufige Authentifizierung ist der Zugang zu vertraulichen Daten
am Arbeitsplatz. Um an die vertraulichen Daten zu gelangen, benötigt
man z.B. zunächst den Zugang zum Betriebsgelände, dann den Zugang
zum Büro, den Zugang zum PC und schließlich den Zugriff auf
die Daten. Jeder einzelne Zugang/Zugriff bedarf üblicherweise einer
eigenen Authentifizierung, wie auch immer sie aussehen mag. In solch einem
Fall ist es in der Regel sinnvoller, die Fingerprintauthentifizierung eher
im inneren Bereich für den Datenzugriff zu nutzen als bereits im öffentlichen
Bereich am Werkstor. Warum? |
| Wir nehmen vereinfachend an, dass der
im Beispiel beschriebene Weg zu den vertraulichen Daten der einzige ist.
Wir gehen weiter davon aus, dass ein erfolgreicher Angriff auf die vertraulichen
Daten alle Authentifizierungseinrichtungen von außen nach innen überwinden
muss. Ein nicht erfolgreicher Angriff wird spätestens an der letzten
Hürde scheitern. Dabei gilt trivialerweise die
Feststellung, dass die Wahrscheinlichkeit, erst an einer inneren Hürde
zu scheitern nicht kleiner ist als bereits vorher an einer äußeren
gescheitert zu sein. Sind die vorhergehenden Authentifizierungsmechanismen
nicht völlig unwirksam, kann man sogar davon ausgehen, dass ein hoher
Prozentsatz der gescheiterten Angriffe bereits vor der innersten Authentifizierungseinrichtung
zum Erliegen kommt. Umgekehrt ist die Wahrscheinlichkeit, dass bereits
die äußerste Authentifizierungseinrichtung überwunden wurde,
größer ist als das Überwinden weiterer innerer Authentifizierungseinrichtungen.
Es werden in einer Kette also grundsätzlich eher äußere
Authentifizierungseinrichtungen als innere überwunden. Gehört
die Fingerabdruckerkennung zu den äußeren Authentifizierungseinrichtungen,
gibt es damit einen höheren Anteil an überwundenen Fingerprintauthentifizierungen
als wenn diese weiter innen angeordnet wäre. |
| Die Überwindung einer Fingerprintauthentifizierung
hat aber eine größere Auswirkung als die Überwindung einer
Passwort- oder tokenbasierten Authentifizierung, da der Betroffene seinen
Authentifizierungsfinger nur 9 mal wechseln kann. Natürlich hat ein
Angreifer bei Kenntnis der gesamten Authentifizierungskette bereits die
Überwindung der Fingerprintauthentifizierung durch ein geeignetes
Plagiat vorbereitet. Allerdings beweist ihm erst die erfolgreiche Überwindung
dessen Tauglichkeit. Er lebt also bei zukünftigen Angriffsversuchen
immer mit dem Risiko, dass sein Fingerprint-Plagiat unbrauchbar ist. |
Der Fingerprintsensor sollte einsehbar sein
| Fälschungsversuche werden in nichtbeobachtetem
Umfeld wesentlich häufiger sein, da hier ein Aspekt der Abschreckung,
die Entdeckung durch Dritte, entfällt. |
Hochglanzoberflächen in der Nähe
von Sensoren vermeiden
| Schreibtische mit
Arbeitsfläche aus Glas erhöhen die Chance für den Fälscher,
einen Fingerabdruck in brauchbarer Qualität schneller zu finden. Aufgerauhte
Oberflächen können die Auswertung von Fingerabdrucken hingegen
unmöglich machen, siehe [3]. |
7 Quellenangaben
und Links
| Letzer
Link-Besuch: 2008-07-20 |
|
|
|
Bromba,
M.: "Fingerprint identifiers and fingerprint verifiers"; first issue: 2007-12-26;
http://www.bromba.com/knowhow/FingerprintID.htm#4 |
|
|
|
Bromba,
M.: "Are fingerprints secrets?"; first issue: 2007-09-21; http://www.bromba.com/knowhow/FingerprintID.htm#2 |
|
|
|
Bromba, M.: Biometrie und
Sicherheit; Erstausgabe: 2002-07-22;
http://www.bromba.com/knowhow/biosich.htm |
|
|
|
Bromba, M.: "Kunstfinger-Authentifikation
- Biometrische Erkennung auch ohne Personenbezug"; Erstausgabe: 2005-03-25;
http://www.bromba.com/knowhow/artifing.htm |
|
|
|
Maresch, M. "Bald ein Volk
ohne Daumen?"; Süddeutsche Zeitung v. 1998-01-31 |
|
|
|
Kent, J.: "Malaysia car
thieves steal finger": http://news.bbc.co.uk/1/hi/world/asia-pacific/4396831.stm |
|
|
|
Bromba, M.; Fingerprint
FAQ; http://www.bromba.com/faq/fpfaqd.htm#arbeiten |
|
|
|
Bromba, M.: "Biometrische
Angriffe": http://www.bromba.com/knowhow/bioangr.htm |
|
|
|
Bromba, M.; "Ein biometrisches
Bezahlsystem für Kaufhäuser - Herausforderungen für Entwickler
und Datenschützer"; DuD • Datenschutz und Datensicherheit, 31 (2007)
Heft 3, S 194-198 (http://www.bromba.com/knowhow/DuD31(2007)3Bromba.pdf) |
|
|
|
Bromba,
M.: "Widespread use of fingerprint - a danger?"; first issue: 2007-10-11;
http://www.bromba.com/knowhow/FingerprintID.htm#3 |
|
|
|
Matsumoto, Tsutomu; "Importance
of Open Discussion on Adversarial Analyses for Mobile Security Technologies";
ITU-T workshop on security, Seoul; May 2002. http://www.itu.int/itudoc/itu-t/workshop/security/present/s5p4.html |
|
|
|
Heinz, B.; Krißler,
J.; Rütten, C.: Fingerspitzengefühl - Fingerabdrucksysteme im
Test. c't 12/2007, S 98-101. |
|
|
|
Krißler, J.; Rütten,
C.: Feine Linien - Wie leicht sich Fingerabdrucksensoren austricksen lassen.
c't 12/2007, S 102-103 |
|
|
|
Thalheim, L.; Krissler,
J.; Ziegler, P.-M.: "Körperkontrolle"; c't 11/2002, S114-123; deutsche
Kurzfassung; englische
Langversion. |
|
|
|
"Starbug"; "Wie können
Fingerabdrücke nachgebildet werden?"; 09. Oktober 2004; https://www.ccc.de/biometrie/fingerabdruck_kopieren.xml |
|
|
|
Bromba, M.; "Fingerabdruckerkennung";
Erstausgabe: 2004-05-27; http://www.bromba.com/knowhow/fingerprint.htm |
|
|
|
Biermann, H.; Bromba, M.;
Busch, C.; Hornung, G.; Meints, M.; Quiring-Kock, G.: "White Paper zum
Datenschutz in der Biometrie"; TeleTrusT 2008-05-21; http://www.bromba.com/knowhow/Datenschutz-in-der-Biometrie-080521.pdf |
|
|
|
Victoria Forensic Science
Centre Fingerprint Branch: "Duration of Latent Impressions", 2002-06-06,
http://www.nifs.com.au/F_S_A/Duration%20of%20latent%20fingerprints.pdf |
|
|
|
Freeman, R. Austin: "The
Red Thumb Mark", ISBN 0486252108, 1907. |
|
|
|
FIDIS-Studie D.6.1; "Forensic
Implications on Identity Management Systems" (PDF,
9 MB) |
|