Manfred Bromba
2005-03-25 (Erstversion 2004-11-06)

Kunstfinger-Authentifikation

Biometrische Erkennung auch ohne Personenbezug

Permanente Adresse zum Zitieren: urn:nbn:de:0125-2008033100
Seit biometrische Identifikationssysteme erkennbar beginnen, den Markt zu erobern, gibt es auch kritische Stimmen, die zu Recht auf die Überwindungsmöglichkeiten dieser Systeme hinweisen. Während Kritiker jedoch oft von unrealistischen Angriffsszenarien ausgehen, reagieren die Befürworter mit der ebenso unrealistischen Möglichkeit, solche Probleme mit einer "Lebenderkennung" meistern zu können. Dieser Bericht geht einen Schritt weiter und zeigt, welchen Nutzen man aus der "Überlistbarkeit" von Fingerprintsensoren ziehen kann.

Biometrische Erkennungsverfahren haben unbestrittene Erfolge auf dem Gebiet der Verbrechensaufklärung erzielt. Insbesondere der Fingerabdruck hat sich wegen seiner Eigenschaft, Spuren zu hinterlassen, seit mehr als 100 Jahren bewährt. Dabei kann die Polizei gut damit leben, dass nicht alle Verbrecher brauchbare Abdrücke am Tatort hinterlassen. Zwar wird die Aufklärung in solchen Fällen möglicherweise schwieriger, aber in der Regel können immer noch genügend weitere unabhängige Indizien zusammengetragen werden, um bestenfalls ein Geständnis zu bewirken.

Fingerprint oder Passwort?

Ähnlich, wenn auch unter anderem Vorzeichen, sieht die Situation aus, wenn es darum geht, Passwörter durch den Fingerabdruck zu ersetzen. Hier stößt man zunächst unweigerlich auf die Frage, welche von beiden Methoden der Authentifikation denn "sicherer" ist. Eigentlich lässt sich diese Frage seriös erst dann beantworten, wenn sich biometrische Systeme soweit etabliert haben, dass ein Vergleich auf Basis der tatsächlich aufgetretenen Schäden möglich ist. Damit stehen die Hersteller biometrischer Systeme vor dem Dilemma, ihre Kunden von etwas überzeugen zu müssen, das sie erst richtig nachweisen können, wenn sie genug Systeme verkauft haben! Zum Glück gibt es aber einige Kriterien, die eine Vorabbeurteilung ermöglichen. So ist das Passwort z. B. dann unschlagbar, 
  • wenn es nicht erraten werden kann, weil es lang genug ist, möglichst in keinem Wörterbuch vorkommt und am besten noch viele Sonderzeichen enthält;
  • wenn es zusätzlich nicht aufgeschrieben, 
  • auf keinen Fall an Dritte weitergegeben, 
  • nicht für mehrere Anwendungen genutzt,
  • stattdessen regelmäßig gewechselt
  • und nur unbeobachtet in vertrauenswürdige Geräte von vertrauenswürdigen Betreibern eingegeben wird.
Man sieht hier, wie stark die Sicherheit beim Passwort vom Anwender selbst abhängt. Wie erreicht man nun, dass sich der Anwender passwortkonform verhält? Ganz einfach: Es kommt (neben mentalen Fähigkeiten und dem Wissen über mögliche Risiken) vor allem auf die Motivation an. Und hier wird schnell klar: Wenn der Anwender sein eigenes Eigentum schützt, wird er eher bereit sein, mit dem Passwort richtig umzugehen. Und wenn das Eigentum besonders wertvoll ist, wird er besonders viel Sorgfalt walten lassen. Dies mag wohl auch den Bundesgerichtshof in einem kürzlich ergangenen Urteil dazu bewogen haben, das Risiko des PIN-Einsatzes bei EC-Karten ganz auf den Anwender abzuwälzen (und auf diese Weise die PIN zu retten).

Grenzen des Passworts

Ganz anders ist der normale Mensch nämlich veranlagt, wenn es darum geht, fremdes Eigentum zu schützen. Hier erfährt die Sorgfalt schon eher deutliche Einschränkungen. Abgesehen davon, dass es generell fragwürdig ist, fremdes Eigentum durch eigene Passwörter oder gar eigene biometrische Merkmale zu schützen, kann es aus diesem Grund trotzdem sinnvoll sein, das Passwort durch Fingerprint zu ersetzen, denn Fingerprint ist im Durchschnitt weit weniger von der Sorgfalt des Anwenders abhängig. Genau diese Situation findet man in der Regel am Arbeitsplatz vor. Hier wird mit Passwörtern das Eigentum des Arbeitgebers geschützt. Um dem Anwenderphlegma entgegenzuwirken, neigen Administratoren dazu, komplexe Regeln zum Aufbau eines Passworts zu erzwingen und das Passwort in kurzen Zeitabständen ungültig werden zu lassen. (Dies könnte man auch als elegante Methode bezeichnen, die Verantwortung für die Sicherheit komplett auf Andere, in diesem Fall den PC-Anwender abzuwälzen.) Das Resultat sind dann die berüchtigten Zettelchen unter der Tastatur und erhebliche Kosten durch Hotline-Beanspruchung und Arbeitszeitverluste. Diese Kosten können pro Jahr und Mitarbeiter deutlich über den Anschaffungskosten eines biometrischen Fingerprint-Systems liegen. Und die Sicherheit leidet in diesen Fällen nur dann nicht, wenn die Angriffe gegen einfache Passwörter bevorzugt aus dem Netz von außen erfolgen und weniger über den Arbeitsplatz.

Low-Security-Anwendungen

Allerdings gilt bei der Authentifikation das gleiche wie bei den polizeilichen Indizien: Wenn man mehr Sicherheit haben will, hilft nur die UND-Kombination von Biometrie mit weiteren Methoden wie Smartcard und warum nicht auch ein einfaches Passwort, das man nur wechseln muss, wenn z.B. die Smartcard abhanden gekommen ist. Aber auch, wenn es spannender ist, über hohe Sicherheit zu reden: Es gibt sie noch, die Low-Security-Anwendungen. Und in denen wiegt ein anderes Problem meist schwerer: Der Nichtzugriff wegen zeitweiligen Ausfalls des biometrischen Merkmals. 

Beim Fingerabdruck rechnet man damit, dass ca. 3 bis 5 % der Gesamtbevölkerung Probleme bei der elektronischen Identifikation haben werden. Bei der Suche nach den Gründen dafür stellt man zunächst fest, dass Büroangestellte nur zu weniger als 1 % davon betroffen sind. Umgekehrt hat sich bei eigenen Untersuchungen herausgestellt, dass die elektronische Fingerabdruckerkennung bei ca. der Hälfte aller Maurer nicht funktioniert. Schaut man sich die Ursachen detailliert an, stößt man sofort auf die Hautbeschaffenheit, die den Sensoren zu schaffen macht: Stark beanspruchte Haut z. B. durch Umgang mit Steinen und Mörtel oder aber durch Klebstoffreste (Kontaktkleber, Sekundenkleber). Allerdings wachsen die Hautleisten innerhalb 2-3 Wochen wieder soweit nach, dass eine erneute Erkennung möglich ist. Manchmal sind aber auch die meist preisgünstigeren Fingerprintsensoren schuld, wenn sie zum Beispiel auf zu trockene oder zu feuchte Haut mit unbrauchbarer Bildqualität reagieren.

Nicht ohne Bypass

Egal woran es liegt, jedes Fingerprint-System muss so ausgelegt sein, dass ein Zugriff im Notfall auch ohne Fingerabdruck möglich ist. Am einfachsten ist es natürlich, mehrere Finger im System zu hinterlegen, so dass man noch eine Ausweichmöglichkeit in den Fällen hat, in denen nur einzelne Finger Probleme bereiten. Natürlich kann dies auch ein Passwort sein, das man an sicherer Stelle hinterlegt hat (andernfalls droht Vergessen wegen Nichtgebrauchs!). Nur, was mache ich bei tastaturlosen Systemen? Hier hilft eine Eigenschaft, die kostengünstigen Systemen oft angekreidet wird, nämlich Fingerabdruckkopien nicht von echten Fingern unterscheiden zu können (wobei zu Unrecht immer unterstellt wird, dass das Auffinden von latenten Fingerabdrücken ein Kinderspiel sei)!

It's no bug, it's a feature

Die meisten Fingerprintscanner, die heute am Markt sind, haben nur schwache oder keine Vorrichtungen zur Lebend- und zur Kopienerkennung. Das hat mehrere Gründe:
  • Den Gebrauch abgetrennter Finger kann man kostengünstiger durch angepasstes Systemdesign und Vermeidung der "Schutzkonzentration" auf Fingerprint als alleiniges Authentisierungsverfahren verhindern.
  • Prinzipiell kann eine Lebenderkennung nicht zwischen dem Leben eines berechtigten Fingers und dem "fremden Leben" eines Kopienträgers unterscheiden und ist deshalb als Fälschungsschutz nur eingeschränkt geeignet.
  • Manche gute Verfahren zur Lebenderkennung sind einfach zu langsam, weil sie mit dem Puls zusammenhängen, und den kann ich nicht beliebig beschleunigen.
  • Die meisten Anwendungen stammen aus dem Low-Security-Bereich und benötigen deshalb nur eingeschränkte Schutzfunktionen.
  • Ist mehr Sicherheit gefordert, ist die Kombination mit weiteren Authentifikationsverfahren sinnvoller, insbesondere auch zur Vermeidung der erwähnten "Schutzkonzentration".
  • Es gibt heute noch keine Verfahren zum Fälschungsschutz, die bei vernünftigen Kosten eine für höchste Ansprüche ausreichende Schutzwirkung ermöglichen. (Ein aussichtsreicher Kandidat wären ultraschallbasierte Sensoren, die wirklich in den Finger schauen könnten und dabei insbesondere nicht die Grenzschichten eines aufgeklebten "Fingerabdrucks" übersehen würden!)
Wenn es aber darum geht, in einer Low-Security-Anwendung eine Ausweichlösung für diejenigen zu finden, die Ihren Finger gerade nicht einsetzen können, lässt sich aus der beschriebenen Not eine Tugend machen: Durch Einsatz von Fingerprintstempeln! Hierbei geht es um handelsübliche Stempel, die an Stelle eines Texts Fingerlinien in hoher Qualität abbilden und die eine spezielle Beschichtung erhalten, um auf handelsüblichen Sensoren ein kontrastreiches Bild zu liefern. 

Die Firma NT-Ware hat solch ein System entwickelt, das sich alternativ mit echten Fingern oder Fingerstempeln bedienen lässt. Hierbei handelt es sich um ein Abrechnungssystem für die Druck- und Kopierkosten, bei dem die Ausdrucke nur auf Anforderung des Berechtigten herausgegeben und gleichzeitig die Druck- und Kopierkosten den richtigen Kostenstellen zugeordnet werden. 

Wie es funktioniert

Natürlich könnte man echte Fingerabdrücke als Vorlage für den Fingerprint-Stempel nehmen. Vorteilhafter ist es aber, den Fingerabdruck per Software künstlich zunächst als Bitmap zu erzeugen. Dazu gibt es z.B. von Optel, einem polnischen Technologieanbieter für Ultraschallsysteme allgemein und Ultraschallfingererkennungssysteme im Speziellen eine Software, die nach dem Zufallsprinzip fast beliebige Abdrücke erzeugen kann. Solch ein Bitmap wird einem Stempelhersteller übergeben, der daraus einen Stempel anfertigt. Die Stempelfläche wird dann noch, je nach Sensoranforderungen, mit einer flexiblen leitfähigen Schicht überzogen, und fertig ist der künstliche Finger. Das Enrollment, also das Abspeichern des Referenzbilds erfolgt dann wie beim echten Finger über den Sensor. 

Was es bringt

Ein wie beschrieben erzeugter Stempel entspricht im Wesentlichen einem Schlüssel, nur dass das Schloss elektronisch, d.h. per Software und damit flexibel und ohne Mechanikänderung an den Schlüssel angepasst werden kann. Wir haben es hier also mit einem Zwittersystem aus Authentifikation per Besitz und Biometrie zu tun. Und das hat einige Vorteile:
  • Gemeinsame Nutzung von Fingerprintbiometrie und "Schlüsselfunktionen"
  • Mit dem Kunstfinger gibt es keinerlei Datenschutzprobleme
  • Der Kunstfinger hinterlässt bei geeigneter Beschichtung keine Latenzbilder
  • Der Kunstfinger kann bei Verlust oder Korrumpierung deaktiviert und durch einen neuen ersetzt werden
  • Einfache Ausweichlösung im Fall eines Merkmalsausfalls
  • Keine bewegliche Schlüsselmechanik, mehr als 1 Mio Authentifikationen pro Sensor möglich
  • Einfache Übertragbarkeit des Kunstfingers und damit der Rechteweitergabe
  • Für mehr Sicherheit Kombination aus echtem und künstlichem Finger
Natürlich erbt ein solches System auch einige der Schwächen eines Schlüsselsystems:
  • Der Kunstfinger hat keine Selbstheilungsfähigkeiten
  • Der Kunstfinger allein ermöglicht nur eine eingeschränkte Personenbindung
  • Der Kunstfinger passt nicht in die Hosentasche - aber das kann auch gewollt sein, siehe Hotelschlüssel!
Denkbar wäre natürlich auch ein System, das gänzlich auf echte Fingerabdrücke verzichtet. Spannend wird hier die Frage sein, ob sich solch ein Verfahren gegen gleichartige Methoden wie den Gebrauch von Smartcards durchsetzen kann! Da es für kapazitive Fingerprintsensoren inzwischen eine Reihe alternativer Anwendungen gibt, die nur noch entfernt mit Biometrie zu tun haben (Beispiele sind die Bestimmung der Hautbeschaffenheit für kosmetische Zwecke oder die Justierung von punktförmigen Lötschwallspitzen), wäre ein Erfolg in dieser Richtung jedenfalls kein Sakrileg mehr!

Publikationen

Chaos Computer Club: "Wie können Fingerabdrücke nachgebildet werden?", mit Video, https://www.ccc.de/biometrie/fingerabdruck_kopieren.xml, 2004-10-09

Bromba, Manfred: "Biometrie und Sicherheit", http://www.bromba.com/knowhow/biosich.htm, 2002-10-29

Bicz, Wieslaw:  "The idea of description (reconstruction) of fingerprints with mathematical algorithms and history of the development of this idea at Optel", http://www.optel.pl/article/deutsch/idea.htm, 2003-05