© Bromba GmbH
 
2004-05-27 / 2005-07-23
 

Fingerabdruckerkennung

Dr. Manfred Bromba
Bromba GmbH
E-Mail: http://www.bromba.com/contactd.htm
Permanent address for citation: urn:nbn:de:0125-2008042801

Inhalt

1. Einleitung
2. Fingerprint-Merkmale
3. Realisierung
4. Systemkonzepte
5. Einige Fingerprint-Anwendungen
6. Biometrische Besonderheiten
7. Literatur

ABSTRACT

Fingerprint is one of the most frequently used biometric features. Since over 100 years it has proven its capability to uniquely distinguish different people. This article describes the most important features of fingerprint, its realization on modern computer equipment, and how to use it with benefit.

1. Einleitung

Mehr als 100 Jahre Fingerprint

Aus dem alten China ist bekannt, dass dort der Fingerabdruck zur Beurkundung von Verträgen seit spätestens 700 n. Chr. offiziell eingesetzt wurde. In Europa gab es 1858 einen Vorschlag zur Einführung in der Kriminalistik, dem Deutschland im Jahre 1903 folgte. [5, Seite 1-108] Seitdem wird die Fingerabdruckerkennung in der "Daktyloskopie" mit großem Erfolg als Beweismittel bei der Spurensicherung zur Verbrechensaufklärung genutzt. Auch wenn moderne Methoden wie DNA-Analyse spektakuläre Erfolge zu verzeichnen haben, wird die Fingerabdruckerkennung aus der modernen Verbrechensbekämpfung nicht mehr wegzudenken sein, insbesondere, wenn mehrere verfügbare Methoden die Stichhaltigkeit eines Beweises weiter erhöhen können.

Die liebe Last mit den PINs

Die fortschreitende Automatisierung und die Entwicklung neuartiger technischer Systeme haben dazu geführt, dass sich der Anwender nicht mehr gegenüber Menschen sondern gegenüber einer technischen Einrichtung authentifizieren muss. Zur persönlichen Identifizierung hat sich dabei das geheime Passwort bzw. die PIN durchgesetzt. Beispiele aus dem täglichen Leben sind der Geldautomat, das Handy oder der Internetzugang am heimischen PC. Damit ein Passwort nicht erraten werden kann, sollte es möglichst lang sein, möglichst in keinem Wörterbuch vorkommen und am besten noch Sonderzeichen wie +, -, § oder so enthalten. Außerdem sollte der Anwender das Geheimwort aus Sicherheitsgründen nicht aufschreiben, auf keinen Fall an Dritte weitergeben und spätestens alle drei Monate wechseln. Wenn man jetzt noch berücksichtigt, dass viele Anwender mit gut 30 Passwörtern umgehen müssen, von denen die meisten nur selten benutzt werden, ist klar, dass der Aufwand für vergessene Passwörter enorm ist und den Anwender geradezu zwingt, Abstriche bei der Sicherheit zu machen. Das Passwort ist eben sehr maschinen-, dafür aber wenig benutzerfreundlich. 
Was liegt also näher, als sich auf die Natur zurückzubesinnen. Der Mensch benutzt zur Erkennung seiner Mitmenschen charakteristische körperliche Merkmale wie Gesichtsform oder Klang der Stimme. Die Biometrie als Lehre von der Erfassung und Vermessung körperlicher Merkmale kennt inzwischen eine Vielzahl von weiteren Merkmalen, die sich ideal zur eindeutigen Identifizierung sogar von Zwillingen heranziehen lassen. Beispiele sind Fingerprint, Iris und Blutgefäßstrukturen. Um mit der Erkennungsleistung des menschlichen Gehirns mithalten zu können (vorausgesetzt man beschränkt sich auf ein einziges biometrisches Erkennungsverfahren), sind allerdings gut 100 Mio. Rechenoperationen pro Sekunde zu leisten. Da Standard-PCs erst seit kurzem diese hohe Rechenleistung erreichen und andererseits geeignete Sensoren zur Aufnahme der menschlichen Körpermerkmale immer kostengünstiger werden, ist jetzt die Zeit gekommen, das Passwort flächendeckend durch eine benutzerfreundliche Alternative zu ersetzen: Die Fingerprint-Authentifikation.

September Eleven: Biometrie eine Lösung? 

Die Ereignisse am 11. September 2001 haben überaus deutlich gemacht, wie verletzlich die Errungenschaften moderner Technik machen. Zwar war schon immer bekannt, dass das Denkbare auch irgendwann eintreten kann. Schockiert hat jedoch vor allem die Erkenntnis, welche Gefahr vom Menschen selbst ausgeht, und dass man sich auf bislang sicher geglaubte ethische Werte keinesfalls verlassen kann. Was liegt also näher als der Vorschlag der Politik, die Kontrolle des Menschen durch biometrische Identifikation über Fingerprint, Gesicht oder Iris zu verbessern, um auf diese Weise wenigstens die Wahrscheinlichkeit für solche Ereignisse deutlich zu reduzieren. Unabhängig davon, ob biometrische Identifikation tatsächlich Anschläge dieser Größenordnung verhindern kann, ist Biometrie sicher hervorragend geeignet, Individuen voneinander zu unterscheiden. Zumindest in dieser Hinsicht kann Fingerprint einen entscheidenden Beitrag leisten. Es muss aber klar sein, dass damit auch Missbrauchsmöglichkeiten Tür und Tor geöffnet werden.

2. Fingerprint-Merkmale

Für biometrische Identifikation besonders gut geeignete biometrische Merkmale zeichnen sich dadurch aus, dass 
  • sie möglichst einmalig sind, d. h. sich bei keiner weiteren Person exakt wiederholen: Einmaligkeit 
  • sie bei möglichst vielen Personen vorkommen: Universalität 
  • sie sich zeitlich möglichst wenig verändern: Konstanz 
  • sie mit möglichst einfachen technischen Mitteln erfassbar sind: Messbarkeit 
  • ihre Erfassung für den Anwender bequem durchführbar ist: Anwenderfreundlichkeit
Die menschliche Fingerkuppe hat gleich drei Merkmalstypen zu bieten, die diese Anforderungen teilweise recht gut erfüllen:

Die Fingerprint-Grobmerkmale wie Schleife, Wirbel, Tanne usw. beschreiben den groben Verlauf der Fingerlinienstruktur. Diese Merkmale haben sowohl genotypische als auch randotypische Anteile, das heißt, sie sind teils vererblich, teils zufällig. Sie können an allen Fingern unterschiedlich sein. Da die Zahl der unterschiedlichen Formationen begrenzt ist, ist die geforderte Einmaligkeit auch bei Betrachtung aller zehn Finger nur beschränkt gegeben. Die nachfolgende Abbildung zeigt die wichtigsten Grundtypen, die innerhalb der Gesamtbevölkerung zu je etwa 5 %, 65 % bzw. 30 % vertreten sind.
 

Tanne
Schleife
Wirbel
     
Bild 1. Die wichtigsten Grobmerkmale
Quelle: http://www.nist.gov/srd/fing_img.htm

Die Fingerprint-Feinmerkmale, Minuzien genannt, ergeben sich aus dem Vorhandensein von Verzweigungen und Endungen in der Fingerlinienstruktur. Die Anordnung dieser punktförmig definierten Merkmale ergibt ein ganz spezifisches Bild, das sich wie ein Sternbild wiedererkennen lässt und genauso wie dieses auch einmalig ist. Minuzienanordnungen sind vornehmlich randotypisch und nicht vererbbar. Insbesondere ist auch die Ähnlichkeit bei eineiigen Zwillingen vernachlässigbar.


Bild 2. Minuzien (Linienendungen und Verzweigungen)

Die Fingerprint-Feinstmerkmale (Poren) haben fast alle Eigenschaften der Minuzien, sind jedoch nicht so stabil messbar.


Bild 3. Porenstruktur

Von den genannten Merkmalstypen erfüllen die Minuzien am besten die oben genannten Anforderungen, weshalb sie in automatischen Erkennungssystemen auch den verbreitetsten Einsatz finden. Die Grobmerkmale dienen vor allem zur Klassifikation von Fingertypen, um eine Identifikation über Millionen von Fingerabdrücken deutlich zu beschleunigen. Die Poren sind in der Daktyloskopie als Zusatzinformation bei der visuellen Beurteilung von Bedeutung.

Die Fingerlinienstruktur ist außergewöhnlich robust. So heilen kleinere Verletzungen und Brandblasen wieder mit exakt dem gleichen Muster aus. Nur tiefere Schnitte hinterlassen Narben, die ein guter Algorithmus aber erkennt und unberücksichtigt lässt. Jeder Mensch hat von Natur aus Fingerlinien. Es gibt nur wenige sehr seltene Hautkrankheiten, die das Muster dauerhaft schädigen. Abgeschliffene Linien wachsen innerhalb weniger Wochen wieder nach. Auch wenn sich die Größe des Fingerbildes im Laufe des Lebens ändern sollte, das Muster bleibt stabil!

3. Realisierung

Grundstruktur

Ein biometrisches System besteht prinzipiell aus einem biometrischen Sensor zur Umwandlung der Körpermerkmale in elektrische, computergerechte Signale, aus einem Rechnersystem zur Abarbeitung einer biometrischen Software und evtl. Speicherung der Merkmale sowie der Anwendung. Die Anwendung kann eine Software sein, ein Gerät oder eine sonstige Einrichtung. Eigentlich ist die zu identifizierende Person ebenfalls Teil des Systems, denn will man die Eigenschaften des biometrischen Systems spezifizieren, gelingt dies in der Regel nicht, ohne auch die Eigenschaften des Benutzers oder des Benutzerkreises zu kennen. Da der Mensch zum Bestandteil des Systems wird, ergeben sich völlig neue Aspekte, die man sonst von der Technik her nicht gewohnt ist, und die viele Schwierigkeiten begründet, die man beim Test von biometrischen Systemen immer wieder feststellt.


Bild 4. Technischer Teil eines biometrisches Systems

Der technische Teil besteht im Wesentlichen aus den Funktionsblöcken Sensorik, Merkmalsextraktion, Merkmalsvergleich (Matcher) sowie dem Entscheider. Bei der Merkmalsextraktion geht es darum, aus der vom Sensor gelieferten Information diejenige herauszufiltern, die besonders gut die Grundanforderungen an biometrische Merkmale für Identifikationszwecke erfüllen (Einmaligkeit, Konstanz, usw.). Bei den meisten heute realisierten Systemen sind dies die Minuzien und die Linienstrukturen. Beim Enrollment werden die in der Merkmalsextraktion erzeugten Daten in einem Archiv als Referenzdatensatz abgespeichert. Denn genauso wie der Mensch kann ein biometrisches System eine Person nicht wiedererkennen, wenn vorher kein Kennenlernen stattgefunden hat. Bei einem Identifikationsvorgang wird nun der aktuelle Fingerabdruck mit dem gespeicherten verglichen. Dies geschieht im Matcher, der ein Ähnlichkeitsmaß (Score genannt) erzeugt. Der Entscheider überprüft im einfachsten Fall, ob das Ähnlichkeitsmaß einen vorher festgelegten Schwellwert überschreitet. Daraus leitet er dann in der Regel die Entscheidung "identisch" oder "nicht identisch" ab. Dieser Prozess ist erforderlich, da in der Biometrie (ganz wie im wirklichen Leben) keine zweifelsfreien Entscheidungen möglich sind.


Bild 5. Detail-Blockschaltbild eines biometrischen Erkennungssystems

Die Merkmalsextrahierungen für Identifikation und Enrollment unterscheiden sich in der Regel nur durch die Parametrisierung (für das Enrollment sind höhere Bildqualitätsanforderungen zu erfüllen), so dass diese Funktionsblöcke nur einmal zu realisieren sind. Auch der Sensor kann in beiden Fällen der selbe sein.

Fingerprint-Sensoren

Das Fingerlinienrelief ist ein dreidimensionales Bild, das durch den Sensor in der Regel in ein zweidimensionales umgesetzt wird, wobei die dritte Dimension durch den Grauwert repräsentiert ist. Das heißt, dunkle Stellen charakterisieren die hervorstehenden Fingerlinien, helle Stellen die dazwischen liegenden Täler (oder umgekehrt). Nachstehend erfolgt eine kurze Beschreibung der unterschiedlichen Sensorprinzipien. Grundsätzlich unterscheidet man noch die Art der Aufnahme: Fingerlinienbilder können gerollt sein (bekannt aus der Daktyloskopie, wo der Finger mit Stempelfarbe benetzt und dann auf einem Stück Papier abgerollt wird), sowie durch eine Ziehbewegung über einen Zeilensensor oder eine flächenhafte Abbildung der Oberfläche,  z.B. durch einen Bildkamerachip, erzeugt worden sein. 

Alle Fingerprintsensoren versuchen, ein digitales Bild der Fingeroberfläche zu generieren. Dieses Bild hat üblicherweise eine Auflösung von 500 dpi für die einzelnen Bildpunkte (Pixel genannt). Die Bilderzeugung selbst kann für jeden Sensortyp anders aussehen:

Statisch kapazitiver Sensor Typ 1

Hier steht für jedes Pixel eine Elektrode zur Verfügung, welche die Kapazität zu den Nachbarelektroden/-pixeln misst (Interpixel-Messung). Die Kapazität wiederum hängt vom Dielektrikum ab. Trifft ein Pixel auf eine Finger-Rille, also Luft, ist die Kapazität wesentlich niedriger als bei einer aufliegenden Fingerlinie. In diesem Fall ist das Dielektrikum Wasser, das sich durch eine sehr hohe Dielektrizitätskonstante auszeichnet. Die Messung der Kapazität ist statisch in dem Sinne, dass eine Aufladung mit z. B. festen Ladungspaketen erfolgt und dann die Ladespannung gemessen wird. In praktischen Systemen treten immer Mischformen von Typ 1 und Typ 2 auf.

Bild 6. Kapazitiver Sensor


Bild 7. Kapazitiver Sensor Typ 1

Statisch kapazitiver Sensor Typ 2

Auch hier steht für jedes Pixel eine Elektrode zur Verfügung, nur erfolgt die Kapazitätsmessung zwischen Pixel und Masse/Erde, wobei die Leitfähigkeit des Fingers eine nicht unerhebliche Rolle spielt. Die Kapazitätsmessung ist prinzipiell die gleiche wie bei Typ 1. In praktischen Systemen treten immer Mischformen von Typ 1 und Typ 2 auf.

Bild 8. Kapazitiver Sensor Typ 2

Dynamisch kapazitiver Sensor

    Hier erfolgt die Kapazitätsmessung mit Wechselspannung. Auch hier können Inter-Pixel- und Pixel-Erde-Messungen angewendet werden.
Lumineszierend kapazitiver Sensor
Eine Elektrolumineszenzfolie mit einer durchsichtigen Rückseitenelektrode benutzt auf der Vorderseite den Finger als Gegenelektrode. Dort, wo die Fingerlinien aufliegen, ist die elektrische Feldstärke und damit das Leuchten am größten. Somit entsteht auf der Rückseite ein leuchtendes Abbild der Fingerlinien, das ähnlich wie beim optischen Sensor von einem Bildsensorchip erfasst werden kann.
Optisch reflexiver Sensor
Der Finger liegt z. B. an einer Prismenfläche auf. Dort, wo der Finger mit seinen Linien das Glas berührt, wird eine Totalreflexion von Licht innerhalb des Glases gestört. Dies liefert z. B.  auf einem Kamerachip die Abbildung der Fingerlinien.
Optisch transmissive Sensoren mit Lichtleiterplatte
Hier wird der Finger von einer geeigneten Lichtquelle durchleuchtet. Der Finger liegt direkt auf einer Lichtleiterplatte auf, die wiederum direkt mit einem Kamerachip verbunden ist. Die Lichtleiterplatte sorgt dafür, dass der Finger nicht den Kamerachip berührt, das Licht aber trotzdem ohne Schärfeverlust und ohne sonstige Optik den Kamerachip erreicht.
Akustische (Ultraschall-) Sensoren
Hier erfolgt die Abbildung der auf Glas aufliegenden Fingeroberfläche durch sehr hochfrequenten Ultraschall.
Drucksensitive Sensoren
    Bei Drucksensoren wird pixelweise der Druck des aufliegenden Fingers gemessen.
Thermische Zeilensensoren
    Bei diesem Sensor bewegt man den Finger linear über ein zeilenförmiges Array aus Thermosensoren, wie man sie in groß von automatischen Türöffnern kennt. Die Thermosensoren registrieren zeitliche Temperaturdifferenzänderungen, die zwischen Fingerlinien und -rillen unterschiedlich ausfallen.
Manche Hersteller beanspruchen für ihr Sensorprinzip, unter die Hautoberfläche sehen zu können. Dies sei wichtig, da nur die Oberfläche von Verunreinigungen und Abnutzung betroffen sei. Letztendlich entscheidet aber die Praxis beziehungsweise die Vergleichsmessung darüber, ob dadurch tatsächlich eine bessere Bildqualität erzielbar ist.
 
Kapazität bei 10 µm Passivierungsdicke
Luft: < 10 fF (Femtofarad)
Haut: 30...50 fF
Erforderliche Auflösung 1 fF
Messzeit für 256 Pixel (parallel) 40 µs (150 ns/Pixel)
Pixelanzahl 256 x 256
Pixelraster 50 µm
Ortsauflösung 500 dpi
Versorgungsspannung 3.3 V
Leistungsaufnahme < 10 mW
Taktfrequenz (intern) 6 MHz
Auslesedauer 100 ms
Kapazitätsauflösung 1 fF
Pixeltiefe 8 bit
Auswertbare Graustufenanzahl ca. 50
Tabelle 1. Typische Sensorspezifikation am Beispiel kapazitiver Sensoren

Die Frage, welches Sensorprinzip das beste ist, lässt sich leider nicht pauschal beantworten, da jede Anwendung andere Anforderungen stellt und jedes Sensorprinzip seine spezifischen Vor- und Nachteile hat. Folgende Kriterien können hier weiterhelfen:

  • Kosten
  • Reifegrad
  • Bildqualität unter erschwerten Bedingungen, beeinflusst FER (Nutzerausfallrate) und FRR (bei fester FAR): indoor/outdoor, persönliche/öffentliche Nutzung, Normalfinger/Problemfinger, trockene/feuchte Finger
  • Größe, Gewicht
  • Energieverbrauch
  • Schutz gegen Vandalismus
  • Temperaturbeständigkeit
  • Fälschungsanfälligkeit
  • ESD-Festigkeit (Schutz gegen elektrostatische Entladung)
    • Die Tabelle nachfolgende 2 zeigt, mit welchem Sensorprinzip die jeweiligen Spitzenreiter arbeiten. Es gilt jedoch nicht, dass jeder Sensor eines Prinzips für eine bestimmte Anforderung besser als alle anderen Sensoren ist! Auch sind die Unterschiede oft nur minimal.
     
    Anforderung Derzeit bestes Sensorprinzip
    Niedrige Kosten Kapazitiver Siliziumzeilensensor
    Hoher Reifegrad Optisch reflexiver Sensor
    Hohe Bildqualität Optisch reflexiver Sensor
    Geringe Größe Thermischer/kapazitiver Zeilensensor
    Hoher Vandalismus-Schutz Optisch transmissiver Sensor
    Hoher Temperaturbereich Kapazitiver Siliziumsensor
    Hoher Fälschungsschutz Optisch transmissiver Sensor
    Hohe ESD-Festigkeit Optisch reflexiver Sensor
    Tabelle 2. Welches Sensorprinzip ist am besten?

    Verarbeitung

    Bei der Verarbeitung von Fingerabdrücken ist ein komplexer Mustererkennungsprozess erforderlich. So bewegt sich die Rechenleistung typischerweise im Bereich von 100 Mill. Operationen pro Sekunde und mehr und ist deshalb erst seit einiger Zeit von kostengünstiger Hardware aufzubringen. Als Prozessorplattform kommt damit seit einiger Zeit sowohl der PC als auch DSPs (Digitale Signalprozessoren) sowie schnelle Microcontroller mit dedizierter Hardware für die rechenzeitkritischsten Operationen in Frage. Teile des Verarbeitungsprozesses wie der Matcher können mit geeigneten Prozessoren sogar innerhalb einer Smartcard ablaufen. Die Verarbeitungszeit liegt in allen Fällen unter einer Sekunde für eine Verifikation. Innerhalb dieser Zeit lassen sich sogar einige Tausend Identifikationen auf einem PC heutiger Bauart abarbeiten!

    Merkmalsextraktion

    Der komplexeste Prozess innerhalb der Fingerabdruckerkennung ist die Merkmalsextraktion. Sie startet mit dem vom Sensor gelieferten Rohbild und erzeugt den Merkmalsdatensatz für den Vergleich bzw. beim Enrollment für die Archivierung. 
     
    Rohbild ->
    Normalisiertes Bild ->
    Orientierungsfeld ->
    Gefiltertes Bild ->
    Binarisiertes Bild ->
    Linienausdünnung ->
     
    		 
     
    Extrahierte Minuzien
    		  
    Bild 9. Merkmalsextraktion

    Innerhalb einer Vorverarbeitungsstufe erfolgt zunächst eine Bildnormalisierung: Es werden z. B. Kontrastunterschiede (auch lokal) angepasst, nicht fingerabdruckartige Bildbereiche ausgeblendet, kleine Sensorfehler detektiert und interpoliert sowie eventuell eine sensorspezifische Auflösungsanpassung durchgeführt. Weiterhin wird geprüft, ob die Bildqualität und die zur Verfügung gestellte Fingerbildfläche insgesamt ausreichend sind. Sind diese Kriterien nicht erfüllt, kann schon an dieser Stelle eine Abweisung des Fingerabdrucks erfolgen, üblicherweise werden dann Bedienungshinweise für den Benutzer ausgegeben.
     

    Originalbild mit
    Sensorstörungen
    Interpoliertes Bild
       
    Bild 10. Fehlerkorrektur

    Aus dem "normalisierten" Rohbild wird als nächstes die Richtung der Fingerlinien für jeden Bildpunkt bestimmt und einem Grauwert (0...179 entsprechend den möglichen Richtungswinkeln) zugeordnet. Aus dieser Information lässt sich, falls benötigt, das "Zentrum" bzw. die Zentren des Grobmerkmals bestimmen. Wichtiger ist es jedoch, eine richtungsabhängige Filterung der Fingerlinien durchführen zu können, die nur das Bildrauschen, die Bildverunreinigungen und die Poren glättet, nicht jedoch die Linien selber, die ja Träger der Einmaligkeitsinformation sind. 

    Das gefilterte Bild ist die Grundlage für die Binarisierung: Jedem Bildpunkt wird möglichst intelligent entweder der Farbwert weiß oder schwarz zugeordnet.

    Im binarisierten Bild erfolgt nun eine Ausdünnung aller Linien bis auf eine Breite von einem Pixel. Ziel dieser Maßnahme ist es, die einfache algorithmische Erkennung von Linienendungen und -verzweigungen zu ermöglichen und somit Lage, Typ und Winkel der Minuzien zu bestimmen und als Merkmalsdatensatz dem nachfolgenden Matcher zur Verfügung zu stellen.

    Der Matcher

    Der Matcher hat die Aufgabe, die Ähnlichkeit von zwei (verallgemeinerten) Merkmalsdatensätzen zu bestimmen. Dabei muss ein "verallgemeinerter Merkmalsdatensatz" nicht nur eine Minuzienliste darstellen, er könnte auch z. B. das normalisierte Rohbild enthalten, oder die komplette Linieninformation, oder etwa die fouriertransformierte Linientransformation. Tatsächlich werden alle diese Möglichkeiten in der Praxis genutzt. Entsprechend stark können sich deshalb auch die Matcher in ihrem algorithmischen Aufbau unterscheiden. Ein Korrelationsmatcher für Bildinformation ist z. B. wesentlich rechenaufwändiger als ein Minuzienmatcher. Aber auch beim Minuzienmatcher gibt es die unterschiedlichsten Ausführungen.

    Wenn ein Minuzienmatcher zwei Merkmalsdatensätze vergleicht, kommt es quasi darauf an, zwei "Sternbilder" durch Rotation, Translation und Skalierung zur Deckung zu bringen. Perfekt wird dies nie gelingen, denn ein Finger lässt sich nie exakt reproduzierbar auf einem Sensor platzieren. Des weiteren kann durch lokale Störungen die Erkennung einzelner Minuzien ausfallen oder aber es werden zu viele ermittelt. Die elastischen Eigenschaften der Haut führen weiterhin dazu, dass lokale Verzerrungen auftreten (Man betrachte dies am Beispiel der Verzerrung einer Schrift auf einem gequetschten Luftballon!). Man sieht, die Herausforderungen an einen (Minuzien-) Matcher sind enorm, so dass eine große Zahl von Realisierungsansätzen existiert, die in der Regel vom Hersteller geheim gehalten werden. 

    Es kann sinnvoll sein, den "Suchraum" des Matchers künstlich einzuschränken, indem man z.B. nicht alle Drehwinkel zulässt. Dies kann nicht nur die Match-Zeit deutlich reduzieren, auch der Fälschungsschutz kann von sinnvollen Einschränkungen profitieren.

    Für jeden Authentifikationsvorgang liefert der Matcher einen oder mehrere Scorewerte. Die Scorewerte dienen dem in der Regel zweiwertigen Entscheider zur endgültigen Festlegung, ob der Vorgang erfolgreich war oder nicht. 

    Fusions-Enrollment

    Kleine, und damit kostengünstige Flächen-Sensoren, zeigen immer nur einen kleinen Ausschnitt des Fingerabdrucks. Da der Mensch den Finger trotz mechanischer Fingerführung stets anders auflegt, kann es passieren, dass oft nur kleine Bereiche zwischen Referenzabdruck und aktuellem Abdruck überlappen. Dadurch verschlechtert sich die biometrische Erkennungsleistung deutlich. Eine Abhilfe kann es sein, beim Enrollment mehrere Muster des selben Fingers mit unterschiedlicher Positionierung aufzunehmen und abzuspeichern. Bei der Authentifikation wird dann der aktuelle Fingerabdruck mit all diesen Mustern aus dem Archiv verglichen. In diesem Fall kann es vom Entscheider als ausreichend betrachtet werden, wenn z.B. der höchste Scorewert die vorgegebene Schwelle überschreitet. Diese Maßnahme führt zu einer deutlichen Verbesserung der biometrischen Performanz, leider auf Kosten des Speicherplatzbedarfs und der Rechenzeit. Dieses Problem ist einfach lösbar, wenn man einen Korrelationsmatcher zur Verfügung hat, der Bilder matchen kann. Hat man ausreichend überlappende Bereiche gefunden, ist es möglich, die Bilder zu fusionieren. Anders als bei der Mehrfachablage muss auf diese Weise kein Bildbereich redundant gespeichert werden.


    Bild 11. Fusions-Enrollment

    Referenz-Update

    Mit einem Korrelationsmatcher und der beschriebenen Bildfusion lässt sich auch ein Referenzupdate realisieren. Ziel eines solchen Referenzupdates ist es, das Enrollment möglichst einfach zu gestalten und dafür das Referenzbild nach einer Authentifikation permanent zu vergrößern, wenn neue Bildbereiche hinzukommen. 

    Bild 12. Referenz-Update
    Auf diese Weise erhält man eine stetige Verbesserung der biometrischen Performanz. Dies lässt sich am sichersten realisieren, wenn das normalisierte Bild mit abgespeichert wird.

    Bildverschlüsselung

    Referenzdaten sind sensible persönliche Daten, die aus Sicherheits- und Privacy-Gründen nicht in falsche Hände geraten sollten. Insbesondere Bilddaten lassen sich besonders einfach missbrauchen. Deshalb ist eine Verschlüsselung unumgänglich. Während sich für Textdaten am besten Triple-DES oder AES anbieten, sind diese Verfahren für größere Datenmengen wie Bilddaten zu langsam. Denn für eine Identifikation muss ein Match-Vorgang im Sub-Millisekundenbereich ablaufen. Das folgende Bild 13 zeigt ein proprietäres Verfahren, das sich durch hohen Schutz bei niedriger Rechenzeit auszeichnet.
     
    Originalbild
    Verschlüsseltes Bild
    Bild 13. Bildverschlüsselung

    Alternative Verfahren

    Neben dem beschriebenen klassischen Verfahren, bestehend aus Merkmalsextraktion und Matcher/Entscheider, ist in Zukunft auch verstärkt mit alternativen Verfahren [7] zu rechnen, bei denen die Merkmalsextraktion den Merkmalsdatensatz in einer Form liefert, die alle wesentlichen Eigenschaften eines kryptografischen Schlüssels aufweist. Dieser Schlüssel wird dann nicht zum Matchen benutzt, sondern zum Entschlüsseln eines als Referenzdatenersatz abgespeicherten und beim Enrollment mit einem sehr ähnlichen Schlüssel verschlüsselten beliebigen Passworts. Durch fehlertolerante Codierungsverfahren gelingt es, trotz nicht vollständig gleichen Schlüssels, wieder das ursprüngliche Passwort zu rekonstruieren.  Dieses Verfahren hat gegenüber dem klassischen Verfahren einige bedeutende Vorteile:
    • Der Referenzdatensatz muss nicht geheim gehalten werden
    • Durch Änderung des Passworts kann jederzeit ein neuer Referenzdatensatz erzeugt werden
    • Es muss kein geheimer Schlüssel abgespeichert werden

    Bild 14. Alternative "Verifikation"

    Allerdings wird derzeit, zumindest bei Fingerprint, noch nicht die biometrische Performanz erreicht, die man von den besten klassischen biometrischen Verfahren kennt.

    Fingerprintperformanz im Vergleich

    Der nachfolgende Vergleich beruht auf veröffentlichten Untersuchungen und eigenen Messungen. Die Systeme seien aus Gründen der Vergleichbarkeit auf etwa 10 % FRR eingestellt (sinnvoll für PC-Anwendung). Dann ergibt sich unter der Voraussetzung kooperativer Anwendungen im Bürobereich folgende grobe Bewertung der biometrischen Performanz (Tabelle 3):
     
     
     
     
    Iris
    FER
    FRR
    FAR
    Gesamtbevölkerung  < 0.005  0.1  < 10-7
    Fingerprint
    Büropopulation  < 0.01  0.1  < 10-7
    Gesamtbevölkerung  < 0.05  0.1  < 10-7
    Stimme
    Gesamtbevölkerung  < 0.01  0.1  < 10-4
    Gesicht 2D(3D)
    Gesamtbevölkerung  < 0.01  0.1  < 10-3(4)
    Hand
    Gesamtbevölkerung  < 0.01  0.1  < 10-3
    (FER = Failure to Enroll Rate, FRR = False Rejection Rate, FAR = False Acceptance Rate)
    Tabelle 3. Biometrische Verfahren im Vergleich

    Nach heutigem Stand der Technik ist unter den aufgeführten Merkmalen die Iriserkennung der Spitzenreiter, gefolgt von Fingerprint. Erst danach folgt in größerem Abstand Stimme, Gesicht und Handgeometrie, die ihre spezifischen Vorteile auf anderen Gebieten haben. Auch wenn der technische Fortschritt noch nicht abgeschlossen ist, wird sich eine grundlegende Verschiebung nicht mehr ergeben, denn die Grenzen sind oft natürlicher Art. Wichtigste Erkenntnis aus dieser Tabelle ist, dass von den betrachteten Merkmalen nur Iris und Fingerprint für eine Identifikation über größere Merkmalsdatenmengen geeignet sind.

    4. Systemkonzepte - Architekturen

    Abhängig davon, wo die Referenzmerkmalsdaten der Anwender gespeichert sind, ergeben sich große Unterschiede in Bezug auf Sicherheit, Datenschutz, Administrationskosten, Enrollmentaufwand und Performanz. Man unterscheidet im Wesentlichen drei verschiedene Möglichkeiten, biometrische Daten zu speichern:
    1. Lokal - Speicherung lokal im Arbeitsplatzrechner
    2. Zentral - Speicherung auf zentralem Server
    3. Mobil - Speicherung auf einer Chipkarte oder Smartcard

    Client-Konzepte (Lokales Archiv)


    Bild 15. Lokales Archiv

    Bei diesem Konzept liegen alle biometrischen Daten in der lokalen Verfügungsgewalt des End-Anwenders. Zugriff auf die biometrischen Daten besteht nur für die Nutzer dieses PCs bzw. Clients. Somit sind biometrische Fälschungen ebenfalls nur lokal ansetzbar und erfordern den räumlichen Zugriff auf den PC.

    Bei Wechsel des Arbeitsplatzes ist allerdings ein weiteres Enrollment auf dem neuen Rechner erforderlich. Zentrale Schutzmaßnahmen gegen biometrische Angriffe sind nur beschränkt möglich. Auch lassen sich die biometrischen Daten der Mitbenutzer nur unzulänglich schützen. Ein Derollment ist ebenfalls nur lokal durchführbar und damit eventuell recht umständlich.

    Client-Server-Konzepte (Zentralarchiv)

    Eine Client-Server-Lösung mit zentralem Archiv und zentralem Matcher ermöglicht einen wesentlich besseren Schutz der biometrischen Daten, da an zentraler Stelle auch mehr Schutzaufwand zu rechtfertigen ist. Bei Wechsel des Arbeitsplatzes ist kein neues Enrollment erforderlich. 

    Bild 17. Zentrales Archiv

    Sollte der zentrale Schutz allerdings versagen, ist auch mit entsprechend größeren Schäden zu rechnen. Dazu kommt, dass Angriffe mit biometrischen Fälschungen von überall her initiiert werden können. Auch sind die Benutzerdaten dem Zugriff der berechtigten Benutzer üblicherweise entzogen.

    Smartcard-Konzepte ("mobiles Archiv")

    Für die biometrischen Daten ist je nach Realisierung ein fast optimaler Schutz der biometrischen Daten möglich. 

    Bild 18. "Mobiles Archiv"

    Generell ist beim Wechsel des Arbeitsplatzes kein neues Enrollment erforderlich. Es sind zentrale Schutzmaßnahmen gegen korrumpierte Smartcards (Deaktivierung wie bei Kreditkarten) möglich, ohne das Benutzer-Konto selbst zu deaktivieren. Allerdings können Karten verloren gehen oder vergessen werden, so dass die Unterhaltskosten etwas höher als bei kartenlosen Lösungen, aber immer noch niedriger als bei Passwortsystemen liegen dürften.

    "Template on Card"

    Die einfachste Möglichkeit des Einsatzes einer Chipkarte besteht darin, die biometrischen Referenzmerkmalsdaten auf der Karte zu speichern ("Template on Card"). Hierbei gibt es mindestens drei Varianten:
    Speicherung der Referenzdaten auf einer reinen Speicherkarte
    Dies ist der einfachste Fall. Diese Karten sind beliebig oft kopierbar. Sollte eine Karte verloren gehen, gibt es einen Schutz gegen die Anfertigung von künstlichen Fingerabdrücken nur dann, wenn die Daten verschlüsselt sind. Verschlüsselung hilft auch gegen die Speicherung unberechtigter Abdrücke durch Angreifer.
    Speicherung der Referenzdaten auf einer Prozessorkarte
    Im Vergleich zur reinen Speicherkarte lässt sich mit einer Prozessorkarte ein Kopierschutz realisieren. Zum Beispiel lässt sich das Auslesen und Schreiben der biometrischen Daten mit einem Passwort schützen, das nur der Anwendung bekannt ist.
    Speicherung des Referenztemplates auf einer Kryptokarte
    Mit der nicht kopierbaren Kryptokarte, die einen leistungsfähigen Kryptoprozessor mit asymmetrischen Verschlüsselungsmöglichkeiten enthält, lässt sich eine weitere Verbesserung von Sicherheit und Datenschutz erzielen. Vorteil dieser Kartenart ist die Möglichkeit, eine Karte bei Verlust zentral zu deaktivieren. Außerdem sind die Daten auf der Übertragungsstrecke zur Anwendung gegen Manipulation oder Mitlesen hochgradig schützbar.

    "Matcher on Card"

    Ein weiterer Schritt in Bezug auf Verbesserung des Datenschutzes ist getan, wenn das Referenzmerkmal niemals die Karte verlässt. Dies ist möglich, wenn Matcher und Vergleicher im Kartenprozessor realisiert sind. Nur wenn der Berechtigte diese Karte benutzt, könnte die Anwendung auf die biometrischen Referenzmerkmalsdaten rückschließen. Hauptvorteil dieser Realisierungsart dürfte es sein, dass keine Änderung der "Infrastruktur" gegenüber Kryptokarten mit PIN erforderlich ist. Auf diese Weise ist ein einfacher Einsatz von Biometrie z.B. im Handy möglich. Allerdings muss man auf Grund der vergleichsweise geringen Rechenleistung des Kartenprozessors auf die leistungsfähigsten Algorithmen und größere Referenzdatensätze verzichten, was sich in Einbußen bei der biometrischen Performanz niederschlägt. 

    "System on Card"

    Karten, welche die komplette biometrische Verarbeitung einschließlich Sensor auf einer persönlichen Karte beherbergen, bieten derzeit das Optimum an Datenschutz, weil die (möglicherweise "feindliche") Anwendung überhaupt keinen Fingerabdruck mehr zu sehen bekommt. 

    Bild 18. Demonstrator für "System on Card" (1999)

    Da sich der Sensor ebenfalls in persönlichem Besitz befindet, ist auch gleichzeitig ein optimaler Schutz gegen Vandalismus oder Manipulation auf den Datenleitungen gegeben. Ganz nebenher erweist sich eine Standardisierung der biometrischen Daten als überflüssig. Ansonsten gelten alle Vorteile von "Matcher on Card".

    5. Einige Fingerprint-Anwendungen

    Logischer Zugriff

    Beim logischen Zugriff geht es darum, nur Berechtigten den Zugriff auf Netze, Daten und elektronische Dienste zu gewähren. Bisher gebräuchlichste Methode war die Authentisierung per PIN und Passwort. Beispiele für PC-Anwendungen sind:
    • Login
    • Bildschirmschoner
    • Dateiverschlüsselung, Email-Verschlüsselung
    • Online Banking
    • Kindersicherung
    Ein anderes Beispiel, das sich noch nicht durchgesetzt hat, sind Mobiltelefone:
    • PIN-loser Netzzugang
    • Kostenpflichtige Dienste wie Mobile Banking
    • Personalisierung der Abrechnung bei mehreren Nutzern
    Hierbei erfolgt eine standardkonforme Realisierung über einen Matcher auf der SIM-Karte.

    Physikalischer Zugriff

    Beim physikalischen Zugriff steuert die Biometrie den Zugriff auf Werte und den Zugang zu Räumen. Auch im Hochsicherheitsbereich ist biometrische Authentifikation als Zusatzmaßnahme sehr beliebt, da ein Angriff auf biometrische Systeme völlig andere Angriffsmethoden erfordert. Einfache batteriebetriebene Systeme, die als Türschließalternative zu herkömmlichen Schlössern dienen, sind bereits am Markt. Die Funktionalität reicht von der einfachen Identifikation aller Zutrittsberechtigten über den Schlüsselersatz mittels biometrischer Smartcard bis hin zum automatischen Grenzübertritt mittels ID Card und Vereinzelungsschleuse.

    Ausweissysteme - ID Card

    Biometrische Ausweise dienen der Abkopplung des Archivs von der Anwendung. Letztlich ist dies eine besonders effiziente Methode, das Enrollment für eine Vielzahl von Anwendungen aus dem Bereich logischer & physikalischer Zugriff zu erschließen.

    Für den deutschen biometrischen Personalausweis sind gesetzlich Fingerprint-, Hand- oder Gesichtsmerkmale (dazu darf man sicher auch die Iris zählen) erlaubt.
    Die Speicherung erfolgt verschlüsselt, z. B. in einem Chip oder als Barcodeaufdruck. Es ist keine zentrale Datenhaltung der Merkmale vorgesehen. Damit wird auf eine Überprüfung von Doppelausstellungen verzichtet. Derzeit wird die Machbarkeit geprüft und das beste biometrische Verfahren ermittelt (BKA, BSI). Fingerprint-Ausweise sind derzeit schon in Brunei und Macao im Einsatz.

    Weitere Anwendungen

    Zu den Anwendungen, die sich nur schwer unter Zugriff/Zutritt einordnen lassen, aber trotzdem hoher Beliebtheit erfreuen, gehören:
    • Zeiterfassung
    • Elektronische Signatur per Smartcard
    • Automatisierung von persönlichen Einstellungen im Auto
    • Überprüfung von Doppelausstellungen

    6. Biometrische Besonderheiten

    Wurde in der Anfangszeit Biometrie gerne als unfehlbares Allheilmittel für alle Sicherheitsprobleme angepriesen, ist inzwischen  eine sachlichere Betrachtungsweise eingekehrt. Biometrie kann viele Probleme besser lösen als bisherige Authentifikationsmethoden, vorausgesetzt man kennt die Grenzen! Deshalb soll hier kurz beschrieben werden, was in biometrischen Anwendungen zu beachten ist, wenn man erfolgreich sein will.

    Sind Fingerabdrücke kopierbar? Ja. So ist seit spätestens 1907 ein Verfahren zum Nachmachen von Fingerabdrücken bekannt. R. Austin Freeman [4] beschreibt in seinem Roman "The Red Thumb Mark" eine Hightech-Methode zur Herstellung einer Gelatinefolie mit einem "falschen" Fingerabdruck: Man nehme eine lichtempfindliche Chromatgelatineplatte, belichte diese mit dem als Dia vorhandenen Fingerabdruck und wasche die Oberfläche aus. Dabei werden die nicht durch das Licht ausgehärteten Stellen entfernt, so dass ein Fingerlinienrelief entsteht. Zwar wurde diese Methode zum Verbreiten falscher Fingerabdrücke an einem Tatort ersonnen, jedoch würde eine derart hergestellte Gelatinefolie auch bei vielen heutigen Fingerabdrucksensoren noch gut funktionieren. 

    Da biometrische Merkmale in der Regel nicht austauschbar sind, bedeutet dies: Ist eine Kopie erst einmal in Umlauf, lässt sich das betreffende Merkmal ohne geeignete Gegenmaßnahmen nicht mehr in sicherheitskritischen Anwendungen nutzen! 

    Für einfache Anwendungen ist das Auffinden fremder Fingerabdrücke immer noch aufwändig genug, um den Einsatz von Fingerprint auch ohne Gegenmaßnahmen zu rechtfertigen. Bei höheren Anforderungen wird man Fingerprint mit weiteren Authentifikationsarten kombinieren. Dazu gehört der Einsatz weiterer biometrischer Merkmale (auch mehrerer Finger), die Kombination mit Smartcards sowie den klassischen Methoden Besitz und Wissen. 

    Die meisten biometriespezifischen Angriffe lassen sich entschärfen, wenn es gelingt, lebende Finger von toten und echte von kopierten zu unterscheiden. Dies hört sich sehr einfach an, hat es aber in sich, da der Aufwand für wachsende Perfektion schnell ins Unbezahlbare steigt. Beginnen wir mit der sogenannten "Lebenderkennung". Hier werden für Fingerabdrucksysteme Blutsauerstoffmessung, Pulsmessung, Temperaturmessung usw. vorgeschlagen. Von den erwähnten Methoden benötigt eine optische Blutsauerstoffmessung den größten Überwindungsaufwand, die Temperaturmessung den niedrigsten (sie kostet in der Regel mehr als sie bringt und wird somit auch kaum verwendet). Die Pulsmessung hat den Nachteil, dass sie viel länger dauert als die eigentliche biometrische Erkennung. Die Frage ist allerdings, wo man eine Lebenderkennung benötigt. Es wurde in der Vergangenheit viel über abgetrennte Gliedmaßen spekuliert. Häufiger wird jedoch daran gedacht, Kopien daran zu erkennen, dass sie nicht leben. Dabei ist aber zu berücksichtigen, dass es für einen Fälscher relativ einfach sein kann, sein eigenes "Leben" mit dem Merkmal eines Fremden so zu kombinieren, dass der Sensor nichts merkt. Dies lässt sich  zum Beispiel durch eine Fingerabdruckfolie auf einem lebenden Finger erreichen. Auf jeden Fall aber erhöht eine Lebenderkennung den Aufwand für einen Kopienangriff und damit die Sicherheit. Andererseits hat eine dedizierte Kopienerkennung zumindest bei Fingerabdrücken deutlich mehr zu leisten. 

    Grundsätzlich muss man sich bei allen Schutzmaßnahmen damit anfreunden, dass sie zwar die Sicherheit erhöhen, aber stets auch zu Komforteinbußen führen (die man bei höherem Sicherungsbedarf natürlich gerne akzeptiert). Technisch äußert sich das in komplexerer Bedienung, höherem Zeitaufwand und in der Tatsache, dass eine Fälschungserkennung auch schon mal den berechtigten Benutzer fälschlicherweise als Fälscher abweisen wird. 

    Neben mechanischen Kopien des Fingerabdrucks sind natürlich auch Kopien der elektronischen Repräsentation des Merkmals denkbar. Diese spielen insbesondere bei "Replayattacken" ein Rolle: Auf dem "Übertragungsweg", z.B. vom Sensor zur Merkmalsextraktion, wird das Fingerprint-Bild kopiert, gespeichert und bei Gelegenheit ohne Anwesenheit des Merkmalsträgers wieder "eingespielt". Im Gegensatz zu PINs und Passwörtern hat Biometrie die Eigenschaft, dass sich zwei zu unterschiedlichen Zeitpunkten aufgenommene Merkmalsproben immer, wenn auch nur geringfügig, unterscheiden. Somit ist die Abwehr von Replayattacken in der Biometrie etwas einfacher als bei Passwörtern.

    Wie ein Angriff auch aussehen kann, zeigt das Beispiel einer anti-kooperativen Anwendung: Wie in der Süddeutschen Zeitung vom 2004-04-03 berichtet wurde, verstümmelten sich in Schweden hunderte von Asylbewerbern die Fingerkuppen, um einer Entdeckung durch Abgleich mit der Asylanten-Fingerprint-Datenbank zu entgehen. Diese Fingerprint-Datenbank wurde eigens zu dem Zweck aufgebaut, das wiederholte Einreisen von abgelehnten Asylbewerbern in EU-Mitgliedsstaaten zu verhindern...

    7. Literatur

    [1] Behrens, M.; Roth, R. (Herausgeber) "Biometrische Identifikation - Grundlagen,  Verfahren, Perspektiven", Vieweg, 2001. 

    [2] Bromba, M. "Bioidentifikation.  Fragen und Antworten", Internet: http://www.bromba.com/faq/biofaqd.htm, seit 2001.

    [3] Bromba, M. "Biometrie und Sicherheit", Internet: http://www.bromba.com/knowhow/biosich.htm, 2002 

    [4] Freeman, R. A. "The Red Thumb Mark", ISBN 0486252108, 1907.

    [5] Heindl, R. "System und Praxis der Daktyloskopie und der sonstigen technischen Methoden der Kriminalpolizei", De Gruyter, Berlin 1922.

    [6] Jain, A.; Bolle. R.; Pankanti; S. (Editors) "Biometrics: Personal Identification in Networked Society", Kluwer Academic Publishers, 1999. 

    [7] Martini, U.; Beinlich, S. "Virtual PIN: Biometric Encryption Using Coding Theory", in: Proc. BIOSIG 2003, GI-Edition, 2003. pp. 91-99

    [8] Petermann, T.; Sauter, A. "Biometrische Identifikationssysteme", TAB-Arbeitsbericht, 2002. Internet: http://www.tab.fzk.de/de/projekt/zusammenfassung/ab76.pdf