Od biometrii do bezpiecznej Łukasz Stasiak biometrii Pracownia Biometrii Naukowa i Akademicka Sieć Komputerowa NASK Instytut Automatyki i Informatyki Stosowanej Politechnika Warszawska
2 Po co biometria? Użytkownik: wygoda użycia zabezpieczenie dostępu Administrator: zabezpieczenie dostępu bezpośrednie powiązanie procesu uwierzytelniania z osobą
3 Charakterystyki biometryczne Cechy fizyczne wrodzone, nabyte genetycznie oko (wzór tęczówki, siatkówka), odcisk palca, dłoń (kształt, termika, układ naczyń krwionośnych, układ linii papilarnych), twarz, ucho, rezonans opuszków palców, EEG, DNA, uzębienie Cechy behawioralne zachowania wyuczone podpis odręczny, pismo ręczne, pisanie na klawiaturze, głos, chód, skojarzenia Niektóre charakterystyki wykazują cechy obu grup (np. głos, chód)
Bezpieczeństwo danych biometrycznych 4 Trudność fałszowania osobniczych charakterystyk biometrycznych Ryzyko przechwycenia danych Niedoskonałości systemów biometrycznych umożliwiające oszukanie z użyciem sztucznych próbek
System biometryczny specyficzne zagrożenia 5 Pomiar charakterystyk biometrycznych Przesyłanie danych biometrycznych Przechowywanie danych biometrycznych
System biometrii tęczówki NASK IRS krótka charakterystyka 6 Badanie wzoru tęczówki oka Wzór unikalny w całej populacji i stabilny w czasie Szybka weryfikacja i identyfikacja Nieco kłopotliwy pomiar
7 Podstawowe zagrożenia cz. 1 Pomiar charakterystyk biometrycznych
8 Złamanie bloku pomiarowego Statyczny obraz tęczówki Dynamiczny obraz tęczówki Sztuczny model oka Model z tworzywa Żywe oko + szkło kontaktowe Rzeczywiste oko Martwa gałka Terror działanie pod przymusem Konieczne testy żywotności Kolejne zdjęcia pochodzą z filmów Dracula (2000), X-men (2000), Demolition man (1993), Bad Company (2002). Źródło: http://perso.orange.fr/fingerchip/biometrics/movies.htm
9 Pomiar w systemach komercyjnych Prosty wydruk obrazu tęczówki Testowane systemy: Panasonic Authenticam ET100 Panasonic ET300 Próba weryfikacji z użyciem wydruku ET100 akceptacja 86% prób ET300 akceptacja 15% prób Pełne wyniki testów: A. Pacut, A. Czajka, Iris aliveness detection, BioSec 2 nd Workshop, Bruksela, 20 stycznia 2005
Testy żywotności dla biometrii tęczówki 10 Pomiar cech zewnętrznych oka Pasywny (analiza częstotliwościowa, analiza kształtu gałki) Aktywny (analiza stymulowanych odbićświatła) Pomiar cech wewnętrznych oka Obserwacja tkanki przy oświetlaniu światłem o różnej dł. fali Analiza tzw. odbić Purkiniego (odbicia od soczewki i źrenicy) Pomiar właściwości dynamicznych oka Pasywny (spontaniczne ruchy źrenicy) Aktywny (dynamika zmian źrenicy przy stymulacji)
System biometrii tęczówki NASK IRS analiza częstotliwościowa obrazu 11 zdjęcie tęczówki i wydruk tego zdjęcia widmo Fouriera (dodatkowe częstotliwości na wydruku będące wynikiem użycia drukarki) Stopień odrzucenia wydruków: ET100 16% ET300 85% analiza częst. 95%
System biometrii tęczówki NASK IRS analiza odbić 12 Losowa sekwencja stanów diod kontrolnych w trakcie pomiaru Porównanie sekwencji zarejestrowanej z sekwencja wygenerowaną Odrzucenie 100% wydruków tęczówki
System biometrii tęczówki NASK IRS analiza dynamiki źrenicy 13 Typowa reakcja źrenicy na dodatni impuls świetlny Wykrywanie zaawansowanych falsyfikatów gałki ocznej
14 Podstawowe zagrożenia cz. 2 Przesyłanie danych biometrycznych
15 Weryfikacja biometryczna przez sieć serwer uwierzytelniający (RADIUS) wielomodalna baza danych biometrycznych odległa stacja robocza Tunel VPN sieć rozległa serwer dostępowy sieć wewnętrzna
Rozproszona architektura systemu biometrycznego zagrożenia 16 Sfałszowany moduł zdalny Konieczne uwierzytelnianie urządzeń Podsłuchanie transmisji Szyfrowanie sesji Ponowne wykorzystanie przechwyconych danych Podwójne progowanie (nie tylko zbyt różne, ale też zbyt podobne dane są odrzucane) przechwycenie wzorca Sprawdzanie z buforowaniem Parametryzowane metody biometryczne (żądanie-odpowiedź) Dostęp do podsystemu porównującego Kwantowanie wyników porównania Ograniczenie liczby kolejnych prób weryfikacji
17 Protokół BEAP Biometric Extensible Authentication Protocol opracowany przez NASK i Telefonica I+D na szkielecie EAP Wykorzystuje bezpieczną transmisję TLS Zabezpieczenie przed powtórnym użyciem przechwyconych danych biometrycznych Możliwa obsługa wielu metod biometrycznych (włącznie z multimodalnością) Obsługa parametryzowanych metod biometrycznych Obsługa testu żywotności Dzielenie dużych pakietów danych Możliwa decentralizacja bazy danych biometrycznych
18 Podstawowe zagrożenia cz. 3 Przechowywanie danych biometrycznych
Centralne bazy danych biometrycznych 19 Często decydują względy pozatechniczne (polityczne, społeczne, proceduralne itp.) Konieczność ciągłego utrzymywania bazy W przypadku włamania ryzyko utraty danych wielu osób Użytkownik nie wie, co w danej chwili dzieje się z jego danymi
Indywidualne bazy danych biometrycznych 20 Szereg zastosowań, w których nie istnieje konieczność centralnego przechowywania danych Biometryczne karty wstępu (karnety na basen, wielodniowe imienne bilety wstępu do parków rozrywki) Identyfikatory pracownicze Dowody osobiste obywateli (kwestia dyskusyjna) W zamian osobiste, indywidualne bazy danych biometrycznych Realizacja karta inteligentna (chipowa )
Indywidualne bazy danych biometrycznych cd. 21 Wszędzie, gdzie wystarcza weryfikacja tożsamości centralne bazy danych nie muszą być stosowane Użytkownik pozostaje jedynym właścicielem swoich danych osobowych Koszt rozproszonej bazy danych koszt nośników (kart) + koszt zapisu wzorców
Osobiste bazy danych biometrycznych w oparciu o JavaCards 22 JavaCards karty inteligentne z wirtualną maszyną języka Java Wzorzec biometryczny zaszyfrowany i zapisany na karcie Odczyt zapisanego wzorca możliwy jedynie za pośrednictwem wewn. mechanizmów karty Weryfikacja odbywa się na pokładzie karty (match-on-card ) Wzajemne uwierzytelnianie stron (m.in. secret message )
Weryfikacja biometryczna na karcie 23 Źródło: http://www.bromba.com
24 Ograniczenia kart biometrycznych Komunikacja terminal-karta czasochłonna Ograniczenia obliczeniowe i pamięciowe Efektywność dla biometrii tęczówki: Czynnik optymalizowany Szybkość działania Dokładność weryfikacji Zużycie pamięci karty Zużycie pamięci karty 5-25% 5-25% 0,5-1,5% Średni czas weryfikacji 3-5 sek. 13-15 sek. 12-14 sek.
Rozszerzenia scenariusza opartego na kartach biometrycznych 25 Źródło zdjęć strony producentów: www.bromba.com, www.veridt.com, www.fingerprints.com, www.technoimagia.com
26 Podsumowanie Testy żywotności obecnie najbardziej palący i najtrudniejszy problem metod biometrycznych Transmisja danych biometrycznych problem w znacznym stopniu rozwiązany poprzez rozszerzenie znanych mechanizmów zabezpieczania transmisji Przechowywanie danych biometrycznych w wielu zastosowaniach możliwe podejście match-on-card
27 Łukasz Stasiak Pracownia Biometrii NASK: Andrzej Pacut Marcin Chochowski Adam Czajka Joanna Putz-Leszczyńska Łukasz Stasiak Przemek Strzelczyk Rafał Wardziński