Какви са рисковете и особеностите на идентификацията с биометрични характеристки

1. Биометрична
идентификация
Божидар Божанов

2. ● @bozhobg
● http://techblog.bozho.net
● http://blog.bozho.net

3. Биометрия
● Разпознаване на присъщи черти
○ Отпечатъци
○ Ирис
○ Вени на дланта
○ Лице
○ Глас
○ ДНК
● Уникални и неизменими

4. Употреба
● Гранични проверки
● Контрол на достъпа
○ Отключване на домашни врати
● Отключване на смартфон
● Изглежда яко по филмите

5. Пръстов отпечатък
● Бинаризация, изтъняване, извличане
● Minutia (мн.ч. minutae)
○ Край (ridge ending)
○ Бифурикация (ridge bifurication)
○ Fingerprint template
● Други методи
○ Feature extraction
● MINEX (стандарт за template)

6. Пръстов отпечатък
griaulebiometrics.com
бинаризация Изтъняване

7. Съхранение и сравнение
● Оригинално / подобрено изображение
● Координати на точките
● Други характеристики
● Fuzzy hash, locality-sensitive hash
○ “Percentage hash”
○ Колизиите са търсени

8. Проблеми...
● Лоши изображения, зацапани скенери,
наранена кожа….

9. “A Japanese cryptographer has demonstrated how
fingerprint recognition devices can be fooled using a
combination of low cunning, cheap kitchen supplies and a
digital camera.” The Register, “Gummi bears defeat
fingerprint sensors”
“The results are enough to scrap the systems completely,
and to send the various fingerprint biometric companies
packing.” Bruce Schneier

10. Ирис
● Откриване на над 200 точки
● Същите методи за съхранение като
отпечатъците
● Единствено патентовани алгоритми

11. ДНК, вени, глас, лице...
● Използване в комбинация
● Скъпа апаратура (ДНК, вени)
○ Все пак Кувейт снема ДНК от всички
● Липса на уникалност и висок процент
грешка (глас, лице)

12. Реконструкция
● ...възможна
○ по точки, по характеристики
○ Освен с fuzzy / locality senstive hash
● => съхраняването в централни бази
данни е опасно

13. Присъствена проверка
● Лесно фалшифициране
+
● Автоматизирана проверка
=
● Измами

14. N-фактор
● Сигурна идентификация е:
○ нещо, което имаш +
○ нещо, което знаеш +
○ нещо, което си
● напр. смарткарта с PIN + отпечатък
(сравнен на картата)

15. Гранични проверки
● ICAO биометрични паспорти
○ Съдържат снимка на лице и отпечатъци (скоро и
ирис) (JPEG2000)
○ Интегритет - с електронен подпис на МВР
● Отпечатъците се четат без PIN
○ ...но от “доверен” терминал
● Сравняват се с отпечатъците на лицето
● => фалшив/чужд документ?

16. Проблеми
● Централизирани бази данни със снимки
на отпечатъци
● Безконтактно четене на отпечатък
○ 3 версии на протоколите досега са счупени
○ Сложна схема със сертификати, изтичащи на 24
часа

17. BSI

18. ● ...обаче чипът няма часовник
○ 1 изтекъл терминален сертификат
○ => всички отпечатъци в паспортите по света - на
“една ръка” разстояние
○ ...ако преди това не leak-нат централните бази
● експерти - “е, ти и от чаша можеш да го
вземеш”
○ high-res?

19. bioID - No go
● Не можеш да смениш отпечатък/ирис/ДНК
● Базите данни рано или късно изтичат
● Лесна фалшификация (gummi bears!)
● Отключват телефони => отключват
○ email-и
○ е-банкирания
○ ...всичко

20. Приложения
● Втори фактор
● Гранична проверка с match-on-card
● Бъдещи?

21. “Полет на мисълта”
● Да си представим...
○ Евтини и точни четци за биометрия
● Тогава…
○ ID = hash(fingerprint) + hash(iris) + hash(DNA) +
hash(password)

22. ● Аз съм
66a1aa2b4add3d8775751b81adb86e476d0a735188c2e8582be0920b2a3
e55ea
● И мога да го докажа
○ скенери + стандартно приложение
● Разпределена глобална електронна
идентичност
○ нещо, което съм + нещо, което знам

23. Фалшификации?
● Как гарантираме, че хешът наистина е
получен от нашата биометрия?
● Биометрия+парола -> KDF -> частен ключ
(ефемерен)
○ KDF (key derivation function)
○ С частния ключ се подписва challenge

24. Анонимна идентификация
● Хешът няма име
● Гаранция за самоличност
● Псевдоними в различни контексти
(различни пароли)
● Пример: разпределен ride-sharing с
разпределена система за репутация
върху глобална анонимна идентичност

25. Заключение
● Само биометрия - не
● Биометрия в явен вид - не
● Биометрия в бази данни - не
● 2-ри фактор, сравнение на смарткарта -
може
● Бъдещи възможности

26. Благодаря

27. Ресурси
http://www.theregister.co.uk/2002/05/16/gummi_bears_defeat_fingerprint_sensors/
http://www.griaulebiometrics.com/en-us/book/understanding-biometrics/types/feature-extraction/minutiae
http://www.technovelgy.com/ct/Technology-Article.asp?ArtNum=12
https://en.wikipedia.org/wiki/Key_derivation_function
http://techblog.bozho.net/electronic-machine-readable-travel-documents/
http://techblog.bozho.net/identity-in-the-digital-world/
http://europe.newsweek.com/kuwait-becomes-first-country-world-collect-dna-samples-all-citizens-and-449830?rm=eu