Биометрична идентификация

Биометрична идентификацияБожидар Божанов

● @bozhobg● http://techblog.bozho.net● http://blog.bozho.net

Биометрия● Разпознаване на присъщи черти

○ Отпечатъци○ Ирис○ Вени на дланта○ Лице○ Глас○ ДНК

● Уникални и неизменими

Употреба● Гранични проверки● Контрол на достъпа

○ Отключване на домашни врати● Отключване на смартфон● Изглежда яко по филмите

Пръстов отпечатък● Бинаризация, изтъняване, извличане● Minutia (мн.ч. minutae)

○ Край (ridge ending)○ Бифурикация (ridge bifurication)○ Fingerprint template

● Други методи○ Feature extraction

● MINEX (стандарт за template)

Пръстов отпечатък

griaulebiometrics.com

бинаризация Изтъняване

Съхранение и сравнение● Оригинално / подобрено изображение● Координати на точките● Други характеристики● Fuzzy hash, locality-sensitive hash

○ “Percentage hash”○ Колизиите са търсени

Проблеми...● Лоши изображения, зацапани скенери,

наранена кожа….

“A Japanese cryptographer has demonstrated how fingerprint recognition devices can be fooled using a combination of low cunning, cheap kitchen supplies and a digital camera.” The Register, “Gummi bears defeat fingerprint sensors”

“The results are enough to scrap the systems completely, and to send the various fingerprint biometric companies packing.” Bruce Schneier

Ирис● Откриване на над 200 точки● Същите методи за съхранение като

отпечатъците● Единствено патентовани алгоритми

ДНК, вени, глас, лице...● Използване в комбинация● Скъпа апаратура (ДНК, вени)

○ Все пак Кувейт снема ДНК от всички● Липса на уникалност и висок процент

грешка (глас, лице)

Реконструкция● ...възможна

○ по точки, по характеристики○ Освен с fuzzy / locality senstive hash

● => съхраняването в централни бази данни е опасно

Присъствена проверка● Лесно фалшифициране+● Автоматизирана проверка=● Измами

N-фактор● Сигурна идентификация е:

○ нещо, което имаш + ○ нещо, което знаеш +○ нещо, което си

● напр. смарткарта с PIN + отпечатък (сравнен на картата)

Гранични проверки● ICAO биометрични паспорти

○ Съдържат снимка на лице и отпечатъци (скоро и ирис) (JPEG2000)

○ Интегритет - с електронен подпис на МВР● Отпечатъците се четат без PIN

○ ...но от “доверен” терминал● Сравняват се с отпечатъците на лицето● => фалшив/чужд документ?

Проблеми● Централизирани бази данни със снимки

на отпечатъци● Безконтактно четене на отпечатък

○ 3 версии на протоколите досега са счупени○ Сложна схема със сертификати, изтичащи на 24

часа

BSI

● ...обаче чипът няма часовник○ 1 изтекъл терминален сертификат ○ => всички отпечатъци в паспортите по света - на

“една ръка” разстояние○ ...ако преди това не leak-нат централните бази

● експерти - “е, ти и от чаша можеш да го вземеш”○ high-res?

bioID - No go● Не можеш да смениш отпечатък/ирис/ДНК● Базите данни рано или късно изтичат● Лесна фалшификация (gummi bears!)● Отключват телефони => отключват

○ email-и○ е-банкирания○ ...всичко

Приложения● Втори фактор● Гранична проверка с match-on-card● Бъдещи?

“Полет на мисълта”● Да си представим...

○ Евтини и точни четци за биометрия● Тогава…

○ ID = hash(fingerprint) + hash(iris) + hash(DNA) + hash(password)

● Аз съм 66a1aa2b4add3d8775751b81adb86e476d0a735188c2e8582be0920b2a3e55ea

● И мога да го докажа○ скенери + стандартно приложение

● Разпределена глобална електронна идентичност○ нещо, което съм + нещо, което знам

Фалшификации?● Как гарантираме, че хешът наистина е

получен от нашата биометрия?● Биометрия+парола -> KDF -> частен ключ

(ефемерен)○ KDF (key derivation function)○ С частния ключ се подписва challenge

Анонимна идентификация● Хешът няма име● Гаранция за самоличност● Псевдоними в различни контексти

(различни пароли)● Пример: разпределен ride-sharing с

разпределена система за репутация върху глобална анонимна идентичност

Заключение● Само биометрия - не● Биометрия в явен вид - не● Биометрия в бази данни - не● 2-ри фактор, сравнение на смарткарта -

може● Бъдещи възможности

Благодаря

Ресурсиhttp://www.theregister.co.uk/2002/05/16/gummi_bears_defeat_fingerprint_sensors/

http://www.griaulebiometrics.com/en-us/book/understanding-biometrics/types/feature-extraction/minutiae

http://www.technovelgy.com/ct/Technology-Article.asp?ArtNum=12

https://en.wikipedia.org/wiki/Key_derivation_function

http://techblog.bozho.net/electronic-machine-readable-travel-documents/

http://techblog.bozho.net/identity-in-the-digital-world/

http://europe.newsweek.com/kuwait-becomes-first-country-world-collect-dna-samples-all-citizens-and-449830?rm=eu