Biometrische Zugangskontrolle: Datensicherheit für Fingerabdrücke
BLOG: Heidelberg Laureate Forum
Das Heidelberg Laureate Forum hat jedes Jahr einige wirklich inspirierende und coole (letzteres mal mit, mal ohne Flüssigstickstoff) Vorträge zu bieten, und dieses Jahr bildet da keine Ausnahme. Aber das ist natürlich längst nicht alles. In den Kaffeepausen kann man Gruppen junger Forscher bei angeregten Diskussionen belauschen, mit oder ohne Beteiligung von Laureaten. Und dann sind da noch viele kürzere, zufällige Begegnungen, und sei es, dass dabei nur ein Wissensbaustein hängenbleibt, den man vorher noch nicht kannte.
Berispielsweise wie man vermeiden kann, dass wir uns aus Datenschutzgründen ein Ohr abschneiden müssen. So jedenfalls die Zuspitzung eines Wissensbausteins, den ich einer zufälligen Kaffeepausen-Begegnung mit Olanike Akinduyite verdanke, einer Doktorandin an der Federal University of Technology in Nigeria.
Vermutlich ist Ihnen bislang noch nicht in den Sinn gekommen, dass dort überhaupt ein Problem bestehen könnte. Aber so abweig ist das gar nicht. Was machen Sie denn, wenn ein Online-Unternehmen versehentlich ihre Passwörter an die Öffentlichkeit hat gelangen lassen, oder einen erfolgreichen Hackerangriff eingesteht? Vermutlich werden Sie Ihr Passwort ändern.
Aber was ist dann in jenen Fällen, wo die Zugangskontrolle über Biometrie erfolgt – über Ihren Fingerabdruck, oder über Gesichtserkennung wie bei einem iPhone jüngeren Datums? Klar ist es dort zunächst einmal sehr viel schwieriger, das System zu überlisten als bei Eingabe eines einfachen Passworts. Aber falls biometrische Daten doch einmal gestohlen werden, wollen Sie wahrscheinlich nicht riskieren, dass den Übeltätern vielleicht doch ein Weg einfällt, sich mit den gestohlenen biometrischen Daten einen Zugang zu erschleichen. Was tun? Schließlich werden Sie Ihr “biometrisches Passwort” kaum ändern wollen, indem Sie sich, sagen wir mal: ein Ohr vergrößern, oder sich einen neuen Fingerabdruck gravieren lassen.
Genau an der Frage, wie man solche Situationen vermeidet, arbeitet Olanike als Teil ihrer Doktorarbeit: wie lassen sich biometrische Muster durch Verschlüsselung schützen? Wenn dies gelingt, müssten Sie im Falle des Datenklaus lediglich die Verschlüsselung ändern (bzw. den zur Verschlüsselung verwendeten Schlüssel). Ein grundsätzliches Problem ist natürlich, dass die biometrischen Informationen, die Sie beim Auflegen des Fingers auf einen Scanner übermitteln, oder der Anblick, den Sie der iPhone-Gesichtserkennung bieten, nicht immer exakt gleich sind. Das Verschlüsselungsschema muss dass berücksichtigen: Auch bei verschlüsseltem Erkennungsmuster sollte es tunlichst den Zugriff ermöglichen, wenn Ihr Gesicht oder Fingerabdruck der gespeicherten Vorlage ausreichend ähnlich sind, aber die Übereinstimmung nicht exakt ist. An den entsprechenden Techniken arbeiten Olanike und andere Forscherinnen und Forscher. Zwar nicht ausdrücklich um uns plastische Chirurgie zu ersparen, aber immerhin, um unsere Privatsphäre besser zu schützen!
Kennwörter wie auch Substitute, im biometrischen Sinne beispielsweise, werden auf Seiten der Inhalte-Anbieter sinnhafterweise verschlüsselt gespeichert, so dass auch Mitarbeiter des Anbieter-Unternehmens nicht diese Kennwörter oder Substitute kennen, nicht einmal aus eigener Datenhaltung extrahieren könnten, wenn sie wollten.
Wichtich (niederdeutsch) hier auch die verschlüsselte Verbindung zwischen Klient und Dienst (“Server”), “end-to-end“.
Zur Frage :
Dies geht (nur), wenn die Anbieter-Seite zur Verschlüsselung willig ist.
MFG
Dr. Webbaer (der sich vglw. sicher ist, dass dies nicht der Fall ist, denn Anbieter im Web leben von der Identifikation von Subjekten, die sie -oft in anderem Zusammenhang- zu bewerben suchen, ein wenig später – der insofern anregt das Web als generell öffentlich zu betrachten, aus Abnehmersicht (was natürlich die Gefahr des Überwachungsstaates bildet, aus diesem Dilemma kann aus diesseitiger Sicht nicht herausgekommen werden); letztlich geht es um Kultur)
Irgendetwas stimmt hier nicht :
Wenn Daten sozusagen geklaut worden sind, also zur Information von Dieben geführt hat, lässt sich im Nachhinein nur die Verbreitung von Information bekämpfen, im Web : idR folgenlos.
Dr. W nagt auch insgesamt ein wenig am Gesamtgehalt der hier dankenswerterweise zV gestellten Nachricht.
Der Schreibär dieser Zeilen ist sich hier unsicher, ob ‘Olanike Akinduyite’ hier im richtigen Boot sitzt.
MFG
Dr. Webbaer
Das ist ähnlich wie mit Passwörtern. Wenn die verschlüsselte Version des Passworts geklaut worden ist, kann der Dieb darauf noch lange nicht das Passwort rekonstruieren. Bei biometrischen Daten ist bei der Verschlüsselung allerdings das Problem, dass das Ausgangsmaterial nicht eindeutig definiert ist (anders als bei einem Passwort). Hier einerseits zum Schutz verschlüsseln, aber andererseits so flexibel zu sein dass sich selbst anhand der verschlüsselten Versionen feststellen lässt, ob sich die hinterlegten und die just dem System präsentierten biometrischen Muster hinreichend ähnlich sind, dass man denjenigen, der das just präsentierte Muster anbrachte, hineinlassen kann, ist dann allerdings keine triviale Aufgabe.
Die sog. Biometrie funktioniert so, dass Programme oder Personen Punkte an Hand der Gesichtsbeschaffenheit besonders markieren und speichern.
The Song remains the same, egal, ob direkt ein sog. Password eingegeben wird, von Personen, oder ob sich die Person audiovisuell zur Verfügung stellt, und dann bemessen wird, für die Zwecke der IT und nachfolgender sozialer Institution.
An sich gälte es, idealisiert, im hier gemeinten Zusammenhang dies sicher zu stellen :
-> ‘Wenn die verschlüsselte Version des Passworts geklaut worden ist, kann der Dieb darauf noch lange nicht das Passwort rekonstruieren.’
Allerdings bestimmen die Anbieter von Leistung im Web derart, ob dies möglich ist, i.e. der Anbieter könnte sittlich so folgen, muss aber nicht.
Denn er hat andere Möglichkeiten, kann defektieren und wird es absehbarerweise auch.
Dies ist aus diesseitiger Sicht gänzlich klar.
Hier dürfen Sie sich, werter Herr Dr. Pössel, anschließen,
MFG + schönes Wochenende,
Dr. Webbaer
Wenn Sie nach den Suchwörtern “fuzzy vault fingerprint” googeln können Sie recht schnell zahlreiche Artikel und Vortragsfolien zu biometrischen Verfahren finden, bei denen, wie oben im Blogbeitrag beschrieben, Variabilität beim biometrischen Input eine Rolle spielt und entsprechend geeignete, variabilitätstolerante kryptografische Verfahren (eben die “fuzzy vault”) erfordert.
Das hier :
…war Murks.
Ansonsten bliebe die Forschung i.p. Erfassung sich auch in Teilen verändernder biometrischer Merkmale wichtig.
Wobei die Kryptologie so nicht berührt scheint.
@Dr. Webbaer: Die Kryptographie ist wegen der erwähnten Fuzzy Vault berührt. Verschlüsselungen müssen flexibel sein, wenn das Resultat die biometrischen Variationen richtig wiedergeben soll, sprich: wenn ich alleine anhand der verschlüsselten Daten einen Vergleich anstellen kann. Sonst könnte man solche Daten ja gar nicht sinnvoll verschlüsseln, sondern jeder “Zugangs-Berechtigungsprüfung” müsste die unverschlüsselten biometrischen Daten nutzen. Und wenn die einmal öffentlich sind, sind sie öffentlich. Wenn nur der zugehörige Hash gestohlen wurde, ändere ich das System und mache einen neuen, veränderten Hash.