Eksperter advarer mod borgerkort med fingeraftryk

Det har været svært for mig at finde ud af præcist hvordan Sander forestiller sig at biometri skal bruges i forbindelse med borgerkortet, men hvis man tænker sig grundigt om, så er det muligt at øge sikkerheden i et kommende borgerkort vha. biometri. Der er dog også mulighed for at begå mange fejl, hvilket jeg lidt frygter er den vej Sander bevæger sig, da der i en tidligere artikel blev snakket om opstilling af biometriske sensorer i alle offentlige institutioner.

Der findes teknikker (eller de bliver i hvert fald udviklet inden for kort tid) der tillader at man kan revokere biometriske data, uden fx at skulle have en ny finger. Teknikkerne hedder henholdsvis "biometric encryption" og "revokable biometrics". Selvom teknikkerne er forskellige, så deler de nogle anvendelsesmuligheder, nemlig at kombinere biometriske data med en nøgle, således at resultatet kun kan genskabes hvis begge dele er til stede. Dette gør det muligt at revokere biometriske data, ved blot at revokere nøglen.

Naturligvis afhænger alt sikkerhed i et system baseret på biometri, af hvordan de biometriske sensorer håndterer data. Man kan med de overnævnte teknikker lave biometriske systemer hvor brugerens privacy er beskyttet i en vis grad, men det er intet værd hvis den der har kontrol over den biometriske sensor, blot kan omprogrammere den til at gemme det unikke fingeraftryk til senere brug. Derfor er det helt essentielt for sikkerheden i sådan et system, at den biometriske sensor er under brugerens kontrol. Et andet problem ved at bruge fingeraftryk i scenarier, der kræver høj sikkerhed, er at teknikken endnu ikke har nået et punkt, hvor det er svært at snyde en fingeraftrykslæser med et kunstigt figeraftryk.

En fornuftig løsning på et borgerkort der anvender biometri, er at lade brugeren være i besiddelse af en device som han kan autentificere sig overfor via fx biometri kombineret med et password, og heraf udledes en nøgle der åbner for andre nøgler på kortet. Disse nøgler bør være til et system for anonyme digitale credentials, som fx IBM's Idemix, der tillader brugeren kun at bevise noget om de egenskaber, der er relevante for den kontext han befinder sig i, men forhindrer global identifikation og sammenkøring af informationer. Disse teknikker er ikke nye. Idéen blev først beskrevet af Chaum i 1985, og har siden været genstand for en del forskning. Som nævnt har IBM implementeret sådan et system, baseret på resultater fra 2001, og Microsoft har for nyligt opkøbt Brands' nystartede firma Credentica, der også har lavet en lignende system. Desuden er der siden dengang publiceret nyere og bedre resultater indenfor de akademiske kredse. Teknologien til at lave et borgerkort, der giver brugeren kontrollen over egne oplysninger, og forhindrer systematisk overvågning, findes. Ikke at anvende den, når tidshorisonten hedder fem år, vil være direkte tåbeligt.

ung teknologi, tja så er computeren da også en ung teknolgi, som man måske også skal passe meget på, at bruge. Jeg mener da bestemt at det er mere end 30 år siden, at de første eksperimenter omkring brug af fingeraftryk til dørlåse blev lavet. Det er da en udmæket ting med fingeraftryk, som så kunne sammensættes med en pinkode løsning.

Enig i kritikken.

I USA har flere banker brugt fingeraftryk som adgangsgivere til ATM-maskiner, hvilket har resulteret i flere afhuggede hænder/fingre i fbm. overfald. Det har fået dem til at gå bort fra teknikken.

Derudover er der den mere generiske kritik af den manglende dynamik, når man ikke kan skifte kode ifbm. sikkerhedsbrud.

Det er også betænkeligt udfra en lidt mere humanistisk synsvinkel, idet en bimetrisk ID let kan blive nøglen til al overvågning, og få GO's "1984" til at ligne en flipperlejr.

Mvh Henrik

Ideen med Biometri er i si grundide god nok, men ikke ud en masse tillæg som også beskrives ovenfor.

For nu at tage de i omvendt rækkefølge, så er der i nogle danske fængsler indført biometriske sensorer ved døre - sensoren checker også om den pågældende finger er i live, så hvis ikke den "ser levende ud", så accepteres fingeraftrykket ikke.

Skulle sikkerheden være baseret på fingeraftryk alene er det simpelt - man kan endda kopiere det over på en vingummibamse, skal det være levende, så er der lidt mere
arbejde at udføre, men bestemt ikke umuligt (heller ikke hvis man ikke lige er 007 med hele Q's laboratorium bag sig.

Prøv at Google "fake fingerprints", der er mange spændende artikler imellem. Specielt en artikel fra TheRegister sætter tankerne igang.

Mvh. Kurt

Det er vigtigt, at biometriske data ikke bruges som den eneste identifikation, da de langtfra er så svære at kopiere som leverandørerne af biometrisk aflæsningsudstyr forsøger at give indtryk af.

Diskussionen har lige været i Tyskland, hvor deres indenrigsminister ligesom Helge Sander mente at sikkerheden var god nok. Han lyttede nok lidt for meget til de sælgere der så en mulig god forretning med at sælge i tusindvis af fingeraftrykslæsere.

Diskussionen her endte med at hackergruppen CCC kopierede den tyske indenrigsministers fingeraftryk, og sende det ud med deres medlemsblad i 4000 eksemplarer, klar til at (mis)bruge i en fingeraftrykslæser: http://www.edri.org/ (...)

Jeg håber ikke det skal være nødvendigt at kopiere Helge Sanders fingeraftryk før han bliver overbevist om, at fingeraftryk ikke er særligt brugbare sikkerhedsmæssigt.

Mere generelt mener jeg det er et stort problem at offentlige myndigheder lytter alt for meget til leverandører af sikkerhedsudstyr når de skal tage beslutning om sikkerhed. Leverandørerne har en interesse i at sælge udstyret, og oplyser derfor ikke loyalt om sikkerhedsbrister. Det giver skandaler som f.eks. omkring Mifare-kortene, der har medført at opskrifter på hvordan man rejser gratis med diverse undergrundsbaner rundt omkring i verden er frit tilgængelige på nettet. For at undgå den slags skal offentlige beslutningstagere stort set kun lytte til uafhængige sikkerhedseksperter der ikke sælger sikkerhedsudstyr.

Nu fremgår det ikke af artiklen, hvad Helge Sander mere præcist har tænkt sig. Forhåbentlig tænker han ikke på, at bruge biometri til autentificering. Men man kunne godt frygte, at han er blevet besnæret af en eller anden smart sælger, der har overbevist ham om, at biometri giver høj sikkerhed. For det er nemlig noget værre vrøvl.

Det er en udbredt misforståelse, at biometriske løsninger er et alternativ til brug af kodeord. DET ER DET IKKE! Biometri kan erstatte angivelse af brugernavn (eller tilsvarende), men IKKE angivelse af kodeord.

Som det bør være enhver bekendt, så består et adgangskontrolsystem (altså et system, der skal regulere adgangen til mere eller mindre værdifulde ressourcer) af tre elementer:

1. Identifikation. Systemet spørger brugeren: "Hvem er du?" Bruger svarer: "Jeg er Anders And." (variant: Systemet spørger: "Jeg er System XXX. Hvem er du?" Bruger svarer: "I dit system er jeg kunde/bruger YYY")

2. Autentificering. Systemet spørger brugeren: "Kan du bevise det?" Brugeren afleverer en stump information, SOM KUN DEN RIGTIGE BRUGER KAN AFLEVERE, fx et hemmeligt kodeord.

3. Autorisation. Systemet tildeler brugeren adgang til de ressourcer, som brugeren har tilladelse til.

Hvis man (fx en sælger af et biometrisk system) postulerer, at biometri kan erstatte det traditionelle kodeord i punkt 2, så forbryder man sig mod det grundlæggende princip, at det kun er den rigtige bruger, der kan præsentere den korrekte information. De biometriske kendetegn, som et biometrisk system benytter, vil altid være offentligt tilgængelige (fx i form af fingeraftryk på dørhåndtag - eller på tastaturet(!)), ellers ville det biometriske system ikke være i stand til at registrere dem. Det er med andre ord en grundliggende præmis for biometri, at oplysningerne er offentligt tilgængelige. Når en angriber først har opsamlet de nødvendige biometriske kendetegn, så er det kun et teknisk problem (eller, måske rettere, en ingeniørmæssig udfordring) at præsentere informationen på en passende måde, for at kunne snyde adgangskontrolsystemet. Og adskillige forsøg har demonstreret, at det er ganske nemt, hurtigt og billigt at snyde et biometrisk system, hvis man blot har den rette viden og tekniske snilde.

Biometri kan være udmærket, hvis der ikke er noget behov for at sikre sig, at brugeren faktisk er den, hun påstår at være - hvis der ikke er nogen værdifulde ressourcer at benytte. I sådanne tilfælde kan biometri være bekvemt.

Tænk fx på en bil. Det ville være dejligt bekvemt, hvis bilen automatisk registrerer, hvem der sætter sig i førersædet, og automatisk indstiller spejle, sæde m.v. Her kunne biometri være bekvemt. Der er intet behov for at beskytte disse indstillingsoplysninger, da de ikke har nogen værdi. Men det er en helt anden sag, hvem der overhovedet lukkes ind i bilen. Her er der behov for at sikre sig, at det er en person, som faktisk har lov til at komme ind, her er en værdifuld ressource. Derfor må det kræves, at chaufføren beviser sin identitet, ikke nødvendigvis som enkeltindivid, blot som medlem af gruppen af retmæssige adkomsthavere. Og her må man så benytte, noget man har (fx en nøgle) eller noget man ved (fx en kode), men biometri duer ikke (uanset hvad sælgeren siger)!

"Men mit fingeraftryk er da unikt", vil du måske argumentere. Det er slet ikke pointen. Det kan godt være, dit fingeraftryk er unikt (det véd man faktisk ikke noget om). Pointen er, at dit fingeraftryk er offentligt tilgængeligt. Det er ikke hemmeligt. Du efterlader det alle vegne. Og hvem som helst kan samle det op og misbruge det. Og dermed få adgang til alle de informationer, som din brugerkonto giver adgang til.

Herudover er der en masse andre problemer, fx med tilbagekaldelse (revocation) - hvad gør man, hvis en angriber har haft held til at kopiere ens finger. Man kan jo ikke bare få en ny...


Nedenstående artikler giver en meget grundig og præcis gennemgang for de interesserede:
http://www.microsoft.com/ (...)
http://www.schneier.com/ (...)

Sådan som Helge Sander har forvaltet sagen omkring de nye pas m.v., så har jeg ikke meget tillid til, at han ville kunne lede et stort, offentligt biometri-projekt på en måde, der ikke ville ende i en sikkerhedsmæssig katastrofe.

Gid Computerworld ville være lidt mere kritisk indstillet overfor hele dette område.


Med venlig hilsen
Knud Henrik Strømming

PS: I andre sammenhænge har det været anført, at biometri godt kan bruges som autentificering, hvis den biometriske skanner er under brugerens kontrol. Det betyder, at hver borger skal slæbe sin egen fingeraftryksskanner med sig overalt... Det betyder også, at den ansvarlige for det system, som brugeren forsøger at opnå adgang til, har tillid til brugerens skanner - og hvorfor skulle den ansvarlige det? Så kunne hun jo ligeså godt have tillid til brugeren fra starten af, ikk'?