7 Principper for biometrisk sikkerhed

Mere om: Biometri | Digital signatur | Digital sikkerhed

Af Stephan Engberg

Anbefal

Sponsoreret af:

Skrevet d. 29. november 2007 kl. 15.02 |

(3)

Identitet er det vigtigste af kritisk infrastruktur med skrappe krav til f.eks. fallback i form af revokability og recorability. Designfejl her skaleres eksponentielt i resten af samfundet.

I mit indlæg på Biometriens dag fokuserede jeg på et Biometrisk Borgerkort og krav hertil formuleret i "The 7 principles for biometrics Security".
http://www.danishbiometrics.org/admin/files/Stephan%20Engberg%20presentation.PDF

1. Ensure upgrade ability - Change is the only certain Aspect
2. Ensure Fallback - Never collect non-revocable biometrics
3. Purpose Specification - Mix with purpose specific secrets
4. Proportionality - Exhaust non-invasive security tools first
5. Minimize Interdependence - User Control and revocable id
6. Semantic Interoperability - Don't standardize at technology level
7. Design assuming failure - Critical infrastructure fault tolerance

Jeg formulerede det centrale spørgsmål således:

"In my opinion, the critical question to answer is rather simple.

Require and ensure a technical setup that guarantee citizens are not subjected to biometrics surveillance both as part of checks against criminals and as part of simple border passing. As technologies is today, there is no sensible argument in favour for dis-empowering citizens - on the contrary - all arguments, economics, security and efficiency point in favor of Empowering the citizen."

Hvad er responsen for disse principepr - holder de?

Anmeld Besvar

Kommentarer til blogindlæg

Overvåg

Knud Henrik Strømming

Hej Stephan

1) Du taler om "biometrisk sikkerhed". Hvad er det for en fisk? Som vi har diskuteret andetsteds, handler biometri om IDENTIFIKATION. Nærmest pr. definition er der ingen sikkerhed i identifikationsprocessen.

2) Dine pointer omkring "User control" er udmærkede, men handler om privacy, ikke om biometri. Det kan være udmærket, når det handler om brug af biometri til overvågning af offentlige rum, men er mindre relevant i forbindelse med adgangskontrol til atomkraftværker el.l.

3) Jeg forstår dig således, at du mener, at biometri kun kan accepteres, hvis brugeren har kontrol over den biometriske skanner. Men så bliver denne skanner jo blot til en token (og så er den største fordel ved biometri, nemlig at man ikke skal passe på en nøgle/token, jo gået fløjten).

4) Det er principielt korrekt, at det "løser" den "biometriske sikkerheds" problem, idet brugeren kan kontrollere, at identifikationsprocessen mellem bruger og skanner ikke bliver spoofet, men til gengæld opstår et nyt identifikationsproblem mellem skanner og autentifikationssystem. Dette er ikke trivielt, da skanner og autentifikationssystem kontrolleres af forskellige parter.

M.v.h. Knud Henrik Strømming

29. november 2007 kl. 16.29

Anmeld Besvar

Knud Henrik Strømming

29. november 2007 kl. 16.30

Anmeld Besvar

Stephan Engberg

Hej Knud.

Ingen siger det er trivielt, men det er grundfundamentet for hele informationssamfundet - går det galt her, går det helt galt. Går det bare lidt galt, kan det hurtigt akkumulere til store problemer. Så det er vigtigt at gøre ordentligt

Dette handler om hele it-sikkerheds/sikkerheds problematikken - ikke kun en lille delmængde. Biometrisk sikkerhed omhandler de aspekter som involverer brug af biometri som del af håndteringen af sikkerhedsspørgsmål, herunder eksplicit borgerkort.

Vi har ikke diskuteret det - du har postuleret nogle forhold som her med en lidt uklar begrebsforståelse. Der mangler væsentlige nuancer og noget er direkte forkert, f.eks. når du taler om et "identifikationsproblem".

Der er masser af bedre balancerende modeller, der ikke indebærer identifikation af hverken person eller kort - i fælles interesse. Du kan f.eks. ikke have interoperabilitet eller fallback for hverken nøgler eller data, hvis du først er forfaldet til brug af biometri uden sikkerhed og tokens.

1) Biometri "handler" ikke om identifikation. Det er blot en måde at bruge viden om karakteristiske træk ved menneskers fysik og adfærd. Du kan sagtens i den fysiske verden "genkende" en person uden at kende vedkommendes identitet (=authentikere).

2) Ikke forstået. Jeg taler om sikkerhed i bred forstand, herunder også til atomkrafværker som en del af kritisk infrastruktur. Du har ikke behov for bioemtrisk overvågning, hvis du med andre ikke-invasive mekanismer kan detektere og håndtere en trussel.

3) Det er en central pointe. Sikkerhed uden token er ubrugelig, bl.a. fordi nøgler kan genbruges uden nogen former for fallback eller forsvar. Tokens er kritiske for at kunne forhindre dette og lukke ned ved brud. Bortset fra det er sikkerheden væsetligt bedre på atlle parametre.

4) Det er det vigtigste. Ved at flytte fra en specifck teknologi til det semantisk interoperable med en mere fleksbiel kobling til personen kan du lave alle de sikkerhedsbalancer som dit borgerkort kan håndtere nøgler til.

Selvm man tror det, så drejer Borgerkort sig ikke om Identifikation, men om at etablere balanceret sikkerhed og kommunikation mellem flere parter med mindst mulig skabelse af risiko og den stærkest mulige fleksibiltiet og evne til at modstå fejl og sikkerhedsbrud.

F.eks. bør du kunne authentikere din medicin recept UDEN at identificere dig, fordi det gør det væsentligt nemmere at sikre hele transaktionen omkring medicinudlevering. Men også i så tilfælde er du nødt til at kunne validere en kobling til en specifik person for are forebygge f.eks. identity renting eller identity swapping.

1. december 2007 kl. 15.55

Anmeld Besvar