docFingerprint
download 
Denúncia Transcrição
Fingerprint
IT-SecX Fingerprint Biometrische Fingerabdruckverfahren im Zutrittsund Anmeldebereich auf dem Prüfstand Ing. Eva Rein, BSc Information Security [Master] Agenda > Fingerprint allgemein > Funktionalität > Fingerprintreader > Sicherheitsrisiken > Experiment IT-SecX | 06. November 2009 | Eva Rein – is091515 2 Wie alles begann … > „Die Biometrie (auch Biometrik) beschäftigt sich mit Messungen an Lebewesen und den dazu erforderlichen Mess- und Auswerteverfahren.“ [wikipedia.org] • Bios – Leben • Metron – Maß > 1841 Christoph Bernoulli IT-SecX | 06. November 2009 | Eva Rein – is091515 3 Wie alles begann … > 1879: Alphonse Bertillon – biometrische Merkmale > 1892: Sir Francis Galton – Fingerprint > 1893: Home Ministry von UK > 1899: Henry System > 1924: 810.000 Fingerprintkarten > 1960er: AFIS - Automatic Fingerprint Identification Systems IT-SecX | 06. November 2009 | Eva Rein – is091515 4 Einsatzmöglichkeiten heute > Grenzkontrollen > Reisepässe > Zeiterfassung > Zutrittskontrollen > Zugriffskontrollen IT-SecX | 06. November 2009 | Eva Rein – is091515 5 Fingerprint – Voraussetzungen > Universalität > Einzigartigkeit > Konstanz > Messbarkeit > Akzeptanz > Performanz IT-SecX | 06. November 2009 | Eva Rein – is091515 6 Fingerprint – Definition > … ist eine aktive Erfassung von biometrischen Daten, zur Authentifikation gegenüber einem System. > „… ist ein Abdruck der feinen Linien (Papillarleisten) an den Fingerspitzen …“ [www.kinderpolizei.at] > Jeder Mensch besitzt einen einzigartigen Fingerabdruck (sogar eineiige Zwillinge). IT-SecX | 06. November 2009 | Eva Rein – is091515 7 Fingerprint – Merkmale I > Muster Handbook of Fingerprint Recognition, D. Maltoni IT-SecX | 06. November 2009 | Eva Rein – is091515 8 Fingerprint – Merkmale II > Minutien Handbook of Fingerprint Recognition, D. Maltoni IT-SecX | 06. November 2009 | Eva Rein – is091515 9 Fingerprint – Merkmale III > Schweißporen Handbook of Fingerprint Recognition, D. Maltoni IT-SecX | 06. November 2009 | Eva Rein – is091515 10 Funktionalität I > Enrollment vgl. Handbook of Fingerprint Recognition, D. Maltoni IT-SecX | 06. November 2009 | Eva Rein – is091515 11 Funktionalität II > Verifikation vgl. Handbook of Fingerprint Recognition, D. Maltoni IT-SecX | 06. November 2009 | Eva Rein – is091515 12 Funktionalität III > Identifikation vgl. Handbook of Fingerprint Recognition, D. Maltoni IT-SecX | 06. November 2009 | Eva Rein – is091515 13 Fingerprint > False Rejection Rate (FRR) • Berechtigte Personen werden abgewiesen > False Acceptance Rate (FAR) • Nicht berechtigte Personen werden akzeptiert > Failure to Enroll • Es kann kein Profil von Personen angelegt werden IT-SecX | 06. November 2009 | Eva Rein – is091515 14 Fingerprint Handbook of Fingerprint Recognition, D. Maltoni IT-SecX | 06. November 2009 | Eva Rein – is091515 15 Fingerprintreader I > Offline Fingerprintsensoren • Tinte • von Nagel zu Nagel gerollt • Scanner IT-SecX | 06. November 2009 | Eva Rein – is091515 16 Fingerprintreader II > Optische Fingerprintsensoren • Leuchtkörper • Prisma • optische Linse • benötigt dreidimensionale Vorlage IT-SecX | 06. November 2009 | Eva Rein – is091515 17 Fingerprintreader III Handbook of Fingerprint Recognition, D. Maltoni IT-SecX | 06. November 2009 | Eva Rein – is091515 18 Fingerprintreader IV Handbook of Fingerprint Recognition, D. Maltoni IT-SecX | 06. November 2009 | Eva Rein – is091515 19 Fingerprintreader V Handbook of Fingerprint Recognition, D. Maltoni IT-SecX | 06. November 2009 | Eva Rein – is091515 20 Fingerprintreader VI > Elektrooptische Fingerprintscanner Handbook of Fingerprint Recognition, D. Maltoni IT-SecX | 06. November 2009 | Eva Rein – is091515 21 Fingerprintreader VII > Solid State Sensoren • keine optischen Komponenten • siliziumbasierender Chip • elektrisches Feld (Erdung!) • benötigt dreidimensionale Vorlage IT-SecX | 06. November 2009 | Eva Rein – is091515 22 Fingerprintreader VIII Handbook of Fingerprint Recognition, D. Maltoni IT-SecX | 06. November 2009 | Eva Rein – is091515 23 Fingerprintreader IX > Ultraschall Sensoren • akustische Signale • benötigt dreidimensionale Vorlage • benötigt mehrere mechanische Teile • größer und teurer IT-SecX | 06. November 2009 | Eva Rein – is091515 24 Fingerprintreader X Handbook of Fingerprint Recognition, D. Maltoni IT-SecX | 06. November 2009 | Eva Rein – is091515 25 Fingerprintreader XI > Thermische Sensoren • erzeugt thermisches Abbild • höhere Sicherheit gegen Fingerprintfälschungen • keine Erdung erforderlich Firma ekey IT-SecX | 06. November 2009 | Eva Rein – is091515 26 Sicherheitsrisiken > False Acceptance Rate (FAR) > Fotografie > Fingerprint Attrappe > Finger eines Toten > Abhören der Daten > Hacken des Datenbankservers > Erpressung IT-SecX | 06. November 2009 | Eva Rein – is091515 27 Sicherheitsrisiken – False Acceptance Rate > Nicht berechtigte Personen werden akzeptiert > Regulierung der Akzeptanzschwelle bringt Einbußen bei der False Rejection Rate! > zusätzlicher PIN IT-SecX | 06. November 2009 | Eva Rein – is091515 28 Sicherheitsrisiken – Fotografie > … stellt eigentlich kein Risiko dar > Optische Fingerprintreader und Ultraschallreader benötigen eine dreidimensionale Vorlage > Solid State Reader bauen zusätzlich ein elektrisches Feld auf > Thermische Fingerprintreader bauen ein thermisches Feld auf IT-SecX | 06. November 2009 | Eva Rein – is091515 29 Sicherheitsrisiken – Fingerprint Attrappe > Von einem zurückgelassenen Fingerabdruck wird eine Fingerprint Attrappe erstellt > Verwendung von Thermischen Fingerprintreadern > Zusätzliche Verwendung einer Chipkarte > Zusätzliche PIN Eingabe IT-SecX | 06. November 2009 | Eva Rein – is091515 31 Sicherheitsrisiken – Finger eines Toten > Verwendung von Thermischen Fingerprintreadern > Lebenderkennung > Weitere mögliche Ansätze: • Ausbreitung von Schweiß • Ausnutzung von Fingerabdruckverformungen • Riechender Detektor • Messung des Blutsauerstoffs mittels Pulsoximetrie (dabei wird der Finger durchleuchtet) IT-SecX | 06. November 2009 | Eva Rein – is091515 32 Sicherheitsrisiken – Abhören der Daten > Verschlüsselte Datenübertragung IT-SecX | 06. November 2009 | Eva Rein – is091515 33 Sicherheitsrisiken – Hacken d. DB-Systems > ausreichende Absicherung des DB-Systems > physische Sicherheit & Zugriffsberechtigungen > getrennte Speicherung der biometrischen Referenzdaten sowie der zugeordneten Benutzerdaten > Verschlüsselung der Daten > Verwendung von Signaturen IT-SecX | 06. November 2009 | Eva Rein – is091515 34 Sicherheitsrisiken – Erpressung > Gegen eine Erpressung ist man niemals gefeit > Verwendung einer Alarmfingerfunktion • Mit Hilfe eines zuvor definierten Fingers wird ein stiller Alarm ausgelöst • Somit ist eine unbemerkte Alarmierung eines Wachdienstes oder der Polizei möglich IT-SecX | 06. November 2009 | Eva Rein – is091515 35 Experiment Das Experiment Jetzt wird es spannend … IT-SecX | 06. November 2009 | Eva Rein – is091515 36 Experiment > AET60 BioCARDKey > Fingerprint Scanner SDK with Smart Card Reader > Firma acs – Specialists in Card Readers IT-SecX | 06. November 2009 | Eva Rein – is091515 37 Experiment – Vorbereitung > Enrollment • Vom Testuser wird ein Userprofil angelegt • Abnahme des Fingerabdruckes IT-SecX | 06. November 2009 | Eva Rein – is091515 38 Experiment I Fingerprint Attrappe Let´s have some fun … IT-SecX | 06. November 2009 | Eva Rein – is091515 39 Experiment I – Fingerprint Attrappe > Fingerabdruck erstellen IT-SecX | 06. November 2009 | Eva Rein – is091515 40 Experiment I – Fingerprint Attrappe > Fingerabdruck sichtbar machen • Rußpulver • weicher Pinsel IT-SecX | 06. November 2009 | Eva Rein – is091515 41 Experiment I – Fingerprint Attrappe > Fingerabdruck abfotografieren IT-SecX | 06. November 2009 | Eva Rein – is091515 42 Experiment I – Fingerprint Attrappe > Bearbeitung im Photoshop IT-SecX | 06. November 2009 | Eva Rein – is091515 43 Experiment I – Fingerprint Attrappe > Anfertigung der Fingerprint Attrappe • Laser-Ausdruck auf Folie • Holzleim & Glycerin • oder Gelatine IT-SecX | 06. November 2009 | Eva Rein – is091515 44 Experiment I – Fingerprint Attrappe > Anmeldung mit Fingerprint Attrappe IT-SecX | 06. November 2009 | Eva Rein – is091515 45 Experiment II Wasserdampf Warum kompliziert, wenn es auch einfach geht … IT-SecX | 06. November 2009 | Eva Rein – is091515 46 Experiment II – Wasserdampf > Bei Verwendung des Fingerprintreaders bleibt ein Fingerabdruck auf dem Fingerprintsensor zurück > Mit Hilfe von Anhauchen bzw. Wasserdampf ist eine Anmeldung durch Dritte möglich IT-SecX | 06. November 2009 | Eva Rein – is091515 47 Fazit – Pro > einzigartig & konstant > geringe False Acceptance Rate > benötigt wenig Speicher > einfach & komfortabel IT-SecX | 06. November 2009 | Eva Rein – is091515 48 Fazit – Cons > Akzeptanz der Benutzer > Probleme bei der Fingerabdrucknahme > hygienische Bedenken > keine Willenserklärung > keine 100%ige Sicherheit IT-SecX | 06. November 2009 | Eva Rein – is091515 49 Fazit > adäquate Auswahl des Fingerprintreaders > Kombination mit einem zweiten Verfahren • PIN Eingabe • SmartCard > Lebenderkennung > Verwendung einer Latenzbilddetektion IT-SecX | 06. November 2009 | Eva Rein – is091515 50 Fragen IT-SecX | 06. November 2009 | Eva Rein – is091515 51 Ende Danke für Ihre Aufmerksamkeit IT-SecX | 06. November 2009 | Eva Rein – is091515 52
