Büro: (0041)  26 670 0 670
Mail:  admin (at) d-bee ch

 

Biometrische Systeme

Ein heikler Punkt in der PKI ist die Absicherung des privaten Schlüssels. Die gängigen Betriebssysteme bieten ungenügenden Passwortschutz. Deshalb wird nach einer Zugangssicherung gesucht, die sicher und nicht übertragbar ist, also auf einem einzigartigen persönlichen Merkmal beruht.

Das Lebewesen Mensch bietet eine grosse Anzahl einzigartiger Merkmale. Für diese Anwendung muss jedoch eine Reihe von Kriterien erfüllt werden, welche die Auswahl stark einschränkt.

Im Folgenden soll ein Überblick der biometrischen Erkennungssysteme gegeben werden. Dabei wir der Schwerpunkt auf die Systeme gelegt, die die Ansprüche der Digitalen Signatur erfüllen. Die Aufgabe eines biometrischen Systems ist bei der Digitalen Signatur nicht die Identifikation sondern die Authentifikation.

Die Personenerkennung

Die Authentifikation im Onlinegeschäft erfolgt heute vorwiegend über ein symmetrisches Verfahren mittels Passwörter/Streichlisten/generierter Codeschlüssel. Da jeder Partner ein eigenes System hat, wird die Handhabung aller Passwörter und Streichlisten aufwändig.

Da die Personenerkennung, im Sinne von Identifikation und Authentifizierung mittels biometrischer Daten bis vor wenigen Jahren vor allen in der Kriminalistik eingesetzt wurde, hat sie für viele Leute eine negative Wertung erhalten und eine Abwehrhaltung gegen eine Preisgabe biometrischer Parameter bewirkt. Dabei ist das Ziel nicht die totale Überwachung, sondern eine zusätzliche Sicherheit und vor allem ein Ersatz für die immer zahlreicher benötigten PIN-Zahlen als Zugangscode. Eine PIN[59] kann beliebig lang und damit sicher gewählt werden. Je nach persönlicher Motivation und Veranlagung werden sie oft zu kurz und einfach gewählt. Hier kann die Biometrie eine Vereinfachung in der Handhabung sein und zusätzliche Sicherheit bieten.

Ein grosser Teil der offenen Internetgeschäfte wird ohne anerkanntes Identifikationsverfahren durchgeführt. Bei eBay und Ricardo werden die Teilnehmer von ihren Geschäftspartnern benotet. So entsteht ein Vertrauensgeflecht „Web of Trust“. Betrüger haben es relativ einfach: Wenn ihre Benotung schlecht wird, legen sie sich eine neue „Identität“ zu. In einer solchen Umgebung wäre eine Digitale Signatur mit biometrischer Authentifikation nützlich. Die Frage, ob der Aufwand grösser ist als der Schaden ist hier nicht Gegenstand der Untersuchung (Siehe Chance und Risiken).

Ein anderer Einsatz der biometrischen Authentifikation ist möglich bei der Kommunikation mit Bedienungsautomaten wie Geld- und Bankautomaten und automatisierten Warenabgabesystemen. Der Vorteil ist auch hier die physiologische Bindung an den rechtmässigen Inhaber.

Definitionen

Biometrie

Die Biometrie[60] ist die Lehre über die Zählung und Vermessung des Lebenden. In diesem Sinn wird der Begriff in der Medizin und der Biologie benutzt. In der Technik wird der Begriff Biometrie für die „Identifikation anhand der Biometrie“ verwendet. In dieser Arbeit wird der Begriff Biometrie in engeren Sinn gebraucht. Das Wort Biometrie wird eingeschränkt als System zur Erkennung lebender Person benutzt.

Identifikation

Die Identifikation ist die Feststellung der Identität aus einer Menge n. Dazu wird ein eindeutiges Unterscheidungsmerkmal benötigt.

Typ: 1: n, Je grösser n, desto aufwändiger die Identifikation.

Authentifikation-Authentifizierung

Da in der Literatur keine Differenzierung der beiden Wörter gefunden wurde, werden in dieser Arbeit die Begriffe gleichgesetzt.

Die Authentifikation ist die Überprüfung der Identität anhand eines Nachweises.  Typ: 1 : 1

Bei der Digitalen Signatur wird der Inhaber des Privaten Schlüssels identifiziert. Die Biometrie hat die Aufgabe die Authentifikation sicher zu stellen: die biometrische Authentifikation.

Die biometrische Identifikation wird zur Erkennung von Personen in Flughäfen eingesetzt. Die Anmeldung an einem Computer mittels Biometrie kann in der Form einer Identifikation oder einer Authentifikation erfolgen. Bei der neuen Passgeneration mit biometrischen Daten handelt es sich um eine biometrische Authentifikation. Logisch ist also die Frage, warum nicht den Pass als Authentifikationssystem für die Digitale Signatur benutzen? (Siehe FINEID)

Identifikations- und Authentifikationsarten

Haben

Haben-Eigenschaften sind anerkannte Gegenstände. Im Mittelalter war es die Königskrone, ein Siegelring, eine Tracht oder Uniform. Heutige Haben-Eigenschaften sind zum Beispiel die Kundenkarte, die Kreditkarte oder die Bankkarte. Einige davon können nur mit einem weitern Merkmal eingesetzt werden.

Ein besonders Merkmal der Haben-Eigenschaft ist die freiwillige und unfreiwillige Übertragbarkeit.

Die Reproduzierbarkeit ist je nach eingesetzter Technologie einfach bis aufwändig.

Beispiel: Fotograph R bestellt ein spezielles Objektiv in New-York für 9000.-$. Er identifiziert sich mit der Kreditkartennummer. Der Lieferant will sicher sein, dass R der rechtmässige Besitzer der Karte ist (Authentifikation) und verlangt von R per Fax die Telefonrechnung vom März des laufenden Jahres. Herr R hat sich mittels einem Haben, der Telefonrechnung, authentifiziert. Der Lieferant geht davon aus, dass nur R dieses Dokument haben kann.

Wissen

Das Wissensmerkmal kann zum Beispiel eine Geheimzahl oder ein Passwort sein. Oft werden auch persönliche Begebenheiten zur Identifikation benutzt.

Das Wissensmerkmal ist einfach, freiwillig und beliebig übertragbar. Als Beispiel sei hier das militärische Losungswort erwähnt.

Ein Wissensmerkmal ist kostenfrei reproduzierbar.

Passwörter sind typische Wissensmerkmale. Sie sollten der Sicherheit wegen komplex sein. Dies ist im Widerspruch zum Benutzer, der ein einfaches System will. Je komplexer ein Passwort, desto grösser der Aufwand es zu knacken, aber desto grösser die Wahrscheinlichkeit, dass es kein Wissensmerkmal bleibt, dadurch dass es aufgeschrieben wird. Die Motivation das Passwort gegen Fremdzugriff abzusichern ist sehr unterschiedlich.

Passwörter sind viel weniger sicher als allgemein angenommen. Passwörter werden an mindesten zwei Orten bespeichert: 1. beim Inhaber und 2. bei seinem „Geheim-Partner“. Und der Partner ist nicht immer zuverlässig. Als Beispiel sei Microsoft Word als Passwortträger genannt. Die Qualität der Passwortverschlüsselung ist mässig. In wenigen Minuten kann mit gewissen Programmen ein an und für sich gutes Passwort geknackt werden. Einige Firmen bieten spezielle Passwort-Knack-Programme an[61]. Diese Programmschwächen sind auch eine Gefahr für Biometrische Identifikationssysteme, die die Templates auf dem PC speichern. (siehe. Templates.)

Neben dem Passwortbesitzer und seinem „Partner“ ist die Übermittlung des Passwortes eine Schwachstelle. Das gängigste Eingabemedium ist die Tastatur. Hier können Lauschprogramme die Passwörter ausfindig machen.

Sein

Sein-Eigenschaften sind biometrische Eigenheiten.

Kombination Haben-Wissen

Dies ist eine gängige Kombination. Post- und Bankkarten sind die bekanntesten Vertreter dieser Kombinationsgruppe. Die Karte ist das Identifikations- und das Passwort das Authentifikationsmedium.

Die Wissenskomponente stellt vielen Benutzern Probleme. Der Ersatz vergessener Passwörter kostet die Unternehmen viel Zeit und Aufwand. Zudem geschieht die Übermittlung des Passwortes in schriftlicher Form. In diesem Zustand ist die Identifikationskomponente ein Haben.

Es sind beliebige Kombinationen übertragbarer und nicht-übertragbarer Eigenschaften möglich.

Übertragbare – Nicht- übertragbare Eigenschaften

Haben und Wissen sind übertragbare Eigenschaften. Biometrische Funktionen sind nicht übertragbar. Deswegen haben sie eine potentiell grössere inhärente Sicherheit. Hingegen sind sie zum Teil kopierbar. Auf die Kopierbarkeit der Eigenschaften wird bei der Behandlung der Eigenschaftsattribute eingegangen werden.

Klassifizierung der biometrischen Erkennungssysteme

Merkmale

Ein biometrisches System besteht aus physiologischen und technischen Eigenschaften. Zusätzlich ist die persönliche Einstellung zum System ein wichtiger Faktor.

Physiologische Eigenschaften

·     Universalität

Das Merkmal muss bei allen unversehrten Personen vorhanden sein. Bei einer biometrischen Anwendung auf einer ID oder einem Pass ist diese Forderung besonders wichtig.

·     Einzigartigkeit

Das Merkmal muss einzigartig sein. So muss es auch bei eineiigen Zwillingen unterschiedlich sein. Die Wahrscheinlichkeit, dass zwei Menschen dieselben Merkmale haben, muss sehr klein sein. Je grösser die gewünschte Sicherheit, desto wichtiger ist diese Forderung. Die Einzigartigkeit muss auch messbar sein.

·     Permanenz

Das Merkmal darf sich nicht signifikant verändern.

·     Erfassbarkeit

Das Merkmal muss gut erfassbar sein ohne persönliche Belästigung und die Privatsphäre erhalten.

·     Redundanz

Einige biometrische Merkmale enthalten viele messbare Punkte. Von denen werden nur einige benötigt. Dieses Merkmal hätte also eine inhärente Redundanz. Bei der Gesichtserkennung ist dies nicht der Fall. Hingegen hat die Iris sehr viele mögliche Messpunkte.

Psychologische Eigenschaften

·     Akzeptanz

Die Erfassung und Verarbeitung des Merkmales muss kooperativ möglich sein. Die Person muss einverstanden sein, diese Informationen abzugeben. Aus den Messwerten dürfen keine anderen Informationen als die Identifizierung der Person möglich sein.

·     Willentlichkeit

Die Abgabe der Merkmalsinformation soll nur mit dem Einverständnis des Merkmalinhabers möglich sein. Dies ist eine wichtige Forderung der Digitalen Signatur.

Technische Eigenschaften

·     Konstanz der Messungen

Die Messungen sollen unter verschiedenen Umständen das gleiche Resultat ergeben. Diese Forderung ist schwierig zu erfüllen, denn Änderungen der Feuchtigkeit, des Lichtes usw. können das Messergebnis stark beeinflussen.

·     Fälschungssicherheit - Überlistresistenz

Ein einfaches System kann mit einer Attrappe überlistet werden.

Eine wichtige Eigenschaft ist die Prüfbarkeit der Lebendigkeit. Eine Eigenschaft der Lebendigkeit sind zum Beispiel die Bewegungen der Augenlider. Wenn die Lebendigkeit eindeutig festegestellt werden kann, ist eine Täuschung des Systems schwierig. Ein Lebendigkeitstest kann auch ein Reaktionstest sein oder eine Messung eines physikalischen Wertes. Zum Beispiel ist die Reaktion der Iris auf Lichteinfall ein schwierig zu simulierender Parameter. Bei einem Fingerscan kann es die Variation der Blutflussgeschwindigkeit und eine Temperaturmessung sein.

·     Kontaktlose Erfassungssysteme

Können die Merkmale ohne Gerätekontakt erfasst werden und wenn ja auf welche Distanz? Im allgemeinen werden kontaktlose Systeme von den Benutzern bevorzugt.

Berührungslose Systeme können ein Individuum auf Distanz erkennen. Diese Distanz kann wenige Zenitmeter bis einige Meter betragen. Ein Vorteil ist das Fehlen von Hygienemassnahmen. Für die Digitale Signatur ist die mögliche unwillentliche Erkennung ein Nachteil. Das Erkennen der Hautstruktur erfolgt zurzeit noch durch Erkennungssysteme auf Berührungsbasis. Neue Sensortechniken könnten dies in Zukunft berührungslos durchführen.

·     Technische Reife

Bei neueren Systemen beruhen die Erkennungswerte nur auf Labormessungen oder ethisch homogenen Gruppen. Dies ist für eine sichere Anwendung ungenügend.

·     Templategrösse

Das biometrische Merkmal wird vom Sensor in einem „Template“ zusammengefasst. Je nach technischer Umgebung, ist die Templategrösse ein wichtiges Merkmal.

·     Verarbeitungsaufwand

Der Berechnungsaufwand ist bei Erkennungssystemen, welche die Dynamik analysieren (z. B Gangerkennung), grösser und nicht für kleine Rechnersysteme geeignet.

Anforderungen an Merkmale

Für Digitale Signatur sind die Anforderungen bezüglich der Sicherheit gross.

Tabelle 3              Biometrie Anforderungen

 

Wichtigkeit für Digitale Signatur

Kommentar

Universalität

**(*)

Solange kein genereller Einsatz vorgesehen ist, dürfen Einschränkungen zugestanden werden.

Einzigartigkeit

***

Eine eindeutige Identifikation ist notwendig.

Permanenz

**

Der Aufwand um ein neues Template zu erstellen ist zumutbar nach längerer Zeit.

Erfassbarkeit

*

Ein Aufwand seitens des Benutzers ist gewollt.

Redundanz

**(*)

Je nach Technologie

Akzeptanz

*

Es wird vorausgesetzt dass die Benutzer motiviert sind, da freiwillig

Willentlichkeit

***

Es darf keine zufällige Signierung geben

Konstanz der Messungen

**

Da in begrenztem Umfeld eingesetzt, dürfen Abstriche gemacht werden.

Fälschungssicherheit Überlistresistenz

***

Sehr wichtig für die Digitale Signatur

Kontaktlose Erfassungssysteme

*

Da Signiergerät nur von wenigen Personen benutzt wird.

Technische Reife

**

Zu wichtig für Experimente

Erkennungssicherheit

Tabelle 4              FAR - FRR

Erwünscht

Person A wird richtig als A identifiziert (richtige Identifikation),

Person B wird als A abgewiesen (richtige Rückweisung),

Unerwünscht

Person A wird als A abgewiesen (falsche Rückweisung – FR
False Rejection),

Wahrscheinlichkeit:  FRR =

Falschrückweisungsrate

Person B wird als A identifiziert (falsche Identifikation – FA
False Acceptance)

Wahrscheinlichkeit: FAR

Falschakzeptanzrate

 

 

 

Nichterkennung/Rückweisung

FRR False Rejection Ratio: Anteil Abweisungen einer berechtigten Person. Der potentielle Schaden ist oft klein und kann durch einen zusätzlichen Versuch minimiert werden. Ein ideales System hat eine FRR von 0.


Falscherkennung

FAR False Acception: Anteil fälschlich Aktzepierter. In diesem Falle akzeptiert das System eine Nichtberechtigte. Dieser Wert sollte umso kleiner sein, wie der mögliche Schaden gross sein könnte. 

Ein häufig benutzter Vergleichswert ist der ERR (Equal Error Rate). Der Schnittpunkt der beiden Kurven bestimmt die ERR.

Der Vollständigkeit halber sei hier erwähnt, dass andere Messgrössen in der Systembeschreibungen vorkommen in dieser Umgebung jedoch ignoriert werden können. Diese Werte sind nicht nur für die Auswahl eines Systems für eine bestimme Anwendung wichtig.

Zusammenhang FAR FRR  -  ERR

Der Vergleich einer aktuellen biometrischen Messung mit dem Referenzbild (Template) ergibt selten eine 100%ige Übereinstimmung. Gründe dafür sind Störungen in der Bildqualität auf Grund von Positionsänderungen, Fremdlichteinfluss, Feuchtigkeitsänderungen, Sensorverschmutzung des Messobjektes und des Messsystems. Deshalb wird eine Toleranz als Akzeptanzschwelle im Erkennungsprozess eingebaut. Diese Toleranz hat einen direkten Einfluss auf die FAR und  FRR. Je kleiner die Toleranz im Vergleich Messung zu Template desto höher der FRR-Wert und umgekehrt. Das Biometrische System lässt sich damit in einem gewissen Bereich den Anforderungen der jeweiligen Anwendung anpassen.

Abbildung 10      Akzeptanzschwelle FRR - FAR

Vergleich Erkennungssicherheit

Verfahrensvergleich[62] Rösseler, wenn nicht anders angeben

Tabelle 5   Erkennungssicherheit

 

FAR

 

FRR

 

Anzahl Merkmale

Templategrösse Bytes

Werte BCG

 

Finger

0.001 – 0.0001

 

1.0 – 1.5

 

8-12

900-1200

250

 

Gesicht

0.5 – 2.0

 

1.0 – 3.0

64 -99[63]

?

Bis 1300

1300

 

Hand

0.1 – 5.0

 

0.2 – 5.0

 

90

10-20

9

 

Iris

0.01 – 1.0

 

< 0.1

 

266

< 512

512

 

Retina

0.0001

 

Bis 12.0

 

400

40-96

96

 

Tippverhalten

0.006

 

0.031

 

 

 

 

 

Unterschrift

1.6 – 2.0

 

2.8 - 25

 

500 stat / 240 dyn

400-1500

1500

 

DANN

 

 

 

 

 

 

 

 

Tabelle 6   Erkennungssicherheit 2    Vergleich Laborwerte Quelle Rapport CLAVAT

Ein System für die Digitale Signatur muss einen sehr kleinen FAR –wert haben. Gute Werte haben die Iriserkennung. Fingerscan, Retinascan und Tippverhalten.

Vergleich Einzigartigkeit - Kontrollierbarkeit

Die Vergleiche in den folgenden Abbildungen stammen von der International Biometric Group[64] und einer Studie über Biometrie der Universität Erlangen[65].

Die Bezeichnungen der Eigenschaften wurden absichtlich unterschiedlich belassen, da die genauen Definitionen und Untersuchungsparameter nicht bekannt sind. So wird in der Untersuchung bei der IBC Untersuchung der Begriff „Unterscheidung“ benützt und in der deutschen Untersuchung jener der „Einzigartigkeit“.

Abbildung 11      Vergleich Biometrie IBC

Abbildung 12      Vergleich Biometrie Erlangen

Für die Digitale Signatur interessieren vor allem die Faktoren Einzigartigkeit und Kontrollierbarkeit. Handerkennung, Gesicht und Tippverhalten haben eine ungenügende Einzigartigkeit.

Vergleich Technische Reife

Technische Reife ist nicht gleich Marktanteil. Da unreife Produkte aber sehr selten grössere Marktanteile erobern können wird hier angenommen, dass anteilsstarke Technologie eine gute technische Reife haben.

Abbildung 13      Biometrie Marktanteile

Die in oben stehender Grafik dargestellten Anteile der verschiedenen biometrischen Technologien dürften auch für Europa zutreffen. Die Daktyloskopie (Fingerprint) ist einerseits am längsten auf dem Markt und wird im polizeilichen Erkennungsdienst als zuverlässig geschätzt und dementsprechend eingesetzt. Der relativ grosse Anteil der Gesichtserkennung hängt stark mit der Forcierung dieser Technologie im amerikanischen Markt zusammen. Die biometrische Signatur ist eine junge Technologie und deswegen noch wenig verbreitet. Bei der Iriserkennung wirkte bisher der hohe Preis abschreckend.

Das Template

Begriff

Bei der Biometrie werden nicht Bilder verglichen sondern Merkmale. Diese ausgewählten physiologischen Merkmale werden erfasst, bearbeitet und in einem Merkmalsatz gespeichert, dem Template. Die spätere Authentifizierung erfolg im Vergleich zu diesem Ur-Merkmalssatz. Ein gutes Template identifiziert seinen Besitzer einwandfrei und nur ihn.

Eine gute Bildqualität bei der Erstellung des Templates erlaubt es, mehr Referenzpunkte zu erzeugen. Die Erfassung der Rohdaten und die Extraktion der Referenzpunkte ist zeit- und rechenaufwändig. Zudem beanspruchen die Rohdaten viel mehr Platz. Auch aus sicherheitstechnischen und Datenschutzgründen ist die Speicherung von Rohdaten unerwünscht.

Schematische Darstellung der Templateerstellung

Abbildung 14      Templateerstellung

Wichtig ist, dass das Template in verschlüsselter Form gespeichert wird. Unverschlüsselte Templates sind ein grosses Sicherheitsrisiko, vergleichbar mit einer offenen Passwortliste.

Die Grösse des Template hängt vom biometrischen System ab. Für die Integration in Kleinsystemen wäre eine geringe Grösse erwünscht. Die neuen Geräte haben generell grössere Speicherkapazitäten. Wichtig ist einen Redundanz der Merkmale.

Templateerstellung

Bei einem sichern System ist der Ablauf wie folgt: Der Kontroller generiert eine zufällige Zahl und sendet diese an den biometrischen Sensor. Dieser erfasst die Merkmale und verschlüsselt diese mit der Zufallszahl. Daraus entsteht ein neues Template.

Mit einem „Diebstahl“ der biometrischen Identität, zum Beispiel einer Kopie des Fingerabdruckes oder eines Foto kann kein Template erstellt werden.

 

Speicherung der Templates

Templates können zentral oder lokal gespeichert werden. Die zentrale Speicherung wird bei Zutrittskontrollsystemen benutzt. Da aus dem Template keine physiologischen Informationen extrahiert werden können, sind keine datenschutzrechtlichen Bedenken vorhanden.

Bei mobilen Systemen wird das Template lokal gespeichert.

Sicherheit der Templates

Je komprimierter das Template desto schwieriger die Rückwandlung. Bei zufällig gewählten Identifikatoren aus einer komplexen Struktur, wie Punkte auf der Iris- oder Minutien der Fingerhaut ist es kaum möglich, die fehlenden Informationen zu ersetzen. Bei einfacheren Strukturen, bei denen die Anzahl der Messpunkte begrenzter ist, wie bei der Ohrmuschel, ist die Erstellung eines Phantombildes eher möglich.

Der Ersatz eines Kennwortes ist einfach. Der Kostenaufwand wird von 20$ bis 150$ geschätzt. Bei der Biometrie muss ein neues Template erstellt werden. Dieses Template ist ja nur für ein Gerät gültig. Einfach ist es, wenn im System selbst einer Erkennungsroutine eingebaut ist. Doch dies ist ein grosses Sicherheitsloch. Denkbar sind Systeme mit Einmalprogrammierung. Zur Rücksetzung müssten diese Geräte an einen zertifizierten Hersteller geschickt werden.

Erkennungssysteme

Ein zusätzliche Anforderung an das gewünschte biometrische System ist die Mobilität: Die Besitzerin eines Signiergerätes in einer offenen Umgebung muss unabhängig vom Standort eine Digitale Signatur  erstellen können. In geschlossener Umgebung wie im Bankenumfeld kann die Anwendung auf den Arbeitsplatz reduziert sein. Trotzdem kommen auch hier voluminöse Erkennungssystem wie die Handerkennung aus Platzgründen kaum in Betracht.

Die verhaltensbasierten Systeme Gangerkennung, Sitzverhalten, Tippverhalten und die Unterschrifterkennung bieten alle zu wenig Sicherheit. Trotzdem wird die Unterschrifterkennung näher betrachtet, da hier neue Ansätze vorhanden sind.

Die präziseste Erkennungsart ist die Retina-Erkennung. Dabei wird jedoch nicht die Retina im Augenhintergrund sondern die dahinter liegende Aderhaut vermessen[66]. Die Akzeptanz ist jedoch gering und die Kosten sind hoch. Deshalb wird sie hier nicht weiter in Betracht gezogen. Dasselbe gilt für die Handgeometrie-Erkennung, bei der zudem die Erkennungsrate zu wenig gut ist.

Die DNS-basierte Erkennung ist hochpräzis, ist indessen aus rechtlichen, zeitlichen und preislichen Gründen in der gesuchten Kombination nicht anwendbar. Für die Authentifikation mit der Digitalen Signatur sind demnach die Daktyloskopie, die Iriserkennung und die elektronische Unterschrift geeignet.

Erkennungssysteme

Fingerabdruckerkennung (Daktyloskopie)

Der Fingerabdruck ist einzigartig. Nach allgemeiner Lehre haben keine zwei Menschen die gleichen Strukturen; sie variieren jedoch je nach Rassenzugehörigkeit und Berufsausübung. Die Fingerabdruckerkennung ist heute das häufigste Erkennungssystem. Bei diesem System wird die Hautstruktur analysiert. Aus praktischen Gründen wird eine Fingerkuppe vermessen. Aber auch die Hautstruktur auf dem Handballen kann für eine Identifikation verwendet werden.

Als Identifikationsmerkmale dienen die Positionen der Abzweigungen und der Enden der Hautlinien (Papillarlinien), den Minutien.

Im Mittel befinden sich 36 Minutien auf einem Fingerabdruck von 46 möglichen.

Zwei Fingerabdrücke werden korrekt erkannt, wenn zwischen 6 und 12 Minutien übereinstimmen. Die Anzahl benötigter Minutien hängt von der Qualität des Abdruckes [67] und der gewünschten Sicherheit ab. Verglichen werden die Positionen der Minutien.

Eine Anzahl dieser Positionen werden aus den Rohdaten, dem biometrisch erhaltenen Bild, herauskristallisiert und in einem Template gespeichert. Die Templates werden von Hersteller zu Hersteller unterschiedlich berechnet. Zum Teil gelten die Algorithmen als streng geheim. Der Datenaustausch ist nicht möglich. Ausnahmen sind die kriminaltechnischen Systeme, bei denen gewisse Normen bestehen. International werden heute wegen diesen Kompatibilitätsproblemen auch die originalen Bilder ausgetauscht.

Für die Erfassung der Muster werden verschiedene Sensortypen eingesetzt: Dies ist ein Vorteil, da jeder Sensor seine Stärken hat. Neben den traditionellen Sensoren, kapazitive, optische, piezo- und thermoelektrischen werden neu auch Laser und Ultraschall eingesetzt. Einige dieser Techniken erlauben eine berührungslose Bilderkennung.

Die Lesegeräte sind auf Verschmutzungen empfindlich. Je nach Sensortyp sind sie auf zu hohe oder zu tiefe Feuchtigkeit anfällig. Obwohl viele Systeme heute einen Lebendigkeitstest durchführen ist die Prüfung zum Teil schwach.

Infolge der notwendigen Toleranz im Lesegerät wird die Wahrscheinlichkeit, dass zwei Individuen als identisch erkannt werden, mit 1: 1 000 000 000 angegeben[68]

Iriserkennung

Die farbige Iris, auch Regenbogenhaut genannt, hat sehr variable Muster und eine einzigartige Charakteristik, die sie zur Identitätsbestimmung prädestinieren. Die Muster der Iris sind zufällig und auch bei eineiigen Zwillingen unterschiedlich. Die Pigmentation ist genetisch bestimmt, spielt aber bei der Mustererkennung keine Rolle, es sei denn, dass bei einer sehr dunkeln Iris der Kontrast kleiner wird. Das Aussehen der Iris bleibt während des gesamten Lebens konstant. Darüber hinaus besteht bei der Iris eine geringe Verletzungsgefahr, da sie durch die Linse und die Hornhaut geschützt wird und ein inneres Organ darstellt, das aber dennoch sichtbar ist.

Die Iris umgibt die schwarze Pupille. Die Pupille regelt den Lichteinlass durch Öffnen oder Schliessen. Dadurch verändert sich auch die Grösse der Iris. Referenzpunkte auf der Iris werden deshalb mittels Winkelmass und relativer Distanz angegeben. Auf diese Weise sind sie unabhängig von der Grösse der Pupille.

Die Muster der Iris sind mit Hilfe von Digitalkameras technisch erfassbar, die Aufnahme mit einer Schwarz-Weiss-Kamera genügt. Die Erkennung erfolgt kontaktlos auf Distanzen bis 25 cm[69]. Die Messempfindlichkeit ist gering. Zerkratze Brillen können die Qualität verringern.

Die Lebendigkeit kann auf verschieden Weisen geprüft werden: Nystagmus, Liedschlag Veränderung der Pupille oder Augenhintergrundmessung. Alle diese Verfahren bedingen die Mitarbeit des Subjektes.

Für die Authentifikation wird nur das Template gespeichert. Die Rückkonstruierung eines Abbildes der Iris aus dem Template ist nicht möglich. Es bestehen keine speziellen Datenschutzvorschriften.

Nach Daugman sind FRR und FAR bei 1:1 200 000. Die Wahrscheinlichkeit zwei identische Iris zu finden ist 1:10exp 32[70]. Dies sind gute Werte und machen aus der Irisstruktur ein ausgezeichnetes Authentifizierungskennzeichen.

Biometrische Unterschrift

Download high-res imageBei diesem Verfahren handelt es sich  um eine Schriftmustererkennung.

Die Unterschrift wird auf einer druck- und positionssensitiven Unterlage geleistet. Dabei werden die Formvektoren, die Beschleunigung[71] und die Druckvariationen während des Unterschreibens analysiert. Bei der Schrifterkennung als biometrisches Identifikationssystem kann irgend ein gleich bleibender Text geschrieben werden. Als Ersatz für die Unterschrift wird sie selbst geleistet.

Baltus[72] bezeichnet diese Verfahren als „ein menschenwürdiges biometrisches Verfahren“ und als „juristisch korrekt vierdimensional erfasste Unterschrift“

Auf dem Tablett befinden sich Druck und Positionssensoren. Gewisse dieser Funktionen sind auch auf den elektronischen Agenden und Mobiltelefonen vorhanden. Die Technologie hat sich mit diesen Publikumsanwendungen bewährt.

Die Erkennungsleistung ist nicht sehr gut. Der persönliche Schreibstiel ändert sich infolge von Stress und Umgebung. Vom Prinzip her sind die Ansprüche jedoch geringer, da es sich nicht um eine Schlüsselfreigabe sondern um eine direkte Signierung handelt.

Dies gilt auch für die Bewertung der Universalität und der Einzigartigkeit bei dieser Anwendung.

Templatefreie Biometrie

Diese Verfahren stehen erst am Anfang der technischen Entwicklung[73]. Der grosse Vorteil ist die Vermeidung eines direkten Personenbezugs und der der Wegfall der Templatespeicherung.

Das Grundprinzip: Biometrische Daten (V1) werden mit Vektoren V2 zur Bildung eines Schlüssels S3 (oder PINs) verwendet. Um die Varianz der biometrischen Daten V1 auszugleichen, muss der V2 einen Toleranzbereich akzeptieren und trotzdem immer S3 erstellen. [74] [75],

http://vipbob.gi-de.com/vipbob/pres-bruessel/sld006.html

Abbildung 15      Templaterfreie Signierung

Die Digitale Signatur mit Einbindung der Biometrie

Mit der Einbindung der Biometrie soll eine physische Koppelung des Berechtigten mit der mathematischen Funktion der Digitalen Signatur geschaffen werden.

Dadurch entsteht ein Schutz des privaten Schlüssels. Die direkte Einbindung physiologischer Daten in den Schlüssel ist  aus mathematischen Überlegungen nicht erlaubt. Denn, wenn  Teile des Inhaltes eines verschlüsselten Dokumentes bekannt sind, wird die Sicherheit des Schlüssels geschwächt. Da ein Template ein konstantes Muster ist, kann dies nicht zur Schlüsselgenerierung verwendet werden. Grundsätzlich stehen zwei Möglichkeiten offen:

a) Die Biometrie wird für die Freischaltung der Erzeugung der Digitalen Signatur eingesetzt.

b) Es werden „templatefreie“ biometrische Signaturen verwendet.

Templatefreie Verfahren:

Unter dem Titel „E-Mail-Enigma mit Iris-Scan und Fingerprint“ erschien am 7. 4. 2004 ein Pressetext[76] zum Thema templatefreie Verschlüsselung. Dahinter steckt die Startupfirma SCS. Zusätzliche Informationen waren leider nicht erhältlich. Auch andere Quellen sind „mager“. Es ist deshalb schwierig das Potential dieses Verfahren einzuschätzen.  

Freischaltungssysteme:

Die Biometrie wird bei diesen Systemen als gebundener Zugangscode zum Signaturschlüssel benutzt. Das Identifikationssystem kann stationär zu einem PC oder mobil auf einer Smart-Card benutzt werden.

Geeignete Systeme

Smart-Cards

Smart-Cards sind Plastikkarte mit einer integrierten Elektronik. Die Elektronik ersetzte oder ergänzte die bis anhin benutzten Magnetstreifen. Der Vorteil der elektronischen Karte ist die erhöhte Sicherheit und die schwierige Kopierbarkeit. Die ersten Anwendungen Anfangs der 80er Jahre waren die Telefonkarten, die aber zum Teil lediglich Speicherchips enthielten. Heutige Smart-Cards haben ein komplettes μProzessorsystem mit Rechner, CPU, flüchtigem und  nichtflüchtigem Speicher, RAM und (EE)PROM integriert.

Für die Digitale Signatur werden Kryptokontrollerkarten eingesetzt. Diese Smart-Cards sind leistungsfähiger und haben zum Teil einen mathematischen Co-Prozessor, der die rechenaufwändigen Verschlüsselungsaufgaben beschleunigt. Die Preise für solche Smart-Cards sind zurzeit um einiges höher als die der gewöhnlichen Versionen. Doch. wie in der μElektronik üblich, kann sich dies mit einer grösseren Verbreitung schnell ändern.

Bio-Smart-Cards

Prinzip einer Bio-Smart-Card[77]. Die beschränkte Speicherkapazität der Smart-Cards war bisher eine Beschränkung für die Benutzung verschiedener Templates. Doch auch da hat die Entwicklung mächtige Fortschritte gemacht. Mit den neuen Kartengenerationen[78] sind Speicherkapazitäten bis zu 512KB erhältlich. Diese Kapazitäten und die Rechnerleistungen sind genügend für die Ansprüche an eine sichere Digitale Signatur mit biometrischer Absicherung. Über die Qualität der integrierten Biosensoren kann hier keine Wertung abgegeben werden.

Abbildung 16      Bio-Smart-Card

Wie sicher sind biometrische Systeme?

Biometrische Systeme  haben ein inhärentes Problem. Bei Diebstahl oder Verlust eines Passwortes kann dieses gesperrt und durch ein neues ersetzt werden. Der Mensch hat aber nur ein Gesicht und es ist einfach eine Abbildung davon zu machen. Auch der Fingerabdruck kann gestohlen werden. Da, wie weiter oben beschrieben, das Template selber relativ sicher ist, wird oft versucht die Sensoren mit Abbildungen zu täuschen.

In der Ausgabe 11/2002 publizierte das Computer Magazin c’t  eine Testserie von verschiedenen biometrischen Zugangssystemen die auf ihre Überlistbarkeit getestet[79] wurden. Die Resultate waren ernüchternd. Getestet wurden 6 kapazitive, 2 optische, 1 thermischer Fingerscanner, ein Irisscanner und ein Gesichtserkennungssystem. Die Fingerscanner konnten mit einfachen Mitteln ausgetrickst werden. Der Lebendigkeitstest war entweder nicht vorhanden oder sehr rudimentär.

Beim Gesichtserkennungssystem wurde ein Videoclip auf einem Notebook der Erkennungskamera vorgespielt um das System zu überlisten. Das biometrische System „erkannte“ das Video. Dieses Videoclip könnte auch auf einem modernen Natel oder PDA abgespielt werden!

Zum Überlisten des Irissystems genügte ein Photo vor dem Auge!

Bei den getesteten Systemen handelte es sich um Produkte aus dem unteren Preisbereich. Trotzdem stimmen diese Resultate nachdenklich.

Ein effizienter Lebendigkeitstest ist gefragt.

Der Fairness halber müssen diese Resultate mit der klassischen Passwortkontrolle verglichen werden. Da ist der Betrugsaufwand zum Teil noch geringer. Im Internet können entsprechende Programme herunter geladen werden. Ein geknacktes Passwort ist wie eine offene Tür, nur dass der Besitzer nichts davon merkt. Bei der Überlistung der der biometrischen Systeme muss ein gewisser offensichtlicher Betrugsaufwand geleistet werden. Die Frage ist ob der Gesetzgeber einen mit Biometrie geschützten privaten Schlüssel gemäss Art 59 als korrekt aufbewahrt betrachtet. Mit den im ct getesteten Systemen dürfte dies verneint werden, da diese Systeme kaum als sichere Signatureinheiten gelten können.

Die zweite  Möglichkeit ein biometrischen System zu überlisten ist der konventionelle Angriff auf das IT-System. Zum Beispiel der Versuch Templates zu kopieren. Die Abwehrmassnahmen sind die normalen Sicherheitsvorkehrungen wie Verschlüsselung.

Sicherheitsanalyse biometrischer Systeme

Welche Parameter beeinflussen die Zuverlässigkeit biometrischer Systeme?

Umgebung

Umwelteinfluss

Einfluss der Umgebung bei der Erfassung: Eine ruhige oder hektische Atmosphäre oder eine gänzliche andere Umgebung zum Zeitpunkt der Template-Erfassung haben Einfluss auf die Resultate.

Authentifikationsparameter

Bei strenger Authentifizierung werden die Toleranzen eingeengt. Dies hat einen Einfluss auf das Verhalten des biometrischen Systems.

Benutzer

Mediengewandtheit

Die Benutzer sind noch nicht an die neuen Geräte gewöhnt. Sie benötigen eine Einführung in der Bedienung.

Akzeptanz

Gewisse Biometrische Systeme haben ein negatives Image und die Benutzer haben Vorurteile.

Motivation

Nicht spezifisch für biometrische Systeme.

Bereitschaft

Nicht spezifisch für biometrische Systeme. Neue Systeme werden oft generell abgelehnt.

Biometrische Eigenschaften

Kopiersicherheit

Die Gefährdung durch mögliche Nachahmung der biometrischen Eigenschaften.

Sichtbarkeit

Biometrische Eigenschaften können nur bedingt verborgen werden.

Einzigartigkeit:

Zu wenig einzigartige Template haben zur Folge, dass mehrere Individuen als eines erkannt werden.

Erfassungsfehler:

Die Biometrischen Daten können nicht erfasst werden. Finger zu trocken oder zu feucht.

Ähnlichkeit:

Zwei Benutzer können ähnliche Templates haben und verwechselt werden.

Veränderung:

Die biometrischen Eigenschaften einer Person können sich verändern.

Unveränderbarkeit:

Bei einzelnen Individuen können die benötigten physiologischen Eigenheiten nicht vorhanden sein.

Persönlichkeitsschutz:

Gewisse Charakteristiken können aus persönlichkeitsrechtlichen Gründen nicht benutzt werden. (Siehe 10.1.4)

Biometrisches System

Diese Gefährdungen sind systemspezifisch. Deswegen wird hier nicht im Detail eingegangen. Als Beispiel für die Spezifität sei die Sensorremanenz erwähnt. Diese tritt bei berührungsnotwendigen Systemen wie dem Fingerscan auf. Da können auf der Kontaktfläche Fingerabdrücke haften bleiben.

Abbildung 17       Threats and Vulnerabilites specific to Biometrics

Persönlichkeitsschutz

“Die Biometrie ist die Mutter vieler Sachbeweise[80]…Weniger Probleme haben wir Bürgerrechtler immer dann, wenn nicht biometrische Rohdaten, sondern aus diesen erstellte Templates gespeichert werden. Derartige Ableitungen erlauben i.d.R. überhaupt keine weiteren Rückschlüsse auf persönliche Eigenschaften. Wohl aber ermöglichen sie immer noch eine mehr oder weniger präzise Zuordnung und damit Identifizierung“

CH Hanspeter Thür  Juli 2002[81]  zur Biometrie „… weil biometrische Daten im Unterschied zum Fingerabdrucke, höchstpersönliche Informationen enthalten..“

Passwortsicherheit

Eine Umfrage[82] zur Verwendung von Passwörtern in den USA ergab, dass über 50% der Benutzer ihr Passwort mindestens einmal aufgeschrieben haben. Weiter gaben 40% an ihr Passwort weitergegeben zu haben. In einer anderen Umfrage gaben je 49% an, ein Passwort mindestens einmal oder mehrmals per Jahr vergessen zu  haben[83].

Gefährdungen

Was passiert bei einem Verlust des Templates? Der Ersatz eines Kennwortes ist einfach. Der Kostenaufwand wird von 20$ bis 150$ geschätzt[84]. Bei der Biometrie muss ein neues Template erstellt werden. Dieses Template ist ja nur für ein Gerät gültig. Einfach ist es, wenn im System selbst einer Erkennungsroutine eingebaut ist. Doch dies ist ein grosses Sicherheitsloch. Denkbar sind Systeme mit Einmalprogrammierung. Zur Rücksetzung müssten diese Geräte an einen zertifizierten Hersteller geschickt werden.

Templateerstellung

Bei einem sichern System ist der Ablauf wie folgt: Das System besteht aus verschiedenen Teilen. Der Kontroller generiert eine zufällige Zahl und sendet diese an den biometrischen Sensor. Dieser erfasst die Merkmale und verschlüsselt diese mit der Zufallszahl. Daraus entsteht ein neues Template.

Mit einem „Diebstahl“ der biometrischen Identität, zum Beispiel einer Kopie des Fingerabdruckes oder eines Foto kann kein Template erstellt werden.

Abhören der Kommunikation

Jede Schnittstelle ist eine Gefahrenquelle. Besonders gefährdet sind Funkverbindungen. Bluetooth-Geräte für die Digitale Signatur  wird es kaum geben, da diese Verbindung zu unsicher ist. Auch drahtgebundene Verbindungen über USB bieten wenig Sicherheit. Deshalb müssen die Übertragungen zwischen der Geräten verschlüsselt werden.

 

Ressourcenübersicht

>