Krypta.cz - Magazín o informační bezpečnosti
Otisky jsou jedinečné, má je každý, člověk nemůže svůj otisk změnit - na první pohled se tedy porovnání otisků prstů jeví dobrou metodou. Systémy založené na snímání otisků měly dlouho problémy ztěžující nasazen9 v praxi. Autentizační mechanismus má obecně dvě možné chyby - "neoprávněné přijetí" a "neoprávněné odmítnutí". Požadavky na snížení pravděpodobnosti jedné chyby zpravidla zvyšují riziko druhé . U čteček byla závislost pravděpodobnosti chyby na nastavení „důvěřivosti sytému“ taková, že pro konkrétní účel bylo potřeba citlivé vyladění. Čtečky měly přetrvávající problémy s čtením špinavých a mokrých prstů, zraněných prstů, byly náročné a drahé. Biometrické metody mnoho lidí stále považuje za něco velmi drahého pro extrémní použití. To už dnes neplatí - cena poklesla na úroveň čteček čipových a magnetických karet, výrobci se chlubí odolností proti mnoha rušivým vlivům, nízkou chybovostí a zmiňují i schopnost rozpoznat "umělé prsty". Několik nedávných nezávislých výzkumů ukazuje, že optimismus výrobců je naprosto přehnaný. Možností oklamání čteček otisků nějakou napodobeninou prstu je pochopitelně známá. Obecně se ale předpokládalo, že výroba "fungujícího" umělého prstu je celkem náročná a drahá. Profesor Tsumotu Matsumoto se, ve spolupráci s několika svými studenty, rozhodl možnosti umělých prstů prakticky prozkoumat. Výsledky jsou pro čtečky velmi nepříznivé - fungující napodobeniny se dají vyrábět s "garážovým" vybavením, snadno a velmi levně. V německém magazínu c't zkoušeli obelstít širokou škálu biometrik a u čteček otisků uspěli s ještě jednoduššími metodami oklamání systému - čtečky dosud mají velké problémy s reziduálními otisky. Použité útoky a výsledky probereme podle metody čtení otisků.
Možnosti použití umělého prstu
Většinou uvažovaná je asi možnost výroby umělého prstu podle prstu oprávněné osoby-
  • Osoba Y vytvoří umělou kopii prstu oprávněné osoby X a ten používá při autentizaci.
Otisky se v rozpoznávacím systému musejí někde vzít. Přesněji řečeno, v rozpoznávacích systémech zpravidla nejsou uchovávány celé načtené "obrázky", ale jen "otisky otisku", sloužící k rozpoznávání, například místa rozdvojení čar. Fáze vytváření referenčního otisku poskytuje další možností podvádění
  • Jako referenční osoba X registruje libovolný umělý prst. Při autentizacích se používá umělý prst. Umělých prstů je možné vyrobit mnoho.
  • Jako referenční osoba X registruje umělou kopii prstu osoby Y. Při autentizacích osoba Y používá svůj živý prst. Nic zvlášť šokujícího, první možnost je pochopitelně nejzávažnější, ale je třeba mít na paměti, že ne jediná.
Kapacitní čtečky
Nejrozšířenější čtečky pracují na principu měření kapacity. Jednu elektrodu kondenzátoru tvoří vždy jeden miniaturní element citlivého pole senzoru, druhou prst. Drážka v otisku má jinou vzdálenost od senzoru než výstupek, tedy vzniklý kondenzátor má jinou kapacitu. Používaná zařízení mají citlivých elementů, odpovídajících pixelům, přinejmenším desítky tisíc a výškové rozlišení např. 8bitů (tedy 256 rozlišitelných úrovní hloubky). K oklamání senzoru je zřejmě potřeba zaměřit se u falešných otisků na vytvoření rozdílu mezi elektrickou permitivitou nebo vodivostí meteriálu v "drážce" a mimo ni.
Reziduální otisky
Po otištění prstu na senzoru zbude mastný "otisk", stejný, jaké sbírají kriminalisté na místě zločinu. Experimentátoři c't uspěli s několika jednoduchými postupy, které reziduální otisk zvýrazní tak, že jej čtečka považuje za reálný prst
  • Stačí dýchnout! Senzory reagují na vlhkost, a v místech otisku mastnota ulpívání vody zabraňuje. Úspěšnost je řádově desítky procent.
  • Podobně funguje metoda přitištění vodou naplněného plastového sáčku s velmi tenkými stěnami k povrchu senzoru. Oproti dýchání je výhodou rovnoměrnější působení.
  • Propracovanější metoda spočívá v pokrytí otisku jemným grafitovým práškem. Otisk se pak překryje jemnou lepivou fólií a mírně přitlačí. V experimentech se senzorem Infineon FingerTIP se úspěšnost blížila sto procentům.
Podle výrobce zařízení, společnosti Siemens, by uvedenému měl bránit software, zaznamenávající polohu předchozího otisku. V experimentech však tato ochrana z neznámého důvodu vůbec nefungovala. Několik dalších senzorů, Euroton Magic Secure 3100, Cherry G83-14000, pracujících na stejném principu, se chovalo přibližně stejně. Výrobek Veridicom 5th Sense Combo přichází s jednouchým řešením, jež by se mělo stát běžným - je opatřen krytem, který při otevření způsobí setření citlivé plochy stěrkou. Použité řešení je bohužel znehodnoceno tím, že zařízení bez protestů pracuje a nechá se oklamat starým otiskem, pokud se mechanismus zafixuje například vraženou sirkou. Produkty BioHub nor BioSentry od firmy Biocentric Solutions se ukázalo zbytečné popsanými způsoby oklamávat, nefungovaly ani při běžném použití, celkem libovolně odmítajíce nebo přidělujíce přístup oprávněným i neoprávněným osobám.
Kopírujeme prsty za pomoci plastelíny a želatiny
Profesor Matsumoto se vydal jinou cestou, pro útočníka ještě zajímavější - výrobou umělých prstů. Nejprve postup, předpokládající získání přístupu ke skutečnému prstu:
  • Prst se otiskne do modelovací hmoty, tak se vytvoří forma. Funkční je plastelína, v nejbližším hračkářství dostupná za 13Kč, nebo parafínové kelímkové svíčky, už od 3Kč.
  • Připraví se želatina - prodává se prášková nebo plátková, pro tužší materiál je vhodnější plátková. Želatina se nejprve nechá nabobtnat ve studené vodě, několik minut. Pak se přidá vroucí voda a želatina rozmíchá, aby se úplně rozpustila. Nalije se do formiček na prsty a v lednici se nechá utuhnout (zželírovat). Balení želatiny stojí deset korun.
  • Gumový prst se opatrně vyndá z formy.
  • Umělý prst je hotov!
Výroba prstů z reziduálního otisku
Největší hrozbu otiskům zřejmě představuje možnost, že někdo útočník získá kdekoli zanechaný otisk oprávněné osoby a umělý prst vyrobí podle něj. Použitelné otisky zanecháváme všichni vlastně všude, kde se dotýkáme tvrdých hladkých povrchů. Postup kopírování:
  • Otisk se zvýrazní - poslouží chemikálie používané kriminalisty nebo "minutová" lepidla
  • Otisk se digitalizuje. Japonský tým použil digitální mikroskop, zdaleka nejméně dostupný použitý nástroj. Možná by se ale dalo uspět i s lepším scannerem.
  • Obrázek se upraví v libovolném fotoeditoru - potřebujeme kontrastní černobílou mapu.
  • Výsledek se vytiskne na transparentní fólii. Poslouží libovolná kancelářské tiskárně se slušným rozlišením.
  • Originálním prvkem postupu je použití desek, pro tvorbu plošných spojů. Fólie se přiloží na desku, exponuje ultrafialovým světlem, exponované části se vymyjí.
  • Stejně dobře by posloužila jakákoli forma fotocitlivého laku nebo vůbec jakákoli metoda, schopná přetransformovat dvojrozměrný obrázek otisku v trojrozměrný útvar s linkami a prohlubněmi.
  • Výsledkem je forma, použitelná v předchozím postupu.
Optické čtečky
Druhým používaným typem zařízení jsou čtečky optické. Na prst přitištěný k senzoru se buď z boku svítí např. diodou a obraz snímá CCD, nebo se svítí a obraz snímá světlovodnými vlákny. K ošálení senzoru budou zřejmě podstatné vlastnosti jako odrazivost a propustnost falešného otisku, v případě umělého 3D prstu nebudou důležité elektrické vlastnosti, ale (ne)průhlednost prstu.
Německému týmu se kupodivu podařilo uspět i s reziduálními otisky. Metodu grafitového prášku na přilnavé fólii bylo třeba doplnit. Halogenová lampa namířená na senzor způsobila zvýšení kontrastu grafitového tisku a zřejmě určité oslnění senzoru - a dobrý nápad a jednouché pomůcky opět triumfovaly.
Profesor Matsumoto a jeho želatinové prstíky fungovaly u všech sedmi testovaných zařízení s úspěšností lepší než 70%. U jednoho zařízení byla dokonce úspěšnost přihlašování se s živým a umělým prstem stejná.
Starší výzkumy ukázaly, že optické čtečky se dají celkem spolehlivě oklamat i nevodivými silikonovými prsty.
Tepelný senzor
Testy německého týmu podstoupilo také neobvyklé zařízení IdentAlink Sweeping Fingerprint Scanner FPS100U, založené na měření malých teplotních rozdílů. Prst se zařízením protahuje, takže přes jeho povrch nejprve přejede zahřívací část, a pak část čtecí, sestávající z pole 8x240 citlivých elementů. Použití reziduálního otisku pochopitelně nepřipadá v úvahu. Silikonové prsty po určitém tréninku obsluhy fungovaly. Želé prsty testovány nebyly.
Existují i další metody čtení otisku, například ultrazvukem, ale zatím pouze ve stadiu úvah a výzkumu.
Experimentátoři hodnotí
c't poznamenává, že testovaná zařízení nejsou určena pro prostředí s vysokými nároky na bezpečnost. Nabízí se ovšem otázka, čím se asi tak mohou zařízení "vyšší třídy" lišit. Některé objevené problémy mají původ ve špatných algoritmech - ale že by výrobci v "hi-sec" verzi software chybí opravovali a v běžné nechávali? Vkrádá se myšlenka, že zpráv o problémech s "bezpečnějšími" verzemi výrobků není méně prostě proto, že jsou méně dostupná pro nezávislé testovaní. Testované výrobky podle experimentátorů často spadají spíše do kategorie hraček než bezpečnostních opatření.
Profesor Matsumoto soudí, že pokusy s želé prsty se výrazně odrazí v hodnocení bezpečnosti čteček otisků. Důkladné testování s umělými prsty by ovšem měli provádět už výrobci. Bruce Schneier si v květnovém čísle Crypto-gramu nebere servítky - "Výsledky jsou takové, že ty systémy je možné vyhodit do šrotu a různé společnosti, živící se jejich výrobou, to mohou zabalit. Velmi působivé je slabé slovo."
Dá se to opravit?
Výrobci a prodejci zachovávají profesionální optimismus - stačí přidat další měření, například frekvenční závislosti odporu prstů, teploty, měřit puls. Umělý prst, který by splňoval všechny požadavky, by bylo opravdu těžké vyrobit. Tady je třeba podotknout, že z želé prstu je možné odříznout tenkou vrstvu a tu připevnit na vlastní, živý prst - tedy například strážný, hlídající čtečku, nepomůže. Ledaže by zkoušel autentizujícím se osobám okusovat prsty. Kladení dalších požadavků na měřený objekt asi skutečně je cesta k vysoké bezpečnosti, ale současné výrobky to pasuje na dětské produkty nezralé technologie. Dobrou pověst biometrik jako špičkových metod autentizace lze rychle prošustrovat.
  1. OTP neboli jednorázová hesla, převážně pro UNIX
Krypta.cz - Magazín o informační bezpečnosti.
Copyright (C) 2000-2002 Krypta.cz - Michal Till a Jan Kulveit. Všechna práva vyhrazena.
Tento server dodržuje právní předpisy o ochraně osobních údajů, včetně standardu P3P (policy).
Redakční systém Geronimo
Copyright (C) 2001-2002 Michal Till