Inform PalmSecure TM - Biometrische Handvenenauthentifizierung

Transkript

1 Inform PalmSecure TM - Biometrische Handvenenauthentifizierung Information für den Betriebsrat und die Unternehmungsführung CIO/CTO/CSO Einführung: Der Fujitsu PalmSecure-Sensor (PS) für eine biometrische Authentifizierung über die Venen der Handflächen ist das Ergebnis von mehr als 20 Jahren Forschung und Entwicklung. Noch im Jahr der Markteinführung 2005 wurde die Technologie bereits in Geldautomaten der Tokyo Mitsubishi Bank eingesetzt. Kunden der Bank konnten über den integrierten PS-Sensor in Verbindung mit ihrer Kreditkarte Transaktionen ausführen. Dafür ist es in einem ersten Schritt notwendig, das biometrische Handvenen-Muster bei der Erstregistrierung (Enrollment) auf dem Chip der Kreditkarte zu hinterlegen. Für eine Transaktion wird das durch den PS-Sensor am Geldautomaten erfasste Venenmuster dann über einen speziellen Algorithmus mit dem hinterlegten Muster abgeglichen. Die Transaktion wird nur durchgeführt, wenn beide Muster übereinstimmen. PalmSecure wurde schnell zu einem Erfolg. Heute sind etwa 200 Millionen Menschen für die Nutzung registriert. Sie setzen PalmSecure zur Identifikation oder Verifikation im Finanzsektor und anderen Bereichen wie Healthcare, öffentliche Verwaltung oder Gebäudesicherung ein. Der PalmSecure-Sensor (M1E) misst nur 35x35x27 mm. Der Sensor selbst ist nur 5mm hoch. Er kann somit sehr einfach in mobilen Endgeräten, wie zum Beispiel in den Workstation- und Lifebook-Serien von Fujitsu, eingesetzt werden. Betriebsmodus: Der PalmSecure-Sensor besteht aus elektronischen Komponenten, einer Nahinfrarot-Lichtquelle (LED), einer Nahinfrarot- Weitwinkelkamera und einer komplexen Optik. Die Stromversorgung und die Datenübertragung erfolgen über ein USB-2-Interface. Seite 1 von 12

2 PalmSecure Funktionsweise Ablaufgrafik - bitte Pfeilrichtung beachten Hand über den Sensor halten Der Sensor fokussiert und erfasst die Hand Die Hand wird mittels Infrarot gescannt Das Handvenen-Muster wird aufgezeichnet Sichere Speicherung des biometrischen Musters Konvertierung des biometrischen Musters und zweite AES-Verschlüsselung Datenübertragung an den Rechner Erste AES- Verschlüsselung Das Hämoglobin im Blut wird in der Lunge mit Sauerstoff angereichert und transportiert diesen über die Arterien in die Körpergewebe. Dort übergibt es den Sauerstoff und fließt über die Venen zurück zum Herzen. Sauerstoff-reiches und sauerstoff-armes Hämoglobin weisen unterschiedliche Absorptionsraten auf. Sauerstoff-armes Blut absorbiert Licht im Nahinfrarot-Bereich bei einer Wellenlänge von ca. 760 Nanometern (nm). Zuerst wird das Handvenen-Muster einer Person bei der Erstregistrierung als biometrisches Template erfasst. Das gescannte Muster wird auf eine Größe von drei bis fünf Kilobyte (kb) komprimiert und noch innerhalb des Sensors AES-verschlüsselt. Nach der Übertragung an die PalmSecure-Software wird das Template in ein biometrisches Template konvertiert und nach einer zweiten AES-Verschlüsselung einem individuellen Schlüssel zugewiesen. Bei diesem Registrierungsprozess werden zwei Aufnahmen pro Hand erfasst, ihre Qualität überprüft und anschließend verifiziert. Jedes individuelle biometrische Template erhält zudem einen individuellen Encryption-Code, der nur dem registrierenden Unternehmen bekannt ist. Seite 2 von 12

3 Höchstmaß an Sicherheit 1 und Performance Extreme Genauigkeit Hohe 2 3 Akzeptanz Unsichtbar, verborgen unter der Hand Einmalig, selbst bei eineiigen Zwillingen verschieden Eigenschaften bleiben lebenslang gleich "Lebenderkennung": funkioniert nur wenn Blut fließt Das Handvenenmuster ist sehr komplex, mit mehr als 5 Millionen Referenzpunkten Leichtere Identifikation: Handvenen sind dicker als Fingervenen Handvenen sind unempfindlich gegen äußere Einflüsse los und sehr hygienisch Leicht und intuitiv zu nutzen Höchstmaß an Datenschutz, da unter der Haut Die Authentifizierung über Fujitsu PalmSecure erfolgt extrem schnell: Registrierungsprozess (zwei Aufnahmen und Verifikation): ca. 10 Sekunden Verarbeitung der Verifikation (1:1): ca. 0,8 Sekunden Verarbeitung der Identifikation (1:10.000): ca. 1-2 Sekunden Das biometrische Handvenen-Muster ist durch ein durchdachtes System von Verschlüsselungs-Algorithmen geschützt. Nach dem heutigen Stand der Technik ist der unautorisierte Zugang zu Systemen, Geräten, Gebäuden oder Räumen selbst beim Besitz einer Kopie des Musters unmöglich; eine Rückprojektion des biometrischen Templates auf das ursprüngliche Handvenen-Muster eines Nutzers ebenso. Mit einer Falscherkennungsrate (False Acceptance Rate, FAR) von 0,00001 Prozent und einer Falschrückweisungsrate (FRR) von 0,01 Prozent verfügt PalmSecure über Topwerte im Bereich der biometrischen Sensoren. Die Komplexität des körpereigenen Handvenen-Musters macht eine Duplizierung nahezu unmöglich Die Lebenderkennung des PalmSecure-Sensors ist einzigartig bei biometrischen Sensoren. PalmSecure kann 1:1 uneingeschränkt eingesetzt werden (in Kombination mit PIN, User-ID, Karte oder Token), unterstützt Template- On-Card (TOC) und Match-On-Card (MOC) oder kann 1:N genutzt werden (für N bis 1.000). PalmSecure kann sowohl für physische als auch logische Zugangskontrolle eingesetzt werden. Seite 3 von 12

4 "Enrolment" = Erfassung/Registrierung - Einmaliges Erfassen biometrischer Merkmale A) Erfassung/Registrierung Die PalmSecure-Technologie nutzt die Absorptionseigenschaften (Nahfeld-Infrarot LED-Licht) von sauerstoff-armem (venösen) Blut. Sauerstoff-reiches Blut fließt vom Herz in die Hand, sauerstoff-armes Blut fließt zurück von der Hand zum Herz. Hält der Anwender seine Handfläche mit gestreckten Fingern über den PS-Sensor, führt der Sensor zuerst die sogenannte Life Detection durch, verbunden mit der entsprechenden Authentifizierungsbibliothek. Danach wird die Handoberfläche über die integrierte Lichtquelle mit Nahinfrarot-Licht beleuchtet. Beim Auftreffen auf die Venen- Struktur an der Handoberfläche absorbiert das sauerstoff-arme Venenblut das Infrarot-Licht. Die komplexe Struktur der Handvenen wird damit für die integrierte Infrarot-Weitwinkel-Kamera sichtbar. Die Kamera fokussiert das Bild, erfasst 5 Millionen Referenzpunkte des Handvenen-Musters und generiert daraus eine Rohaufnahme mit einer Größe von etwa 5 MB. Das Rohbild wird direkt innerhalb des PS-Sensors weiterverarbeitet und AES-verschlüsselt (128 bit oder 256 bit). Das so verschlüsselte Bild wird danach mit einem Zufalls-Algorithmus versehen und über das USB-Interface an einen Server, PC, ein Notebook oder einen Industrie-PC übertragen. Dort transformiert die Authentifizierungs-Bibliothek des PS-Sensors die Daten in ein biometrisches Template und die Daten werden von 5 MB auf 1 bis 3 kb komprimiert. Das neue, komprimierte biometrische Template wird anschließend wieder AES-verschlüsselt (128 bit oder 256 bit) und in einer zentralen Datenbank, auf einem Kartenchip (TOC oder MOC) oder auf einem Token gespeichert. Bei der Erfassung/Registrierung werden zwei Bilder pro Hand erfasst, ihre Qualität überprüft und anschließend verifiziert. Jedes individuelle biometrische Template erhält zudem einen individuellen Encryption-Code, der nur dem registrierenden Unternehmen bekannt ist. Die Qualität dieses Erfassungsprozesses spielt eine entscheidende Rolle für das zuverlässige Funktionieren der darauffolgenden biometrischen Identifikation / Verifikation. B) Identifikation und Verifikation Bei der biometrischen Identifikation werden nur biometrische Faktoren als einzigartige Identifikationsmerkmale einer Person genutzt. Dazu werden die zuvor erfassten biometrischen Nutzerdaten (Templates) in einer sicheren, zentralen Datenbank abgelegt typischerweise auf einem Authentifizierungs-Server, der mit den Clients (biometrische Scanner) über ein sicheres Netzwerk verbunden ist. Biometric identification via the PS sensor takes place according to the same principle as enrolment: the user holds his palm over the sensor; the palm vein pattern is scanned by the PS sensor, and then transferred in an encrypted form to the authentication library located on the authentication server. Die biometrische Identifikation über den PS-Sensor erfolgt dann nach dem gleichen Prinzip wie die Erfassung/Registrierung: der Nutzer hält seine Handfläche über den Sensor. Das Handvenen-Muster wird gescannt und dann verschlüsselt an die Authentifizierungs-Bibliothek auf dem Authentifizierungs-Server übergeben. Die Bibliothek vergleicht nun das biometrische Muster mit allen in der Datenbank hinterlegten Mustern. Bei einer 100-prozentigen Übereinstimmung erhält der Nutzer Zugang. Gibt es keine 100-prozentige Übereinstimmung wird der Zugang verwehrt. Die Verifikation funktioniert in derselben Weise, jedoch wird den individuellen Handvenen-Daten noch ein zweiter Faktor zugeordnet, beispielsweise eine PIN oder eine Chipkarte. Die Verifikation erfolgt damit schneller und ist sicherer als die Identifikation. Seite 4 von 12 In beiden Fällen wird das gescannte biometrische Muster des Nutzers nach erfolgtem oder erfolglosem Musterabgleich aus der Authentifizierungs-Bibliothek gelöscht. Nur das biometrische Template aus dem Erfassungs-/Registrierungsprozess verbleibt in der Datenbank oder auf dem Chip der Karte.

5 B 1) Identifikation Die biometrische Identifikation nutzt die biometrischen Muster einer Person zur Identifikation dieser Person ohne Beschränkungen. Sie wird deshalb auch 1:N-Prozess genannt. Der 1:N-Prozess ist aus verschiedenen Gründen umstritten: FAR / FRR Falscherkennungsrate (False Acceptance Rate, FAR) und Falschrückweisungsrate (FRR) stehen in Bezug zueinander. FAR beschreibt das Sicherheitslevel und FRR die Anwendbarkeit des biometrischen Systems. Wenn sich der eine Wert verbessert, verschlechtert sich der andere. Ziel ist es, das bestmögliche FAR/FRR-Verhältnis zu erreichen. Falscherkennungsrate (False Acceptance Rate, FAR) bezeichnet die Wahrscheinlichkeit, dass das System fälschlicherweise das eingegebene Muster einem in der Datenbank hinterlegten Muster zuordnet. Die Rate misst den Prozentsatz ungültiger Eingaben, die fälschlicherweise akzeptiert werden. Falschrückweisungsrate (False Rejection Rate, FRR) ist die Wahrscheinlichkeit, dass das System eine Übereinstimmung von Eingabemuster und hinterlegtem Muster nicht erkennt. Sie misst den Prozentsatz gültiger Eingaben, die fälschlicherweise zurückgewiesen werden. PalmSecure hat eine Falscherkennungsrate (False Acceptance Rate, FAR) von ca. 0,00001 Prozent und eine Falschrückweisungsrate (FRR) von 0,01 Prozent (gültig für 1:1 Verifikation). Je größer die Anzahl der biometrischen Muster in der Datenbank ist, umso größer ist die Wahrscheinlichkeit, dass sich einzelne Muster ähneln. Die korrekte Unterscheidung hängt dann insbesondere von der Qualität des Erkennungs- Algorithmus ab, und davon, wie viele individuelle biometrische Identifikationsmerkmale genutzt werden und nicht zuletzt auch davon, welche biometrische Technologie zur Identifikation eingesetzt wird. Die FAR/FRR-Unterschiede verschiedener biometrischer Technologien wie zum Beispiel Fingerabdruck, Gesicht, Iris oder Venenerkennung sind in vielen Fällen erheblich. Die entscheidende Rolle spielt aber natürlich die Qualität des ersten biometrischen Musters, das bei der Erfassung/ Registrierung erstellt wird. Seite 5 von 12

6 -Traceless / Non-Traceless Die 1:N-Identifikation birgt immer noch das Risiko, dass biometrische Muster gefälscht werden könnten, um sich mit kriminellem Vorsatz unautorisierten Zugang zu verschaffen. Je komplexer ein biometrisches Muster, esto mehr individuelle Merkmale werden erfasst, um das Template zu erstellen und desto höher ist das Sicherheitsniveau des biometrischen Systems. Sind die zu erfassenden Merkmale dann auch noch im Körper verborgen, wie im Falle der Handflächen-Venen, ist es nahezu unmöglich, diese Merkmale zu fälschen. Biometrische Technologien lassen sich deshalb auch nach Traceless (die biometrische Information ist im Körper verdeckt) und Non-Traceless (die biometrische Information ist für jeden sichtbar, wie beispielsweise bei Fingerabdruck, Gesicht oder Iris, unterscheiden. -Bedienungskomfort oder Sicherheit 1:N-Identifikation wird in vielen Bereichen als die am besten nutzbare Methode angesehen. Für den Anwender ist es sicherlich sehr einfach und damit nutzerfreundlich, Zugang durch die Nutzung eines einzigen spezifischen, biometrischen Merkmals zu erlangen. Der Nutzer benötigt keine zusätzliche Karte, PIN, Passwort / User ID oder Token alles Dinge, die verloren, vergessen oder gestohlen werden könnten. Die 1:N-Identifikation ist sicherlich innerhalb geschlossener Unternehmensstrukturen gut nutzbar, wobei man jedoch die geringere Identifikationsgeschwindigkeit und das geringere Sicherheitsniveau bedenken sollte. Gibt es jedoch Hochsicherheitsbereiche im Unternehmen, ist diese Methode sicherlich nicht das richtige Mittel der Wahl. Dann sollte ein sicheres Authentifizierungsnetz (Client/Server) für die 1:N-Identifikation aufgebaut werden. Zudem ist es abhängig von der eingesetzten biometrischen Technologie notwendig, dass die zentrale Datenbank mit den biometrischen Templates der Mitarbeiter besonders geschützt wird. Natürlich steigt bei der biometrischen 1:N-Identifikation das Risiko eines Diebstahls oder einer Manipulation der Templates, die in der Datenbank gespeichert sind. Hinweis: Die PalmSecure-Technologie von Fujitsu weist bei der 1:1.000-Identifikation FAR-Werte von 0,00001 Prozent und FRR-Werte von 0,1 Prozent auf. Die PalmSecure-Authentifizierungsbibliothek schützt die für die Identifikation eingesetzte Datenbank mit den biometrischen Templates mit einem individuellen, geheimen Kodierungsschlüssel für jedes Template. Biometrische 1:N-Identifikation sollte keinesfalls im öffentlichen Bereich (z.b. Geldautomaten, Point-of-Sale-Systeme etc.) eingesetzt werden oder in Hochsicherheitsbereichen (wie z.b. Kernkraftwerken, Forschungseinrichtungen, staatlichen Organisationen etc.). Hier kommt nur eine biometrische 1:1-Verifizierung in Frage. Biometrische 1:1-Verifikation ist die empfohlene Lösung für die eindeutige Authentifizierung von Personen, die so sicher, schnell und nutzerfreundlich wie möglich ist. Im Gegensatz zur 1:N-Identifikation wird hierbei ein zusätzlicher weiterer Faktor hinzugezogen, um eine 100 Prozent sichere Authentifizierung zu gewährleisten. Das kann eine Kombination des biometrischen Merkmals mit einem PIN, einem Token oder einer Chipkarte sein. Nur wenn beide übereinstimmen, ist die Authentifizierung erfolgreich. Im Prinzip funktioniert der Prozess der 1:1-Verifikation ähnlich wie der Erfassung-/Registrierungsvorgang: Beispielsweise wird während des Erfassungs-/Registrierungsprozesses dem biometrischen Template eine individuelle PIN zugewiesen. Für die biometrische Verifikation gibt der Nutzer dann zunächst seine PIN ein und scannt seine Handflächen-Venen mit dem PalmSecure-Sensor. Die Kombination aus PIN und Handvenenmuster wird dann mit dem in der Datenbank hinterlegten und mit dem PIN verbundenen biometrischen Template verglichen. Passt beides zueinander, wird der Zugang erlaubt. Seite 6 von 12

7 B 2) 1:1 Verifikation -Token/Smartcard, User ID, PIN Nummer Bei der biometrischen 1:1-Verifikation gibt es verschiedene Möglichkeiten, das biometrische Template zu speichern abhängig vom zweiten Authentifizierungsfaktor: Dazu ist eine Unterscheidung der unterschiedlichen biometrischen Systeme notwendig. Es gibt physische Kontrollsysteme, die den Zugang zu Gebäuden oder Räumen überwachen. Außerdem logische Zugangssysteme, für den Zugriff auf einen PC (Betriebssystem), eine Applikation (Single-Sign-On) oder ein Netzwerk (Internet-Seiten). Und es gibt Geräte, bei denen die Authentifizierung über ein biometrisches und ein weiteres, in manchen Fällen sogar drittes Merkmal erfolgt (zum Beispiel Geldautomaten). Bei den meisten Anwendungen für die biometrische 1:1-Verifikation wird das biometrische Template auf einem Token oder dem Chip einer Chipkarte gespeichert. Dann wird keine zusätzliche Datenbank benötigt, um das Template zu speichern oder eine Person zu authentifizieren. Das reduziert den administrativen Aufwand, die Kosten des Gesamtsystems und ist zudem sicherer. Es gibt aber auch Systeme für die biometrische 1:1-Verifikation, für die die Nutzung einer zentralen Datenbank zur Speicherung der biometrischen Templates und Authentifizierung von Personen unerlässlich ist. Zum Beispiel bei der Nutzung einer PIN oder einer User ID für einen biometrischen PC-Login (anstelle eines Passwortes), oder bei einem System für die physische Zugangskontrolle, das eine PIN mit einem biometrischen Template kombiniert. Die meisten Vorteile hinsichtlich Sicherheit, Performance, Administrationsaufwand und Datenschutz bieten jedoch Systeme für die biometrische 1:1-Verifikation, die das biometrische Template auf einem Token oder einer Chipkarte speichern. Dies erfolgt während des Erfassungs-/Registrierungsvorgangs. Selbst wenn der Token oder die Chipkarte verloren gehen, gestohlen oder an unautorisierte Dritte übergeben werden, funktioniert diese Methode nur, wenn nicht gleichzeitig das biometrische Muster verifiziert wird. - Template-On-Card (TOC) oder Match-On-Card (MOC) Es gibt wiederum zwei mögliche Wege, ein biometrisches Muster zu speichern, beispielsweise auf einer Chipkarte, um eine biometrische Zweifaktor-1:1-Verifikation auszuführen: Bei TOC wird das 1-3 kb große biometrische Template der Handflächen-Venen auf dem Kartenchip gespeichert. Bei der Verifikation wird dann zunächst das Venen-Muster des Anwenders mit dem PalmSecure-Sensor erfasst. Es wird dann direkt innerhalb des Systems oder über eine zentrale Datenbank verifiziert. In beiden Fällen wird dazu das Template vom Kartenchip dorthin übertragen, um es dann mit dem Scan zu vergleichen. Danach werden beide wieder gelöscht. Wenn zur Verifikation eine zentrale Datenbank herangezogen wird, muss bei Anwendung der TOC-Methode für biometrische, physische Zugangskontrollsysteme der Prüf-Algorithmus auf einem speziell abgesicherten Controller ausgeführt werden. Biometrisches Template und das erfasst Venen-Muster werden dann dort verifiziert. Danach werden, wie oben bereits beschrieben, die Daten wieder gelöscht. Generell gilt TOC als das zweitsicherste biometrische 2-Faktor-Verfahren. Es erfüllt sowohl sehr hohe Anforderungen an die Sicherheit als auch an die Systemperformance und die Nutzerfreundlichkeit. Seite 7 von 12

8 MOC geht noch einen Schritt weiter als TOC. Das Verfahren ist dadurch komplexer und wird deshalb derzeit vor allem im Finanzsektor eingesetzt. Wie beim TOC-Verfahren wird das biometrische Template bei MOC ebenso auf dem Chip der Karte gespeichert. Einmal dort gespeichert, bleibt das biometrische Template dann auch auf dem Chip und nur dort. Die Verifikation erfolgt dann auf dem Chip. Dazu wird bei MOC das gescannte Handvenen-Muster auf den Chip der Chipkarte übertragen. Dort befindet sich auch der Prüf-Algorithmus, ebenso das biometrische Template, das dort beim Erfassungs-/ Registrierungsprozess hinterlegt wurde. Sobald das gescannte Muster auf dem Chip verifiziert wurde, wird es dort auch wieder gelöscht. Lediglich der Prüf-Algorithmus und das Template verbleiben auf der Karte. Wie erwähnt, ist MOC ein sehr komplexes Verfahren. Es erfordert einen speziellen Matching-Algorithmus vom Hersteller des biometrischen Sensors und bei einem Handvenen-Muster mindestens einen freien Speicher von 10 bis 13 kb auf dem Kartenchip und im Fall von PalmSecure Java-basierte Chipkarten. Zusammen mit einer entsprechenden Chipkarte stellt MOC das derzeit sicherste Verfahren für die biometrische Verifikation dar. Die Systemperformance entspricht der von TOC. Aber MOC ist vergleichsweise teuer und wesentlich komplexer. Deshalb kommt es hauptsächlich in Geldautomaten, bargeldlosen Bezahlsystemen und Hochsicherheitsumgebungen von Behörden zum Einsatz. Die Fujitsu PalmSecure-Technologie ist weltweit in einer Vielzahl von vertikalen Märkten wie Sicherheit, Bank- und Finanzwesen, Gesundheitswesen, Handel und Bildung im Einsatz. Einsatzszenarien sind physische Zutrittskontrolle, logische Zugangskontrolle, POS- Systeme für den Handel, Geldautomaten, Verkaufssysteme, Zeit- und Anwesenheitserfassung, Besucher-Management sowie andere, industriespezifische biometrische Anwendungen. Unternehmen setzen zudem auf PalmSecure für Login- oder Single-Sign-On-Applikationen. In Geldausgabeautomaten: Für die physische Zugangskontrolle: Für Zeit- und Anwesenheitserfassung: Seite 8 von 12

9 Für POS-Bezahlsysteme: Am Arbeitsplatz: PalmSecure in Zahlen (Stand: Januar 2015): - rund 200 Millionen registrierte Nutzer - BSI-zertifizierter Sensor und Algorithmus (CC EAL 2 by BSI) - Empfohlen von CNIL (Frankreich) und CESG (UK) - Von Bankenverbänden empfohlene biometrische Technologie (SRC, BDB, DSGV)) - Konform mit HIPAA bevorzugte Lösung zur Patienten-Identifikation in den USA und der Türkei (Türkei gesamte Bevölkerung von 74 Millionen bis 2016) Seite 9 von 12

10 PalmSecure Häufige Fragen (F&A): - Kann PalmSecure von jedem genutzt werden? PalmSecure kann von jedem genutzt werden. Vor der Markteinführung hat Fujitsu rund Handvenen-Muster weltweit erfasst. Dabei wurden die Muster von Menschen mit unterschiedlichem Alter, Ethnie, Geschlecht oder Beruf weltweit erfasst. Ohne Probleme. - Ist das Handflächen-Venen-Muster einzigartig für jeden Menschen / für jede Hand? Ja. Das ergaben langjährige medizinische Studien. Selbst die linke und die rechte Hand einer Person sind verschieden. Sogar eineiige Zwillinge haben unterschiedliche Handvenen-Muster. - Verändert sich das Handvenen-Muster im Laufe der Zeit/des Lebens? Nein. Das Handvenen-Muster ist schon bei der Geburt ausgebildet und ändert sich dann auch nicht mehr. Nur die Größe der Handfläche ändert sich. Das wird aber vom Algorithmus berücksichtigt. Deshalb muss der Erfassungs-/Registrierungs-Prozess in der Regel auch nur einmal durchgeführt werden. - Können aus dem Handvenen-Muster irgendwelche Rückschlüsse auf mögliche Erkrankungen etc. gezogen werden? Nein. Das ist mit der PalmSecure-Technologie nicht möglich. - Funktioniert PalmSecure auch mit verschmutzten oder verletzten Handflächen? Generell haben Lichtverhältnisse, Oberflächenschmutz oder Verletzungen wie Kratzer keine Auswirkungen auf die Funktionsfähigkeit. Die möglichen Verschmutzungs- bzw. Verletzungsgrade können jedoch nicht genau spezifiziert werden, da hierbei sehr viele Faktoren eine Rolle spielen. Die Technologie funktioniert aber sogar mit eingecremten Handflächen, sofern die Creme bereits bis zu einem bestimmten Grad eingezogen ist. - Gibt es Krankheiten, die den Einsatz von PalmSecure unmöglich machen? Extrem trockene oder fettende Haut ist kein Problem. Diabetiker, die eine geringere Sauerstoffsättigung im Blut haben, können die Technologie problemlos einsetzen. Blutarmut oder ein sehr niedriger Blutdruck können in Einzelfällen eine Anpassung des Algorithmus (was mit wenig Aufwand möglich ist) oder eine Wiederholung des Erfassungs-/Registrierungs-Prozesses erforderlich machen. Gefäßverengungen beeinträchtigen die Funktionsweise nicht. - Was kann die Funktionsweise von PalmSecure negativ beeinflussen? Seite 10 von 12 Da es sich um eine Nahinfrarot-Technologie handelt, sollte die Oberfläche des PalmSecure- Sensors nicht direkter Sonneneinstrahlung oder einer extrem hellen künstlichen Lichtquelle ausgesetzt werden. Der Umgebungstemperaturbereich von O bis 55 C sollte eingehalten werden. Zudem sollte die Sensoroberfläche nicht mit Flachglas abgedeckt werden, da es sonst zu Verzerrungen oder Reflexionen kommen kann. Zum Schutz für den Sensor kann jedoch ein konkaves oder konvexes Glas aus nicht-polarisierendem Material eingesetzt werden. Ein spezieller Schutz ist jedoch nicht notwendig, da das Material äußerst stabil und haltbar ist.

11 - Konnte die PalmSecure-Technologie jemals überlistet werden? Nicht in praxisnahen Umgebungen. Fujitsu liefert ein Software-Developer-Kit (SDK) mit einem speziellen Encryption-Schlüssel für jeden Kunden. Dieses SDK enthält alle Mechanismen zur Absicherung der Technologie. Zudem ist ein spezieller Sensor und ein spezielles SDK verfügbar, die nach den Gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik (Common Criteria, CC) zertifiziert sind. Diese enthalten zusätzlich spezielle Sicherheitsmechanismen, die für die Common-Criteria-Zertifizierung notwendig sind. Die Technologie konnte bisher nur mit Demo-Software ausgehebelt werden, welche die entsprechenden Sicherheitsmechanismen nicht enthalten bzw. erfordert hat. - Ist es möglich, das Original-Bild der Handvenen zu sehen, das vom Sensor erfasst wurde? Nein. Das ist ausgeschlossen. Das unterscheidet PalmSecure von allen anderen biometrischen Sensoren auf dem Markt: Das Original-Bild des gescannten Handvenen-Musters wird noch innerhalb des Sensors AES-verschlüsselt und dann mit einem zusätzlichen Zufallsalgorithmus versehen, bevor es übertragen wird. Die so verfügbaren Bilder geben nur eine grobe Vorstellung der Venenstruktur, zeigen aber keine Details. Ein unverschlüsseltes Bild kann nicht außerhalb des Sensors transferiert werden. - Ist das ausgestrahlte Nahinfrarot-Licht gefährlich? Nein. Unter keinen Umständen. Die energetische Leistung beträgt nur etwa ein Zehntel der Leistung einer handelsüblichen TV-Fernbedienung. PalmSecure ist HIPPAA-konform und wird weltweit in sensiblen Umgebungen von Kliniken eingesetzt. - Welche Zertifizierungen erfüllt die PalmSecure-Technologie? TÜV, CE, Laser Klasse 1, RoHS, Common Criteria EAL 2, UL, Immunity & Emission Test, IBG 6 & IBG 6 Review - Kann ein gestohlenes PalmSecure-Template verwendet werden oder kann es bis zum original Handvenen-Muster des Nutzers zurückverfolgt werden? Beides ist in keinem Fall möglich! Kann PalmSecure von einem anderen Unternehmen gekauft werden? Prinzipiell ja. Dazu ist aber eine beiderseitige Geheimhaltungsvereinbarung (NDA) notwendig. Ohne den Erwerb des Software-Developer-Kits (SDK) kann der Sensor nicht genutzt werden. - Wie schnell arbeitet der PalmSecure-Sensor? Für die Identifikation im Modus 1:N = 1:200 benötigt der Sensor weniger als eine Sekunde, im Modus 1:N = N > 200 < etwa zwei Sekunden. Die Verifikation im Modus 1:1 dauert weniger als eine Sekunde. Für eine Standard-Erfassung/Registrierung muss man pro Nutzer mit etwa 20 bis 30 Sekunden rechnen. Seite 11 von 12

12 Published by department Fujitsu MKT SO & SC All rights reserved, including intellectual property rights. Technical data subject to modifications and delivery subject to availability. Any liability that the data and illustrations are complete, actual or correct is excluded. Designations may be trademarks and/or copyrights of the respective manufacturer, the use of which by third parties for their own purposes may infringe the rights of such owner. For further information see ts.fujitsu.com/terms_of_use.html ƒ Copyright Fujitsu Technology Solutions GmbH 2015 Seite 12 von 12