4.4 Biometrie. Biometrisches System: Mustererkennungssystem, welches die biometrischen Merkmale an einer Person erkennt.

Transkript

1 Biometrie: Automatische Überprüfung von eindeutigen Körpermerkmalen (Fingerabdruck, Gesicht, Retina, Iris etc.) und eindeutigem Verhalten (Gang, Unterschrift). Biometrisches System: Mustererkennungssystem, welches die biometrischen Merkmale an einer Person erkennt. Verifikationssystem: vergleicht die erfassten Daten mit den gespeicherten biometrischen Daten der Person. Bin ich der, der ich vorgebe zu sein? Identifikationssystem: versucht Person durch Durchsuchen aller biometrischer Daten zu authentifizieren. Keine Eingabe von Daten durch die Person. Wer bin ich? Biometrie nutzt eindeutige Körpermerkmale (z.b., Fingerabdruck, Gesicht, Retina, Iris) und eindeutiges Verhalten (z.b. Gang, Unterschrift) zur automatischen Authentifizierung von Personen. Ein biometrisches System ist im Grunde ein Mustererkennungssystem welches eine Person dadurch erkennt, dass es die Echtheit bestimmter Körpermerkmale bzw. Verhaltensmerkmalen einer Person erkennt. Ein biometrisches System kann entweder ein Verifikationssystem oder ein Identifikationssystem sein: ein Verifikationssystem authentifiziert eine Person durch den Vergleich der erfassten Daten mit den eigenen biometrischen Daten. Es löst also die Frage: Bin ich der, der ich behaupte zu sein? Ein Identifikationssystem versucht eine Person durch das Durchsuchen der gesamten biometrischen Daten zu authentifizieren. In Identifikationssystemen wird die Person identifiziert, ohne dass die Person zu irgendwelchen Daten aufgefordert wird. Es beantwortet die Frage: Wer bin ich? Die Folien zur Biometrie beruhen hauptsächlich auf D. Maltoni, D. Maio, A.K. Jain, S. Prabhakar Handbook of Fingerprint Recognition Springer, New York,

2 Ein biometrisches System kann im positiven oder negativen Erkennungsmodus arbeiten. positive Erkennung: Ist die Person diejenige, für die sie sich ausgibt? Beispiel: Zutritt zu einem Sicherheitsbereich negative Erkennung: Nachweisen, dass die Person eine Identität hat, die sie abstreitet zu sein. Beispiel: Alice möchte die Sozialhilfe von Anna bekommen und behauptet Anna zu sein. Ein biometrisches System kann entweder im positiven oder im negativen Erkennungsmodus arbeiten: im positiven Erkennungsmodus ermittelt das System, ob die Person diejenige ist, für die sie sich ausgibt. Ziel einer positiven Erkennung ist das Vortäuschen derselben Identität von mehreren unterschiedlichen Personen zu verhindern. Wenn zum Beispiel nur Alice Zutritt zu einem bestimmten Sicherheitsbereich hat, dann wird das biometrische System auch nur Alice den Zutritt gewähren. Bei negativer Erkennung ermittelt das System, ob die Person diejenige ist, die sie abstreitet zu sein. Wenn Alice zum Beispiel Sozialhilfe erhalten hat und behauptet, sie sei Anna und möchte Sozialhilfe für Anna, wird das System erkennen, dass Anna nicht diejenige ist, für die sie sich ausgibt. 2

3 Eigenschaften bzw. Merkmale können zur biometrischen Identifikation benutzt werden, wenn sie folgende Anforderungen erfüllen: Verbreitung: Jede Person hat diese Eigenschaft Unverwechselbarkeit: Zwei Personen sind unterschiedlich bzgl. der Eigenschaft Beständigkeit: Eigenschaft verändert sich nicht mit der Zeit Messbarkeit: Eigenschaft kann quantitativ gemessen werden. Eigenschaften, die zur biometrischen Identifikation von Personen dienen können, müssen folgende Eigenschaften erfüllen: Verbreitung (universality): Jede Person sollte diese Eigenschaft besitzen. Unverwechselbarkeit (distinctiveness): Zwei Personen sind bzgl. dieses Merkmals hinreichend genug unterscheidbar. Dauerhaftigkeit (permanence): Die Eigenschaft sollte über einen längeren Zeitraum betrachtet möglichst beständig sein. Messbarkeit (collectability): Die Eigenschaft kann durch quantitative Messungen erfasst werden. 3

4 In praktischen Biometrie-Systemen gibt es weitere Anforderungen: Performance: Erkennungsgenauigkeit, Geschwindigkeit, Ressourcenverbrauch,... Akzeptanz: inwieweit sind Personen bereit, die biometrische Eigenschaft im täglichen Leben einzusetzen Umgehung: Wie leicht ist das System zu täuschen bzw. zu umgehen? In praktischen Biometriesystemen müssen jedoch noch weitere Kriterien betrachtet werden: Performance: beinhaltet die erreichbare Erkennungsgenauigkeit, Geschwindigkeit, Ressourcenverbrauch, etc. Akzeptanz: bezeichnet das Ausmaß, zu dem Personen bereit sind eine biometrische Eigenschaft im täglichen Leben einzusetzen. Umgehung: betrachtet wie einfach es ist, das System zu täuschen. Ein praktisches Biometriesystem sollte eine möglichst akzeptable Erkennungsgenauigkeit und Geschwindigkeit mit angemessenem Ressourcenverbrauch haben. Außerdem sollte es unbedenklich für Benutzer und von ihnen akzeptiert und relative robust gegen betrügerische Täuschungsangriffe sein. 4

5 Biometrische Merkmale können sein: Ohr, Gesicht, Wärmeverteilung des Gesichts, Wärmeverteilung der Hand, Handvenen, Handgeometrie, Fingerabdruck, Iris, Netzhaut, Unterschrift, Stimme, DNA, Gang,... Eine Reihe von biometrischen Merkmalen kann zur Identifikation herangezogen werden, wobei jedes seine Stärken und Schwächen hat. Beispiele für Körpermerkmale zur biometrischen Identifikation sind a) Ohr, b) Gesicht, c) Wärmeverteilung des Gesichtes, d) Wärmeverteilung der Hand, e) Handvenen, f) Handgeometrie, g) Fingerabdruck, h) Iris, i) Netzhaut, j) Unterschrift, und k) Stimme. Darüber hinaus kann man auch die DNA oder den Gang zur Identifikation heranziehen. 5

6 DNA Eindeutig für jede Person (Ausnahme: eineiige Zwillinge) Hauptsächlich eingesetzt in der Gerichtsmedizin zur Personenidentifizierung. Probleme: Einfach von anderer Person zu erlangen, um danach missbraucht zu werden. Automatische Erkennung in Echtzeit ist mit heutiger Technik schwierig. Erfordert chemische Prozesse und Expertenwissen. Privatsphäre von Personen: z.b. kann die Analyse der DNA Aufschluss über Krankheiten geben. Die DNA identifiziert eine Person eindeutig, mit der Ausnahme dass die DNA bei eineiigen Zwillingen ebenfalls identisch ist. Einsatzgebiet der DNA-Analyse ist heutzutage vor allen Dingen die Gerichtsmedizin zur Personenerkennung. Probleme mit der DNA als biometrische Identifikationsmethode ergeben sich beispielsweise daraus, dass es einfach ist, die DNA einer Person zu erlangen (z.b. durch Stehlen eines Haares), um diese danach für betrügerische Zwecke zu missbrauchen. Außerdem kann die Prüfung der DNA einer Person mit den heutigen Techniken nicht in Echtzeit erfolgen. Zur Prüfung sind aufwendige chemische Prozesse notwendig und chemisches Expertenwissen ist vom Prüfer erforderlich. Ein dritter Punkt betrifft die Privatsphäre einer Person: Durch Analyse der DNA können zum Beispiel bestimmte Krankheiten ermittelt werden. Diese Information kann zur Diskriminierung der betroffenen Person führen. 6

7 Gesicht Gebräuchliche Methode im täglichen Leben. Gesichtsbilder können relativ einfach erstellt werden. Probleme: Verkleidungen müssen erkannt werden. Systeme müssen tolerant sein gegenüber Alterung, verschiedenen Gesichtsausdrücken, Position des Gesichts zur Kamera usw. Das Gesicht ist eines der am stärksten akzeptierten Merkmale, da dies eine gebräuchliche Methode von Menschen ist, Personen zu unterscheiden. Außerdem sind die Methoden zur Erlangung von Bildern des Gesichtes für Menschen akzeptabel. Probleme ergeben sich bei Gesichtsverkleidungen und Systeme müssen tolerant gegenüber Alterung, verschiedenen Gesichtsausdrücken, der Position des Gesichtes zur Kamera usw. sein. 7

8 Wärmeverteilung in Gesicht und Hand Charakteristisch für jeden menschlichen Körper. Kann Verkleidungen aufdecken und Zwillinge unterscheiden. Kontaktlose Ermittlung des Merkmals durch Infrarot-Kameras. Probleme: Wärmequellen in der Nähe des Körpers. Technik ist teuer. Die Wärmeausstrahlung des menschlichen Körpers ist charakteristisch für jeden individuellen Körper und kann mit einer Infrarot-Kamera aufgenommen werden. Die Technik kann dazu verwendet werden, Verkleidungen zu erkennen und könnte auch eineiige Zwillinge unterscheiden. Systeme basierend auf der Wärmerkennung des menschlichen Körpers sind kontaktlos, jedoch problematisch in Umgebungen, in denen Wärmequellen in der Nähe des menschlichen Körpers sind (z.b. Heizung). 8

9 Hand- und Fingergeometrie Einige Merkmale (wie Fingerlänge) sind relativ besonders, aber nicht sehr unverwechselbar. Geringer Speicherverbrauch für die erfassten Daten. Probleme: beschränkte Unverwechselbarkeit Erfassung erfordert Interaktion mit dem Benutzer. Einige Merkmale der Hand (z.b. Fingerlänge) sind relativ unveränderlich und besonders (obwohl nicht sehr unverwechselbar). Das System zur Erfassung des Merkmals erfordert Interaktion mit der zu prüfenden Person durch das Auflegen der Hand mit ausgestreckten Fingern auf einer dafür vorgesehenen Platte. Der Ressourcenverbrauch zur Speicherung der Geometriedaten ist jedoch relativ klein (ca. 9 Bytes). Aufgrund der beschränkten Unverwechselbarkeit werden Geometriesysteme vorwiegend für Verifikationssysteme benutzt. Fingergeometriesysteme haben eine kompaktere Größe und werden daher oft Handgeometriesystemen vorgezogen. 9

10 Iris Eindeutige Iris-Struktur bildet sich in der embryonalen Entwicklung des Menschen Eindeutig für jedes Auge. Besonders schnell und genau. Probleme: Erfordert Interaktion mit dem Benutzer (z.b. richtige Entfernung zum Iris-Scanner) Die Struktur der Iris entwickelt sich während der embryonalen Entwicklung des Menschen und ist eindeutig für jede Person und jedes Auge. Die Erfassung der Iris durch einen Iris-Scan erfordert die Interaktion mit dem Benutzer, z.b. muss die Iris die geeignete Entfernung zum Iris-Scanner haben. Die Technik zur Iris-Erkennung ist besonders genau und schnell. 10

11 Netzhaut (Retina) Charakteristisch für jede Person und jedes Auge. Wird als sicherstes biometrisches Merkmal angesehen, da es schwer zu fälschen oder replizieren ist. Probleme: Erfordert starke Interaktion mit dem Benutzer, daher geringe Akzeptanz. Die Struktur der Netzhaut (Retina) ist charakteristisch für jede Person und jedes Auge. Es wird als sicherstes biometrisches Merkmal angesehen, da es nicht einfach ist die Netzhaut zu ändern oder zu replizieren. Die Erfassung der Netzhaut erfordert vom Benutzer, in einem optischen Erfassungssystem auf einen bestimmten Punkt zu sehen, um den erforderlichen Teil der Netzhaut zu ermitteln. Die Erfassung erfordert erhebliche Kooperation mit dem Benutzer, so dass die Akzeptanz dieser Technik relativ gering ist. 11

12 Unterschrift Charakteristisch für eine Person. Breite Akzeptanz im täglichen Leben. Beispiel eines Verhaltensmerkmals. Probleme: Ändert sich mit der Zeit, abhängig vom physischen und emotionalen Zustand. Personen ändern ihre Unterschrift. Kann leicht gefälscht werden. Die Unterschrift ist charakteristisch für eine Person. Obwohl Unterschriften eine Interaktion mit dem Benutzer erfordern, sind sie im täglichen Leben akzeptiert. Unterschriften sind ein Beispiel eines Verhaltenmerkmals, dass sich allerdings mit der Zeit ändert und abhängig von der physischen und emotionalen Verfassung des Unterschreibenden ist. Außerdem ändert sich die Unterschrift von Personen häufig und Unterschriften können leicht von Dritten gefälscht werden. 12

13 Stimme Leichte Erfassung der Stimme. Einziges Merkmal, dass auch über das Telefon erfasst werden kann. Probleme: Stimme ist nicht ausreichend unterschiedlich. Stimmenerkennung ist beeinflusst durch technische Aspekte (z.b. Qualität des Mikrophons) Stimme ist abhängig vom Zustand der Person (z.b. Erkältung, Stress, Emotionen) Stimmen können von anderen imitiert werden. Die Aufnahme der Stimme erfordert keinen Aufwand seitens des Benutzers. Stimmenerkennung ist das einzige akzeptable Biometriemerkmal, dass auch über das Telefon erkannt werden kann. Stimmen werden jedoch nicht als ausreichend unterschiedlich angesehen, um eine Person in einer großen Personendatenbank zu identifizieren. Außerdem wird die Stimmenerkennung durch technische Aspekte, wie die Qualität des Mikrophons, dem Übertragungskanal etc. erschwert. Die Stimme ist außerdem abhängig vom Zustand der Person (z.b. Erkältung, Stress, Emotionen usw.) Einige Personen sind darüberhinaus besonders talentiert, die Stimmen anderer zu imitieren. 13

14 Die Tabelle zeigt einen Vergleich der verschiedenen biometrischen Merkmale. Die Tabelle ist entnommen aus D. Maltoni, D. Maio, A.K. Jain, S. Prabhakar Handbook of Fingerprint Recognition Springer, New York, Die Bewertung High, Medium und Low (abgekürzt mit H,M und L) wurde von den Autoren getroffen. Das Merkmal des Keystrokes geht davon aus, das jede Person einen charakteristischen Tastenanschlag auf der Tastatur hat. 14

15 Hier ein Überblick der Anteile verschiedener biometrischer Merkmale, die in Produkten eingesetzt wurden. Die Studie wurde von der International Biometric Group im Jahr 2002 durchgeführt. 15

16 Biometrisches System akzeptiert eine Eingabe als übereinstimmend mit einem Datenbankeintrag, wenn der Übereinstimmungswert s über einem bestimmten Schwellenwert t liegt. Es gibt zwei Arten von Fehlern in biometrischen Systemen: False Match/ False Acceptance unberechtigte Person wird akzeptiert Fehler ist sicherheitskritisch. False Non-Match/ Fals Rejection berechtigte Person wird abgelehnt Fehler beeinträchtig Komfort Ein biometrisches System akzeptiert eine Eingabe als übereinstimmend mit einem Datenbankeintrag, wenn der ermittelte Übereinstimmungswert über einem bestimmten Schwellenwert liegt. Der Schwellenwert reguliert die Systementscheidung. Es treten in der Regel in einem typischen biometrisches System zwei Arten von Fehlern auf. Der erste Fehler ist, dass unberechtigte Personen vom System akzeptiert werden (false acceptance bzw. false match). Der zweite Fehler ist, dass berechtigte Personen vom System zurückgewiesen werden (false rejection bzw. false non-match). Da eine falsche Akzeptanz in der Regel zu Schäden führt, sind false acceptance Fehler sicherheitskritisch. False rejection Fehler beeinflussen hingegen nur den Komfort, da falsche Abweisungen vor allem lästig sind. 16

17 False Acceptance Rate (FAR): Wahrscheinlichkeit, dass ein False-Acceptance-Fehler auftritt False Rejection Rate (FRR): Wahrscheinlichkeit, dass ein False-Rejection-Fehler auftritt Beide Raten hängen vom Schwellenwert t ab: Niedrigerer Wert für t macht das System toleranter, aber FAR steigt. Höherer Wert für t macht das System sicherer, aber FRR steigt. Die False Acceptance Rate ist die Wahrscheinlichkeit, dass ein False-Acceptance-Fehler auftritt, d.h. die Wahrscheinlichkeit, mit der eine unautorisierte Person akzeptiert wird. Die False Rejection Rate (FRR) ist die Wahrscheinlichkeit, mit der False-Rejection-Fehler auftreten, d.h. die Wahrscheinlichkeit, mit der eine berechtigte Person abgelehnt wird. Die FAR und die FRR hängen beide vom gewählten Schwellenwert t ab. Setzt man den Schwellenwert herunter, macht dies das System toleranter (d.h. die FRR sinkt), aber die FAR steigt, da mehr falsche Benutzer akzeptiert werden. Setzt man den Schwellenwert herauf, so macht dies das System sicherer (d.h. die FAR sinkt), aber die FRR steigt. 17

18 Failure to Capture (FTC) Rate: Wahrscheinlichkeit, dass ein Fehler bei der Eingabe des biometrischen Merkmals auftreten (z.b. schwacher Fingerabdruck oder verdecktes Gesicht) Failure to Enroll (FTE) Rate: Wahrscheinlichkeit, dass ein Fehler bei der Registrierung des Merkmals auftritt. Sorgt dafür, dass nur Merkmale guter Qualität in die Datenbank kommen (geringere FAR und FRR). Neben den beiden Erkennungsraten kann man zur Bewertung eines biometrischen Systems noch die Failure-to-Capture (FTC) Rate und die Failure-to-Enroll (FTE) Rate betrachten. Die FTC Rate ist nur auf Systeme anwendbar, die eine automatische Eingabefunktionalität haben und bezeichnet die Wahrscheinlichkeit, dass das biometrische System einen Fehler bei der automatischen Eingabe des biometrischen Merkmals produziert. Dies passiert, wenn das biometrische Signal nicht in ausreichender Qualität vorhanden ist. Zum Beispiel ein schwacher Fingerabdruck oder ein verdecktes Gesicht. Die FTE Rate beschreibt die Wahrscheinlichkeit, dass ein Fehler bei der Registrierung des Benutzers beim biometrischen System auftritt. FTE Fehler treten insbesondere auf, wenn Einträge geringer Qualität in die Datenbank aufgenommen werden sollen, da die geringe Qualität der Muster in der Datenbank auch die FAR und FRR beeinflusst. 18

19 a) Fingerabdruck-Verifikationssystem für die Zugangskontrolle am Rechner b) Terminal basierend auf Fingerabdrücken zur Verifikation von Kunden, bevor Kreditkarten belastet werden. c) Türschloss basierend auf Fingerabdrücken. d) Handgeometrie-Verifikation auf US-Flughäfen. Anwendungsbeispiele im kommerziellen Bereich sind: a) Digital Persona bietet ein Fingerabdruck-Verifikationssystem für die Zugangskontrolle bei Rechnern oder Netzwerken. b) Indivos stellt ein Fingerabdruck-basierendes Terminal bereit, das Kunden anhand des Fingerabdrucks verifiziert, bevor von der Kreditkarte abgebucht wird. c) BioThentica stellt ein auf Fingerabdrücken basierendes Türschloss her. d) Recognition Systems stellt ein System mit Handgeometrie-Verifikation zur Verfügung, dass auf amerikanischen Flughäfen eingesetzt wird. 19

20 US-VISIT-Programm Betrieben vom Department of Homeland Security an 115 Flughäfen und 14 Seehäfen Momentan bereits Erfassung der Zeigefinger und des Gesichts bei der Einreise Abgleich der Einreise-Daten bei Ausreise Abgleich der biometrischen Daten mit bekannten und verdächtigenterroristen Ein Beispiel für den Gebrauch von Biometrie in staatlichen Anwendungen ist das US-VISIT- Programm, dass vom Department of Homeland Security in den USA an 115 Flughäfen und 14 Seehäfen betrieben wird. Momentan werden bei der Einreise von Personen die Zeigefinger und das Gesicht erfasst und bei der Ausreise mit den Einreisedaten abgeglichen. Außerdem wird ein Vergleich mit den biometrischen Daten von bekannten und verdächtigen Terroristen durchgeführt. 20

21 Sicherheitsvorteile durch Biometrie relativ einfache und intuitive Benutzung (z.b. keine langen, sich ändernden Passwörter mehr) Fälschung und Replizierung ist schwieriger (als beispielsweise bei Passwörtern oder Chipkarten) Merkmal kann nicht vergessen, verloren oder weitergegeben werden Benutzer muss bei der Zugangskontrolle am System anwesend sein. Der Sicherheitsgewinn zu herkömmlichen Authentifizierungsmethoden, wie Passwörter oder Chipkarten, liegt in der relativ einfachen und intuitiven Benutzung der Systeme. Benutzer müssen sich keine Passwörter mehr merken, die lang und oft geändert werden. Die Fälschung bzw. die Replizierung ist schwieriger als beispielsweise bei Passwörtern oder Chipkarten. Das biometrische Merkmal kann nicht vergessen, verloren oder weitergegeben werden. Außerdem muss der Benutzer bei der Zugangskontrolle am System anwesend sein. 21

22 Problem: gefälschte/unbrauchbare biometrische Merkmale können schwer zurückgenommen werden Beliebig viele neue Kreditkarten, aber nur zehn Finger! Problem: Ein gleiches biometrisches Merkmal wird in vielen unterschiedlichen Anwendungen benutzt. Ein Nachteil biometrischer Zugangskontrolle ist, dass die Merkmale nicht einfach zurückgenommen werden können um sie durch andere zu ersetzen. Wenn ein Merkmal einmal unbrauchbar ist, dann ist es das für immer. Bei einer gestohlenen Kreditkarte kann die Bank eine neue Karte ausstellen, aber eine Person hat nur 10 Finger, die nicht einfach zu ersetzen sind. Außerdem dient ein biometrisches Merkmal für viele Anwendungen, so dass die Erlangung des einen Merkmals den Zugang zu all diesen Anwendungen erlaubt. 22

23 Eingriffe ins Privatleben durch Biometrie Preisgeben zusätzlicher medizinischer Informationen kann zur Diskriminierung missbraucht werden. Identifizierung von Personen, die legal eine andere Identität vorweisen. Geheime und unbemerkte Erfassung von zuvor registrierten Personen (z.b. Gesicht) in Situationen, in denen sie anonym sein möchten. Biometrie kann auch unerwünschte Eingriffe in das Privatleben von Personen haben. So können die biometrischen Daten einer Person Informationen preisgeben, die zur Authentifizierung gar nicht benötigt werden. Zum Beispiel könnte die DNA auf Erbkrankheiten untersucht werden oder bestimmte Fehlbildungen der Finger könnten Aufschluss über genetische Fehler geben. Die erzielten medizinischen Informationen können systematisch zur Diskriminierung eingesetzt werden. Biometrische Merkmale können auch dann Personen identifizieren, wenn diese legal unter einer anderen Identität leben (aus Sicherheitsgründen, in eine Zeugenprogramm etc.). Biometrische Merkmale, wie das Gesicht einer Person, können vom Benutzer unbemerkt ermittelt werden. Dies erlaubt eine verdeckte bzw. geheime Erfassung von Personen, deren Daten zuvor erfasst wurden. Somit können Personen, die in bestimmten Situationen anonym bleiben wollen, in der Freiheit ihres Privatlebens beeinträchtigt werden. 23

24 Angriffe auf Biometriesysteme Brute-Force-Angriffe Künstlich angefertigt oder aufbereitete Daten (z.b. Wiederaufbereitung von Fettspuren eines Fingerabdrucks) Angriffe auf Datenbanken/Datensätze Replay-Attacken: Benutzen gefälschter Referenzdaten (z.b. bekommen durch Sniffer) Wir betrachten nun einige mögliche Angriffe auf Biometriesysteme. Auch bei Biometriesystemen kann man versuchen durch Brute-force Angriffe unautorisierten Zugriff auf das System zu bekommen. Eine gezieltere Methode ist die künstliche Anfertigung von biometrischen Daten (z.b. das Beschaffen von Fingerabdrücken vom Wasserglass etc. und die Ertsellung eines Gummimodells des Fingerabdrucks) oder auch die Wiederaufbereitung von Daten (z.b. das Ausnutzen der Hinterlassenen Fettspuren bei einem Fingerabdruck). Die biometrischen Daten müssen gespeichert werden, um sie im Falle der Authentifizierung zu einem Vergleich heranziehen zu können. Wenn es einem Angreifer möglich ist, an diese Datensätze heranzukommen, ist das Eindringen ins System einfach. Daher sollten die Datensätze gut vor unautorisiertem Zugriff geschützt werden. Eine andere Möglichkeit sind Replay-Attacken, bei denen Authentifizierungsdaten abgehört werden und zu einem späteren Zeitpunkt wieder eingespielt werden. 24

25 Brute-force-Angriffe hängen von den Fehlerraten des biometrischen Systems ab. Beispiel: Fingerabdruck-System mit FAR von 0.001%. Dann ist im Durchschnitt einer von Fingerabdrücken erfolgreich. Problem ist jedoch die Generierung der großen Mengen von Fingerabdrücken. Sicherheit kann durch Herabsetzen des Schwellenwertes erhöht werden. Ein Brute-force-Angriff hängt von den Fehlerraten des biometrischen Systems ab. Angenommen, ein Fingerabdruck-System habe die Fehlerrate FAR von 0,001%. Ein Angreifer muss einen Angriff dann mit einer großen Anzahl von Fingerabdrücken durchführen und im Durchschnitt wird jeder Versuch erfolgreich sein. Die Generierung von großen Mengen biometrischer Merkmale ist jedoch schwieriger als zum Beispiel das Erzeugen von vielen potenziellen Passwörtern. Außerdem kann der Wert für die FAR heruntergesetzt werden, um die Sicherheit zu erhöhen. 25

26 Biometrie-Attacken Fingerabdruck z.b. Siemens ID Mouse mit Infineons FingerTIP-Sensor Fettrückstände ausnutzen: Plastiktüte mit Wasser, Graphitpuder und Klebefolie Fingerabdrücke nehmen Funktioniert nicht mehr bei optischer oder thermischer Identifizierung Die ID Mouse von Siemens ist mit einem FingerTIP-Sensor von Infineon ausgestattet. Fingerabdrücke lassen sich bei dieser Maus durch Anhauchen reaktivieren, da sie Fett- Rückstände auf dem Sensor hinterlassen. Man bildet mit der Hand eine Muschel über dem Scanner und haucht Atemluft gegen die Sensoroberfläche. Am Bildschirm des geschützten Rechners zeichnen sich direkt die Konturen des alten Abdruckes noch einmal ab. Es kann damit entweder ein Relief des Fingers produziert werden oder man kann mit Hilfe einer dünnwandigen, mit Wasser gefüllten Plastiktüte, sofort den nötigen Sensordruck. Diese Angriffe funktionieren jedoch nicht mehr bei einer (zusätzlichen) optischen oder thermischen Identifizierung. 26

27 Biometrie-Attacken Gesicht z.b. Cognitec FaceVACS Sichert Daten nur unzureichend, so dass Daten kopiert werden können Anwender versteckt mit Digitalkamera fotografieren Bilder werden einer Kamera (ToUcam) am Monitor präsentiert Probieren des richtigen Abstands Die Software von der Cognitec AG, FaceVACS-Logon, benutzt als Authentifikationsmerkmal das Gesicht. Die Software arbeitet mit einer handelsüblichen Webcam zur Zugangskontrolle. Ein Problem dieser Software ist, dass die biometrischen Daten nur unzureichend gesichert sind, so dass diese vom Angreifer relativ einfach kopiert werden können. Außerdem gelingen Angriffe, bei denen der Anwender versteckt fotografiert wird und die entstandenen Bilder der Webcam im richtigen Abstand präsentiert werden. 27

28 Biometrie-Attacken durch Replay USB Sniffer hört Daten bei einer Biometrie- Anfrage ab (z.b. USB Snoop) Austauschen des Biometrie-Gerätes durch ein USB Gerät, welches die bekommenen Daten dem PC vorspielt Ein Beispiel einer Replay-Attacke ist das Mithören einer Biometrie-Anmeldung über die USB Schnittstelle. Die mitgehörten Daten können dann durch ein anderes USB-Gerät wieder eingespielt werden, um so das biometrische System zu täuschen. 28

29 4.5 Ortsabhängige Zugangskontrolle Bob in Australien Bob will sich als Anna einloggen Anna in Kalifornien Authentifizierung berücksichtigt an welchem Ort und zu welcher Zeit sich der Benutzer am System anmeldet. Ortsabhängige Zugangskontrolle berücksichtigt den Ort des Benutzers zum Zeitpunkt der Anmeldung. Angenommen ein Benutzer behauptet Anna zu sein, die sich momentan an einem System in Kalifornien anmelden möchte. Der Benutzer loggt sich jedoch von einem Rechner in Australien ein, d.h. er versucht sich nur für Anna auszugeben. Wenn zusätzlich der Ort in die Authentifizierung eingeht, kann solch ein betrügerischer Versuch erkannt werden. Diese Art der Authentifizierung ist vorgestellt in: D.E.Denning, P.F.MacDoran, Location- Based Authentication: Grounding Cyberspace for Better Security, Computer Fraud & Security, Februar

30 4.5 Ortsabhängige Zugangskontrolle Benutzer (deren Client-Systeme) und Systeme werden mit einem Location Signature Sensor (LSS) ausgestattet. Der LSS bestimmt die Location Signature, die sich aus Ort (ermittelt über GPS) und Zeit zusammensetzt. Bei der Authentifizierung werden die Location Signatures von Client und System erstellt. Wenn sie übereinstimmen, ist die Authentifizierung erfolgreich. Kann auch dazu benutzt werden, die Orte für die erlaubte Anmeldung zu beschränken. Der Ansatz zur ortsabhängigen Zugangskontrolle basiert auf dem Global Positioning System (GPS), welches den Ort eines Objektes bis auf wenige Meter bestimmen kann. Ein Location Signature Sensor (LSS) ermittelt mittels GPS die Location Signature, in der der Ort und die Zeit des LSS eingehen. Möchte sich der Benutzer mittels eines Client-Systems an einem Rechner anmelden, so wird die Location Signature des Client-Systems bestimmt. Das System selbst erstellt seine Location Signature und vergleicht diese mit der Position des Clients. Stimmen die Signaturen überein, war die Authentifizierung erfolgreich. Die Technik kann auch dazu benutzt werden, die Orte für die Zugangskontrolle zu beschränken (z.b. darf Anna sich nur in Kalifornien am Bank-Rechner anmelden, aber nicht in New York). 30

31 4.6 Kerberos Kerberos ist ein Authentifizierungsdienst entwickelt am MIT im Athena-Projekt (aktuelle Version 5). Beispielsweise Bestandteil von Windows 2000/XP oder Sun Solaris Ziel ist die zuverlässige Authentifizierung in Client-Server- Systemen. Idee: Authentisierungsdienst verwaltet Passwörter und vergibt nach Authentisierung ein nicht fälschbares Ticket für die Benutzung des gewünschten Dienstes Das Kerberos-Authentifikationssystem wurde im Rahmen des Athena-Projekts in den 80er Jahren am MIT in Kooperation mit IBM und DEC entwickelt. Es ist beispielsweise auch in Windows 2000/XP oder Sun Solaris integriert. Ziel des Systems ist die zuverlässige Authentisierung in Client-Server-Systemen. Die Idee von Kerberos ist, dass ein Benutzer einen Dienst eines Servers S nur dann in Anspruch nehmen kann, wenn er dafür dem Server eine Authentizitätsbescheinigung bzw. Ticket vorweisen kann. 31

32 4.6 Kerberos Ungefähr so funktioniert es: Benutzer login mit Passwort Client Rechner C (5) Server S (1) (2) (3) (4) Key Distribution Center (KDC) Authentifizierungsserver AS Ticket-Granting- Server TGS Der Benutzer melden sich an ihrem Arbeitsplatzrechner über die Vorlage eines Passwortes an. Die für Zugriffe erforderlichen Authentizitätsbescheinigungen (Tickets) werden dann vom Client-Rechner transparent für den Benutzer beim vertrauenswürdigen Authentifikationsserver AS angefordert. Der AS arbeit mit dem ebenfalls vertrauenswürdigen Ticket-Granting Server (TGS) zur Ausstellung der Tickets zusammen. Die Dienste des AS und TGS werden oft in einem Server zusammengefasst, der als Schlüsselverteilungs-Server KDC (Key Distribution Center) bezeichnet wird. Die Schritte (1) bis (5) werden wir auf den nächsten Folien genau behandeln. 32

33 4.6 Kerberos Authentifizierungsserver (AS) Schlüsseldatenbank enthält Masterschlüssel für jeden registrierten Benutzer (symmetrische Verschlüsselung) Schlüssel ist aus dem Passwort abgeleitet Be erfolgreichen Login bekommt der Client ein Initialticket für den TGS. Ticket-Granting-Server (TGS) Stellt Tickets aus. Tickets sind nur für einen Server gültig, solange es nicht abgelaufen ist. Tickets werden mit dem Masterschlüssel des TGS verschlüsselt. Jeder Benutzer A muss mit dem AS einen geheimen Master Key K A vereinbaren, der vom AS in einer Schlüsseldatenbank verwaltet wird. Für einen Benutzer ist dieser Schlüssel aus dem Passwort abgeleitet. Im KDC wird jeder Benutzer durch ein Tupel (Name,Instanz,Bereich) beschrieben. Name ist der Benutzername und die Instanz ist entweder Null oder repräsentiert spezifische Attribute wie root. Der Bereich (realm) wird verwendet, um zwischen verschiedenen Authentifikationsbereichen zu unterscheiden. Tickets werden vom Ticket-Granting-Server (TGS) erstellt. Ein für einen Client C vom TGS ausgestelltes Ticket ist nur für einen Server S gültig. Das Ticket enthält den Sitzungsschlüssel K C,S, der vom KDC für die Kommunikation zwischen Server S und Client C erzeugt wird. Solange die Lebenszeit des Tickets, angegeben durch Anfangs- und Endwert, nicht abgelaufen ist, kann es der Client auf den Server S verwenden. Das Ticket wird mit dem Masterschlüssel des Servers S verschlüsselt und so vom TGS dem Client zugestellt, der es seinerseits bei Bedarf dem Server S präsentiert. Um den TGS in Anspruch zu nehmen, bekommt der Benutzer nach dem erfolgreichen Login ein Initialticket vom KDC. 33

34 4.6 Kerberos Schritt (1) Client sendet Namen des zu authentifizierenden Benutzers A an KDC. Falls Benutzer A im KDC registriert ist, stellt dieser ein Initialticket T A,TGS aus und verschlüsselt es mit dem Masterschlüssel K TGS des TGS. T=E(T A,TGS, K TGS ) Das Ticket T A,TGS enthält den vom KDC erzeugten Sitzungsschlüssel K A,TGS. Im ersten Schritt sendet der Client den Namen des Benutzers zum KDC. Falls der Benutzer in der Schlüsseldatenbank des AS enthalten ist, stellt der TGS ein Initialticket für den Benutzer und den Server TGS aus und verschlüsselt dieses Ticket mit dem Masterschlüssel des TGS. Das Ticket enthält ebenfalls den vom KDC erzeugten Sitzungsschlüssel. 34

35 4.6 Kerberos Schritt (2) Der KDC schickt den Sitzungsschlüssel K A,TGS verschlüsselt mit dem Masterschlüssel K A von Benutzer A an den Client zurück. Außerdem schickt er das verschlüsselte Ticket T. Damit der Client das empfangene Ticket entschlüsseln kann, braucht der Client den Masterschlüssel K A von Benutzer A. Der Client berechnet K A aus dem Passwort. Im zweiten Schritt sendet der KDC das verschlüsselte Ticket und den verschlüsselten Sitzungsschlüssel an den Clienten. Der Sitzungsschlüssel wird mit dem Masterschlüssel des Benutzers verschlüsselt, welcher vom Clienten aus dem Passwort des Benutzers errechnet werden kann. 35

36 4.6 Kerberos Schritt (3) Der Client von Benutzer A möchte auf Server S zugreifen: er schickt eine Anfrage für ein Ticket für S an den TGS. Client weist seine Authentizität nach durch Mitschicken von T=E(T A,TGS, K TGS ) und E(AU A,K A,TGS ) wobei AU A =(A,timestamp) der Authentikator von A ist. TGS entschlüsselt E(T A,TGS, K TGS ) mit seinem Masterschlüssel K TGS und erhält den Sitzungsschlüssel K A,TGS. Mit K A,TGS kann TGS den Authentikator entschlüsseln und die Aktualität der darin enthaltenen Zeitmarke prüfen. Möchte der Client C nun auf einen Server S zugreifen, sendet C eine Nachricht an den TGS. Die Anfrage enthält neben dem Namen des Benutzers auch den Namen des Servers, für den das Ticket benötigt wird. Der Client weist seine Authentizität mittels des verschlüsselten Tickets E(T A,TGS,K TGS ) und einem Authentikator nach. Ein Authentikator wird transparent vom Benutzer auf dem Client-Rechner erstellt und enthält vor allem den Namen des Benutzers und eine Zeitmarke. Die Zeitmarke wird vom Server benutzt, um Replay-Attacken festzustellen. Mit dem Authentikator beweist der Client, dass er im Besitz des Sitzungsschlüssels K A,TGS ist, mit dem er den Authentikator verschlüsselt hat. Jeder Authentikator darf nur einmal von einem Client verwendet werden. Der TGS entschlüsselt dann das empfangene Ticket mit seinem Masterschlüssel und kann aus dem Ticket den Sitzungsschlüssel K A,TGS auslesen. Mit diesem Sitzungsschlüssel kann der Authentikator entschlüsselt werden, um die Zeitmarke zu prüfen. 36

37 4.6 Kerberos Schritt (4) KDC erzeugt einen Sitzungsschlüssel K A,S. Dieser Schlüssel wird dann mit dem Sitzungsschlüssel K A,TGS verschlüsselt. Außerdem erstellt der TGS ein Ticket T A,S und verschlüsselt dies mit dem Masterschlüssel K S von Server S. T =E(T A,S,K S ) Beides wird an den Client geschickt. Nach der erfolgreichen Authentifizierung von A erzeugt das KDC einen Sitzungsschlüssel, hier K A,S, für die Kommunikation mit dem Benutzer A und dem Server S. Der TGS sendet dann diesen Schlüssel und ein mit dem Masterschlüssel K S verschlüsseltes Ticket an den Clienten. 37

38 4.6 Kerberos Schritt (5) Kommunikation mit Server S erfolgt dann mit Ticket T. Außerdem dient ein mit dem Sitzungsschlüssel K A,S verschlüsselter Authentikator E(AU A,K A,S ) zur Authentifikation des Clients. Zur Kommunikation mit Server S benutzt dann der Client von A das erstellte Ticket. Der Server prüft die Authentizität durch Entschlüsselung des Tickets mit seinem Masterschlüssel, um den Sitzungsschlüssel K A,S zu bekommen. Mit diesem Sitzungsschlüssel kann sann der Authentikator entschlüsselt werden und die Zeitmarke geprüft werden. 38

39 4.6 Kerberos Zusammenfassung (1) Client! KDC: Benutzer A (2) KDC! Client: E(K A,TGS, K A ) und T=E(T A,TGS, K TGS ) (3) Client! TGS: E(AU A, K A,TGS ), T, Server S (4) TGS! Client: E(K A,S, K A,TGS ), T =E(T A,S, K S ) (5) Client! S: E(AU A, K A,S ), T Server authentifiziert: Aus Ticket Sitzungsschlüssel auslesen, damit Authentikator entschlüsseln, dann Authentikator bzgl. Zeitmarke prüfen Hier nochmals eine Zusammenfassung der einzelnen Schritte. Eine Zeile A!C: N bedeutet, dass A die Nachricht N an C schickt. 39

40 4.6 Kerberos Sicherheit Schwachstelle ist die Passwort-Eingabe, die den gesamten Authentifizierungsprozess anstößt. Synchronisation von Client und Server für die Zeitstempel der Authentikatoren nötig. Server falsche Zeit unterschieben erlaubt Replay-Attacken mit alten Authentikatoren. Sitzungsschlüssel sind gültig, solange Ticket gültig ist. Und dies kann lange sein... Ein wesentlicher Schwachpunkt von Kerberos sind die Passwörter, die die Basis für die initiale Vergabe von Tickets ist. Mit einer erfolgreichen Passwort-Attacke lässt sich der gesamte Authentifizierungsprozess unterlaufen. Die Verwendung von Authentikatoren zur Vermeidung von Replay-Attacken ist ebenfalls problematisch, da die Erkennung auf Zeitstempeln basiert. Falls es einem Angreifer gelingt, einem Server eine falsche Zeit unterzuschieben, so können bereits verwendete Authentikatoren benutzt werden. Die vom KDC erzeugten Sitzungsschlüssel können zur Kommunikation mit einem Server benutzt werden, so lange diese gültig sind. Da Tickets möglicherweise über einen langen Zeitraum verwendet werden, wird auch ein Sitzungsschlüssel lange verwendet und ist damit während dieser ganzen Zeit Angriffen ausgesetzt. Deshalb bietet Kerberos Version 5 die Möglichkeit, Sitzungsschlüssel zu erneuern. 40