Eingekapselte Biometrie

Transkript

1 Eingekapselte Biometrie Authentifizierung, die Mobilität, Sicherheit and Privatsphäre garantiert Berner Fachhochschule Technik und Informatik AXSionics AG, BFH Spin-off Park, Seevorstadt 103b, CH-2501 Biel-Bienne ISACA After Hour Seminar Dr. Lorenz Müller Dr. Hans W. Kramer CISA ISACA After Hours Seminar 1

2 Übersicht Identität Basis der sozialen Beziehungen Gefahren Identitäts Management Authentifizierung Biometrie Eingekapselte Biometrie AXS-Authentication System 2

3 Identitäten sind die Bausteine der sozialen Strukturen Authentication Identität Authorisation Accounting Person Auditing Rechte 3

4 Seit jeher Person definiert Identität 4

5 Moderne Gesellschaft gleiches Problem, andere Skalen Identitäts Management Physische Personen Pseudonyme, partielle Identitäten Cyberspace Identitäten 5

6 Gefahren ISACA After Hours Seminar 6

7 Identitätsdiebstahl betrifft uns alle Reale Welt Cyberspace Identitätsschutz muss In beiden Lebenswelten erfolgen On the internet nobody knows that you re a dog Staat und Organisationen schützen und garantierten die Identität ihrer Bürger und Mitglieder Staatliche Strukturen fehlen weitgehend und Organisationen delegieren den Identitätsschutz vermehrt an die Einzelperson 7

8 Betrug im Cyberspace US credit card based transactions:

9 Betrugstypen in nicht-physischen Transaktionen next generation of access control US Federal Trade Commission s: Top Categories in 2004 for Consumer Fraud Complaints Source ISACA 9

10 Phising Mail PayPal 10

11 11

12 12

13 Identitäts Management ISACA After Hours Seminar 13

14 Person, Identität, Credentials, Autorisierung, Rechte Person Identität Credentials Authorisation Authentifizierung Prüfung der Credentials Rechte 14

15 Die grundlegenden Fragen Standpunkt einer Organisation (operator): Wer ist die Person, die eine Identität beansprucht? Was sind die legitimen Rechte der Person? Wie werden die Dienste nachprüfbar verfügbar gemacht? Standpunkt Individuum (user): Wie benutze ich meine Identitäts-Credentials sicher? Wie schütze ich gleichzeitig meine Privatsphäre? 15

16 Identitäts Management System IMS Authentifizierung Autorisierung Accounting 16

17 Schwachpunkt in der Sicherheitskette Speziell im Cyberspace next generation of access control Authentication Identity Management System Authorization UserID Password Name First name AHV no Digital Identity Allowed? No Yes Weak Link Digital Identity Credential Digital Identity Directory Resources Network security Analog Digital 17

18 Information Security Technology Heat Index TM Source: TheInfoPro 18

19 Marktchance 19

20 Authentifizierung ISACA After Hours Seminar 20

21 Mehrfaktor Authentifizierung Verifikations Faktoren Besitz: Ausweis Wissen: Geheimnis Eigenschaft: Biometrie Name, Name, First First name name Birthdate Birthdate Profession Profession Education Education Position Position Status Status User User ID ID Physische Person Identität Credential 1-, 2- or 3 - Faktor Verbindung: Person zu Identität 21

22 Authentifizierung: Methoden Wissensbasiert Passwörter, Passcodes, PIN Curriculum basierte Fragen Einfach, tokenbasiert Transaktionsnummerliste (TAN) Gitter Karten (2D-TAN) Software basiert PKI credentials, VPN Out-of-band Authentifizierung Short message service, (OTP, TAN) Side channel (Telefonanfrage, Handy) Call back Verfeinert, tokenbasiert OTP tokens PC verbundene smart tokens Smart Cards PIN basiert mit lokalem Leser RFID Smart Cards Biometrie Behavioristische Methoden Physiologische Methoden Sicherheit Mobilität, Verfügbarkeit, Ergonomie 22

23 Authentifizierungs-Portfolio: Sicherheit vs. Einfachheit Transaction Security Biometric User Identification Smart Card (PKI) Ideale Authentifizierung Software Certificate Security Token (OTP) VPN physical access control Login / Password / TAN Login / Password Mobile authentication (Heterogeneous Infrastructure) 23

24 Biometrie ISACA After Hours Seminar 24

25 Was ist Biometrie Definition: Biometrie ist ein Mustererkennungssystem, das Personen anhand eines charakteristischen physiologischen oder behavioristischen Merkmals erkennt. Attribute: Universalität: Separation: Langlebigkeit: Messbarkeit: Qualität: Akzeptanz: Resistenz: obligatorisch Alle Personen haben das Merkmal Jede Person hat unterschiedliches Merkmal Merkmal ist über lange Zeit stabil Merkmal ist einfach messbar erwünscht Merkmal separiert maximal Messung wird akzeptiert Merkmal kann nicht einfach gefälscht werden 25

26 Overview on common biometric features Physiological features Finger print Iris Retina Veins Palm Face Ear form Finger geometries DNA, Protein Odor Temperature image (hand, face) Lip print Teeth bit. Behaviorist features Voice Hand writing Hand movement dynamics Gait Keyboard pressure dynamics Grip 26

27 Physiologische Biometrie Quelle: Raymond Veldhuis, University of Twente, Smart University,

28 Behavioristische Biometrie Quelle: Raymond Veldhuis, University ISACA of Twente, After Smart Hours University, Seminar 2006 Biometrie Lorenz Müller 28

29 Marktanteile: Biometrische Methoden 29

30 Entwicklung 30

31 Marktentwicklung 31

32 Biometrische Authentifizierung Operative Schritte: Erfassung (Enrollment) Verifikation Rückruf (Revocation) 32

33 Biometrische Identifizierung - Ablaufprotokoll Operative Schritte: Datenbank Aufbau Identifikation Template Elimination Fault Template Database Biometrics Measurement Raw data Biometric Data Sensor Pre- Processing Feature Extraction Search Matching User x Fault Fault Fault ID Canditat Score decision 33

34 Typisches Anwendungskonzept Biometrische Daten und Auswertung erfolgt in zentralisiertem System Gefahr von massivem Identitätsklau Biometrisches Profiling Nicht skalierbar Kollision von Referenzdaten 34

35 Verbessertes Anwendungskonzept Dezentralisierte Aufbewahrung der biometrischen Referenzdaten RF-Technologie oder Kartenleser Referenzdaten in einer Smart Card Messprozess nach wie vor nicht unter der Kontrolle des Nutzers Nur an vordefinierten Orten einsetzbar Hohe Fehlerrate, viele Personen nutzen dieselben Messinstrumente 35

36 Unser Konzept Eingekapselt Biometrie Biometrische Verifikation erfolgt eingeschlossen in einem persönlichen Token Biometrische Daten verlassen das Token nie Schutz vor Identitätsklau Verbindung zu den digitalen Identitätscredentials ist optimal Eine biometrische Messung verbindet zu vielen digitalen Credentials 36

37 Alleinstellende Eigenschaft der Biometrischen Authentifizierung Positive Authentifizierung Nutzer ist kooperativ Nutzer will Identität beweisen Typische Anwendungen: E-banking E-voting Remote access E-business Negative Authentifizierung Operator muss Identität nachweisen Nutzer ist nicht kooperativ Typische Anwendungen: Remote Database access Online value services, zb. e-university Adult services / online lotteries ID-Karten Zugang zu sozialen Leistungen 1 / 2 or 3 Faktor Authentifizierung 2 or 3 Faktor Authentifizierung mit Biometrie 37

38 Unsere Projekte (BFH-TI und AXSionics AG) next generation of access control Fingerabdruckerkennung in AXS- Token Iriserkennung für Kreditkarten Unterschriftserkennung für Minidisplay 38

39 Beispiel: Fingerprinterkennung 39

40 Matching 40

41 Matching 41

42 Matching 42

43 43

44 44

45 AXS-Authentication System ISACA After Hours Seminar 45

46 Eingekapselte Biometrie Schutz der Privatsphäre Query template User Controlled biometrics Reference template Measurement Matching Enclosed biometric processing and data Digital Credential Authentication server Biometrische Verifikation erfolgt eingeschlossen in einem persönlichen Token Biometrische Daten verlassen das Token nie Schutz vor Identitätsklau Verbindung zu den digitalen Identitätscredentials ist optimal Eine biometrische Messung verbindet zu vielen digitalen Credentials 46

47 3 Faktor Authentifizierung Sicherung der Schwachstelle H H B 4 P J 1. Factor: Secret assignment of each finger to an individual character Random request: Finger H PKI 2. Factor: Biometrical fingerprints Set finger H 3. Factor: Private key and credential on Token Authentication Server Einfachheit, Verfügbarkeit, Mobilität, Sicherheit, Schutz der Privatsphäre 47

48 Wie funktionert es im Gebrauch Token authentisiert den Nutzer (3-Faktor) Server sendet Challenge über die optische Schnittstelle ins Token Token interpretiert den Challenge (unter Nutzung der Chipkarte) One time PW (OTP, TAN) erscheint auf Display Nutzer sendet das OTP via Keyboard zum Server 48

49 AXS-AS Positionierung/ Vorteile Security Strong Authentication, Transaction security Imposted protection Personal Token Cluster AXS-Authentication System challenge based, strong authentication, strong cryptographic offline credential stealing attack boundary online channel breaking attack boundary phishing attacks (today) troyan horses attacks (today) Personal contact Hard Token PKI on trusted platform SSL / TLS Hard Token PKI Certificate (soft token PKI) Short Time PW (challenge based) Short time PW (timer based) One-time PW (TAN, itan) static PW SSL / TLS (Credit Card) Comfort mobility, convenience 49

50 AXS-Token kombiniert mit existierenden Smart Card s Mobiler und individueller Smart Card reader Token authentifiziert den Nutzer Spezifisches Credential kommt von der SMC 50

51 Vielfache Anwendungsmöglichkeiten Logical Access Service Specific Credentials Internet/ Server Server Intranet Content Internet Intranet Telebanking Optical IFC PC Keyboard Biometrical Authentication (optional) Health Data Building/ Campus Access Access Control System RFID ISO Long Range RFID AXS-Token Pouch ISO 7816 or ISO (internal) Corporate Card Tickets Building Access Physical Access Multiple Services Multiple Applications 51

52 AXS-Authentication System 52

53 AXS-AS als Sicherheits-Middleware Network Security AXS- Transport AXS- Security Operator Application 53

54 AXS-AS ergonomische und sichere Authentifizierung Transaction Security Biometric User Identification Smart Card (PKI) Inconvenient to secure transactions AXS-Solution Need of local installation Do not protect your identity Software Certificate VPN Security Token (OTP) physical access control Login / Password / TAN Login / Password Not linked to their physical ID - not to be used for transaction security User have many UN/PW for different services (often the same) Mobile authentication (Heterogeneous Infrastructure) 54

55 Konklusion Problem der Cyberspace-Gesellschaft Sichere Endpunkt-Authentifizierung Online Transaktionsabsicherung Flexibles und überall verfügbares Identitäts-Management Schutz der Privatsphäre Verwaltung der persönliche Credentials Lösung Starke 3-Faktor Verbindung zwischen Person und Credential Kryptographischer gesicherter Kanal zwischen Operator und Nutzer Eingekapselte Biometrie User Side IM Assistant persönliches Token mit Federated IM 55

56 Thank you 56