Willkommen zur Vorlesung Modellbasierte Softwaretechniken für sichere Systeme im Sommersemester 2012 Prof. Dr. Jan Jürjens

Transkript

1 Willkommen zur Vorlesung Modellbasierte Softwaretechniken für sichere Systeme im Sommersemester 2012 Prof. Dr. Jan Jürjens TU Dortmund, Fakultät Informatik, Lehrstuhl XIV 1

2 8. Biometrische Authentisierung 2

3 Zugangskontrollmechanismen EC-Karte Schlüssel Besitz Biometrisches Zugangskontrollsystem Passwort Wissen Persönliche Merkmale Wachpersonal [R. Schmidt 2004] 3

4 Zugangskontrolle: Beispiele Ziel: Sicherer Schutz vor unberechtigtem Zugang / Zutritt Beispiele: Gegenstand Schutzmaßnahme Kategorie Raum / Tür Schlüssel Wachmann Besitz Persönliche Merkmale Computer Passwort Wissen Konto Karte mit PIN Besitz + Wissen 4

5 Zugangskontrolle: Probleme I [B. Schneier 2009] 5

6 Zugangskontrolle: Probleme II [K. Cameron 2008] 6

7 Zugangskontrolle: Probleme III Schwachstellen Schutzmaßnahme Problem Schlüssel Wachmann Kann verloren / gestohlen werden Bestechlich / 24 h Einsatz? Passwort Am Arbeitsplatz notiert, schlechte Wahl, Social Engineering Karte mit PIN PIN auf Karte notiert 7

8 Biometrische Authentisierung Auf Basis von persönlichen Merkmalen: Handgeometrie, Augennetzhaut, Augeniris, Venen, Unterschrift, Fingerabdruck, Stimmen, Gesicht, DNA, Geruch... Aktuell: USA-Einreise; Reisepass; Flughafen (Vielflieger) Soft Biometrics: Haut-, Augen- und Haarfarbe, Gang, Tastenanschlag, Verhalten 8

9 Biometrische Authentisierung Identifikation Wer bist du? Suche in einer Menge von bekannten Profilen nach aktuell erfasstem Profil Problem: Trennschärfe der Profile Zu genau: Aktuell erfasste Person wird häufig nicht gefunden, obwohl bekannt Zu weich: Aktuell erfasste Person wird mit Personen verwechselt, deren Profil ähnlich ist 9

10 Biometrische Authentisierung Verifikation Bist du der, der du vorgibst zu sein? Stimmen erfasstes Profil und Authentifizierungsprofil überein? Potentiell einfacher als Identifikation Aber: Ablehnung von Berechtigten beeinträchtigen sehr schnell die Akzeptanz Erfolgreiche Verifikation eines nicht Berechtigten ist meist direkt ein Sicherheitsrisiko 10

11 Beispiel: False Positive I 11

12 Biometrische Authentisierung Identifikation: Verifikation: 1 : n Vergleich 1 : 1 Vergleich Biometrisches System führt biometrische Verifikation / Identifikation durch. Unterschiedliche Verfahren, aber unterschiedlich geeignet bzw. problembehaftet 12

13 Probleme bei Biometrischer Authentisierung False Positive, False Accept/Match Rate (FAR/FMR): Das Biometrische System ordnet ein Sample fälschlicherweise einem Template zu. False Negative, False Reject/Non-Match Rate (FRR/FNMR): Ein richtiges Template wird vom System nicht erkannt. 13

14 Beispiel: False Positive II 14

15 Characteristica Biometrischer Authentisierung I Universalität: Wie viele Personen besitzen dieses Merkmal? Einmaligkeit: Wie unterschiedlich ist das Merkmal bei unterschiedlichen Personen ausgeprägt? Konstanz: Ändert sich das Merkmal im Laufe der Zeit? Messbarkeit: Wie gut ist das Merkmal durch Sensoren messbar? 15

16 Characteristica Biometrischer Authentisierung II Performanz: Wie schnell, genau und robust arbeiten die Sensoren mit denen das Merkmal erfasst wird? Akzeptanz: Wie stehen die Personen zum erfassen des Merkmals? Fälschungssicherheit: Wie schwer lässt sich das Merkmal imitieren? Kosten,... Kein Merkmal ist bei allen Punkten optimal! 16

17 Characteristica Biometrischer Authentisierung Folgen Kein Merkmal ist bei allen Punkten optimal! Biometrische Merkmale... sind in der Regel nicht änderbar sind in der Regel nicht geheim 17

18 Überblick: Stärken / Schwächen biometrischer Verfahren Usa- Kosbility ten [Liu, Silverman 2001] Modellbasierte Softwaretechniken für sichere Geschwindig. Genauigkeit Sicherheitsanf. Akzeptanz Gesichtserkenn. o o o Fingerabdruck + + o Handgeometrie o o Iris-Scan o o o o + o Sprache Untersch. 18

19 Biometrische Authentifikation Biometrisches System realisiert Verknüpfungskette: Berechtigung Identität Template Systemfunktionen Signatur Benutzer Biometriesensor 19

20 Funktionsweise Biom etriescanner Zugangsentscheidende Kom ponente Sperre Scannen biometrischer Daten, Template extrahieren. Vergleich mit gespeichertem Referenztemplate. Bei ausreichender Übereinstimmung entsperren. 20

21 Angriffspunkte I Biom etriescanner Zugangsentscheidende Kom ponente Sperre Angriff: Aufbrechen und / oder elektrisches Signal einspeisen. Physikalischer Schutz notwendig. 21

22 Angriffspunkte II Biom etriescanner Zugangsentscheidende Kom ponente Sperre Angriff: Zugangsberechtigtes Template ablauschen und einspeisen. Physikalischer Schutz, oder Schutz durch Kryptographie. 22

23 Angriffspunkte III Biom etriescanner Zugangsentscheidende Kom ponente Sperre Angriff: Imitation von Körperteilen, zum Beispiel Silikonfinger. Qualität des Biometriescanners erhöhen (Lebenderkennung). Problem: Ewiger Wettlauf? 23

24 Gefahren Biometrischer Authentisierung I [CCC 2008] [Wikimedia 2006] 24

25 Gefahren Biometrischer Authentisierung II [CCC 2004] 25

26 Gefahren Biometrischer Authentisierung III [CCC 2004] 26

27 Gefahren Biometrischer Authentisierung IV 27

28 Angriffspunkte III Biom etriescanner Zugangsentscheidende Kom ponente Sperre Angriff: Imitation von Körperteilen, zum Beispiel Silikonfinger. Qualität des Biometriescanners erhöhen (Lebenderkennung). Problem: Ewiger Wettlauf? 28

29 Einschränkungen Biom etriescanner Zugangsentscheidende Kom ponente Sperre Realisierbarer Modus: Identifikation (1:n) Notwendig: zentrale Speicherung biometrischer Datensätze. Probleme: - mehrere Referenzdatensätze betrachten - Speicherung persönlicher Merkmale unterliegt Datenschutz 29

30 System mit personifizierter Smartcard Biometriescanner Smartcard Zugangsentscheidende Komponente Sperre Kartenterminal - Referenztemplate auf Smartcard gespeichert. - Besitzer der Smartcard trägt Verantwortung für seine biometrischen Daten: Datenschutz. - Realisierbarer Modus: Verifikation (1:1). 30

31 Standard Smart Card [fidelica.com 2006] Templates müssen nicht zentral gespeichert werden Templates / Biometrosche Merkmale werden im System verarbeitet 31

32 Match-on-Card [fidelica.com 2006] Templates müssen nicht zentral gespeichert werden Templates / Biometrosche Merkmale sind nur im Terminal 32

33 Biometrische Smart Card [fidelica.com 2006] Templates müssen nicht zentral gespeichert werden Templates / Biometrosche Merkmale verlassen die Karte nicht 33

34 Wallet with Observer Wallet Observer Verifier Templates nicht zentral gespeichert Templates / Biometrosche Merkmale verlassen die Karte nicht [Impagliazzo & More 2003] Geringere Vertrauensannahmen notwendig 34

35 Angriffspunkte IV Biometriescanner Smartcard Zugangsentscheidende Komponente Sperre Kartenterminal Angriff: Vergleich zwischen gespeichertem Referenztemplate und aktuellem Wert manipulieren. Kryptographische Authentifikation. 35

36 Fallstudie für modellbasierte Sicherheitsanalyse mit UMLsec Biometrisches Authentifikationssystem in industrieller Entwicklung. Anwendungsfälle 36

37 Anwendungsfall: Biometrische Verifikation 37

38 Architektur Threatsinsider (connection) = Threatsinsider (wire) = {read, write, delete} Threatsinsider (smartcard) = Threatsinsider (tamperproof) =Ø 38

39 Klassendiagramm Zsc, Z2sc, idsc : Dat 39

40 Protokoll (VogelPerspektive) 40

41 Zusammenfassung Grundlagen Biometrie Biometrieverfahren Biometriearchitektur und Angriffspunkte 41