Unterlagen zum Vortrag vom 7.Mai 1999
Inhalt
1. Einstieg
Login: rfsPassword: ********
Bekannt? Sehr wohl! Geliebt? Kaum! Sicherheit?
Naja... Und doch behaupten sich die Passwörter, Passphrasen und PIN's
(Persönlich Identifikations Nummer) Querbeet bei der hintersten und
letzten Anwendung mit elektronischer Zugriffs- oder Zugangssicherung.
PIN für Postcard, EC-Karte, Kreditkarte,
CASH-Karte; Passwort für Workstation, drei elektronische Zahlungsverkehr-Softwares
(jeweils plus Streichliste), Passphrase für PGP, PIN oder Passwort
für Handy, PDA, Autoradio... Mehr als zehn Passwörter bringt
jeder von uns locker zusammen. Werden sie für die optimale Sicherheit
auch monatlich gewechselt? Und sind es immer schön unaussprechliche
Nicht-Worte um einfache Suchcracks abzuwehren (Mindestens acht Zeichen,
Doppel- ev. Dreifachzeichen, Zahlen, Sonderzeichen...)? Oder - ohweia -
hören vielleicht alle Logins auf den Namen der Freundin?
Aus mehreren Gründen scheinen die
bekannten Passwortabfragen völlig überholt:
- Zu viele verschiedene Passwörter zum merken.
- Passwörter sind häufig zu einfach anzugreifen
- Passwortübermittlungen sind einfach abzufangen
- Passworteingabemasken versenden die getippten Zeichen in alle Welt (Tempest)
- Passwörter werden auch auf einem Server zentral gepspeichert, ev. nur leicht verschlüsselt
- Passwörter können, einmal abgefangen, ev. unbemerkt missbraucht werden.
2. Biometrische Systeme
Wie wir alle wissen, kann der Menschen nicht nur anhand von DNS Analysen eindeutig identifiziert werden, sondern auch anhand von Fingerabdrücken. Genau diese Tatsache wird bei der biometrischen Fingerabdrucksensorik genützt.Wenn wir unsere Fingerballen genauer anschauen, erkennen wir die einzelnen Linien, genannt Minutien. Die Minutien müssen analysiert werden und deren Verlauf muss festgehalten werden. Die entsprechende Software scannt einen Finger und erkennt diese Minutien. Es muss nicht das ganze Bitmap gespeichert werden sondern lediglich die Verzweigungs- und Endpunkte von 20 bis 30 Minutien.
Es ist interessant zu wissen, dass vor Gericht eine Person bereits eindeutig identifiziert ist, wenn 12 Minutien übereinstimmen. Dies mag uns als wenig erscheinen.
Beim täglichen Einkaufen bezahlen
wir bereits mehrheitlich mit Chipkarten. Wir nehmen die Karte und ziehen
sie durch einen Kartenleser. Auf der Karte ist unser PIN (Personal Identification
Number) gespeichert. Wir werden aufgefordert diesen PIN einzugeben. Bei
Uebereinstimmung wird der Kauf ausgeführt (Belastung an die Bank/Post).
Die Sicherheit der Chipkarte steht in
Relation zu der Anzahl Stellen des PINs. Wenn ich im Besitz einer fremden
Karte bin, ist es mir möglich, einfach verschiedene PINs zu
probieren. Bei einem Fingerabdruckleser ist es offensichtlich, dass ich
einen anderen Fingerabdruck habe. Der Horrorgedanke, einfach den Finger
eines Opfers abzuschneiden und mit diesem einkaufen zu gehen wird dank
einer Lebendigkeitsprüfung in den Keimen erstickt.
Ein Problem stellt sich insofern, wenn
der gescannte Fingerabdruck auf einem zentralen Rechner gespeichert ist
und der Fingerabdruckleser den Fingerabdruck auf der Datenbank des zentralen
Rechners abgleichen muss. Dies heisst, Daten über ein Netz transferieren.
Dies kann eine Gefahr darstellen, dass sich jemand in das Netz einschleust
und die Daten abhört, abändert, speichert und so weiter.
Unschärfe
Das Bitmap, das der Fingerabdruckleser
beim Scannen macht, ist natürlich bei jedem Scannen etwas anders.
Durch fester drücken, oder schrägem draufhalten kann das Bild
ändern. Die Software erkennt dies selbstverständlich.
Es ist nun die Sache des Administrators
diese Unschärfe einzustellen. Wie wir gelernt haben, stehen Sicherheit
und User-Konfort in der folgenden Relation:
Sicherheit = 1/User-Komfort.
Es gibt zwei Hauptmerkmale der Unschärfe
:
Unberechtigte Ablehnung (FRR False
Rejection Rate)
Der Benützer muss mehrere Male seinen
Finger scannen lassen bis die Software den Benützer richtig erkennt.
Fälschliche Akzeptanz (FAR False
Acceptance Rate)
Eine nichtberechtigte Person bekommt schnell
Zugang.
Kennzahlen
- 500-1200 dpi Scanner
- 513 dpi entsprechen fast 65'000 Messpunkten
- 8bit Graustufenbild mit 80 bis 90 Abstufungen
- Speicherung von 20 bis 30 Minutien enspricht ca. 100 bis 200 Bytes
- Siemens erwartet für das Jahr 2003 ein Marktvolumen von 1 bis 3 Milliarden Mark für biometrische Sensorsysteme (Gesicht, Stimme, Fingerabdruck und weitere)
Biomouse PLUS Fingerprint Scanner von AlphaNet kostet netto 480 Fr.
Die Kombination eines SmarCard Lesers und eines biometrischen Sensors ist eine gute Entscheidung. Für diese Kombination sprechen mehrere Gründe. Das Gerät (SmartCard Leser und Fingerabdruckleser) bildet ein eigenständiges Gerät. Es werden keine persönlichen Daten auf einer Datenbank abgebildet. Die persönlichen Daten bleiben beim Besitzer auf dessen Karte. Dies hat einen rechtlichen Vorteil. Die Gefahr bei einem Datentransfer (zum Beispiel auf eine entfernte Datenbank) ist ebnso abgewendet.
Diese Kombination kann in Zukunft eine wichtige Rolle spielen. Im Bereich e-commerce mit mirco payments gibt es noch immer keine einfache, sichere und bequeme Lösung. Hier ist es durchaus vorstellbar, dass der Internet-Benützer von seiner Hausbank eine Chipkarte mit abgespeichertem Fingerabdruck bekommt. Beim Einkaufen auf dem Internet kann der Verkäufer den Käufer auffordern, sich mittels Fingerscan zu identifizieren. Voraussetzung ist einen solchen Fingerprintleser angeschlossen zu haben. Dasselbe Prinzip geht beim Online Banking. Eine weitere Form kann das Unterschreiben von elektronischen Daten sein.
Wir versuchen ein ‘Biomouse PLUS Fingerprint Scanner’ Demogerät der deutschen Firma AlphaNet zu erhalten. Eine Demo ist vorgesehen.
3. Zero-Knowledge Kryptologiesysteme
Unter Zero-Knowledge Interactive Proof Systemen (ZKIP-Systeme) versteht man nicht einen Krypto-Algorithmus sondern ein bestimmtes kryptologisches Protokoll. Dieses hat die widersprüchlichen Eigenschaften, dass es die eindeutige Identifikation von Personen erlaubt, ohne über sensitive Daten (im besonderen nicht über ein Passwort) von ihnen zu Verfügen.Definition von ZKIP aus dem Kurs "Cryptology"
von D.O. Jaquet-Chiffelle:
|
applications for standard proof systems |
|
application of Zero-Knowledge Interactive Proof systems |
Je nach Beziehung der beweiserbringenden
und konrtrollierenden Person ergeben sich verschiedene Bedürfnisse
im Vertrauens- oder Misstrauensverhältnis. Herscht blindes Vertrauen
auf beiden Seiten erübrigt sich die Frage ohne technische Unterstützung.
Der weitaust häufigste Fall dürfte ein versuchter Missbrauch
von Benutzerseite her sein. Hier setzen die gebräuchlichen Passwortabfragen
an, ohne gültigen Code gibt's keinen Zugang. Neigt der User zu Misstrauen
an der Gegenseite kommt ZKIP ins Spiel. Es wird der Kontrollstelle nicht
möglich sein, die Zugangsinformationen des Benutzers zu missbrauchen,
denn die hat sie gar nicht. Die Kontrollstelle kann lediglich unzweideutig
feststellen, dass der Benutzer alle Informationen besitzt um seine Identität
oder Berechtigung zu bewseisen.
| Beziehungsmatrix Prover/Verifier | Prover honest | Prover dishonest |
| Verfier honest | Keine gesicherten Log-on Prozeduren notwendig. | Grosse Wahrscheinlichkeit, dass nur berechtigte User einloggen. |
| Verifier dishonest | Zero Knowledge Interactive Proof | -- |
Funktionsweise eines ZKIP Protokolls am
Beispiel von "Omura's proof of identity":
Kunde Alice schickt Bob ein mittels ihrer
Geheiminformation xA (Fingerabdruck-Hash o.ä.) errechnete Identifikation
yA. Bob schickt Alice die veränderte "Challenge" y zurück, die
mit einer erneuten Berechnung (wiederum mit xA) beweisen muss, dass sie
nicht einfach irgend ein yA gesendet hat. Wie die Äquivalenzrelation
zeigt, ergeben die beiden Berechnungen dasselbe Resultat.
Eine praktische Anwendung könnte wie folgt aussehen: Ein Anwender besitzt eine persönliche Smartcard, auf der Zugangsinformationen und vertrauliche Daten gespeichert sind. Mit der Intelligenz der Karte lassen sich kryptographische Algorithmen und Protokolle implementieren und ausführen. Ein biometrischer Sensor auf der Smartcard ist in der Lage, den Fingerabdruck des Besitzers zu identifizieren. Nach der derartigen "Öffnung" sind die Kommunikationskanäle für z.B. 10 Sekunden frei, eine Applikation kann die notwendigen Transaktionen tätigen. Dabei werden nicht die Referenzdaten des Fingerabdrucks mit dem jeweiligen Server ausgetauscht, sondern ein "Zwischenprodukt" mittels ZKIP generiert und überprüft (siehe Grafik oben). Dabei muss - je nach Protokoll - nicht einmal die Identität der Person begannt gegeben werden, es kann auch genügen die Liquidität des Bankkontos zu bestätigen und dort eine annonyme Abbuchung zu tätigen. Nach kurzer Zeit verschlüsselt die Smartcard alle internen Informationen, sperrt die Kommunikationskanäle und wird so für Drittpersonen absolut unbrauchbar. Der Besitzer muss sich nicht um PINs kümmern und die Karte nicht wie seinen Augapfel hüten.
4. Schlusspunkt
Und was, wenn sich Madame Tussoud mit der aktuellen Wachs-Ausgabe des amerikanischen Präsidenten Zugang zu den sicherheitsrelevanten Zonen der US-Streitkräfte verschafft? Tja...
 |
5. Literatur
Power-Point Präsentation zu diesem Paper (download)Dr. O. Diedrich (1999)
Nie mehr das Passwort vergessen, c't
6/99
Biomouse Plus Fingerprint Scanner
Infos bei http://www.alphanet.de/
Comparison of Biometric Identification
Methods
http://www.and.nl/id/products/biometri/biometri.html
DCS AG, Spezialist für Biometrie
http://www.dcs.de/
Heinmann Biometric Systems
http://www.hbs-jena.com/Fingerprint.htm
128-bit Verschlüsselung für Netscape
Communicator
http://www.fortify.net/