biometrie - technische fakultät · verwendung einer zwei stufigen pki. public key • jeder pass...
TRANSCRIPT
![Page 1: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/1.jpg)
Biometrieputs the “e” in ePass
![Page 2: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/2.jpg)
Biometrie
allgemein: Vermessung biologischer Merkmale
klassische Biometrie
• Biostatistik, Medizin, z.B. BMI ...
modernde Biometrie
• Erfassung möglichst eindeutiger biologischer menschlicher Merkmale
Definition
![Page 3: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/3.jpg)
Ziele
Identifizierung
• one-to-many Vergleich
Verifizierung
• one-to-one Vergleich, z.B. Passkontrolle
![Page 4: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/4.jpg)
Methoden
Augen: Iris oder Retina
Fingerabdruck
Foto, bzw. Gesichtserkennung
Handschrift
genetischer Fingerabdruck
...
![Page 5: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/5.jpg)
Anforderungen
• Minimierung der Falschrückweisungsrate und Falschakzeptanzrate
• Erfasste Merkmale müssen stabil bleiben
• Niedriger Bedienungsaufwand bei Massenanwendung
• Einfaches Enrollment (erstmalige Erfassung und Speicherung), im Rahmen bisherigen Zeitbedarfs
• Kosten
besonders im Bereich Passkontrolle
![Page 6: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/6.jpg)
Fingerabdruck
Mittelwert aus drei Messungen
• Match-on-card oder Datenbank
Probleme im Enrollment in ca. 2%
Verletzungen oder übermässige Abnutzungen der Finger beeinflussen Stabilität (kritisch laut TAB)
FAR nur mit besonderem Aufwand niedrig
![Page 7: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/7.jpg)
Gesichtserkennung
Besondere Anforderungen an Fotos für Enrollment
FRR teilweise ca. 20% (BSI BioP II)
Stabilität “ausreichend” (TAB), notfalls neues Enrollment
Hohe Erkennungsrate laut TAB
![Page 8: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/8.jpg)
Handgeometrie
• Unterscheidbarkeit für Verifizierung nur in kleinen Szenarien brauchbar
• Stabilität erst ab Alter >20 ausreichend
![Page 9: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/9.jpg)
Iriserkennung
Keine umfangreichen Studien zur Erkennungsleistung in Großanwendungen.
Geringe Akzeptanz
Hohe Anforderungen an Bedienung
• Besondere Verhaltensvorschriften
• Einlernzeit
![Page 10: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/10.jpg)
genetischer Fingerabdruck
• Genom ist eindeutig (mod Zwillinge)
• Vollständiger Genomvergleich unmöglich, daher Verwendung von Mirkosatteliten-Polymorphismus
• Teuer, zeitaufwändig.
• Statistische Sicherheit ungleich tatsächlicher Sicherheit
![Page 11: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/11.jpg)
der ePass
• Reisepass seit 1.11.05 mit digitalem Foto
• Ab März 2007 mit digitalen Fingerabdrücken
• Verwendung von RF-Chip
• Reichweite laut Spec 10 cm, Kommunikation ließ sich in Experimenten auch in >2m abhören
• Standard nach ICAO (International Civil Aviation Organization) und EU-Gremium
![Page 12: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/12.jpg)
ePass Details
Maschinenlesbarer Teil Bestandteilauch älterer Pässe
DG2 auf RF-Chip in neuenPässen
DG3 für Fingerabdrücke
DG15 Public Key Authentication
![Page 13: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/13.jpg)
Was wird gespeichert?
Laut BSI: Bild als ca. 15 kB JPEG in DG2
Eventuell 20 Bytes “Facial Informations”
• Geschlecht, Augenfarbe, Koordinaten ...
![Page 14: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/14.jpg)
ZugriffsschutzDaten sind signiert und verschlüsselt.
Elliptic Curve Digital Signature Algorithm
Verwendung einer zwei stufigen PKI
![Page 15: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/15.jpg)
Public Key
• Jeder Pass besitzt eigenes Schlüssel Paar
• Public Key in DG15 gespeichert
• Private Key im nicht auslesbaren Teil des Chips
![Page 16: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/16.jpg)
Basic Access Controlfür Foto nach DG2
![Page 17: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/17.jpg)
Schlüssel (Theorie)
Zugriffschlüssel wird berechnet durch:
• Passnummer: 109 Möglichkeiten
• Geburtsdatum, ca. 365*102 Möglichkeiten
• Ablaufdatum: 365*10 Möglichkeiten
ca. 56 bit Schlüsselstärke
![Page 18: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/18.jpg)
Schüssel Bewertung
• Kommunikation läßt sich mitschneiden
• Angriff auf Zugriffschlüssel ausreichend, um Datenverkehr lesen zu können.
• Da Foto als “less-sensitive data” angesehen wird, nur 56 Bit
![Page 19: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/19.jpg)
Schlüssel (Praxis)
• Nicht alle Daten zwingend gleichverteilt
• Bei fortlaufenden Nummern Korrelation Passnumer <-> Ausgabedatum, bzw. Ablaufdatum
• Geburtsdatum bekannt oder Jahr schätzbar
![Page 20: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/20.jpg)
Extended Access Control
• Zusätzlicher Schutz für Fingerabdrücke
• Add-on zu ICAO-Zugriffsschutz
• Public Key Mechanismus
• Lesegerät muß sich identifizieren
• Spezifische Rechte pro Lesegerät
• kryptographischer Coprozessor auf ePass
![Page 21: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/21.jpg)
Details?
• Nach BAC Austausch eines neuen Schlüssels per Diffie-Hellman
• Vergleichbar mit HTTPS mit Client-Zertifikaten
• Zertifikat des Lesegerätes muß vom ePass verifiziert werden
• Genaue Spezifikation steht noch aus
![Page 22: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/22.jpg)
Wer darf was?
![Page 23: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/23.jpg)
Probleme
• Was bei gestohlenen Lesegeräten?
• Etwas Schutz durch BAC
• Certificate Revocation
• Wie ohne Online-Verbindung des Chips?
![Page 24: Biometrie - Technische Fakultät · Verwendung einer zwei stufigen PKI. Public Key • Jeder Pass besitzt eigenes Schlüssel Paar • Public Key in DG15 gespeichert • Private Key](https://reader030.vdocuments.pub/reader030/viewer/2022040417/5d4e732b88c993fd6f8bb5e3/html5/thumbnails/24.jpg)
Quellen
• c’t 5/2005
• Büro für Technikfolgen-Abschätzung am Deutschen Bundestag
• BSI
• Pressestelle des Auswärtigen Amts
• CCC
• ICAO
• Wikipedia