09-12-2014, 14:43 door Anoniem: 09-12-2014, 10:10 door Anoniem: Ik denk dat dit soort bedrijven het "cool" vinden en niet nadenken dat er mogelijk mensen zijn die er wel problemen mee hebben.
Tja, je kan je afvragen *waarom* die mensen er een probleem mee hebben. Dat soort simpele oplossingen slaan enkele kenmerken van je vingerafdruk op, op basis waarvan ze je kunnen authenticeren. Een kopie van je gehele vingerafdruk maakt deze apparatuur niet.
Twee problemen.
(1) Deze apparatuur maakt
wel een plaatje van jouw vingerafdruk.
Ofwel je weet niet waar je over praat (hou dan je kop), of je liegt. En vooral dat laatste gebeurt veel te veel in deze branche, misbruik maken van de onkunde van klanten en eindgebruikers. Met als gevolg schijnveiligheid, misplaats vertrouwen en bergen privacygevoelige gegevens die, vroeger of later, gaan zwerven (en natuurlijk goed gevulde portemonnees van de verkopers van dit soort apparatuur + software).
(2) Jouw bewering dat vingerafdrukscanners
kenmerken van vingerafdrukken opslaan (meestal op back-end systemen) is wel juist. Echter, daarmee kunnen dergelijke systemen mensen
identificeren, niet
authenticeren. Hoewel het verschil subjectief is, is pas sprake van authenticatie indien voldoende betrouwbaar bewijs, voor de specifieke toepassing, voor de identiteit van een persoon wordt geleverd. Daarover zo meer.
Dit soort apparatuur werkt als volgt. In eerste instantie worden gebruikers "ingevoerd" in het systeem. Daarbij wordt hun vingerafdruk afgenomen. Dat wil zeggen dat er een plaatje van een vingerafdruk wordt gemaakt. Dat plaatje staat in elk geval in het geheugen, maar het kan ook op "schijf" (evt. flashgeheugen) worden opgeslagen - waarmee het, na het spanningsloos maken van het apparaat, nog steeds beschikbaar is.
Terzijde, het kan zijn dat het plaatje bij de eerstvolgende "scan" wordt overschreven. Indien inderdaad sprake is van flashgeheugen, wordt het oude plaatje lastiger toegankelijk gemaakt, waarna het nieuwe plaatje naar
andere flash geheugencellen wordt geschreven (i.v.m. wear-leveling, zie
http://www.metzdowd.com/pipermail/cryptography/2014-June/021952.html). Als zo'n device onveilig wordt afgevoerd...
Uit dat plaatje worden karakteristieke kenmerken van de vingerafdruk bepaald, en
die worden zeker wel opgeslagen (meestal op een back-end systeem, in een database). Denkbaar is dat het afleiden van de karakteristieke kenmerken niet in de scanner zelf plaatsvindt, maar in een "back-end" systeem. In dat geval wordt het plaatje via een "interface" uitgewisseld. Daarbij kan het om een RS-232 achtige seriële verbinding gaan, maar de praktijk is dat steeds vaker van ethernet en/of WiFi verbindingen gebruik gemaakt wordt. Met alle risico's van dien.
BELANGRIJK: voordat ook maar
enige sprake kan zijn van authenticatie, moet, tijdens het invoerproces, de identiteit van de persoon die de vingerafdruk afstaat, met voldoende betrouwbaarheid worden
aangetoond. Het
uitsluitend verstrekken van een naam (een identificerend gegeven), is geen authenticatie. Door een terzake kundige en bevoegde medewerker zal een identiteitsbewijs van de betreffende (te identificeren of eventueel te authenticeren) persoon moeten worden onderzocht, en zal moeten worden vastgesteld, met voldoende betrouwbaarheid, dat de persoon inderdaad is wie zij zegt dat zij is. OOK zal die medewerker zorgvuldig moeten vaststellen dat de te identificeren persoon haar vingers niet heeft gemanipuleerd. Je kunt namelijk niet uitsluiten dat de betreffende persoon
op dat moment al (tijdens invoeren dus) haar vingerafdrukken heeft afgeschuurd en/of met zoutzuur heeft bewerkt, of middels een latex laagje de vingerafdruk van een ander imiteert.
Ik hoop dat deze maatregelen allemaal "in place" zijn bij het opleidingsinstituut van de TS. Hoewel ik vind dat vingerafdrukscanners
identificerende apparaten zijn, hoeft niet iedereen daar zo over te denken. Wat hier gebeurt is dat er wel een soort "bewijs" van identiteit aan een naam wordt gekoppeld. Later kan dat als bewijs tijdens een proces worden gebruikt, bijvoorbeeld om te bewijzen dat
jij iets gedaan hebt waarvan
jijzelf weet dat je het niet geweest bent (It Wasn't You:
https://www.security.nl/posting/410189/). Op dat moment is het maar helemaal de vraag of een rechter het met mij eens is, namelijk dat een vingerafdrukscanner
geen authenticerend device is. Deze identificatiemethode (vingerafdrukscans) is dus niet iets waar je lichtzinnig mee moet omgaan.
Tot zover het "invoerproces".
De volgende keer dat de persoon zich meldt, wordt opnieuw een vingerafdrukplaatje gemaakt (en wellicht tijdelijk opgeslagen op "non-volatile" memory). Op dezelfde wijze als tijdens het "invoerproces" worden daar karakteristieke kenmerken uit afgeleid. Met die kenmerken wordt de database met eerder opgenomen kenmerken doorzocht, tot een "acceptabele" hit plaatsvindt. Op basis van het percentage overeenkomende kenmerken, wordt de persoon wel of niet geïdentificeerd. Dit proces is nooit 100% zeker. Alleen al daarom zijn de
authenticerende mogelijkheden beperkt.
De consequentie van minder dan 100% betrouwbare identificatie is dat het kan zijn dat jij
geheel niet wordt herkend (bijv. omdat de huid van jouw vingers beschadigd is). Het kan
ook zijn dat het systeem jou als
iemand anders herkent (hoe meer personen er in de database zitten, hoe groter de kans daarop). En dan kan het natuurlijk
ook zo zijn dat
iemand anders als jou wordt geïdentificeerd. It wasn't you, maar het systeem zegt van wel...
Een, wellicht groter, probleem is dat die
kenmerken, voor het onderhavige systeem, qua identificerende eigenschappen, equivalent zijn met jouw vingerafdruk. Een aanvaller (opzet dus) die dergelijke kenmerken kan aanbieden aan het systeem, op welke wijze dan ook, kan zich voordoen als jou (equivalent met pass-the-hash technieken bij wachtwoorden). Je moet er maar op vertrouwen dat dit soort systemen zo veilig zijn dat dit niet kan.
Nou, misschien is het nog nieuws voor je, qua beveiliging zuigen de meeste van dit soort systemen. In veel gevallen voldoet het predikaat speelgoed. Heel
gevaarlijk speelgoed, vooral de goedkopere apparatuur, zeker in handen van prutsers. En van dat laatste lijkt sprake in het verhaal van de TS, die m.i. prima gehandeld heeft.