Door Dick99999: Ik ben betrokken bij een innovatie om gestolen auto's op te sporen. In dat kader kwam ik dit artikel tegen:
http://www.edufrica.com/blog/2015/07/uganda-students-of-makerere-university-creates-app-to-stop-car-theft/
Gezien alle commotie rondom auto en Internet, leek me dit een aardig inititief. Zou dit veiliger zijn dan huidige vormen van start onderbreking of auto alarm systemen?
Ik denk dat op dit moment we niet goed door hebben waar je het meest mee geholpen bent. Als ik naar je vraag kijk, dan denk ik dat je eerst en vooral nog een stuk ervaring en kennis op moet doen over beveiliging en deels ook de betrokken technieken. De diverse maatregelen en technieken die je noemt zijn inderdaad allemaal beveiligingsmaatregelen, maar daar houdt de gelijkenis dan ook wel op.
Je begint met te vertellen dat je betrokken bent bij een innovatie om gestolen auto's op te sporen. Dat is in de driehoek preventieve, detecterende en reactieve maatregelen een sterk reactieve maatregel. De auto is gestolen en je wil die terughalen.
Vervolgens vraag je of de voorgestelde maatregel, die in essentie neerkomt op een vingerafdrukslot in plaats van een slot met sleutel, beter zou zijn dan startonderbreking of auto-alarm. Om met de laatste te beginnen, een auto-alarm is een detecterende maatregel. Op basis van een of meerdere criteria worden triggers gevormd waarop de elektronica actie onderneemt de criteria kan je varieren (aanraking, gebroken ruit, startpogingen, in theorie dat je buiten een bepaald gebied rijdt, of een code niet intoetst). De acties kan je ook varieren (lawaai maken, een nummer bellen, remmen aanslaan, a la James Bond https://www.youtube.com/watch?v=5h4joX0iF9A). Maar het principe blijft onveranderlijk.
Startonderbreking is wat ingewikkelder. In sommige gevallen (op afstand inschakelbaar) is het een reactieve maatregel maatregel. Soms ook is het gekoppeld aan de sleutel of aan een code. In dat geval kan het als een tweede slot beschouwd worden, en deels ook als maatregel die preventief het bekende doorverbinden van de draden moet tegengaan.
Het hier voorgestelde idee met vingerafdrukken is in de essentie een alternatief voor het beproefde slot en sleutel. De eigenschappen zijn anders, het principe niet. Je hebt iets (een vingerafdruk of kopie daarvan dan wel een sleutel), en dat verleent je toegang tot iets. Een authenticatiemiddel dus.
Probleem is dat vingerafdrukken al een tijdje in de security wereld bekend zijn en dat de eigenschappen daarvan ze niet bijster geschikt maken voor authenticatie, behalve als spielerei voor niet al te kritische zaken.
Het begint bij het volgende. Een eigenschap van een authenticatiemiddel moet zijn dat je ze redelijkerwijs geheim moet kunnen houden. Met sleutels is dat al moeilijk genoeg, tegenwoordig kan je met behulp van een redelijke foto de sleutel 3D printen. Maar je kan ze tenminste nog het grootste deel van de tijd in je broekzak houden. Het enige equivalent voor vingerafdrukken is het grootste deel van de tijd handschoenen dragen. Bovendien laten ze latente afdrukken na op een onthutsend aantal geschikte oppervlakken. Leuk voor opsporingsorganisaties, maar minder leuk voor bijvoorbeeld Wolfgang Schäuble (https://edri.org/edrigramnumber6-7fingerprint-schauble/). Afnemen en namaken is kinderspel.
Een tweede eigenschap is dat je een authenticatiemiddel nooit voor verschillende dingen tegelijk gebruikt (de bekende vermaning om verschillende wachtwoorden voor verschillende accounts te hebben, of de reden dat je huissleutel, fietssleutel en autosleutel verschillend zijn. Immers, zou je het anders doen, dan is een probleem bij een van die dingen meteen ook een probleem bij alle andere tegelijk.
Met vingerafdrukken is dit ondoenlijk. Nu al bewijzen ze (in afwezigheid, hopelijk) je onschuld, zijn ze sleutels om te mogen reizen, om bepaalde landen in te mogen, om een arbeidscontract af te sluiten (via het paspoort), om een uitkering te krijgen (ook via het paspoort), in sommige gevallen voor de sportschool, het zwembad of andere gelegenheden, vaak voor de iPhone of andere gadgets, en daar zou dan de auto nog bij komen... In veel van deze gevallen heb je niet in de hand of het scanapparaat heel onverantwoord een kopie als plaatje heeft. Dat doen ze technisch gewoonlijk niet per default, maar in de firmware kan het gewoonlijk wel aangepast worden en tenminste een regering heeft er op gezinspeeld om het voortaan zo te doen aan de grenzen (naar aanleiding van een Koreaanse die op nagemaakte vingerafdrukken de grens over kwam, in Yomiuri van 2008/2009 moet je het terug kunnen vinden).
De derde eigenschap van een authenticatiemiddel is dat het middel bij aanvallen geen risico's met zich mee moet brengen die erger zijn dan wat je beschermt. Daarmee komen we bij je vervolgvraag:
Door Dick99999:Dat percentage weet ik helaas niet, maar ik heb wel gelezen of gehoord dat die verschuiving aan de gang is: meer inbreken en sleutels geruisloos stelen of met veel geweld binnenkomen en de sleutels onder bedreiging meenemen. Eigenlijk geeft dat een zelfde dilemma als bij de vingertop. Neem je een geweldig goed alarm (soms zelfs verplicht gesteld door de verzekeraar boven de € xxxxx) met het risico dat de sleutels ruw en met grote impact afhandig worden gemaakt?
Nee. Bij het ruw en met grote impact afhandig maken heb je materiële schade (de auto) en emotionele schade. Je kan ook lichamelijk schade hebben, maar dat is niet zeker, vooral niet als je je niet verzet. Bij een domme crimineel die niet weet dat je heel gemakkelijk de afdruk na kan maken, snijdt die je vingertop af en heb je dus al het bovenstaande plus verminking van je hand. Een auto is dat risico niet waard.
Tot slot de laatste eigenschap. Een authenticatiemiddel moet vervangbaar zijn. Met een autosleutel gaat dat als volgt: De auto wordt gestolen, de verzekering keert uit. Je koopt een andere auto met een ander slot en een andere sleutel en bent weer mobiel. Met een vingerafdrukslot is die andere auto ook kwetsbaar voor diefstal met dezelfde kopie. En de daaropvolgende. En die daarna. Ad infinitum.
Ik hoop dat dit je op weg helpt. Bestudeer wat je doel is, welke eigenschappen de middelen moeten hebben om aan dat doel te voldoen, en welke middelen die eigenschappen ook daadwerkelijk hebben. Succes.