Geen commentaar mbt tot het AVG aspect .

Ik heb wel twijfels over de aanname van de vragensteller dat een hash van de vingerafdruk-kenmerken niet meer herleidbaar is tot de kenmerken.

De kenmerken (Arnoud gebruikt de juiste term : feature vector) zijn mogelijk een vrij kleine zoekruimte .
De hash ervan is in dat geval volledig te doorzoeken .

Een voorbeeld :

SHA-256(telefoonnummer) is amper anoniem .

Met tien cijfers telefoonnummer is het erg simpel om ze allemaal te proberen (voor brute force begrippen is 10^10 niet veel), en op die manier het telefoonnummer terug te vinden als je de SHA-256 hash ervan hebt .

Ik vraag me dus af hoeveel entropie er in de feature vector zit van een vingerafdruk , en of dat genoeg is om een hash ervan onherleidbaar te maken tot de input waarde.

Even een zijsprongetje,
Hoe zit het met pasjes met foto, die bedrijven uitgeven voor hun werknemers ?
Mogen deze bedrijven de foto wel opslaan in een systeem of ladekast ?
Wat zijn de regels hiervoor ?

De regel is dat bedrijven VERPLICHT zijn een foto van hun werknemers (op een ID bewijs) op te slaan in systeem of ladekast!

Ik zie een goede reden voor een foto op een toegangspas bij organisaties waar men niet alle collega's van gezicht kent. Maar er is geen reden om die foto langer op te slaan dan voor het maken van de pas noodzakelijk is.

Een goed punt. Echter een vingerafdruk hash is anders dan de SHA hashes die we gewend zijn.

Een vingerafdruk scanner vergelijke niet de hele afdruk. Dat zou een rekenkracht kosten die het apparaat ver te boven gaat en de kans op een false negative sterk vergroten (een stofje op de scanner plaat...). In plaats daarvan vergelijkt het een handjevol kenmerkende punten (eindpunten, hoekjes etc), zgn. Minutiae, en de afstand daartussen. Al het andere negeert het. Als ik het goed heb praten we bij moderne scanners over een stuk of 10 minutiae. Al het andere wordt dus sowieso niet vergeleken.

Een hash is van die berekening, de coördinaten, soort en afstand van de minutiea, afgeleid, en dus niet zozeer een SHA-256 of iets dergelijks.

Kan je dezelfde 'rainbow' methode toepassen? Vermoedelijk, als je een deugdelijke kopie van het origineel en het algorithme waarmee de 'hash' berekend wordt. Maar erg zinvol is het niet. Je kan dan net zo goed je kopie in houtlijm laten gieten en op het apparaat leggen (https://hoe-eenvoudig.com/index/post/7015-Nep-vingerafdrukken.html). Belangrijker is: Kan je als je de hash en het algorithme hebt weer terug komen op een kopie van de afdruk. Omdat meer dan 90% weggegooid wordt, is het antwoord daar op nee.

Een avg die in de uitleg van de AP niet de laatste stand van techniek mag gebruiken voor autenticatie is strijdig met de GDPR

Dat wordt een leuk verhaal voor een rechtszaak. Als bij een datalek de achukd daarvoor bij de AP komt, gaat de AP dan beboet worden voor het overtreden van de GDPR?

Die zit in het verlengde, een simpele bewering dat iemand bij een bepaalde organisatie werkt is geen bewijs dat het zo is.
Een pas met foto is een goede optie omdat je kan zien of pas en persoon bij elkaar kunnen horen. Dat is biometrie.

Ik noem SHA-256 omdat in het artikel de vraagsteller spreekt over het opslaan van hashes van de afdruk.

Ik had eigenlijk aangenomen dat het hier weer om de hash van de feature vector (dus van die minutiae) ging,
Dus SHA-256([vector van kenmerken van 10 minutiae] ) , zeg maar.
Met als doel die feitelijke feature vector geheim te houden - en waarvan ik me afvroeg of die zoekruimte niet gewoon te klein is om dat te bereiken.

maar het zou ook kunnen dat de vraagsteller (of z'n leverancier) de term "hash" gebruiken voor de pure verzameling van kenmerken.



Natuurlijk kun je op basis van de kenmerk-extractie niet meer de volledige vingerafdruk reconstrueren.
En als je de mogelijkheid hebt om een originele afdruk "gewoon" te kopieren is dat natuurlijk veel simpeler .

Maar wellicht kun je op basis van de kenmerk-extractie wel een vingerafdruk _construeren_ die dezelfde kenmerken oplevert , en dus geaccepteerd wordt als die aangeboden wordt aan een sensor.

Ook zijn aanvallen voorstelbaar waarin je een MITM aanval doet tussen sensor/feature extractor en authenticatie-database , en dan de gestolen feature-vector als resultaat injecteert.

De kenmerken die van de vingerafdruk afgeleid worden, zijn op zich niet te herleiden naar een persoon en de vingerafdruk is ook niet te reconstrueren. Maar om een toegangscontrolesysteem te kunnen laten werken, moet je in het systeem vastleggen dat die ene hash gekoppeld is aan die bepaalde persoon. Nu is de hash ineens wel te herleiden naar de persoon en dus een persoonsgegeven volgens de AVG. En omdat die hash is afgeleid van een lichaamskenmerk, is het biometrische informatie.

De AP zegt dat dit alleen in uitzonderlijke situaties mag, bijvoorbeeld voor toegangscontrole bij een kerncentrale.

Ik zie weer meerdere reacties van mensen die denken dat je een bruikbaar authenticatiesysteem houdt als je, in plaats van templates met minutiae, hashes daarvan opslaat in de authenticatiedatabase.

Kan iemand mij naar een betrouwbare bron verwijzen waarin duidelijk wordt beargumenteerd hoe je de hash van "een vingerafdruk" (template met minutiae) zou kunnen opslaan - en door opnieuw een vingerafdruk te nemen, de hash ervan te berekenen en deze te vergelijken vergelijken met de eerder in de database opgeslagen hashes, zou kunnen vaststellen om wie het gaat (c.q. onbekenden de deur te weigeren)?

Vanzelfsprekend heb ik ook zelf gezocht. In een mogelijk relevante wetenschappelijke publicatie hierover, "Symmetric hash functions for secure fingerprint biometric systems" van Sergey Tulyakov et al. van de State University of New York at Buffalo, gepubliceerd in 2007 (https://cubs.buffalo.edu/images/pdf/pub/symmetric-hash-functions-for-secure-fingerprint-biometric-systems.pdf), wordt uitgelegd hoe lastig dit is; vingerafdrukscans zijn fuzzy. Daarom gebruiken zij geen "normale" hashfuncties maar "symmetrische". Ook moeten meerdere hashes worden opgeslagen en neemt de overall betrouwbaarheid van het systeem af.

In "Rolled versus Plain Fingerprints: Matching with Cryptographic One-way hashes" (https://www.researchgate.net/publication/222570842_Symmetric_Hash_Functions_for_Secure_Fingerprint_Biometric_Systems) schrijven Qinghai Gao et al. (Farmingdale State College) in 2017 over die bovengenoemde publicatie:
Daarnaast hebben zij kritiek op nog een hele reeks door anderen voorgestelde methodes om (afgeleiden van) opgeslagen vingerafdrukscans beter te beveiligen (in elk geval dat deel kan dus interessant leesvoer zijn).

Zij zelf gebruiken MD5 (wel schrijven zij (in 2017 dus): "Note that the hash function MD5 can be replaced with other stronger cryptographic one-way hash function such as SHA-1"). Ook is een PIN-code nodig, waardoor je zou kunnen revoken na een datalek (op zich mooi). Hun conclusie eindigt met:
Ik begrijp zo snel niet hoe dit zou kunnen werken, maar uit het feit dat ze willen gaan salten, maak ik op dat zij zich (hoogstwaarschijnlijk terecht) zorgen maken over het reversen van hashfuncties door het brute-force (al dan niet geholpen door voorkennis, bijv. van gangbare of juist zelden voorkomende waarden van minutiae, of combinaties daarvan) genereren van artificiële vingerafdrukscans en die op dezelfde wijze door "het systeem te halen" tot je een match vindt (net zoals wachtwoordhashes meestal worden "gekraakt").

Over eventuele praktijkimplementaties van dat laatste voorstel kon ik niks vinden, wel een begin dit jaar goedgekeurd patent voor de beveiliging van patiëntgegevens waarbij van patiënten, van notabene twee verschillende biometrische kenmerken, hashes worden berekend en (samen neem ik aan) worden omgezet in een "biometric numeric score" die in een blockchain wordt opgeslagen (https://uspto.report/patent/grant/10,885,170). Dit wordt vast een goudmijn (not). Los van de blockchain-hype, SEH: "scan uw vinger". Vuurwerkslachtoffer: "uhh..."

Volgens mij is het als volgt (verbeter me als ik het fout heb, maar dan wel graag met steekhoudende argumenten of verwijzingen daarnaar).

Een van de kenmerken van een "normale" hashfunctie is dat als het minste geringste aan de input verandert, de uitkomst van de hashfunctie met hoogstmogelijke zekerheid, meestal flink, wijzigt (het zogenaamde avalanche effect). Bijvoorbeeld een stofje op, een kleine beschadiging van, iets meer of minder druk en/of verdraaiïng van een vinger op de scanner zal dus tot een totaal andere hash leiden. Ik zie niet hoe je hiermee een zinvol systeem zou kunnen realiseren (waarbij überhaupt vingerafdrukken worden "herkend").

Zodra je een template met minutiae, tijdens "enrollment", opslaat in de database (fictief voorbeeld: A = 86 , B = 9, C = 74, D = 17), en bij een volgende scan gecheckt wordt of de nieuwe A binnen 3% overeenkomt met de oude A, de nieuwe B binnen 23% van de oude B, enzovoorts - heeft dat natuurlijk helemaal niets met hashen te maken.

Nb. Te vaak zie ik marketingmensen moeilijke en "onhackbare" begrippen gebruiken (zoals "military grade encryption") bij technieken waarbij deze helemaal niet worden toegepast - om kopers een "warm gevoel" te geven. Het is ook denkbaar dat ze gewoon niet weten waar de klepel hangt en ergens hebben gelezen dat een hash soms ook een vingerafdruk wordt genoemd.

Als, in bovenstaande verzonnen voorbeeld, de getallen A, B, C en D altijd 0..99 zijn en het vereiste nauwkeurigheidpercentage per coëfficient nooit groter is dan 99%, kun je die getallen natuurlijk achter elkaar plakken, dus bijv. 8603092174101702 - maar dat heeft niets met hashen te maken. Je kunt dat resulterende getal natuurlijk wel hashen, maar daar heb je niks aan (bovendien is het te reversen door een aanvaller, vooral als je de percentages kent - zoals gebruikt in de specifieke toepassing). Dat reversen kun je tijdrovender maken met bijv. Argon2, maar daar heb je zelf dan ook last van elke keer als je van een aangeboden vingerafdrukscan wilt vaststellen of het om een bekende in jouw systeem gaat - en zo ja, wie.

Als minutiae van een vingerafdrukscan biometrische persoonsgegevens zijn (dat lijkt mij wel, net als de lengte van een persoon), ga ik ervan uit dat het, met de huidige kennis en technieken van nu, onmogelijk is om gegarandeerd onomkeerbare afgeleiden van die minutiae te bepalen en (langdurig) op te slaan. En zelfs als dat mogelijk zou zijn: vingerafdrukscanners zelf kunnen de scan en/of de daaruit berekende minutiae voor onbekende tijd opslaan (zie bijv. https://security.nl/posting/410351 ) of op onveilige wijze overdragen naar bijv. een TCS (toegangscontrolesysteem). En ook in dat TCS kunnen de minutiae bijv. in een paging file terechtkomen en/of (lang genoeg) in RAM staan om door een ongeautoriseerde te worden gekopiejat.

Kortom, ik ben het (deze keer ;-) eens met Arnoud.

"Further reading" over gebruikte technieken in vingerafdrukscanners en mogelijke systeemaanvallen: "Fingerprint Vulnerability: A Survey" door Seyedehzahra Hosseini, Iowa State University: https://www.researchgate.net/publication/325834257_Fingerprint_vulnerability_A_survey.

Bedenkt voor de bijdrage . Ik ben weinig bekend met vingerafdruk systemen, en had snel (te snel) aangenomen dat de term van de vraagsteller in de 'normale' betekenis (voor mij, in enige security context dus crypto hash) gebruikt werd .

En min of meer impliciet aangenomen dat de kenmerk vector van de minutiae al zodanig genormaliseerd zou zijn dat je een bit-identieke vergelijking zou kunnen doen - want inderdaad, een meer fuzzy match doen gaat zeker niet samen met het gebruiken van een crypto hash .

Achteraf gezien niet logisch - en veel logischer dat men in de vingerafdruk-scan wereld dan gewoon de term "hash" gebruikt voor een setje kenmerken van de vingerafdruk , en dan graag benadrukt dat "niet de hele vingerafdruk opgeslagen wordt" .


Om eerlijk te zijn - de term 'hash' _is_ achteraf gezien breder dan de cryptografische hashes en hun eigenschappen, en dus niet eens verkeerd gebruikt.

In breder verband is het slechts een functie die een willekeurig lange input mapped op een kleiner aantal uitkomsten , voor opslag en zoekalgorithmen.
https://en.wikipedia.org/wiki/Hash_function

De cryptografische hashes zijn een deel van die familie, met een aantal speciale eigenschappen omtrent 1st/2n preimage resistance and collision resistance die andere hash functies niet hebben - en voor hun doel ook niet hoeven te hebben.

Toch lees ik hier dat dit dan nog steeds biometrie is, en dat is vreemd.

Ja maar DAAR is het nou net niet geschikt voor! Vingerafdrukscan is een handige snelle methode voor toegang waarbij
het doorgeven van authenticatie tokens (kaart, deurcode, etc) niet zomaar mogelijk is en je vergeten van die tokens ook
niet. Dat is handig in allerlei situaties waarin je redelijk zeker wilt weten of de juiste personen naar binnen gaan, bij
voorkeur gemonitord met een extra visuele controle bijv een bewaker die in de buurt zit en/of met een camera meekijkt.

Als het op een totaal afgelegen plek is of in een situatie waarin de controle echt HEEL belangrijk is dan werkt deze
methode niet omdat je dan met allerlei truuks kunt proberen die scanner om de tuin te leiden. Wat ook goed lukt.

De AVG en de houding van de AP heeft er alleen maar voor gezorgd dat steeds meer mensen zijn gaan denken
"waar zijn die lui mee bezig???". Men had gehoopt een betere bescherming van privacy te krijgen maar waar het
op uitdraait is een serie idiote regels en beperkingen die met privacy niks meer te maken hebben en het werken
onmogelijk maken. Gevolg is in dat soort situaties dat de wet genegeerd wordt, ook in situaties waarin die WEL
relevant was. Niet slim dus.

Als de politie bekend maakt dat een dader ongeveer 1m90 lang is, dan is dat geen uniek identificerend gegeven, maar wel een identificerend gegeven. Dus ook al gooi je 99% weg, die ene procent blijft identificerend. Want door deze ene procent met voldoende andere "verdunde" persoonsgegevens te combineren, kun je toch uniek identificeren.

Dat is deels ongewenst en deels gewenst (criminelen laten immers zelden hun BSN-nummer achter op de plaats delict).

Dat kunnen interessante eigenschappen zijn (bijv. bij digitale handtekeningen), maar hier zijn ze nauwelijks relevant: van belang hier is dat je, uit de hashwaarde, niet de input kunt reproduceren.

Net als bij de MD5-hash van een wachtwoord is het een verwaarloosbaar probleem dat iemand met extreem veel moeite een ander wachtwoord weet te vinden dat toevallig dezelfde MD5-hash oplevert. Het probleem hier is niet dat MD5 "gekraakt" is, want dat heeft geen invloed op deze toepassing. Het probleem met MD5, SHA-1, SHA-2 etc. voor deze toepassing (onomkeerbaarheid is vereist) is dat ze bloedsnel zijn en dat de meestgebruikte wachtwoorden bekend zijn (o.a. te vinden op haveibeenpwned). Dus kun je al die bekende wachtwoorden, al dan niet met salts, in veel te korte tijd allemaal hashen en checken op matches in de gekopiejatte database.

Wenselijk is dat, als een database met vingerafdrukgegevens (of "unidirectionele" afgeleiden daarvan) gecompromitteerd raakt, kwaadwillenden niets kunnen met die gegevens.

Stel dat het mogelijk is om afgeleiden van vingerafdrukscans op te slaan, dan heeft dat alleen zin als het onrealistisch is dat kwaadwillenden die afgeleiden (feitelijk pseudoniemen van biometrisch identificerende gegevens) terug kunnen vertalen naar de oorspronkelijke gegevens (en daar wellicht een synthetisch stukje vingerhuid van kunnen maken dat door dit merk en type scanner geaccepteerd zal worden) en/of als een soort PtH (Pass the Hash) elders (of, later, op dezelfde plaats) kunnen misbruiken om zich voor te doen als het slachtoffer.

Zelfs de meest perfecte cryptografische hash is niet bestand tegen reversen als de input-range (het aantal mogelijke unieke inputwaarden) beperkt is. Bij niet-cryptografische hashes zal het algoritme vaak zo doorzichtig zijn dat er veel minder pogingen nodig zijn dan brute force, dus dat is zelden een goede oplossing als onomkeerbaarheid je belangrijkste eis is.

Dat was mijn eerste vraag (9 jun 12:24 ) - ik ging toen uit van een cryptografische hash , met de vraag of de input ruimte van afdruk-kenmerken wellicht te klein was om het terugvinden van de afdruk-kenmerken onmogelijk te maken als ze met een crypto-hash opgeslagen zijn.
Gegeven wat je schreef zal het niet zo werken, dat er SHA-256(afdrukkenmerken) opgeslagen wordt.


Daarnaast was (en evt is) mijn vraag (9 jun 16:32) of je , gegeven de opgeslagen afdrukkenmerken, een afdruk kunt _construeren_ die daaraan voldoet .
Dat die niet overeen zal komen met het origineel is logisch (er is veel te veel informatie weggegooid) maar voor het "doel" - toegang krijgen die de werkelijke eigenaar van de afdruk heeft, en gelogd worden als zijnde de werkelijke eigenaar van de vingerafdruk is dat voldoende.

Je zult dus iets moeten doen met MFA. Bijvoorbeeld een badge (iets wat je hebt), een vingerafdruk (iets wat je bent) èn visuele controle. Op plekken waar biometrische toegangscontrole niet is toegestaan kun je in plaats van een vingerafdruk ook prima een PIN gebruiken.

Lees je het wel? Ik zeg toch: je moet er extra een camera bij hangen, en je kunt vingerafdrukken handig gebruiken in
situaties waarin je niet wilt dat tokens onderling worden doorgegeven of vergeten.
Een kaart plus pincode voldoet aan beide wensen niet: je kunt die kaart thuis laten liggen, en je kunt hem aan een
collega geven (ohja de pin is 4742) die even naar binnen wil en zelf geen autorisatie heeft.
Dus je oplossing is geen oplossing.