Es gibt mehrere grundlegende Probleme bei der Verwendung von biometrischen Daten wie Fingerabdrücken, Gesichtserkennung usw. zur Authentifizierung. Noch problematischer ist es, wenn es um Verschlüsselung geht.
Es gibt zwei Hauptprobleme bei der Verwendung von Biometrie zur Authentifizierung.
- Wenn kein anderer Mensch tatsächlich zusieht, wie Sie die Biometrie anwenden, ist es wirklich schwierig sicherzustellen, dass die Biometrie wirklich mit der realen Person verbunden ist. Denken Sie an ein 3D-Modell des Gesichts oder einen abgehackten Daumen :-( .
- Sie können Ihr Gesicht oder Ihren Fingerabdruck nicht ändern, und das ist kein Geheimnis. Sobald dieses Wissen in den falschen Händen ist, kommt es zu einem technologischen Wettrüsten gegen physische und elektronische Spoofing-Geräte wie gefälschte Daumen oder Bypass-Technologie für Fingerabdruckleser, um nur einige zu nennen. Du bist für immer mit deinem Gesicht und deinen Fingern festgefahren.
Dies macht ziemlich deutlich, dass eine reine biometrische Authentifizierung nur dann geeignet ist, wenn das zu schützende Asset von ausreichend geringem Wert ist, so dass sich für einen Angreifer die Kosten und das Risiko einer Umgehung nicht lohnen.
Der aktuelle Trend, die Authentifizierung per Fingerabdruck in mobile Geräte zu integrieren, ist beunruhigend. Der Wert, den ein modernes mobiles Gerät darstellt, einschließlich der potenziell indirekt erreichbaren Vermögenswerte wie Online-Konten, könnte Spoofing leicht lohnenswert machen. In einigen Teilen der Welt bedarf es nicht allzu viel Vorstellungskraft, um sich vorzustellen, dass Menschen nicht nur wie heute ihr Handy, sondern morgen gleichzeitig eine Fingerspitze geraubt werden.
Wir haben bereits eine Situation, in der Identitätsdiebstahl ein großes Problem darstellt. Aber das kann tatsächlich gehandhabt werden, auch wenn der Prozess durch veraltete Systeme und Gesetze behindert wird. Wenn die Biometrie weiter voranschreitet, könnten wir eine Gruppe von Menschen bekommen, die sich nie vollständig in die Gesellschaft integrieren werden, da ihre einmal gestohlenen biometrischen Daten niemals wiederhergestellt oder geändert werden können. Der Diebstahl kann einzeln oder aus Unternehmens- oder Regierungsdatenbanken erfolgen.
Die Wahrscheinlichkeit, dass eine nationale oder unternehmensweite Fingerabdruckdatenbank durchsickert, ist zwar gering, aber nicht Null. Mit der Zeit wird es passieren. Wenn es einmal passiert ist, kann es niemals rückgängig gemacht werden.
Ein gestohlenes Passwort hingegen ist vergleichsweise trivial zu ändern.
Biometrie zur Verschlüsselung
Sehr häufig erhalten wir Anfragen, verschiedene Formen von Biometrie anstelle oder als Ergänzung zum Passwort in AxCrypt zu integrieren. Das Problem hierbei ist, dass ordnungsgemäß entworfene Verschlüsselungssysteme davon ausgehen, dass ein Angreifer über enorme Ressourcen und umfassendes Wissen über alles verfügt. Bis auf eine einzige Information: den Entschlüsselungsschlüssel. Das ist alles, was geheim gehalten werden muss, und es muss auch geheim gehalten werden. Alles hängt davon ab, dass dieser Schlüssel geheim ist. In AxCrypt-Begriffen ist das Passwort letztendlich der Schlüssel, der geheim sein muss.
Ein Fingerabdruck ist einzigartig, aber er ist nicht geheim und kann nicht geändert werden. Es ist völlig ungeeignet, es direkt oder indirekt als Verschlüsselungsschlüssel zu verwenden.
Es ist möglich, das zu tun, was Hersteller von Mobilgeräten tun, interne vertrauenswürdige Hardware als Hüter der geheimen Schlüssel zu verwenden, die die Geheimnisse nur dann freigibt, wenn sie beispielsweise durch einen Fingerabdruck authentifiziert wird. So funktioniert die Apple Touch ID. Denken Sie jedoch an die oben genannten Einschränkungen der biometrischen Authentifizierung. Die interne vertrauenswürdige Hardware kann immer durch ein ausreichend gut gemachtes Gerät oder Artefakt getäuscht werden, und häufig wird der erforderliche Fingerabdruck sogar auf dem gesamten Gerät selbst gefunden!
Glückliche AxCrypting!