Существует несколько фундаментальных проблем, связанных с использованием биометрических данных, таких как отпечатки пальцев, распознавание лиц и т.д. для аутентификации. Это достаточно проблематично, когда речь идет о шифровании.
Существует две основные проблемы, связанные с использованием биометрических данных для аутентификации.
- Если нет другого человека, который на самом деле наблюдает за тем, как вы "применяете" биометрические данные, действительно трудно убедиться, что биометрические данные действительно привязаны к реальному человеку. Подумайте о 3D-модели лица или отрубленном большом пальце :-( .
- Вы не можете изменить свое лицо или отпечаток пальца, и это не секрет, поэтому, как только эти знания попадают не в те руки, начинается технологическая гонка вооружений против физических и электронных устройств-подделок такие, как поддельные пальцы или технология обхода считывателя отпечатков пальцев, и это лишь некоторые из них. Ты навсегда застрял со своим лицом и своими пальцами.
Совершенно очевидно, что чистая биометрическая аутентификация подходит только в том случае, когда защищаемый актив имеет достаточно низкую ценность, чтобы злоумышленник не счел целесообразными затраты и риск его обхода.
Текущая тенденция внедрения аутентификации по отпечаткам пальцев в мобильные устройства вызывает тревогу. Ценность, которую представляет современное мобильное устройство, включая активы, потенциально доступные косвенно, такие как онлайн-аккаунты, может легко оправдать подмену. В некоторых частях мира не требуется слишком большого воображения, чтобы представить, как у людей отбирают не только их телефоны, как сегодня, но и отпечатки пальцев завтра.
У нас уже была ситуация, когда кража личных данных получилась серьезной головной болью. Но с этим действительно можно справиться, даже если процессу препятствуют устаревшие системы и законы. Если биометрия продолжит набирать обороты, мы можем получить группу людей, которые никогда полностью не интегрируются в общество, поскольку их однажды украденные биометрические данные никогда не смогут быть восстановлены или изменены. Кража может произойти индивидуально, из корпоративных или правительственных баз данных.
Хотя вероятность утечки национальной или корпоративной базы данных отпечатков пальцев, возможно, невелика, она не равна нулю. Со временем это произойдет. Однажды это случилось - этого уже никогда не исправить.
С другой стороны, украденный пароль сравнительно легко изменить.
Биометрия для шифрования
Довольно часто мы получаем запросы на интеграцию различных форм биометрии в AxCrypt вместо пароля или в качестве дополнения к нему. Проблема здесь в том, что правильно спроектированные системы шифрования предполагают, что злоумышленник обладает огромными ресурсами и полными знаниями обо всем. За исключением одного-единственного фрагмента информации: ключа дешифрования. Это все, что должно храниться в секрете, и это тоже должно храниться в секрете. Все зависит от того, является ли этот ключ секретным. В терминах AxCrypt пароль - это, в конечном счете, ключ, который должен быть секретным.
Отпечаток пальца уникален, но он не является секретным и не может быть изменен. Он совершенно непригоден для прямого или косвенного использования в качестве ключа шифрования.
Можно сделать то, что делают производители мобильных устройств, - использовать внутреннее надежное оборудование в качестве хранителя секретных ключей, которое выдаст секреты только при аутентификации, например, по отпечатку пальца. Вот как работает Apple Touch ID. Но помните об оговорках биометрической аутентификации, упомянутых выше. Внутреннее надежное оборудование всегда можно обмануть с помощью достаточно хорошо изготовленного устройства или артефакта, и часто требуемый отпечаток пальца можно найти даже на самом устройстве!
Счастливого AxCrypting!