(nem hivatalos e-kormányzati témájú oldal)
| Mottó: [...] Janus a római mitológiában [...] a be- és kijárás, a kezdet és vég védőszelleme. /Wikipedia/ | ||
| 2016. március 3. | ||
| Biometria: Tényleg minden jó, ami bio? | ||
| Bevezetés Mostanában egyre többször hallani arról, hogy a biometria mennyire jó dolog, mennyire egyszerűen tudja helyettesíteni a jelenlegi tudás és/vagy birtok alapú felhasználó-hitelesítési és -azonosítási megoldásokat (a legutóbb hírekbe került FIDO Alliance is foglalkozik vele, igaz ott megvan a birtok típusú HW tokenek támogatása is a biometria mellett). Sokan érzik azonban azt is, hogy nem teljesen kerek a történet. Ez a biometria furcsa terület, nehezebb összevetni a hagyományosabb technológiákkal, ezért is születnek néha olyan állítások, amik szerintem nem teljesen helytállók. TL;DR Én úgy gondolom, hogy a biometria alapú felhasználó-hitelesítés és -azonosítás egy jó és hasznos kiegészítő megoldás lehet, de semmiképpen sem lehet helyettesítő termék, főleg nem kizárólagos. Mondjuk lefordítva a fejlesztők nyelvére ez olyan, mintha azt mondanám, hogy egy webes űrlap kitöltésénél a kliens oldalon lefutó JavaScript segítheti ugyan a felhasználót a megfelelő kitöltésben és az "input validation"-ben, de ha valakinél telepítve van a NoScript add-on a böngészőjében, vagy a JavaScript-et megkerülve, direkt támadó szándékkal küld el valaki speciális karaktereket, akkor azt a szerver oldali "input validation" kell, hogy lekezelje, azaz ez a szerver oldali logika sosem lehet elhagyható! Nem TL;DR Sajnos, vissza kell menni az alapfogalmakhoz, hogy világosabb legyen az állításom... Az azonosító adat (pl. felhasználónév) nyilvános, egyedi, állandó. A hitelesítő adat (pl. jelszó) nem nyilvános, nem feltétlenül egyedi, nem feltétlenül állandó. Nézzük meg, hogy a biometria típusú adat vajon melyik lehet ezek közül! Nyilvánosság Az azonosító adat, mint pl. a felhasználónév nyilvános lehet, ezért kiírásra kerülhet mindenhol, a webes űrlapnál is olvasható, megadhatjuk bárkinek. Ami beleszól ebbe az a hazai adatvédelem, ami kimondja néhány azonosító adatunkra, hogy érzékenynek számítanak, ezért mégis titokban kell tartanunk őket, hogy a profilozás, az összekapcsolás ne legyen lehetséges. A hitelesítő adat, mint pl. a jelszó nem kerül kiírásra, még a webes űrlapoknál is csak csillagok olvashatók a karakterek helyén, és százszor elmondták már, hogy ha fel is írják valahova a felhasználók, akkor is az legyen jól elzárva attól a környezettől, ahol illetéktelen is hozzáférhet (pl. a páncélszekrényben lehet jelszófüzet, rejtjelező kulcsok listája). A biometria esetében viszont kérdéses, hogy az ujjlenyomatunk, amit mindenhol otthagyunk (ld. német politikus és a vacsoránál használt kristálypohár esete), vagy az íriszünk, amit akár egy előlapi kamerás mobillal, vagy 6 méterről (legalább 75 pixeles képet készítve) teleobjektívvel is el tudnak venni, hogy azt felhasználhassák biometria alapú felhasználó-hitelesítéshez és -azonosításhoz, nos, ez már erősen kérdéses, hogy mennyire nyilvános vagy nem nyilvános... Az adatvédelmisek mindenesetre azt mondják, hogy érzékeny adatnak számítanak (az eSZIG kártya ePASS applet-jén tárolt ujjlenyomathoz is csak a rendvédelmi szervek férnek hozzá), de ettől még titokban tartható adatnak semmiképpen sem mondanám. Ez olyan, mintha a bankkártyámra halvány vagy láthatatlan tintával ráírnám a PIN kódomat, igaz ezt csak az venné észre, akinek jó a szeme vagy van UV lámpája. A biometria típusú adat tehát a nyilvánosság szempontjából inkább azonosítónak számít. Jut eszembe, adatvédelem... (egy kis kitérő) Amíg Magyarországon az azonosítókon keresztüli összekapcsolhatóság ellen próbálnak foggal-körömmel védekezni, addig pl. a németek inkább azt akarják felügyelni adatvédelem címszó alatt, hogy kinek engedik az állampolgárok kiadni a személyes adataikat. Ha belegondolunk, az szerintem is egy értelmes gondolat, hogy tudom szabályozni, hogy egyik cégnek kiadom az akár érzékeny adataimat is (pl. OEP adatbázisból a kórtörténetem alapján az életbiztosító pontos képet kap rólam, ráadásul olcsóbban, mert nem kell kivizsgálásra mennem, és emiatt nekem is kedvezőbb és személyre szabottabb ajánlatot tud tenni), a másiknak meg nem (pl. a SMS spam-küldő webshop-nak nem fogom engedni a mobilszámom kiadását, sőt, akár utólagos "leiratkozási", engedély-visszavonási lehetőség is adott). A hazai felfogásnak viszont kevés hasznát látom (főleg, ha mindenki mindenhol ugyanazt az e-mail címet adja meg azonosító adatként), legalábbis vannak olyan kutatási eredmények, amiket profilalkotás kapcsán szoktak sűrűn emlegetni. Az egyik ilyen Latanya Sweeney 1990-es tanulmánya, amely szerint a profilalkotáshoz meglepően kevés adat is elegendő. It was found that 87% (216 million of 248 million) of the population in the United States had reported characteristics that likely made them unique based only on {5-digit ZIP, gender, date of birth}. About half of the U.S. population (132 million of 248 million or 53%) are likely to be uniquely identified by only {place, gender, date of birth}, where place is basically the city, town, or municipality in which the person resides. And even at the county level, {county, gender, date of birth} are likely to uniquely identify 18% of the U.S. population. In general, few characteristics are needed to uniquely identify a person. Szerencsére az új, hazai e-közig modellben már lesz lehetőség a németekéhez hasonló adathozzáférési rendelkezések, meghatalmazások tételére (ld. Rendelkezési Nyilvántartás), ezért van remény arra, hogy értelmes és korszerű lesz az adatvédelem is... De térjünk vissza a biometriához! Egyediség Az azonosító adat, mint pl. a felhasználónév egyedi kell, hogy legyen, egy rendszerbe való regisztrációnál figyelmeztet is minket a portál, ha már az adott azonosító foglalt. Nyilván ez a háttérben közvetlenül vagy közvetve, de kulcsként is szolgál az adatbázisban. A hitelesítő adat, mint pl. a jelszó nem feltétlenül egyedi, vagy legalábbis a rendszerbe való regisztrációnál biztos, hogy nem jelzi a portál, hogy az adott jelszó foglalt-e már. Szép is lenne, hiszen így máris lehetne gondolkodni, hogy na, vajon melyik felhasználónak lehet ez a jelszava? Mivel a felhasználónevek azonosító adatok, azaz nyilvánosak, egy ilyen listát meg lehetne szerezni és csak végig kellene menni rajta, mindegyiket a jelszóval kipróbálva. Azt gyorsan azért megjegyezném, hogy bár lehet két tetszőleges felhasználónak ugyanaz a jelszava (pl. De@dBeef), erről egyrészt a portál nem adhat ki információt, másrészt belül, a jelszótárolásnál még nem ugyanaz a lenyomat keletkezik ugyanabból a jelszóból, hiszen ma már a "salt" használata "rainbow" táblák elleni védelem miatt kötelező. A biometria esetében az egyediség nem kérdés, hiszen pont azzal hirdeti magát mindenki, hogy X darab pontot használ és ekkora mennyiségnél már biztosított, hogy ne legyen ütközés. Az egy más kérdés, hogy az érzékelők, olvasók minősége, pontossága között hatalmas különbségek vannak, az X darab ponton alapuló minta kiértékelése milyen hibatűrés mellett történik. Márpedig, pont a tömegeknek készülő olvasók lényegesen gyengébbek, azaz csak a professzionális, ipari beléptetőknél használt olvasók lehetnek ilyen szempontból megbízhatók. De ettől még tény, hogy a biometria egyediséget tud biztosítani. A biometria típusú adat tehát az egyediség szempontjából inkább azonosítónak számít. Állandóság Az azonosító adat, mint pl. a felhasználónév állandó szokott lenni, legalábbis körülményes lehet annak megváltoztatása, végigvezetése egy rendszeren, illetve - ahol érdekes a történetiség is, ott - az egy vagy több régi és új azonosító összekapcsolása. A hitelesítő adat, mint pl. a jelszó nem feltétlenül állandó, és ez bizony hasznos tulajdonság, hiszen ha pl. támadás éri a rendszert, és emiatt a jelszólenyomatok kikerültek, elindult a versenyfutás az idővel a törésben/jelszómódosításban, vagy csak egyszerűen a régóta használt jelszót szeretnénk lecserélni, akkor erre lehetőséget szoktak adni a különböző portálok is. A biometria esetében az állandóság általában teljesül. Egy kis mozgásteret az adhat, hogy 10 ujjunkból váltogathatjuk, hogy melyeket állítjuk be a rendszerben, de pl. egy arcfelismerő megoldásnál ilyen lehetősége már legfeljebb csak egy kétfejű trollnak lehet. De gondolhatunk másra is... A nem is olyan távoli jövőben, amikor az állampolgárok génszekventált DNS-mintái az OEP adatbázisában lesznek összegyűjtve (merthogy bizony az OEP és a TB-kassza számára nagyon nem mindegy, hogy mennyibe kerül a kezelés, ezért minél pontosabb info kell a páciensről), akkor valaki megszerzi az adatbázis dump-ot és kirakja a netre. Nos, akkor mi lesz? Lecseréljük a DNS-ünket? A biometria típusú adat tehát az állandóság szempontjából inkább azonosítónak számít. Azonosító vagy hitelesítő adat? A követelmények (nyilvánosság, egyediség, állandóság) megvizsgálása alapján tehát jellegét tekintve a biometria típusú adat mindenképpen azonosítónak számít. Miért gondolja akkor mégis mindenki azt, hogy hitelesítő adatként is lehet alkalmazni? Erre azt szokták válaszolni, hogy azért, mert egyfajta birtok típusú adatként is felfogható, amire igaz az, hogy a testünk része, azaz attól elválaszthatatlan. No, itt jön be a képbe egy másik szempontrendszer, amit pedig a "távoli (virtuális) személyes megjelenés" és a "helyi (fizikai) személyes megjelenés" összehasonlításánál szoktunk emlegetni. Ezen kétféle személyes megjelenés egyenértékűségének biztosításához ugyanis az alábbi követelmények ellenőrizhetőségét kell biztosítania egy megoldásnak: összetartozóság, pontosság, hitelesíthetőség, valósidejűség. Megpróbálom ezt a négy szempontot most kizárólag a biometria típusú felhasználó-hitelesítési és -azonosítási megoldások szemszögéből megvizsgálni. Összetartozóság A biometria típusú adatot feldolgozó olvasó mennyire tudja ellenőrizni az összetartozóságot? Mennyire lehet tudni, hogy valóban van-e a biometria mögött fizikai (és lehetőleg élő fizikai) test vagy csak az ujjlenyomat, írisz képe lett beküldve az érzékelő bemenetére? A Hacktivity konferencián Otti Csaba és csapata minden évben más típusú eszközzel mutatja be, hogy mennyire könnyű ezt az összetartozóságot elhitetni az érzékelőkkel, mennyire egyszerű átverni őket, de a Chaos Computer Club konferenciáin is többször volt ez téma (pl. 31C3-on 2014-ben). Az összetartozósági követelmény teljesítése tehát problémás... Pontosság A biometria típusú adatot feldolgozó olvasó mennyire tudja biztosítani a pontosságot? A jobb hibatűrést csak az ipari rendszerek képesek biztosítani, egyszerűbb megoldásoknál a felhasználhatóság jegyében inkább lazítanak a szabályokon, hogy a "happy day scenario" problémamentesen le tudjon futni. (A biometrikus eszközök vizsgálati módszertanai is tartalmazzák többek közt a "True Accept Rate (TAR)", "True Reject Rate (TRR)", "False Accept Rate (FAR)", "False Reject Rate (FRR)" értékeket, amelyek a pontosság, megbízhatóság legfontosabb adatai.) A pontossági követelmény teljesítése tehát problémás... Hitelesíthetőség A biometria típusú adatot feldolgozó olvasó, illetve a teljes felhasználó-hitelesítést és -azonosítást megvalósító rendszer milyen szintű hitelesíthetőséget tud biztosítani? Ez a követelmény nem magára a biometriára vonatkozik, hanem csak arra hívja fel a figyelmet, hogy nem szabad kizárólagossá tenni, szükség van mellette más típusú adatra is a felhasználó-hitelesítés és -azonosítás során (tudás típusú jelszó vagy birtok típusú eszköz). A hitelesíthetőségi követelmény teljesítése tehát nem problémás, ha erre a megoldás tervezése és fejlesztése során ügyelnek... Valósidejűség A biometria típusú adatot feldolgozó olvasó, illetve a teljes felhasználó-hitelesítést és -azonosítást megvalósító rendszer tudja-e ellenőrizni a valósidejűséget? Ezt a követelménypontot "challenge-response" kommunikáció beiktatásával szokták teljesíteni a "távoli (virtuális) személyes megjelenés" alapú folyamatoknál. Ezzel kerülhető el az, hogy előre, korábban felvett cselekménysort közvetlenül bejátszanak az érzékelő bemenetére. A "challenge-response" egy tisztán biometria típusú megoldásnál lehet az, hogy pl. milyen sorrendben és mely ujjakat kell leolvastatni a beléptetés során, amihez egy megfelelően kiválasztott próbálkozási számra vonatkozó korlát (pl. 3 lehetőség) is társul. A valósidejűségi követelmény teljesítése tehát nem problémás, ha erre a megoldás tervezése és fejlesztése során ügyelnek... Összefoglalás Ha ezen követelményeknek (összetartozóság, pontosság, hitelesíthetőség, valósidejűség) való megfelelés is biztosított lenne, akkor a biometriát nem csak azonosító, hanem egyfajta hitelesítő adatként is lehetne használni. Csak, hát pont erről szólnak a hírek, a saját tapasztalatok és az IT biztonsági konferenciák előadásai, hogy ez nem megy, ezért... Én úgy gondolom, hogy a biometria alapú felhasználó-hitelesítés és -azonosítás egy jó és hasznos kiegészítő megoldás lehet, de semmiképpen sem lehet helyettesítő termék, főleg nem kizárólagos.
| ||
| vissza | ||
info@ugyfelkapu.info
