Archive for the ‘Biometri’ category

« Older Entries

Bildigenkänning lurad med bild

July 1st, 2008

I Japan har man tydligen infört nya cigarettautomater. I ett försök att kontrollera åldern på de som försöker köpa cigaretter är automaterna utrustade med ett system för bildigenkänning.

En ciggautomat från Japan.
En av de biometriskt utrustade cigarettautomaterna.

För att få köpa cigaretter behöver man antingen hålla upp sitt RFID-utrustade ID-kort (vilket de tydligen infört i Japan – kallas Tespo) framför kameran i automaten. Alternativt ställer man sig framför maskinen som avgör om man ser ut att vara gammal nog att få röka.

Tillverkaren Fujitaka berättar hur automaten fungerar:


The face-recognition machines rely on cameras that scan the purchaser’s face for wrinkles, sagging skin and other signs of age. Facial characteristics are compared with a database of more than 100,000 people, and if the purchaser is thought to be well over 20 years old (the legal age), the sale is approved.

If the purchaser looks too young, they are asked to prove their age by inserting a driver’s license. According to Fujitaka, the machines are 90% accurate.

Men som några upptäckt är automaten precis lika duktig på att bedöma åldern på personer på bild… som hålls upp framför automaten. Ett 15 cm foto från en tidning på en medelålders man accepterades som ett verkligt ansikte av automaten.

Biometri är besvärligt, speciellt att bedöma vems biometriska egenskaper man egentligen försöker mäta upp.

  • Share/Bookmark
Print

2 comments »

Posted in Biometri

IMEGO och andningsbaserad biometri

December 22nd, 2007

(Mycket biometri från Göteborg just nu.)

I går kväll diskuterades alkolås på bilar och möjligheten att sälja utandningsluft på tub som ett sätt att gå runt systemet. Det visade sig att statligt ägda företaget IMEGO har varit engagerade att utveckla sensorer som kan detektera att det är en levande människa som andas.

Det finns en artikel publicerad som beskriver vad man gör. Tydligen tittar man på både luftens temperatur och hur koldioxidhalten varierar under ett andningsprov, detta för att mängden koldioxid varierar beroende på vilken del av lungorna luften kommer ifrån.

Googlar man lite hittar man en del länkar till andningsbaserad biometri. De flesta av dessa ser ut att ta fasta på att det följer med en del celler varje gång man andas ut, och att det då skulle gå att titta på DNA:t i cellerna för att identifiera personer. Jag hittar dock mest patent men inga konkreta produkter.

Och av någon anledning dök en sida om Binaural Phasing från Harmonic Resolution upp, fast då började knäppklockorna ringa…

  • Share/Bookmark
Print

1 comment »

Posted in Biometri

Ny biometriprocessor från FPC

December 22nd, 2007

Biometriföretaget Fingerprint Cards (FPC) från Göteborg har släppt en en ny biometriprocessor till sina sensorer. (Ja, för en månad sedan – jag är inte så snabb.)

FPC2020

FPC2020 är anpassad för att fungera med FPCs areasensor FPC1011C.

FPCs areasensor

FPC2020 integrerar hårdvara för bildbehandling, acceleration av biometriska algoritmer och en kontrollprocessor.

Detta gör att man inte som tidigare behöver någon extern processor, ex en ARM eller en AVR. Utan det man behöver för att bygga in en biometrifunktion är en sensor, ett seriellt FLASH-minne, en kristall och FPC2020. (FPC skriver inget om innehållet i FLASH-minnet är skyddat och hur.)

Det finns ett datablad med detaljerad information om FPC2020 inklusive API:t för att använda kretsen. I det kan man bland annat hitta följande information.

Antalet användare som kan hanteras beror på storleken på externa FLASH-minnet. Med 2 Mbit klarar FPC2020 att hantera 223 olika templates. Största FLASH-minnet FPC2020 verkar stödja är 8 Mbit vilket ger kapacitet för 991 templates, men FPC skriver att man bör hålla nere antalet templates till mindre än 500.

Verifiering mot en enskild template tar ca 0.2 sekunder. Registrering (Enrolment) tar däremot hela sju sekunder. Normalt sett gör varje användare en eller ett fåtal registreringar och massor med verifieringar så verifieringstiden är det som är viktigt att få snabbt. Men sju sekunder är ändå tillräckligt lång tid för att man skall börja fundera på om det gick bra eller ej.

Vad gäller säkerheten skriver FPC att False-Rejection-Rate (FRR, dvs man godkänner inte ett tidigare registrerat fingeravtryck) går att justera och beror på indata. Även False-Acceptance-Rate (FAR, dvs man accepterar ett icke registrerat fingeravtryck) är ställbar från 1/1000 till 1/100.000. Vid 1/100.000 får man en FRR på mindre än 7 %.

Säkerhetsmässigt är ett lågt FAR-värde mycket viktigt. Däremot är ett lågt FRR-värde viktigt för att systemet inte skall kännas bökigt att använda.

En liten märklig detalj. Jag hittar ingen information på FPCs webbplats vad som hänt deras sweepsensorer FPC1030 och FPC1031.

Krokodilen?

Bilden ovan hittade jag på den här webbplatsen. På den sidan står det att FPCs sensorer utvecklats av ett företag i Holland kallat Xensor. En annan märklig detalj är att bilden ovan heter Krokodilen?!

Personligen föredrar jag sweepsensorer före areasensorer. Jag tyckte att FPCs sweepsensorer i förhållande till areasensorn var mycket trevligare att arbeta med, tog mindre plats och dessutom inte kan ha några problem med kvarlämnade (latenta) fingeravtryck på sensorn.

FPC2020 kommer kapslad i en liten och trevlig 64-bens QFN-kapsel. FPC2020 klarar matning från 2.5V till 3.3V och kommunicerar mot omvärlden via RS-232 (vilket FPC kallar UART) eller SPI-interface.

  • Share/Bookmark
Print

6 comments »

Posted in Biometri, Hårdvara, Inbyggda system

SRAM för ID och slump del tre

November 5th, 2007

Jag har tidigare i ett antal omgångar bloggat om en artikel som beskriver en teknik för att använda initialtillståndet i SRAM för att identifiera enheter samt generera slumptal. Jag har under hösten haft en mailkonversation med en av författarna bakom artikeln för att försöka förstå säkerhetsimplikationerna runt tekniken. Nu har jag fått ännu en laddning med svar. Diskussionen den här gången handlar om informationsläckage, hur väl det går att identifiera en enhet och ett minnesblock samt risken för felidentifiering.


(Q1) Have you looked at the minimum number of bits in the memory dump to get good enough Hamming vales for the fingerprints?

(A1) Yes, we explore this further in an upcoming publication. We should that 64 bits of SRAM can be used to differentiate between 5120 blocks of SRAM.

(Q2) My bad: There was a “not” missing in the first sentence. What I meant was, of course if not “long-enough” time have lapsed, then wouldn’t you risk exposing application information in the memory dump due to the remanence?

(A2) Ok, I understand now. Yes, it would risk leaking application information in the memory dump. This is not something we have given much thought to yet, but is an interesting implication.

(Q3) The number of samples to create the template depends on how reliable the mem dump of the device is. We found that 3 was reasonable for creating a template, but using more dumps will result in a more accurate template. In fact, the matching can often be done based on a template created from just a single memory dump, with no averaging at all. What is the number of effective bits in the ID in that case? And what are the false acceptance and false recection rates?

(A3) The number of effective bits number is around 90% of the total number of bits. The exact acceptance rates depend on the population size and number of bits used, but the acceptance rates are generally quite good.

(Q4) If the device gets it’s ID from an external device it can no longer reliably state “I’m ID XYZ” but can be told by the external unit a false ID which is then used by the device to perform authentication. I see a potential MITM-attack on this setup. No?

(A4) There may be potential for a MITM attack. We are currently still working on the system level implications of our design.

Mao ser det ut som att man med relativt liten mängd data (64 bitar) kan identifiera ett specifikt SRAM block och därmed en individ på 5120, dvs en på drygt 2**12. Samtidigt säger man att man har en biteffektivitet på 90%.

Men det stora problemet är informationsläckage och möjlighet att lura systemet, vilket författarna går med på är ett problem, men verkar vara problem som ligger på systemnivå.

Jag tror att jag kommit till vägs ände med den här diskussionen och tänker inte fortsätta störa författarna. Det har dock varit mycket intressant att få chans att läsa, fundera ställa frågor, följdfrågor och få chans att diskutera med forskarna. Hoppas att du som läsare också fått ut något konkret.

Jag kommer att bevaka och se när det kommer en uppföljningsartikel från författarna. Återkommer i så fall…

  • Share/Bookmark
Print

No comments »

Posted in Biometri, Forskning, Hårdvara, Inbyggda system

Mer om SRAM för ID och slumptalsgenerering

October 19th, 2007

Jag har fått svar från Dan Holcomb, en av forskarna bakom den artikel där dom beskriver användning av SRAM för ID och slumptalsgenerering jag tidigare bloggat om. Dan svar på mina frågor ger svar på en del av saker jag tidigare tagit upp här på Kryptoblog. (Notera att jag taggat upp frågor och svar för att det skall bli lättare att följa med.)


(Q1) If you communicate the complete SRAM state, this implies that the external host get access to the the RNG sources supposedly to be used by the device for seeding device-internal cryptographic functions. Isn’t that a security problem?

(A1) Our intent is that a given block of SRAM would either be used for TRNG or else for ID, but never used for both on a given power-up. You are correct in observing that our random source would not be useful in TRNG if we transmit it as ID.

Här måste man alltså på något sätt komma på att hålla reda på vilka block i kretsens minne som skall användas för vad. Och hur skall kretsen veta vilka block den skall använda? Om den får order om att leverera ett givet block, hur vet den att det inte är ett av de block som bara skall användas som entropikälla och därmed inte skickas iväg?


(Q2) Have you consider low cost/low complexity methods for the device to determine if “long-enough” have passed? That is allowing the device to check if the SRAM have reached proper initial state, and if not take protective actions? (For example refusing to communicate with an external host.

(A2) We have not yet put much thought into how to prevent this, but do agree that this is an issue that really does need to be addressed.

Här behöver man alltså hitta teknik och metodik för att kontrollera tiden och hantera situationen när för kort tid passerat.

Sedan hade jag flera frågor som till viss del var relaterade till upprepad kommunikation av data, vilket det visade sig att dom inte gör:


(Q3) I didn’t see the info in the paper about this (I might have missed it): How many times do you need to extract the SRAM mem dump from the device (with power cycling and waiting “long-enough” in between) to perform device fingerprint template creation with reasobable accuracy?

(A3) The number of samples to create the template depends on how reliable the mem dump of the device is. We found that 3 was reasonable for creating a template, but using more dumps will result in a more accurate template. In fact, the matching can often be done based on a template created from just a single memory dump, with no averaging at all.

(Q4) How many times do you need to extract the SRAM mem dump from the device (with power cycling and waiting “long-enough” in between) to perform fingerprint device matching (i.e to identify a known device) with reasobable accuracy?

(A4) Once the template is created, the matching is performed based on a single fingerprint collected in the field (a latent print). The averaging is only applied when creating the template (a known print).

(S5) If the complete state is communicatied (x number of times) to get the device ID, given the use of similar communication means as other low cost RFID devices (passiv, back scatter) your method would at least take much longer time, correct? For example 256 Bytes * x dumps vs 4-8 Bytes for stored device ID.

(A5) Only one dump is transmitted. But still it takes longer: with each bit of SRAM providing less identifying ability than EEPROM, a greater number of bits (compared to EEPROM) must be transmitted.

Mao är det vid matchning mycket mindre data som behöver skickas än jag först misstänkte – vilket är bra. Däremot verkar dom använda begreppet latenta fingeravtryck på ett något märkligt sätt. Det dom gör en matchning med en kandidat. Nåja, tillbaka till frågor och svar:


(Q6) Have you looked at the amortized cost of identifying the device though its lifetime using your FERNs technology vs adding (E)PROM/fuses to the device (with additional device and manufacturing cost)? This might be hard to do, but would be interesting to see.

(A6) We have not analyzed this. The EEPROM cells are smaller than RAM cells, but the process costs are higher, and the charge pump adds area overhead. The advantage of using SRAM is that it doesn’t need to be added specifically for our purposes and can be used as general purpose memory.

(S7) Have you considered the change in device identification/authentication protocols your scheme causes? As I understand it, the device doen’t know it’s ID (you stated as much in a previous response), instead it has to rely on an external host to establish the identity. How does this affect things like challenge/response protocols? Any security implications of this?

(A7) When I said that the device doesn’t know its ID, i meant only that it doesn’t need to be programmed to have its ID. In other words, it doesn’t have any recollection of its ID in non-volatile storage. It still contains the ID whenever it is powered on, so it is exactly analogous to how EEPROM always contains its ID. The only difference is that the ID is not fully reliable.

Om jag fattat det rätt pratar alltså Dan om det ID som den externa läsaren tar fram och sedan överlämnar till kretsen, och Dan ser inte att det ändrar förutsättningarna för ID:t.

Jag har skickat några följdfrågor, men jag är rädd för att jag böjar bli jobbig och inte får fler svar… ;-)

  • Share/Bookmark
Print

1 comment »

Posted in Biometri, Forskning, Hårdvara, Inbyggda system, Om Kryptoblog

Precise Biometrics levererar ID-lösning till Portugal

May 7th, 2007

En nyhet som jag inte sett fått så stor uppmärksamhet i Svenska medier är att Precise Biometrics skall leverera ID-lösning till Portugals innevånare. Initalordern är på 2 miljoner kort, med kommer att inkludera 14 miljoner licenser (är det samma som antal kort?).

I leveransen ingår även biometriska läsare med areasensorer:

Oavsett vad man tycker om biometri tycker jag att det är kul att det går bra för ett av Sveriges biometriföretag.

  • Share/Bookmark
Print

No comments »

Posted in Biometri, Hårdvara, IT och integritet

Frenologi – nej biometri

January 18th, 2007

Här kommer en ny biometripryl som hämtad direkt från B-films SciFi-världen: Biometri baserad på dina hjärnvågor. Grundtanken är att det mönster av elektrisk aktivitet som går att mäta upp hos din hjärna är unikt. Genom att registrera ditt mönster kan man sedan använda matchning vid efterföljande avläsningar för att identifiera dig. Låter väl bra, eller? Kanske inte – så här skall avläsningen gå till:

The authentication system requires a user to have EEG measurements taken beforehand with further measurements for each authentication test. This is done via a removable cap, which communicates wirelessly with a computer that analyses the data gathered. The cap has fewer electrodes than are normally used for EEG measurements, but can still provide enough information for authentication, according to Tzovaras.

Currently users must sit quietly with their eyes shut during each test. “We ask them to close their eyes and not speak”,” Tzovaras says, which provides “a much clearer picture”.


Hmmm, sitta med en badmössa på huvudet, blunda och inte tala låter kanonsmidigt. Kanske något för SAS att satsa på, nu när flygsäkerheten skall säkras upp med biometri. Fördelen gentemot fingeravtrycksbaserad biometri är ju att man förhoppningsvis inte lämnar sitt unika hjärnmönster efter sig i vardagen. Då har det nog hänt något hemskt.

Visst, mer allvarligt sett är det intressant att man säger sig kunna identifiera individer genom att mäta hjärnmönster – den teknologin pekar på intressanta resultat i förmågan att detektera och tolka hjärnmönster över huvud taget. Men den praktiska användningen för säkerhetsapplikationer är än så länge ganska otrolig. Jag noterar även att det faktiskt inte står hur unikt det mönster man kan mäta upp faktiskt är. Är det mer unikt än ett fingeravtryck eller en pinkod? Går det att förändra, eller fejka mönstret? Det kanske räcker med att titta i kors för att byta identitet…

  • Share/Bookmark
Print

No comments »

Posted in Biometri, IT och integritet

Polisen i USA får bärbar fingeravtrycksläsare

December 20th, 2006

Här är en intressant ny biometripryl:

Maskinen på bilden är en fingeravtrycksläsare med inbyggt mobiltelefon som gör det möjligt för polisen att läsa av ett fingeravtryck från en person och direkt få det jämfört med en databas av kända fingeravtryck.

Det här tycker jag är en bra användning av biometri, och det av flera skäl:

  1. Avläsning sker under övervakning. Polisen övervakar och det finns ingen större möjlighet att lura systemet med latenta fingeravtryck på sensorn etc.

  2. Polisen som finns på plats kan hantera fel som kan uppstå – felaktiga matchningar kan verifieras med bild, ID-handlingar etc.

  3. Det hjälper polisen i en specifik situation, och kan dessutom korta ned tiden för att avfärda personer.

Det som inte är klart är om polisen lagrar inlästa fingeravtrycke i sin databas. Dessutom har utrustningen (naturligtvis) inhandlats och finansierats med argument att det förhindrar terrorrism. Funkar tydligen jättebra när man äskar pengar…

  • Share/Bookmark
Print

No comments »

Posted in Biometri, Hårdvara, IT och integritet

Gillar SAS latenta fingeravtryck?

November 16th, 2006

Hade förmånen att åka upp till Lule och snön för ett par dagar i förra veckan. När vi skulle checka in på Kallax för att flyga hem igen fick vi bekanta oss med SAS nya biometribaserade incheckning.

Utrustningen som används visade sig vara en biometriläsare kopplad till en vanlig PC. Den biometriska sensorn är en version av Precise Biometrics areasensorbaserade Precise 250 MC:

Att det är en areasensor är det som jag blev riktigt besviken på. På sensorn som jag tittade på fanns det ett jättefint fingeravtryck från föregående passagerare. Nu försökte jag inte att lura systemet genom att värma upp det fingeravtrycket, men då jag fick vara ensam med sensorn när scanning skulle ske hade det antagligen gått att blåsa, applicera värme eller på annat sätt få sensorn att läsa av det gamla fingeravtrycket.

Visst sensorn i fråga uppfyller USAs Department of Homeland Security standard HSPD-12, så valet för SAS var antagligen enkelt, men det stör mig att man inte valde att köpa utrustning som enkelt eliminerar ett stort problem med fingeravtrycksbaserad biometri.

  • Share/Bookmark
Print

2 comments »

Posted in Biometri, Hårdvara, IT och integritet

Mythbusters knäcker biometriskt dörrlås

September 27th, 2006

Den utmärkta TV-serien Mythbusters har testat hur svårt det är att överlista ett fingeravtrycksbaserat biometrisystem. Avsnittet finns på YouTube och är värt att titta på.

Jag tycker att det är besvärande att dörrlåset som sägs även kolla puls och temperatur går att överlista med en utskrift av fingeravtrycket. Det verkar som om mekanismen för temperatur och puls inte används.

En sak att notera är dock att det är areasensorer som testas, inte svepsensorer (dvs där sensorn bara är en smal remsa och över vilken man sveper fingret). Svepsensorer gör det iaf inte möjligt att värma upp ett latent fingeravtryck på sensorn.

  • Share/Bookmark
Print

No comments »

Posted in Biometri