Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Biometri » Kryptoblog

Archive for the ‘Biometri’ category

Mythbusters knäcker biometriskt dörrlås

September 27th, 2006

Den utmärkta TV-serien Mythbusters har testat hur svårt det är att överlista ett fingeravtrycksbaserat biometrisystem. Avsnittet finns på YouTube och är värt att titta på.

Jag tycker att det är besvärande att dörrlåset som sägs även kolla puls och temperatur går att överlista med en utskrift av fingeravtrycket. Det verkar som om mekanismen för temperatur och puls inte används.

En sak att notera är dock att det är areasensorer som testas, inte svepsensorer (dvs där sensorn bara är en smal remsa och över vilken man sveper fingret). Svepsensorer gör det iaf inte möjligt att värma upp ett latent fingeravtryck på sensorn.

ACSC skall börja tillverka finlands biometriska pass

August 23rd, 2006

Det svenska företaget ACSC - All Cards Service Center finska dotterbolag PA Segenmark skall enligt en artikel på Evertiq att börja tillverka dom nya finska biometriska passen. En ligt artikeln kommer passen att kosta 46 Euro och vara giltiga i fem år. Passen kommer från början bara att innehålla informatiom om ansiktsform, ej fingeravtryck.

ACSC hade jag aldrig hört talas om, men verkara vara ett stort företag på ID-kort, RFID-taggar m.m. Dom har flera olika typer av RDID-taggar för logistik, passersystem m.m. Taggarna finns i ett flertal olika typer av formfaktorer, exempelvis:

Dock förstår inte jag kopplingen mellan RFID och den här bilden på ACSC:s webbplats om RFID:

Mer information om RFID-kretsen för pass med biometri

August 23rd, 2006

Elektroniktidningen har publicerat ett par artiklar som tillsammans ger en hel del ny information om de nya passen med RFID-kretsar för lagring av biometrisk information.

Den första artikeln innehåller nyheten att den krets utvecklad av Infineon, på initiativ av Smarticware, och som bland annat sitter i den nya Svenska passen, nu även skall användas i USAs nya pass. Vidare berättar artikeln att samma krets i dag används av 20 olika länder för att lägga till elektroniskt lagrad identitetsinformation.

Den första artikeln länkar sedan vidare till artikeln (med den i mitt tycke tveksamma rubriken) Rfid – ett vapen mot terrorrism. Den artikeln innehåller desto mer information om kretsen. Bland annat får man reda på att:

  • Kretsen tillverkas i 0.22um CMOS-process.

  • Innehåller 16-bits mikrokontroller.

  • Stödjer ISO14443, A och B.

  • Kryptoaccelation för RSA och ECC med 1100 bitars nyckel (oklart om det är RSA, ECC eller båda som har 1100 bitars nyckel).

  • Kryptoacceleration för DES och 3DES.

  • 136 kByte ROM för lagring av ett operativsystem från Axalto.

  • 64 kByte EEPROM eller FLASH för datalagring.

  • 5 kByte RAM.

Utifrån detta går det ganska lätt att identifiera kretsen som SLE66CLX641P. Infineon har en hel serie kretsar där detta är den just nu mest avancerade kretsen.

Välkommen in i frågeburen, kära terrorist

August 15th, 2006

I dessa dagar av terroristhot och mer eller mindre opportunistiska rop på åtgärder dyker det upp en hel del märkliga förslag och säkerhetsmanicker – gärna sådana som kan gynna uppfinnarens plånbok (vilket ofta är det enda manicken kan åstadkomma.) Den här är dock en av de dummare:

Nej, det är inte en ny tjänstemannakub för kontorslandskap. Nej, det är inte en modern fotoautomat. Det är en terroristdetektor(!). Jo, det är sant.

Detektorn, som skapats av det Israeliska företaget Suspect Detection Systems Ltd är en biometrisk sensor kombinerat med tjugo frågor – väsentligen en lögndetektor för massbruk. Personen som skall testas stoppar in handen i en biometrisk läsenhet som kollar puls, blodtryck, svett etc. På skärmen visas frågor som Har du tänkt att spränga planet med din läskeblask? (eller något liknande). Personen skall svara ja eller nej, och maskinen avgör om personen när frågan ställs och besvaras  beter sig osäkert eller misstänkt.

Hur bra funkar nu det här? Wall Street Journal berättar i en artikel om försök som gorts samt vad företaget kommit fram till. Enligt artikeln har maskinen vid försök detekterat 85% av alla som spelat terrorister och anklagade 8% av försökspersonerna för att vara terrorister. Förutom det absurda i att tro att folk som spelar terrorister är kapabla att bete sig som terrorister är siffrorna, om man sätter in dom i sitt sammanhang helt absurda.

I USA flyger det varje dag ca 2 miljoner passagerare. 8% av dessa felaktigt klassade som terrorister innebär att 160 000 personer kommer att ha en jobbig dag. 160 000 per dag. Det positiva är kanske att eftersom böcker, datorer och allt annat skall förbjudas kan ju den här maskinen i alla fall erbjuda ny spänning i en allt tråkigare flygupplevelse.

Blandade biometrinyheter

August 8th, 2006

Det verkar faktiskt (till slut) finnas en marknad för biometriprodukter. Satsningarna på biometriska pass i Europa är naturligtvis ett skäl till detta. Detta gör att det börjat dyka upp en hel del nya produkter.

M2SYS Technology har tagit fram Bio-Plugin, en serverlösning för massiv verifiering av fingeravtryck. Upp till 30 000 matchningar av fingeravtryck mot templatedatabasen per sekund skall den nya maskinen klara av. Som gjort för flygplatser, myndigheter och andra högvolymanvändare. Jag har dock inte hittat några resultat vad gäller kvaliteten på verifiering (identifiering), det kan gå fort men fel.

Svenska Precise Biometrics har släppt ett nytt system för Match-on-Card, dvs stöd för att implementera komplett verifiering baserad på biometri i ett smart card (typ det som Göteborgs stolthet Fingerprint Cards namnmässigt har haft som målsättning). Precise lösning levereras som programbibliotek. Kodstorleken för C-biblioteket är ca 1 kByte och varje data för ett fingeravtryck (kallas template) är på 500 Bytes. Vitsen med Match-on-card är att verifiering utförs direkt i den (som man antar) säkra programmiljön som finns i kortet.

Ett annat företag som likt Precise Biometrics och Fingeprint Cards försöker leverera färdiga byggblock (både HW och SW) för integration i system är Franska ID3 Semiconductor. Dom har tagit fram en modul, BioModule, baserad på Atmels svepsensorer FingerChip:

Sensorn kompletteras på modulen med en processor med specialanpassat stöd för bildbehandling, lagring av templates och kryptering. Stor är den inte, modulen:

Modulen arbetar med templates på 256 Bytes. Modulen stödjer sessionsbaserad autenticiering och kryptering av kommunikation med modulen. Krypteringen som används är gamla, hederliga 3DES.

EU-förslag: Insamling av biometrisk information från barn

August 2nd, 2006

Enligt en rapport från Statewatch vill EU införa krav på insamling av biometrisk information från barn. Informationen skall finnas tillgänglig i barnens pass. Grunden för rapporten är dokumentet EU doc no: 9403/1/06. Det är ett intressant i flera avseenden intressant dokument.

En sak som kommer fram i EU-rapporten är hur svårt det är att samla in biometrisk information från barn utan att den snabbt blir gammal, så kallad template aging.

Rapporten beskriver kort en undersökning från Holland. Enl undersökningen ändrar sig både fingeravtryck och ansiktsform för ett barn på sex år så mycket under några få år att den väsentligen är oanvändbar utan mycket avancerade system. Speciellt ansiktsform ändrar sig radikalt. Min tolkning är avancerade system innebär att man även behöver ha mycket stora marginaler vid matchning (av ansikte eller fingeravtryck mot den lagrade informationen), vilket gör att antalet felfall blir stort, eller om man så vill leder till onödiga larm och strul som kostar tid och pengar.
De rekommendationer, eller om man så vill krav som EU vill införa är att följande skall gälla:

  • Insamling av biometrisk information FÅR ett medlemsland göra på barn upp till tolv år.

  • Insamling av biometrisk information SKALL ske på barn över tolv år.

Enligt Statewatch är det inte planerat att låta parlamentet rösta om detta förslag, utan skall drivas igenom via en comitology, vad det nu innebär. Stämmer det är det ännu ett tråkigt exempel på hur integritetsfrågor och säkerhetsmetoder drivs igenom utan vettig diskussion. Det är ju knappast så att föräldrar inte kommer att märka att deras barn måste börja lämna biometrisk information, så behovet av hemlighusandet är för mig inte helt uppenbart.

Biometri baserad på blodådermönster

July 14th, 2006

Företaget Snowflake Technologies har utvecklat en IR-baserad läsare som gör det möjligt att läsa av mönstret av blodådror som finns i fingrar. Tydligen är detta mönster unikt för varje individ.

Detta system har flera fördelar med fingeravtrycksbaserad biometri:

  1. Du lämnar inte din nyckel efter dig så fort du tar i något (vi människor tar i saker hela tiden.)

  2. Det måste finnas varmt blod i fingret, vilket gör att fingret behöver vara levande och fastsatt i en kropp. Detta kallas live finger detect och är kopplat till den hemska idén om att kapa av fingrar som man alltid får höra när man pratar om biometri (vilket jag inte alls tror är ett troligt scenario, utan återspeglar folks rädsla).

  3. Minskat problem med att mönstret i fingret ändras i förhållande till det mönster som lästes av vid registrering. Detta kallas Template Aging och är faktiskt ett stort problem för fingeravtrycksbaserad biometri. Som jag fattat det är mönstret av blodådror relativt stabilt – det nöts i alla fall inte bort.

Vi får se om det blir något av den här teknologin, men helt klart är att vi behöver hitta sätt att koppla elektronisk identitet till fysisk identitet på ett sätt som inte krånglar till det för användarna. Detta kan vara ett steg på vägen.

Klart för biometriska pass

July 14th, 2006

EU-kommissionen har nu beslutat om hur de nya elektroniska passen med skall se ut och nu är det upp till EU-länderna att implementera beslutet. Den Svenska polisen har lagt upp en sida om de nya passen där det finns mer information – exempelvis en PDF med fakta om passet. Några saker värda att notera är:

  • Passen skall lagra fingeravtryck från höger och vänster pekfinger.

  • Passen skall lagra information om ansiktsform (kallas digitalt ansiktsfoto).

  • Passen skall börja utfärdas senast den 28:e juni 2009.

  • Passens giltighetstid ändras från 10 till fem år.

  • De nya passen kommer enligt SR att kosta ca hundra kronor mer än dagens pass som kostar ca 300 kronor.

  • Ingen central databas med biometrisk information skall byggas upp i Sverige.

Det jag inte hittar information om är hur avläsning skall ske, om den är kontaktbaserad eller om den är kontaktlös. Så här skall passen iaf se ut:

Vad skall man nu tycka om det här? Det är bra att vi får pass som är svårare att förfalska och där det finns en bättre koppling mellan dokumentet och det viserade objektet (du). Samtidigt (om det är kontaktlös avläsning, dvs RFID) finns det en risk att de nya passen börjar läcka identitetsinformation till omgivningen, vilket hotar den enskildes säkerhet.

Vidare har Sverige sagt att man inte skall bygga upp en central databas för den biometriska informationen, utan den insamlade informationen skall förstöras i all annan utrustning när den väl kopierats n i passets chip. Men inom EU finns det planer på att etablera en central databas för biometrisk information. Detta verkar vara något vår käre Bodströmsamhälletminister verkar tycka är helt ok. På frågan om tanken med biometri och register har han enl SR sagt:

Det här ska finnas i själva passet. Sedan kan man i ett senare skede diskutera om det ska kunna användas i ett annat syfte, till exempel brottsbekämpningen

Jag har hittat en nyskriven, mycket välgjord magisteruppsats från Stockholms universitet av Liselott Hugosson och Julia Svensson om biometri i Svenska pass. I uppsatsen försöker författarna göra en anlys av hur den personliga integriteten påverkas. Är du intresserad av detta rekommenderar jag att läsa deras uppsats.

Ett stort problem jag ser med passen är hur man kommer att agera när det uppstår problem. Biometrisk information är en ögonblicksbild av ett biologiskt system i kontinuerlig förändring (dvs du). Vad händer när en eller två av dessa bilder avviker så mycket att dom anses som inte stämma längre (vilket är en avvägning). Om du skall in i Tyskland, fingeravtrycken stämmer, men du nu ser ut så här, kommer du att bli insläppt då?

SAS ger sina passagerare fingret

June 28th, 2006

Enligt SVT har SAS beslutat att införa ett fingeravtrycksbaserat biometrisystem för att identifiera sina passagerare. Enligt artikeln är tanken att passagerarens fingeravtryck samlas in vid bagageinlämning, och sedan vid ombordstigning läses fingret en andra gång varefter matchning sker. Enligt SAS skall fingeravtrycket sedan kastas bort. Enligt SAS införs detta på grund av ökade krav från Luftfartsverket.

Datainspektionen har godkänt SAS lösning med villkoret att passagerare som vill i stället får använda accepterade identitetshandlingar. Jag vet vad jag kommer att välja.

Validity – ny biometrisensor

April 29th, 2006

Via en kort artikelEE Times träffade jag på ett nytt brittiskt bolag kallat Validity Sensors Inc som utvecklar teknologi för biometri.

Validitys teknologi utgör en komplett plattform med sensorer, algoritm och ASIC. Deras system illustreras av följande figur

Validity technology

Ett par saker är väl värda att lägga märke till. För det första har Validity förutom sjäkva matrisen med läspunkter som plockar upp fingeravtrycket sensorer för att mäta temperatur, puls osv. Detta är till för att med säkerhet avgöra att det är ett riktigt finger (så kallad live finger detect). Andra leverantörer försöker få till dessa mätningar med den normala sensorn – vilket går sådär. Men Validity lägger alltså detta i separata sensorer. Jag tror att det är rätt väg att gå.

Den andra saken jag tycker är värd att notera är att Validity använder radio för att läsa av fingeravtrycket. Detta har fördelen av att man kan gömma sensorerna under ett rejält skyddande lager (av plast), något som CMOS-baserade kontaktsensorer från exempelvis Authentec eller Atmel har haft problem med. Kort sagt blir CMOS-sensorerna känsliga för nötning och inte minst statisk elektrisitet. Men samtidigt funderar jag på hur mycket Validity har tänkt på att skydda sin lösning mot avlyssning.

RFID som teknologi lider startkt av problemet med att radiosignalerna läcker och går att plocka upp på mycket större avstånd än många tror, oftast tiotals meter i stället för centimeter. Det jag är rädd för är att det mönster som Validitys teknologi läser av går att fånga upp på avstånd. Därmed öppnar deras teknologi upp sig för både ID-stöld och replay-attacker.

Validity verkar ha fått in mycket riskkapital så dom kommer säkert att finnas med ett tag, men både deras specifika teknologi och biometri som område måste få ett genombrott, och det senare verkar fortfarande vara ett par år bort. Kul med lite nya försök i alla fall. Den stora fördelen med biometri är att det är lätt att använda. Men det skall fungera också.