Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Biometri » Kryptoblog

Archive for the ‘Biometri’ category

NIST släpper spec för biometriska pass i USA

February 6th, 2006

Enligt en artikel i Eweek har NIST - National Institute of Standards and Technology i USA släppt en specifikation för biometriska pass. Passen har tillkommit som en del av det beslut om Homeland Security Presidential Directive 12 som president George W Bush fattade i mitten av 2004.

Passen som nu finns standardiserade av NIST innehåller minutiabaserad information om två fingrar.

Anledningen till att detta är relevant även för oss här i Sverige är att vi kommer att få motsvarande pass, samt att våra pass för att dom skall gå att läsa i USA troligen kommer att möta NISTs standard. Specifikt lagras den biometriska informationen enligt ett format kallat CBEFF - Common Biometric Exchange Formats Framework.

Jag vet faktiskt inte om CBEFF är ett säkert format. Dock spelar det kanske inte så stor roll om man som tidigare berättats implementationen är under all kritik.

Wikipedia har som vanligt en finfin sida om fingerbaserad biometri. Även om man inte gillar biometri finns det i alla fall bilder på fingeravtryck tagna av sensorer att titta på.

Läckage av biometrisk information från Holländska pass

February 4th, 2006

I en artikel från The register berättas det att säkerheten i dom nya pass med biometrisk information som införts i Holland innehåller säkerhetsbrister, brister som leder till läckage av den biometriska informationen.

En attack, som tar ungefär två timmar kan utföras mot passen på ett avstånd på tio meter. Den information som går att få ut är födelsedatum, ansiktsform och fingeravtryck.

Attacken går till så att kommunikationen mellan passet och en läsare fångas uppm vilket tydligen kan ske på ett avstånd på upp till tio meter. Sedan används en vanlig PC för att utföra en brute-force-attack mot den hemliga kryptonyckel som används för att skydda informationen lagrad på det inbyggda minnet i passet. Nyckel visar sig nämligen inte vara slumpmässig, utan består av:

  • Datum då passet slutar går ut.

  • Födelsedatum

  • Passets nummer, ett nummer som visar sig vara ett sekventiellt nummer direkt kopplat till när passet gavs ut.

  • Checksumma av den övriga informationen

Den effektiva nyckellängden visar sig bli 35 bitar, vilket en PC med lämpligt program kan gå igenom på cirka två timmar. Attacken inklusive en demo finns beskriven i två presentationer av Bart Jacobs och Ronny Wichers. Beskrivning av attacken, Demo av attacken.

Vad kan vi lära oss av detta? Jo några saker:

  1. Trådlös kommunikation kan nå mycket längre än man kan tro.

  2. Det spelar ingen roll om algoritmerna man valt är br om implementationen brister

  3. Nycklar skall aldrig, aldrig, aldrig byggas upp med delar av informationen den är till för att skydda.

Den stora frågan är hur Holland skall bära sig åt för att rätta till problemet. Återkalla passen och byta ut systemet är inte enkelt, men är kanske det som krävs om man tar sina medborgares säkerhet på allvar. Artikeln från The Register berättar att man från Holländska myndigheternas sida pratar om att förbättra systemet. Låter inte jättebra.