Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Biometri » Kryptoblog

Archive for the ‘Biometri’ category

RFID och integritet – Olja och vatten

September 4th, 2010

Igår dök det upp ett par nyheter som återigen visar hur attraktivt radiobaserad identifiering (RFID) verkar vara, och hur blind man är för de problem som finns med tekniken. Detta gäller inte minst politiker och tjänstemän som ofta har lite teknisk kunskap.

Organisationen American Civil Liberties Union (ACLU) kritiserar i ett uttalande en skola i Kalifornien som försökt sätta RFID-taggar på alla elever i en skola. ACLU uppmanar föräldrar att vägra sätta på sina barn RFID-taggar som skolor delar ut.

Enligt en artikel i San José Mercury News är det en skola i Contra Costa County som vid terminstarten delat ut tröjor till alla elever. Tröjorna visade sig dock innehålla RFID-taggar. Det som skrämmer mig mest med denna nyhet är hur taggarna ses som en ren effektivitetslösning. Mercury News skriver:


RICHMOND, Calif.—California officials are outfitting preschoolers in Contra Costa County with tracking devices they say will save staff time and money.

The system was introduced Tuesday. When at the school, students will wear a jersey that has a small radio frequency tag. The tag will send signals to sensors that help track children’s whereabouts, attendance and even whether they’ve eaten or not.

School officials say it will free up teachers and administrators who previously had to note on paper files when a child was absent or had eaten.

Sung Kim of the county’s employment and human services department said the system could save thousands of hours of staff time and pay for itself within a year.

It cost $50,000 and was paid by a federal grant.

Mao, det viktiga är att spara pengar, och det verkar inte finnas nÃ¥gra tankar om problem med tekniken. Undrar varför dom inte inför det pÃ¥ alla ställen i kommunen, exempelvis för skolpersonal och kommunens HR-avdelning…

Och när det väl uppdagas problem så blundar man istället. The Local rapporterar om en undersökning av de nya RFID-utrustade ID-korten i Tyskland.

Ett nytt, Tyskt ID-kort.
Ett av de nya ID-korten i Tyskland som innehåller ett RFID-chip.

Dom nya ID-korten innehåller ett RFID-chip som bland annat lagrar fingeravtryck från två fingrar. Ett TV-program anlitade kända hacker-gruppen Chaos Communcation Club (CCC) för att testa säkerheten hos kortet. CCC lyckades extrahera information från korten. Men när de ansvariga ställdes inför faktum förnekade man att det ändå var möjligt:


In an interview with the show, Interior Minister Thomas de Maizière said he saw no immediate reason to act on the alleged security issue.

Meanwhile on Tuesday the Federal Office for Information Security (BSI) rejected the Plusminus’ criticism of the new ID card. The agency’s personal identification expert Jens Bender said the card was secure

Rätt skrämmande, inte minst för att det nya systemet är tänkt att användas för kommunikation med myndigheter, dvs det kommer att krävas ett RFID-utrustat kort för att komma åt tjänster som du som medborgare har behov av. Det blir därmed svårt att avstå från systemet. Det skall gå att istället använda en sexsiffrig PIN-kod, men frågan är hur länge det accepteras.

Bildigenkänning lurad med bild

July 1st, 2008

I Japan har man tydligen infört nya cigarettautomater. I ett försök att kontrollera åldern på de som försöker köpa cigaretter är automaterna utrustade med ett system för bildigenkänning.

En ciggautomat från Japan.
En av de biometriskt utrustade cigarettautomaterna.

För att fÃ¥ köpa cigaretter behöver man antingen hÃ¥lla upp sitt RFID-utrustade ID-kort (vilket de tydligen infört i Japan – kallas Tespo) framför kameran i automaten. Alternativt ställer man sig framför maskinen som avgör om man ser ut att vara gammal nog att fÃ¥ röka.

Tillverkaren Fujitaka berättar hur automaten fungerar:


The face-recognition machines rely on cameras that scan the purchaser’s face for wrinkles, sagging skin and other signs of age. Facial characteristics are compared with a database of more than 100,000 people, and if the purchaser is thought to be well over 20 years old (the legal age), the sale is approved.

If the purchaser looks too young, they are asked to prove their age by inserting a driver’s license. According to Fujitaka, the machines are 90% accurate.

Men som nÃ¥gra upptäckt är automaten precis lika duktig pÃ¥ att bedöma Ã¥ldern pÃ¥ personer pÃ¥ bild… som hÃ¥lls upp framför automaten. Ett 15 cm foto frÃ¥n en tidning pÃ¥ en medelÃ¥lders man accepterades som ett verkligt ansikte av automaten.

Biometri är besvärligt, speciellt att bedöma vems biometriska egenskaper man egentligen försöker mäta upp.

IMEGO och andningsbaserad biometri

December 22nd, 2007

(Mycket biometri från Göteborg just nu.)

I går kväll diskuterades alkolås på bilar och möjligheten att sälja utandningsluft på tub som ett sätt att gå runt systemet. Det visade sig att statligt ägda företaget IMEGO har varit engagerade att utveckla sensorer som kan detektera att det är en levande människa som andas.

Det finns en artikel publicerad som beskriver vad man gör. Tydligen tittar man på både luftens temperatur och hur koldioxidhalten varierar under ett andningsprov, detta för att mängden koldioxid varierar beroende på vilken del av lungorna luften kommer ifrån.

Googlar man lite hittar man en del länkar till andningsbaserad biometri. De flesta av dessa ser ut att ta fasta på att det följer med en del celler varje gång man andas ut, och att det då skulle gå att titta på DNA:t i cellerna för att identifiera personer. Jag hittar dock mest patent men inga konkreta produkter.

Och av nÃ¥gon anledning dök en sida om Binaural Phasing frÃ¥n Harmonic Resolution upp, fast dÃ¥ började knäppklockorna ringa…

Ny biometriprocessor från FPC

December 22nd, 2007

Biometriföretaget Fingerprint Cards (FPC) frÃ¥n Göteborg har släppt en en ny biometriprocessor till sina sensorer. (Ja, för en mÃ¥nad sedan – jag är inte sÃ¥ snabb.)

FPC2020

FPC2020 är anpassad för att fungera med FPCs areasensor FPC1011C.

FPCs areasensor

FPC2020 integrerar hårdvara för bildbehandling, acceleration av biometriska algoritmer och en kontrollprocessor.

Detta gör att man inte som tidigare behöver någon extern processor, ex en ARM eller en AVR. Utan det man behöver för att bygga in en biometrifunktion är en sensor, ett seriellt FLASH-minne, en kristall och FPC2020. (FPC skriver inget om innehållet i FLASH-minnet är skyddat och hur.)

Det finns ett datablad med detaljerad information om FPC2020 inklusive API:t för att använda kretsen. I det kan man bland annat hitta följande information.

Antalet användare som kan hanteras beror på storleken på externa FLASH-minnet. Med 2 Mbit klarar FPC2020 att hantera 223 olika templates. Största FLASH-minnet FPC2020 verkar stödja är 8 Mbit vilket ger kapacitet för 991 templates, men FPC skriver att man bör hålla nere antalet templates till mindre än 500.

Verifiering mot en enskild template tar ca 0.2 sekunder. Registrering (Enrolment) tar däremot hela sju sekunder. Normalt sett gör varje användare en eller ett fåtal registreringar och massor med verifieringar så verifieringstiden är det som är viktigt att få snabbt. Men sju sekunder är ändå tillräckligt lång tid för att man skall börja fundera på om det gick bra eller ej.

Vad gäller säkerheten skriver FPC att False-Rejection-Rate (FRR, dvs man godkänner inte ett tidigare registrerat fingeravtryck) går att justera och beror på indata. Även False-Acceptance-Rate (FAR, dvs man accepterar ett icke registrerat fingeravtryck) är ställbar från 1/1000 till 1/100.000. Vid 1/100.000 får man en FRR på mindre än 7 %.

Säkerhetsmässigt är ett lågt FAR-värde mycket viktigt. Däremot är ett lågt FRR-värde viktigt för att systemet inte skall kännas bökigt att använda.

En liten märklig detalj. Jag hittar ingen information på FPCs webbplats vad som hänt deras sweepsensorer FPC1030 och FPC1031.

Krokodilen?

Bilden ovan hittade jag på den här webbplatsen. På den sidan står det att FPCs sensorer utvecklats av ett företag i Holland kallat Xensor. En annan märklig detalj är att bilden ovan heter Krokodilen?!

Personligen föredrar jag sweepsensorer före areasensorer. Jag tyckte att FPCs sweepsensorer i förhållande till areasensorn var mycket trevligare att arbeta med, tog mindre plats och dessutom inte kan ha några problem med kvarlämnade (latenta) fingeravtryck på sensorn.

FPC2020 kommer kapslad i en liten och trevlig 64-bens QFN-kapsel. FPC2020 klarar matning från 2.5V till 3.3V och kommunicerar mot omvärlden via RS-232 (vilket FPC kallar UART) eller SPI-interface.

SRAM för ID och slump del tre

November 5th, 2007

Jag har tidigare i ett antal omgångar bloggat om en artikel som beskriver en teknik för att använda initialtillståndet i SRAM för att identifiera enheter samt generera slumptal. Jag har under hösten haft en mailkonversation med en av författarna bakom artikeln för att försöka förstå säkerhetsimplikationerna runt tekniken. Nu har jag fått ännu en laddning med svar. Diskussionen den här gången handlar om informationsläckage, hur väl det går att identifiera en enhet och ett minnesblock samt risken för felidentifiering.


(Q1) Have you looked at the minimum number of bits in the memory dump to get good enough Hamming vales for the fingerprints?

(A1) Yes, we explore this further in an upcoming publication. We should that 64 bits of SRAM can be used to differentiate between 5120 blocks of SRAM.

(Q2) My bad: There was a “not” missing in the first sentence. What I meant was, of course if not “long-enough” time have lapsed, then wouldn’t you risk exposing application information in the memory dump due to the remanence?

(A2) Ok, I understand now. Yes, it would risk leaking application information in the memory dump. This is not something we have given much thought to yet, but is an interesting implication.

(Q3) The number of samples to create the template depends on how reliable the mem dump of the device is. We found that 3 was reasonable for creating a template, but using more dumps will result in a more accurate template. In fact, the matching can often be done based on a template created from just a single memory dump, with no averaging at all. What is the number of effective bits in the ID in that case? And what are the false acceptance and false recection rates?

(A3) The number of effective bits number is around 90% of the total number of bits. The exact acceptance rates depend on the population size and number of bits used, but the acceptance rates are generally quite good.

(Q4) If the device gets it’s ID from an external device it can no longer reliably state “I’m ID XYZ” but can be told by the external unit a false ID which is then used by the device to perform authentication. I see a potential MITM-attack on this setup. No?

(A4) There may be potential for a MITM attack. We are currently still working on the system level implications of our design.

Mao ser det ut som att man med relativt liten mängd data (64 bitar) kan identifiera ett specifikt SRAM block och därmed en individ på 5120, dvs en på drygt 2**12. Samtidigt säger man att man har en biteffektivitet på 90%.

Men det stora problemet är informationsläckage och möjlighet att lura systemet, vilket författarna går med på är ett problem, men verkar vara problem som ligger på systemnivå.

Jag tror att jag kommit till vägs ände med den här diskussionen och tänker inte fortsätta störa författarna. Det har dock varit mycket intressant att få chans att läsa, fundera ställa frågor, följdfrågor och få chans att diskutera med forskarna. Hoppas att du som läsare också fått ut något konkret.

Jag kommer att bevaka och se när det kommer en uppföljningsartikel frÃ¥n författarna. Ã…terkommer i sÃ¥ fall…

Mer om SRAM för ID och slumptalsgenerering

October 19th, 2007

Jag har fått svar från Dan Holcomb, en av forskarna bakom den artikel där dom beskriver användning av SRAM för ID och slumptalsgenerering jag tidigare bloggat om. Dan svar på mina frågor ger svar på en del av saker jag tidigare tagit upp här på Kryptoblog. (Notera att jag taggat upp frågor och svar för att det skall bli lättare att följa med.)


(Q1) If you communicate the complete SRAM state, this implies that the external host get access to the the RNG sources supposedly to be used by the device for seeding device-internal cryptographic functions. Isn’t that a security problem?

(A1) Our intent is that a given block of SRAM would either be used for TRNG or else for ID, but never used for both on a given power-up. You are correct in observing that our random source would not be useful in TRNG if we transmit it as ID.

Här måste man alltså på något sätt komma på att hålla reda på vilka block i kretsens minne som skall användas för vad. Och hur skall kretsen veta vilka block den skall använda? Om den får order om att leverera ett givet block, hur vet den att det inte är ett av de block som bara skall användas som entropikälla och därmed inte skickas iväg?


(Q2) Have you consider low cost/low complexity methods for the device to determine if “long-enough” have passed? That is allowing the device to check if the SRAM have reached proper initial state, and if not take protective actions? (For example refusing to communicate with an external host.

(A2) We have not yet put much thought into how to prevent this, but do agree that this is an issue that really does need to be addressed.

Här behöver man alltså hitta teknik och metodik för att kontrollera tiden och hantera situationen när för kort tid passerat.

Sedan hade jag flera frågor som till viss del var relaterade till upprepad kommunikation av data, vilket det visade sig att dom inte gör:


(Q3) I didn’t see the info in the paper about this (I might have missed it): How many times do you need to extract the SRAM mem dump from the device (with power cycling and waiting “long-enough” in between) to perform device fingerprint template creation with reasobable accuracy?

(A3) The number of samples to create the template depends on how reliable the mem dump of the device is. We found that 3 was reasonable for creating a template, but using more dumps will result in a more accurate template. In fact, the matching can often be done based on a template created from just a single memory dump, with no averaging at all.

(Q4) How many times do you need to extract the SRAM mem dump from the device (with power cycling and waiting “long-enough” in between) to perform fingerprint device matching (i.e to identify a known device) with reasobable accuracy?

(A4) Once the template is created, the matching is performed based on a single fingerprint collected in the field (a latent print). The averaging is only applied when creating the template (a known print).

(S5) If the complete state is communicatied (x number of times) to get the device ID, given the use of similar communication means as other low cost RFID devices (passiv, back scatter) your method would at least take much longer time, correct? For example 256 Bytes * x dumps vs 4-8 Bytes for stored device ID.

(A5) Only one dump is transmitted. But still it takes longer: with each bit of SRAM providing less identifying ability than EEPROM, a greater number of bits (compared to EEPROM) must be transmitted.

Mao är det vid matchning mycket mindre data som behöver skickas än jag först misstänkte – vilket är bra. Däremot verkar dom använda begreppet latenta fingeravtryck pÃ¥ ett nÃ¥got märkligt sätt. Det dom gör en matchning med en kandidat. NÃ¥ja, tillbaka till frÃ¥gor och svar:


(Q6) Have you looked at the amortized cost of identifying the device though its lifetime using your FERNs technology vs adding (E)PROM/fuses to the device (with additional device and manufacturing cost)? This might be hard to do, but would be interesting to see.

(A6) We have not analyzed this. The EEPROM cells are smaller than RAM cells, but the process costs are higher, and the charge pump adds area overhead. The advantage of using SRAM is that it doesn’t need to be added specifically for our purposes and can be used as general purpose memory.

(S7) Have you considered the change in device identification/authentication protocols your scheme causes? As I understand it, the device doen’t know it’s ID (you stated as much in a previous response), instead it has to rely on an external host to establish the identity. How does this affect things like challenge/response protocols? Any security implications of this?

(A7) When I said that the device doesn’t know its ID, i meant only that it doesn’t need to be programmed to have its ID. In other words, it doesn’t have any recollection of its ID in non-volatile storage. It still contains the ID whenever it is powered on, so it is exactly analogous to how EEPROM always contains its ID. The only difference is that the ID is not fully reliable.

Om jag fattat det rätt pratar alltså Dan om det ID som den externa läsaren tar fram och sedan överlämnar till kretsen, och Dan ser inte att det ändrar förutsättningarna för ID:t.

Jag har skickat nÃ¥gra följdfrÃ¥gor, men jag är rädd för att jag böjar bli jobbig och inte fÃ¥r fler svar… 😉

Precise Biometrics levererar ID-lösning till Portugal

May 7th, 2007

En nyhet som jag inte sett fått så stor uppmärksamhet i Svenska medier är att Precise Biometrics skall leverera ID-lösning till Portugals innevånare. Initalordern är på 2 miljoner kort, med kommer att inkludera 14 miljoner licenser (är det samma som antal kort?).

I leveransen ingår även biometriska läsare med areasensorer:

Oavsett vad man tycker om biometri tycker jag att det är kul att det går bra för ett av Sveriges biometriföretag.

Frenologi – nej biometri

January 18th, 2007

Här kommer en ny biometripryl som hämtad direkt frÃ¥n B-films SciFi-världen: Biometri baserad pÃ¥ dina hjärnvÃ¥gor. Grundtanken är att det mönster av elektrisk aktivitet som gÃ¥r att mäta upp hos din hjärna är unikt. Genom att registrera ditt mönster kan man sedan använda matchning vid efterföljande avläsningar för att identifiera dig. LÃ¥ter väl bra, eller? Kanske inte – sÃ¥ här skall avläsningen gÃ¥ till:

The authentication system requires a user to have EEG measurements taken beforehand with further measurements for each authentication test. This is done via a removable cap, which communicates wirelessly with a computer that analyses the data gathered. The cap has fewer electrodes than are normally used for EEG measurements, but can still provide enough information for authentication, according to Tzovaras.

Currently users must sit quietly with their eyes shut during each test. “We ask them to close their eyes and not speak”,” Tzovaras says, which provides “a much clearer picture”.


Hmmm, sitta med en badmössa på huvudet, blunda och inte tala låter kanonsmidigt. Kanske något för SAS att satsa på, nu när flygsäkerheten skall säkras upp med biometri. Fördelen gentemot fingeravtrycksbaserad biometri är ju att man förhoppningsvis inte lämnar sitt unika hjärnmönster efter sig i vardagen. Då har det nog hänt något hemskt.

Visst, mer allvarligt sett är det intressant att man säger sig kunna identifiera individer genom att mäta hjärnmönster – den teknologin pekar pÃ¥ intressanta resultat i förmÃ¥gan att detektera och tolka hjärnmönster över huvud taget. Men den praktiska användningen för säkerhetsapplikationer är än sÃ¥ länge ganska otrolig. Jag noterar även att det faktiskt inte stÃ¥r hur unikt det mönster man kan mäta upp faktiskt är. Är det mer unikt än ett fingeravtryck eller en pinkod? GÃ¥r det att förändra, eller fejka mönstret? Det kanske räcker med att titta i kors för att byta identitet…

Polisen i USA får bärbar fingeravtrycksläsare

December 20th, 2006

Här är en intressant ny biometripryl:

Maskinen på bilden är en fingeravtrycksläsare med inbyggt mobiltelefon som gör det möjligt för polisen att läsa av ett fingeravtryck från en person och direkt få det jämfört med en databas av kända fingeravtryck.

Det här tycker jag är en bra användning av biometri, och det av flera skäl:

  1. Avläsning sker under övervakning. Polisen övervakar och det finns ingen större möjlighet att lura systemet med latenta fingeravtryck på sensorn etc.

  2. Polisen som finns pÃ¥ plats kan hantera fel som kan uppstÃ¥ – felaktiga matchningar kan verifieras med bild, ID-handlingar etc.

  3. Det hjälper polisen i en specifik situation, och kan dessutom korta ned tiden för att avfärda personer.

Det som inte är klart är om polisen lagrar inlästa fingeravtrycke i sin databas. Dessutom har utrustningen (naturligtvis) inhandlats och finansierats med argument att det förhindrar terrorrism. Funkar tydligen jättebra när man äskar pengar…

Gillar SAS latenta fingeravtryck?

November 16th, 2006

Hade förmånen att åka upp till Lule och snön för ett par dagar i förra veckan. När vi skulle checka in på Kallax för att flyga hem igen fick vi bekanta oss med SAS nya biometribaserade incheckning.

Utrustningen som används visade sig vara en biometriläsare kopplad till en vanlig PC. Den biometriska sensorn är en version av Precise Biometrics areasensorbaserade Precise 250 MC:

Att det är en areasensor är det som jag blev riktigt besviken på. På sensorn som jag tittade på fanns det ett jättefint fingeravtryck från föregående passagerare. Nu försökte jag inte att lura systemet genom att värma upp det fingeravtrycket, men då jag fick vara ensam med sensorn när scanning skulle ske hade det antagligen gått att blåsa, applicera värme eller på annat sätt få sensorn att läsa av det gamla fingeravtrycket.

Visst sensorn i fråga uppfyller USAs Department of Homeland Security standard HSPD-12, så valet för SAS var antagligen enkelt, men det stör mig att man inte valde att köpa utrustning som enkelt eliminerar ett stort problem med fingeravtrycksbaserad biometri.