Biometrische Identifikation

From C4 Wiki
Jump to: navigation, search

Ein modernes Märchen[edit]

Biometrie ist in letzter Zeit wieder in. Wurde es noch vor den Vorschlägen des Innenministers Otto Schily (vgl. Otto-Katalog) von IT-Dienstleistern für Autentifizierung für geschlossene Benutzergruppen und Anmeldeprozesse vorgeschlagen, wird die Technik als so ausgereift angesehen, die ganze Bevölkerung einen Landes zu erfassen und zur Identifikation zu nutzen.

Im Folgenden werden hier zwei Kritikpunkte beschrieben, die sich auf Prinzip der biometrischen Identifikation beziehen. Daneben existieren noch weitere Probleme z.B. datenschutzrechliche Bedenken, die es bei der zentralen Haltung von Daten gibt etc.

Merkmale werden offen getragen[edit]

Im Gegensatz zu Passwörtern oder PINs werden biometrische Identifikationsmerkmale offen herumgetragen. Der Fingerabdruck wird auf jedem angefassten Glas hinterlassen, auf der Tastatur eines Rechners usw. Ein Gesicht wird als Bild in Überwachungskameras eingefangen und wird festgezhalten auf Schnappschüssen mit Fotoapparaten. Vielleicht gibt es sogar öffentliche Bilder - womöglich sogar im Netz - auf die vielleicht anonym oder fast anonym sogar Zugriff existiert.

Die Technik der existierenden und kommenden BioID?-Implementationen versprechen eine Sicherheit gegenüber diesen Fälschungen, d.h. ausgetüftelte Mechanismen sind erprobt, die die Echtheit der eingegebenen Bio-Merkmale überprüfen.

Dennoch unterschiedet sich die Methode grundsätzlich von der Eingabe eines Passwortes, das nur zum Zeitpunkt des Logins sichtbar - durch Eingabe auf einer Tastatur - gemacht wird. Ein Abhören der Tastatur ist möglich, vielleicht sogar einfach mittels einer kleinen Kamera an der Decke hinter einer Eingabetastatur. Tastatursniffer existieren auch auf allen System und in verschiedenen Farben. Dennoch wird der Schlüssel zum Schloß nur beim Aufschließen kurz preis gegeben, und nicht durch alle lesbar öffentlich durch die Welt getragen. Ein Paßwort ist gespeichert im Gehirn des Nutzers - und das auszulesen ist (glücklicherweise) noch nicht möglich.

Hase und Igel: Überlisten und sicherer machen[edit]

Absolute Sicherheit existiert nicht. Das gilt insbesondere für Bio-ID-Verfahren. Alles was noch als sicher angepriesen wurde, wurde über kurz oder lang überlistet. Auf dem Chaos Computer Congress 1998 wurde ein Fingerabdruck-System (übrigens von einem C4-Mitglied) gehackt - mittels Scheiben-Käse.

Meinstens ist eine Restriktion sowohl beim Autentifizierungssystem als auch beim überlistenden System die Ressourcen der Rechner, aber bekanntlich wachsen die permanent mit der Zeit. Daher mutet es manchmal an, daß Systeme, die auf den Markt kommen, immer nur ein versprechen der Sicherheit auf Zeit geben.

Dieses Hase-Igel-Spiel, was überall in Sicherheitssystemen existiert, durchläuft bei Bio-ID-Systemen besonders schnelle Zyklen. Im Gegensatz dazu ist die Passwort-Autentifikation, mittlerweile in die Jahre gekommen, immer noch von der Methode her sehr standhaft. Und im Vergleich von Verhältnis Aufwand zu Ertrag von Passwort- zu Bio-Identifikation schneidet das Passwort ungleich besser ab. Auf der Aufwandsseite müssen für Passwörter oder PINs nur mal hardwareseitig Keyboard und softwareseitig eine Verarbeitung und Speicherung weniger Bytes vorgenmmen werden, bei Bio-ID Kamera, Scanner, Lichtmesser und eine größere zu speichernde Datenmenge.

Änderbarkeit des Schlüssels[edit]

Angenommen, der Notfall sein eingetreten: Der Schlüssel, also die Merkmale, anhand denen Identifiziert wird, wurden wirksam kopiert!

Normalerweise kann dann der User selber im System innerhalb kürzerster Zeit selber den Schlüssel ändern, also ein neues Passwort eingeben oder einen neuen Schlüssel generieren. Bei Biometrischen Verfahren ist des Schlüssel nicht einfach änderbar, bzw. nicht wirklich gewollt (Stichwort: Schönheitsoperation?). Natürlich kann das System erneut die Merkmale den Nutzers genauer aufnehmen, bei genereller Überlistung muß sogar ein Update der Methode, also der Software erfolgen. Das sind aber Eingriffe eines Systemadministrators, die auch eine gewisse Arbeit und Dauer haben. Im Moment ist das vrgleichbar mit dem Diebstahl einer EC-Karte: Eine zentrale Nummer anrufen und Karte angeben und Sperren lassen. Das sind dann Arbeiten, die von zentraler Stelle erledigt werden müssen und nicht vom User.

Links[edit]


2001-11-21: Habe mal ersten Entwurf gemacht --SaM



Meinungen[edit]

Ich denke dieser Artikel wirft viel zu viel in einen Topf. So reisst er die Erweiterung des Passes/Personalausweises? um weitere Biometrische Daten neben dem bereits vorhandenen (Foto, Geburtsdatum, Grösse, Augenfarbe) an was aber herzlich wenig mit der Nutzung biometrischer Verfahren zur Zugangskontrolle zu tun hat. Zugangskontrolle hat aber wiederum herzlich wenig mit Datenhaltung zu tun.

Auch das Biometrische Merkmale im Gegensatz zu "Passworten" offen getragen werden greift meiner Meinung nach nicht. Zum einen ist das nur beschränkt der Fall: Ich jedenfalls hinterlasse nicht überall Abbilder meines Augenhintergrundes. Und selbst wenn diese offen getragen werden besteht dabei kein Problem, solange sie nicht oder nur unter sehr grossem Aufwand nachzubilden sind. Ein Augenhintergrund ist nunmal nicht so ohne Weiteres nachzubilden und die Nachbildung dürftw wohl auch sehr auffällig im Einsatz sein. Wenn sich Consumer Biometrietechnik von Käse täuschen läßt, dann ist das kein Fehler beim Konzept, sondern bei der Implementierung. Passwörter hingegen lassen sich hervorragend nachbilden. Und Passwörter werden offen getragen. Ein Passwort aus Wörtern mit "kreativen" Einstreuseln hat etwa 1 Bit Entropie pro Zeichen. Das heisst ich muß etwa 100 pro Passwort verwenden. Eine Gedichtstrophe. Wieviele Passwörter dieser Art soll ich mir merken? Ein Passwort aus Zufallsbuchstaben und Zeichen kommt mit etwas Glück auf 6 bit Entropie pro Zeichen, d.h. es muß knapp 20 Zeichen lang sein. A"%gI7$=;L1el,CXa:3v Wieviele Passwörter dieser Art soll ich mir merken? Das hat zwingend zur Folge, dass unsichere Passwörter verwendet werden, oder das die gleichen Passwörter an mehreren Stellen verwendet werden oder dass Passwörter niedergeschrieben werden. Wer sich intensiv damit beschäftigt stellt fest, dass in der Regel alles drei gleichzeitig zutrifft. Aus Fakten über eine Person vom Geburtzstag der Mutter bis zum KFZ-Kennzeichen kombiniert mit Informationen über die Arbeitsumgebung kombiniert mit einem Thesaurus kann man ein Dictionary erstellen, das mit der ersten Million Einträge eine phänomenale Trefferwarscheinlichkeit hat. In der Regel reicht es aber irgendwo Passwörter Abzugreifen (z.B. bei POP3) und diese an dem gewünschten Angriffsziel zu testen. Alle Menschen betreiben Passwort reuse.

Passwortauthentifizierung beruhen auf etwas, dass man weiss, Biometrie, Codecarten, mechanische Schüssel usw. auf etwas was man hat. Sicherheitssysteme sollten immer auf etwas was man hat aufbauen und zusätzlich etwas, dass man weiss abfragen.

"Absolute Sicherheit existiert nicht. Dies gilt insbesondere für für Bio-ID-Verfahren." Diese beiden Sätze sind von der Dümlichkeit eines politischen Pamphletes. Die im ersten satz postulierte Warheit gilt für Bio-ID-Verfahren genauso wie für alle anderen Verfahren auch. Sicherheit ist per se ein relativer Begriff. Und er ist bei Bio-ID-Verfahren nicht relativer als sonstwo.

Bei den meisten im Einsatz befindlichen Systemen zur Authentifizierung ist definitiv nicht Rechenleistung der relevante Faktor. Die meissten Systeme sind schlichtweg nicht EDV Basiert. Mit aller Rechenleistung der Welt kannst Du nicht Meine Mutter überreden, Dich für mich zu halten. Aber auch bei den EDV-Basierten Systemen scheint Rechenleistung nicht der begrenzende Faktor zu sein. Das einzige Verfahren, das durch Moors Law erheblich geschwächt wurde ist die original Unix Version von crypt(3), der Passwortverschlüsselung. Aktuelle Systeme sollten aber die nächsten paar hundert Jahre sicher sein. Selbst DES, dsa von Anfang an mit 'zu kurzem' Schlüssel designed wurde, braucht immer noch ganz erhebliche Resourcen um angegriffen zu werden und es ist mir kein Fall bekannt, in dem DES gebrochen wurde, um eine Authentifizierung zu erzwingen. Statdessen waren in den bekannten Fällen immer Design-, Implementierungs- oder Bedienungsfehler der wunde Punkt.

Das Passwörter sich als standhaftes Authentifizierungssystem erwiesen hat, entspricht nicht meinen Beobachtungen. Es gibt praktisch kein einziges Sicherheitsrelevantes System, das sich mit Passwörtern begnügt. Modernes Unix verlangt ein Passwort und Zugriff auf die Console oder einen SSH-Key. Geldautomaten verlangen die EC-Karte und die PIN. PGP verlangt den Private Keyring und das Passwort für diesen Keyring usw.

Auch das Aufwand zu nutzen bei Passwörtern ungleich besser ist halte ich für eine verblendete Aussage. Die Menge qualivizierter Passwörter, die sich ein Mensch merken kann ist stark begrenzt und somit eine rare und teure Resource. Jede Bank, die von mir verlangt, eine weitere PIN zu memorisieren verschwendet diese Resource.

Womit ich zum letzten Punkt komme: Der Änderbarkeit des Schlüssels. Ber häufigste "Notfall" ist das vergessene Passwort, ein Problem, das bei biometrischen Verfahren wesentlich geringer sein sollte. Destes Beispiel ist das Vergessen der EC-PIN: Karte wegwerfen, zentrale Nummer anrufen, 3 Wochen auf eine neue Karte warten. Wenn das Passwort kompromitiert wurde kann der Benutzer auf vielen passwortbasierten dsa Passwort ändern. Aber nicht auf allen, siehe EC-PIN. Es ist nicht einzusehen, warum bei einem guten Biometrischem System nicht auch für den Endnutzer eine Möglichkeit bestehen sollte, die eigenen Daten neu bzw. anders einzuspeichern.

Natürlich ist ein Upgrade der Software nötig, wenn das System der Authentifizierung an sich kompromitiert wurde. Das gilt für passwortbasierte wie für biometrisch basierte Systeme gleichermaßen. Vgl. Unix shadow-passwords.

Im allgemeines halte ich Biometrische Verfahren für sehr viel bequemer und sicherer, als Passworte. Auch dsa Abnehmen eines Fingerabdrucks auf einer Käsescheibe ist mehr Arbeit, als das klassische "Shoulder-Surfung", um an ein Passwort zu kommen.

Bevor wir gemeinsam einen Artikel schreiben wollen, sollten wir uns klar sein, was wir sagen wollen z.B.:

  • Biometrie ist kein Allheilmittel und man sollte sich klar machen, das auch mit Biometrie Fälschungen möglich sind.
  • Von den Herstellern Biometrischer Produkte werden oft überzogene Versprechungen gemacht.
  • Wir sind der Auffassung, es sollten keine weiteren biometrischen Merkmale in Personaldokumente aufgenommen und zentral gespeichert werden sollten.
  • Wir haben datenschutzrechtliche Bedenken bei manchen biometrischen Verfahren.
  • Wir finden den Schili doof und seinen Katalog eine Unverschämtheit. Ausserdem wollen wir uns ein bisschen über Biometriehersteller lustig machen und rummeckern.

--DoobeeRTzeck



Fangen wir mal mit dem letzten Abschnitt deiner Antwort an, denn da geht es um die Stoßrichtung des Artikels. Ich denke eben nicht, daß wir nur den Anlaß des Otto-Kataloges aufnehmen sollten und auf die zentrale Speicherung der Daten uns beziehen sollten. Da kommen wir eine Sache rein, in der wir dann über Dtaneschutzgesetze und Legalität - oder besser - Legitimität von Datenhaltung diskutieren. Das haben wir nicht nur schon tausenmal früher gemacht sondern jetzt auch aktuell bei den Schily-Vorschlägen. (CCC-Pressemeldung). Außerdem können das auch andere mit nötiger Vehemenz sagen. Die Argumente finden sich auch im Telepolis-Artikel wieder.

Was ich aber in der gesamten Diskussion gerade vermisse, sind die Kritikpunkte, die sich mit der Methode der Bio-ID beschäftigen! Da wird weder in den Artikeln der Zeitungen drüber gesprochen, noch ist das von den Datenschützern angesprochen. Und unwidersprochen kann man das nicht stehen lassen, sonst hält man die Methoden/das Bio-ID-Konzept für konsensual gut. Und da soll der Hebel erst mal ansetzten, dieses Mosaiksteinchen muß bearbeitet werden.

Wir können auch den Rundumschlag machen und dann einen Text der sich mit den Verfahren beschäftigt und dann mit der zentralen Datenhaltung und dann mit der Legitimität und den Schwierigkeiten mit dieser Datenhaltung; also ein Artikel von vorne bis hintern. Ich befürchte nur, daß in diesem Werk die neuen Argumente in der aktuellen Auseinandersetzung, nämlich gerade die Kritik an den Methoden verpufft. Wir haben dann YASAS - Yet another Stellungnahme against Schily Ich will also den Topf eher klein halten.

Vielleicht ist es falsch, Bio-ID der konkreten Methode "Passwort" gegenüberzustellen. Das ist wohl wirklich nicht entweder-oder zu sehen. Zunächst habe ich das auch heranziehen wollen, um mal den Aufwand, der bei Iris-Scans, Gesichtsvektorenzerlegung und Daumenwärmeprüfung der Eingabe einer Nummer oder eine Textes auf einer Tastatur zu vergleichen (Stichwort: Aufwand). Aber vielleicht muß man das wirklich mit "Haben und Wissen" vereinen.

Das könnte z.B. sein, daß bei einer Zugangskontrolle eine Bio-ID-Methode angewendet wird und zusätzlich eine PIN/Passwort? abgefragt wird. Ich sehe aber immer noch einen Unterschied zwischen einem (PGP-)Key und einer EC-Karte auf der einen und Bio-IDs auf der anderen Seite. Bei Bio-IDs existiert ein Wert der Wahrscheinlichkeit, daß die aufgenommen Daten auch zu den abgelegten gehören. Dieser Schwellwert ist ja bei jeder Implementation ein Moment der Abwägung: Zu hoch, gibt es viele Fälle, wo der Mensch das wirklich ist und eigentlich hätte durch dürfen, zu niedrig und man kanns schneller überlisten. Bei Hash-Werten und Kartenlesern ist der Wert 100%. Karte auch nur um ein Bit kaputt? - Neue besorgen.

Auf das Problem der weak passwords kann man bei einer Methodendiskussion eingehen. Klar, wenn mein Passwort überall "passwort" lautet ist mit Sicherheit nix. Das mal als einfachste Form der schlechten Passwörter. Weak Passwords würde ich in einer Diskussion um Biometrische ID nicht wirklich weitergehend behandeln, sondern Passwörter nur als Vergleich heranziehen.

Und nochmal: Für mich sind die zwei Methodenkritikpunkte die Offenheit des Merkmals und Änderbarkeit. Passwort also idealerweise im Kopf - und nicht im Klartext im POP3-Paket oder als PIN auf der EC-Karte. Wenn man sich die Technik z.B. anschaut, die aus öffentlichen Überwachungskameras mit eingefangenen Bitmaps Fleischpunkte erkennt, die Gesichter in Vektoren zerlegt und sofort eine Datenbank abgleicht (in England angeblich schon eingesetzt), dann wird einem schon schwindelig.

Bei der Abänderbarkeit weiß ich noch nicht, ob das nicht auch schon ein Error-by-design ist. Fakt ist: EC-Karten ("Haben") kann man ändern, Gesichter, Iris etc. nicht. Welche Konsequenzen ergeben sich daraus? Wirklich gar keine?

--SaM



Konsequenzen die sich meiner Meinung nach aus der Unveränderlichkeit des "Schlüssels" ergeben wurden oben schon genannt, was passiert wenn ich meinen "Schlüssel" ändern will, auch um Spuren zu verwischen die woanders gesammelt werden?

Beispiel: Ich eröffne ein Konto, löse es dann wieder auf, und eröffne ein Neues bei einer anderen Bank. Jetzt will ich das die neue Bank - auch hier aus welchem Grund auch immer - nicht weiss das ich derjenige vom vorherigen Konto war/bin. Denkbar bei Firmenkonten, oder irgendwelche Konten in Luxemburg zur Kapitalflucht, neben "kriminellen" Gründen gibt es aber sicher auch andere Gründe warum ich so etwas möchte. Jetzt gibt es hier die Möglichkeit andere Namen (zweiter Vorname statt erster) usw. meine Spuren relativ sauber zu Verwischen -> anderer Name, andere Adresse, andere Kontonummer, andere PIN. Relativ anonym für den "ersten Blick".

Sollte aber die biometrische Identifikation Pflicht sein hinterlasse ich eine unabänderliche Spur die mich eindeutig Identifiziert. Das ist negativ in beide Richtungen. Das heisst, ich kriege sowohl Probleme mich anonym zu halten wann ich will, als auch meinen Schlüssel zu ändern wenn er komprommitiert wurde. Was bei ausreichend exakter Biometrie meiner Meinung nach kein Problem darstellt, denn sollte mich jemand dazu zwingen mein Auge vor den Automat zu halten,passiert das nur einmal. Natürlcih nur wenn die Biometrie keine Nachbildungen zulässt. Eine Funktion wie mark_current_eye_invalid() ist eher sinnlos.

Das hängt ganz von des System ab. Es gibt anonyme biometrische Systeme. Es lassen sich auch biometrische Systeme konstruieren, die auf Zero-Knowledge Proofs basieren und damit zwar dem System Zeigen, dass du berechtigt bist, aber nicht, wer du bist. --DoobeeRTzeck

Ein weiteres Problem der Sammlung von Bimetrischen Daten ist, meines Erachtens, die nahezu 100%ige Gültigkeit vor Gericht. Welche chanche habe ich denn schon zu beweisen das ich gezwungen wurde meine Fingerabdrücke am Tatort zu hinterlassen, das ich zu einem "login" gezwungen wurde, das meine "Gene" ganz anders an den Tatort gelangt sind.

Ich denke das biometrische Daten vor Gericht im Moment zu eindeutig behandelt werden, die Beweislast wird fast in allen Fällen umgekehrt und für den Beklagten dadurch so ungünstig das einer Verurteilung quasi nichts mehr im Wege steht. Heutzutage wo noch "relativ wenig" biometrische Daten gesammelt werden ist das noch hart am Rand von "ist ok", in Zeiten in denen eine globale "Gen-Datenbank" aber in der Diskussion ist/war, muss man sich doch Gedanken machen was das für das Verhältniss des Bürgers zu seiner Gerichtsbarkeit bedeutet.

Muss ich demnächst aufpassen wo ich mir durch die Haare gehe, wo ich mir an den Nägeln knabber, wo ich in den Wald pinkel und wo ich mir in der Nase bohre, weil ich immer daran denken muss das der Ort an dem ich grade bin schon in 10 Minuten der Tatort einer Vergewaltigung werden kann, und ich dann Beweisen muss was cih vorher da gemacht habe oder warum meine Haare am Tatort liegen. Und noch schlimmer wird es wenn meine Haare an der Jacke von meiner Freundin hängen die mir leider fremdgeht und deswegen die Jacke ihrem Lover geliehen hat der - klar - dort in der Bahn sitzt.

Vielleicht können mir dann die Videokameras helfen die überall in der Bahn (hier in Köln) neu installiert werden, weil darauf sieht man ja das ich mir nur in der Nase bohre, oder in die Ecke pinkle. Was dann natürlich einen Prozess zu Folge hätte, was aber sons niemand gemerkt hätte, und auch nciht wirklich jemand gestört hätte. Es geht hin zum totalen Überwachungsstaat in der man nichts mehr machen kann ohne die permanente Angst zu haben bei irgendwas "erwischt" zu werden von dem man nicht wusste das es "erregung öffentlichen Ärgerniss" oder "grober Unfug" ist. Kann nicht auch der Bürger zum grössten Teil selber ermessen was in diesem Falle eine Straftag/Ordnungwidrigkeit? ist und was nicht?

Etwas Abgeschweift im Thema, aber auch Kameraafzeichnung in der Öffentlichkeit ist Identifikation und stört mich in meiner persönlichen Anonymität und sobald man eine veritable Menge an Daten über einen Menschen an verschiedenen Stellen gesammelt hat wird es immer minimal Brücken zwischen diesen wegen geben um sie zu verbinden.

Damit also Fazit: Die benutzung von biometrischen Daten in wirklich sensitiven Bereichen ist durchaus gerechtfertigt, aber nur als Ergänzung zu Passwörten, die - wie bereits gesagt - wirklich verlässlich sind. Wenn user Passwörter doppelt und dreifach verwenden ist es deren Schuld. Genauso wie erratbare Passwörter wie "Gabi","Peter" oder "020980" sind doch eher die Schuld des Users und nicht ein System-Flaw. EC-PINS sind da schon ganz ok, da die Bank es nicht zulässt wenn man hingeht und sag "Ich will mein Geburtsdatum". Ausserdem kann ich ja oft selber entscheiden wann ich Sicherheit haben will oder nicht, meine Videothek hat ein PIN-System, ich lache die jedesmal aus dafür, meine PIN ist 0000, dafür lachen die mich jedes mal aus. Da ist es mir aber egal ob das jemand "hackt", er braucht immernoch meinen Ausweis, den trag ich bei mir.

Nein, Passwörter sind ein System Flaw, weil sich der Mensch nur eine sehr begrenzte Zahl zuverlässiger Passwörter merken kann. Für den Normalmenschen tippe ich auf einen Wert zwischen 0 und zwei Passwörtern, die 100 Bit Entropie bieten.<i/> --DoobeeRTzeck

Das sammeln und auch das ausschliessliche Verlassen auf Biometrie halte ich allerdings für bedenklich wenn nicht gefährlich.

RFC

--SteaM