Biometrie ist tot

vorhergehende Artikel in: Security Rants
01.12.2019

Ich habe im Zuge neuer Nachrichten auf diesem Gebiet meine Gedanken und Meinungen zum Thema Biometrie einer Revision unterzogen

Der Aufhänger

Vor einigen Wochen kam die Nachricht - wie immer sensationell aufgebauscht -, dass es nun möglich wäre, Android-Smartphones im Schlaf zu entsperren. An dieser Stelle habe ich zunächst erst einmal recherchiert und festgestellt, dass dies mitnichten ein Android-Problem ist: Apple äußert sich tatsächlich bereits seit einiger Zeit dazu und schließt nicht aus, dass das auch mit IPhones möglich wäre.

Kritik der Biometrie im allgemeinen

Ich muss glaube ich nicht die allgemeinen Kritiken an Biometrieverfahren aufzählen - derer gibt es genug. Ich wiederhole hier nur die meiner Ansicht nach eingängigsten:

Inklusion? Fehlanzeige! Dieses Manko wurde vor einigen Jahren eindrucksvoll demonstriert, asl irgendso eine Hipster-Startup-Klitsche behauptet hatte, dass sie den Zugang zum Bundestag mittels Biometrie besser schützen könnten als alle anderen. Das biometrische Merkmal, das sie nutzen wollten? der menschliche Gang. Herr Schäuble saß zu dieser Zeit bereits im Rollstuhl. An der Stellemuss man glaube ich nichts mehr sagen.

Langzeitstabilität. Viele biometrische Merkmale verändern sind ihrer Natur nach analog - das bedeutetaber auch, dass sie sich über die Lebenszeit ändern. Ich denke - und ich habe noch keine Studie gesehen, die dasuntersucht, geschweige denn widerlegt hat - dass keines der aktuell eingesetzten Verfahren elastisch genug ist, diese Änderungen zu akzeptieren und trotzdem bei der Klassifizierung keine Fehler zu machen.

Begrenzter Schlüsselraum: Wenn mir jemand den Wohnungsschlüssel stiehlt lasse ich das Schloss auswechseln und bekomme dazu neue Schlüssel. Das kann ich tun so oft ich möchte. Wenn jemand meines Passwortes habhaft wird, kann ich mir ein neues ausdenken. Das ist nicht schlimm, hält mich geistig flexibel und ich kann es ebenfalls so oft tun, wie ich möchte oder muss. In beiden Fällen ist der zur Verfügung stehende Schlüsselraum - die Menge unterschiedlicher möglicher Schlüssel virtuell unendlich, sumindest aber sehr groß. Erzeugt jemand eine Kopie meines Fingerabdruckes, die einem Fingerabdruckleser vorgaukelt, dass eres tatsächlich mit mir zu tun hat, muss ich einen anderen Fingerabdruck benutzen - davon habe ich genau 10. Geschieht das statt dessen mit dem Venenmuster meiner Hand oder dem meines Augenhintergrundes, kann ich genau einmal einen neuen Schlüssel hinterlegen - der Schlüsselraum hat die Größe

  1. Daran erkennt man, dass biometrische Verfahren nur dann eingesetzt werden können, wenn garantiert werden kann, dass
niemand ein solches Merkmal simulieren kann. Keines der heute gängigen Verfahren kann das garantieren. Daher sind sie allesamt nicht satisfaktionsfähig und die Hipsterbuden, die sie trotzdem verkaufen sollten alle geschlossen undabgewickelt werden.

Die Entwicklung

Vir vielen Jahren - und die Simulation der biometrischen Merkmale fremder Personen geht mindestens bis ins Jahr 2002 zurück - wurden die ewigen Schwarzmaler noch belächelt und - vermeintlich - mit der Aussage totargumentiert, dass diese Technologien viel zu fortgeschritten seien, als dass sich der mündige Bürger darüber sein Köpfchen zerbrechen müsste. Nun ist es nichts neues, dass Technologien, die zum Zeitpunkt der Entdeckung nur in einigen wenigen teuren Installationen existieren innerhalb weniger Jahre inder breiten Masse ankommen - siehe Computer als Beispiel.

Vor einigen Jahren hörte man das Argument gegen Biometrie auf einer der vergangenen D-A-CH-Konferenzen durch einen Praktiker, der darauf hinwies, dass bei den gängigen Verfahren der Biometrie ein wichtiger Gesichtspunkt (tut mir leid wegen des armseligen Wortwitzes) nicht betrachtet wird: Ist es möglich, durch Benutzung eines biometrischen Merkmals eine Willenserklärung abzugeben? Er illustrierte das mit der Freigabe einer Zahlung per Fingerabdruck: Selbst wenn derjenige im Koma läge, könnte man seinen Daumen trotzdem aufs Lesegerät legen und das System würde erkennen, dass der Finger eines Berechtigten Kontakt hatte - aber das wäre ja kaum eine Willenserklärung.

Dieses Beispiel kam mir beim Lesen des Artikels über das Entsperren eines Smartphones durch das Gesicht eines Schlafenden wieder einmal in den Sinn - damals noch eine eher akademische Diskussion wird sie heute wichtig: Schläft man, wird man es wohl kaum merken, wenn der- oder diejenige, mit dem/der mansich noch in einer stabilen Beziehung wähnt im Schlaf einen Finger des Partners auf den Fingerabdruck-Scanner des Smartphones legt und dann zu einem Shopping-Streifzug im Internet aufbricht.

Mich würde interessieren, wie einfach es ist, eine solche Buchung wieder einzufangen - denn es ist klar und allgemein anerkannt, dass man durch ein biometrisches Merkmal keine Willenserklärung abgeben kann - aber würde ich mit diesem Argument Erfolg bei meiner Bank haben?

Alle Artikel rss Wochenübersicht Monatsübersicht Github Repositories Gitlab Repositories Mastodon Über mich home xmpp


Vor 5 Jahren hier im Blog

  • CI/CD mit shellcheck

    13.10.2019

    Ich habe mich entschlossen, in meinen diversen Shell-Projekten shellcheck als Mittel zur Qualitätssicherung einzusetzen.

    Weiterlesen...

Neueste Artikel

  • Linux-System SBOM visualisiert als Graph

    In meinem $dayjob kam neulich die Frage auf, ob es möglich wäre, die aktuelle Softwareinstallation eines Linux-Systems als Software Bill of Materials (SBOM) zu exportieren.

    Weiterlesen...
  • Visualisierung von Datenmodellen als gerichtete Graphen

    Ich habe - motiviert durch meine Experimente zur Visualisierung von Paketabhängigkeiten in Linux-Installationen als interaktive Graphen - versucht, relationale Datenmodelle in ähnlicher Form zu visualisieren und dazu zwei Plugins für die sQLshell geschrieben.

    Weiterlesen...
  • Carl Sagan - Christmas Lectures at the Royal Institution

    Die Royal Institution hat in ihren Schätzen gegraben und die Christmas Lectures von Carl Sagan auf Youtube nochmals veröffentlicht. Meiner Ansicht nach unbedingt lohnenswert für alle, die Englisch verstehen!

    Weiterlesen...

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muß damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen GitHub-Repositories findet man hier - meine öffentlichen GitLab-Repositories finden sich dagegen hier.