Biometrie ist tot

vorhergehende Artikel in: Security Rants
01.12.2019

Ich habe im Zuge neuer Nachrichten auf diesem Gebiet meine Gedanken und Meinungen zum Thema Biometrie einer Revision unterzogen

Der Aufhänger

Vor einigen Wochen kam die Nachricht - wie immer sensationell aufgebauscht -, dass es nun möglich wäre, Android-Smartphones im Schlaf zu entsperren. An dieser Stelle habe ich zunächst erst einmal recherchiert und festgestellt, dass dies mitnichten ein Android-Problem ist: Apple äußert sich tatsächlich bereits seit einiger Zeit dazu und schließt nicht aus, dass das auch mit IPhones möglich wäre.

Kritik der Biometrie im allgemeinen

Ich muss glaube ich nicht die allgemeinen Kritiken an Biometrieverfahren aufzählen - derer gibt es genug. Ich wiederhole hier nur die meiner Ansicht nach eingängigsten:

Inklusion? Fehlanzeige! Dieses Manko wurde vor einigen Jahren eindrucksvoll demonstriert, asl irgendso eine Hipster-Startup-Klitsche behauptet hatte, dass sie den Zugang zum Bundestag mittels Biometrie besser schützen könnten als alle anderen. Das biometrische Merkmal, das sie nutzen wollten? der menschliche Gang. Herr Schäuble saß zu dieser Zeit bereits im Rollstuhl. An der Stellemuss man glaube ich nichts mehr sagen.

Langzeitstabilität. Viele biometrische Merkmale verändern sind ihrer Natur nach analog - das bedeutetaber auch, dass sie sich über die Lebenszeit ändern. Ich denke - und ich habe noch keine Studie gesehen, die dasuntersucht, geschweige denn widerlegt hat - dass keines der aktuell eingesetzten Verfahren elastisch genug ist, diese Änderungen zu akzeptieren und trotzdem bei der Klassifizierung keine Fehler zu machen.

Begrenzter Schlüsselraum: Wenn mir jemand den Wohnungsschlüssel stiehlt lasse ich das Schloss auswechseln und bekomme dazu neue Schlüssel. Das kann ich tun so oft ich möchte. Wenn jemand meines Passwortes habhaft wird, kann ich mir ein neues ausdenken. Das ist nicht schlimm, hält mich geistig flexibel und ich kann es ebenfalls so oft tun, wie ich möchte oder muss. In beiden Fällen ist der zur Verfügung stehende Schlüsselraum - die Menge unterschiedlicher möglicher Schlüssel virtuell unendlich, sumindest aber sehr groß. Erzeugt jemand eine Kopie meines Fingerabdruckes, die einem Fingerabdruckleser vorgaukelt, dass eres tatsächlich mit mir zu tun hat, muss ich einen anderen Fingerabdruck benutzen - davon habe ich genau 10. Geschieht das statt dessen mit dem Venenmuster meiner Hand oder dem meines Augenhintergrundes, kann ich genau einmal einen neuen Schlüssel hinterlegen - der Schlüsselraum hat die Größe

  1. Daran erkennt man, dass biometrische Verfahren nur dann eingesetzt werden können, wenn garantiert werden kann, dass
niemand ein solches Merkmal simulieren kann. Keines der heute gängigen Verfahren kann das garantieren. Daher sind sie allesamt nicht satisfaktionsfähig und die Hipsterbuden, die sie trotzdem verkaufen sollten alle geschlossen undabgewickelt werden.

Die Entwicklung

Vir vielen Jahren - und die Simulation der biometrischen Merkmale fremder Personen geht mindestens bis ins Jahr 2002 zurück - wurden die ewigen Schwarzmaler noch belächelt und - vermeintlich - mit der Aussage totargumentiert, dass diese Technologien viel zu fortgeschritten seien, als dass sich der mündige Bürger darüber sein Köpfchen zerbrechen müsste. Nun ist es nichts neues, dass Technologien, die zum Zeitpunkt der Entdeckung nur in einigen wenigen teuren Installationen existieren innerhalb weniger Jahre inder breiten Masse ankommen - siehe Computer als Beispiel.

Vor einigen Jahren hörte man das Argument gegen Biometrie auf einer der vergangenen D-A-CH-Konferenzen durch einen Praktiker, der darauf hinwies, dass bei den gängigen Verfahren der Biometrie ein wichtiger Gesichtspunkt (tut mir leid wegen des armseligen Wortwitzes) nicht betrachtet wird: Ist es möglich, durch Benutzung eines biometrischen Merkmals eine Willenserklärung abzugeben? Er illustrierte das mit der Freigabe einer Zahlung per Fingerabdruck: Selbst wenn derjenige im Koma läge, könnte man seinen Daumen trotzdem aufs Lesegerät legen und das System würde erkennen, dass der Finger eines Berechtigten Kontakt hatte - aber das wäre ja kaum eine Willenserklärung.

Dieses Beispiel kam mir beim Lesen des Artikels über das Entsperren eines Smartphones durch das Gesicht eines Schlafenden wieder einmal in den Sinn - damals noch eine eher akademische Diskussion wird sie heute wichtig: Schläft man, wird man es wohl kaum merken, wenn der- oder diejenige, mit dem/der mansich noch in einer stabilen Beziehung wähnt im Schlaf einen Finger des Partners auf den Fingerabdruck-Scanner des Smartphones legt und dann zu einem Shopping-Streifzug im Internet aufbricht.

Mich würde interessieren, wie einfach es ist, eine solche Buchung wieder einzufangen - denn es ist klar und allgemein anerkannt, dass man durch ein biometrisches Merkmal keine Willenserklärung abgeben kann - aber würde ich mit diesem Argument Erfolg bei meiner Bank haben?

Alle Artikel rss Wochenübersicht Monatsübersicht Github Repositories Gitlab Repositories Mastodon Über mich home xmpp


Vor 5 Jahren hier im Blog

  • Mandelbrot-Sets mittels Shadern berechnen

    17.05.2019

    Nachdem ich in den letzten verregneten Tagen auf Youtube in den Videos von Numberphile versunken bin, hat mich eines davon angestachelt, mich selbst mit dem Mandelbrotset zu beschäftigen. Als ich dann noch Code fand, der behauptete, das auf einer Graphikkarte mittels Shadern berechnen zu können, war es um mich geschehen...

    Weiterlesen...

Neueste Artikel

  • Erste Vor-Version eines Gis-Plugin für die sQLshell

    Wie bereits in einem früheren Artikel erwähnt plane ich, demnächst ein Plugin für die sQLshell anzubieten, das eine Visualisierung von Daten mit räumlichem Bezug im Stil eines Geoinformationssystems erlaubt.

    Weiterlesen...
  • bad-certificates Version 2.1.0

    Das bereits vorgestellte Projekt zur automatisierten Erzeugung von Zertifikaten mit allen möglichen Fehlern hat eine Erweiterung erfahren und verfügt über ein Partnerprojekt - beide sind nunmehr in der Version 2.1.0 freigegeben

    Weiterlesen...
  • SQLite als Geodatenbank

    Wie bereits in einem früheren Artikel beschrieben treibe ich derzeit Anstrengungen voran, die sQLshell attraktiver für Nutzer zu machen, die mit Geodatenbanken arbeiten.

    Weiterlesen...

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muß damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen GitHub-Repositories findet man hier - meine öffentlichen GitLab-Repositories finden sich dagegen hier.