בתשובה לירון, 16/03/17 22:45
ובינתיים, בוויקיליקס 690754
א. נראה לי שזה איש קש. אם לשיטתך האקר העל הזה יכול לשבור כל מערכת זיהוי על ידי עקיפת המנגנון, זה מנטרל את כל הדיון. אתה טוען שאי אפשר להצפין כלום, ולכן כל השיטות שקולות יעילות באותה מידה. אז מלבד זה שזה לא נכון, מה זה תורם? הבה נזרוק את כל המנגנונים האלה לפח ונפסיק לריב על מאגרים ביומטריים ותעודות זיהוי חכמות.
ומעבר לזה שיש הבדל בין האקר על יקר ונדיר לבין כל פורץ טמבל שמקבל את המאגר במחיר קטן ומשתמש בו לצרכיו, התיאור שלך קצת נאיבי. אפשר לבצע את כל הזיהוי הביומטרי שיתרחש ברמת החומרה של הטלפון, בלי שום אפשרות למעקף תוכנתי בדרך.

ב. נראה לי שאתה לא הבנת. אם אין לך את טביעת האצבע, אתה לא יודע את האינדקס, כי הוא לא נמצא בשום מאגר. הקוד אצל מפעיל השירות איננו האינדקס (או האינדקס המוצפן לצורך זה), הוא קוד שונה לחלוטין שאלגוריתם הפענוח יודע לפעול עליו ועל האינדקס יחדיו ולהוציא תוצאה "מתאימים" או "לא מתאימים". אבל ברור מאליו שמי שיודע את הקוד אצל המפעיל לא יכול להסיק ממנו את האינדקס, זה אלף בית בהצפנה, וודאי בהצפנת מפתח ציבורי.
ושום האקר לכן לא יכול לפרוץ את הטלפון שלך בצורה הזאת. בדיוק בניגוד לשיטה המוצעת של המאגר, שנותנת לו את טביעת האצבע שלך על מגש של כסף.

ולסיום, אתה לא מבדיל בין פעולת ציתות שדורשת אישור בית משפט, מושחת ככל שיהיה, להאזנה רציפה על ידי כל מאן דבעי על הטלפון שלך? ברצינות?
ובינתיים, בוויקיליקס 690757
א. אפשר להוכיח זהות, אבל אתה זקוק לסוד שרק אתה יודע אותו, ולגורם חיצוני שיכול לאשר שהוכחת שאתה יודע את הסוד. הסוד יכול להיות סיסמה, מפתח פרטי או זיהוי ביומטרי. הגורם החיצוני חייב להיות מחוץ להישג ידו של היריב. הנחת העבודה צריכה להיות שהיריב שולט במחשב שמבקש גישה לשירות המאובטח. אם אין גורם חיצוני, היריב יכול לעשות כרצונו.

נניח שיש אפליקציה שמאפשרת כניסה לחשבון בנק ללא סיסמה, ומסתמכת רק על בדיקה מקומית של זיהוי ביומטרי (או בדיקה מקומית של סיסמה, זה לא משנה). אתה מציע שהבדיקה תעשה בחומרה. אבל החומרה לא יכולה לדעת באיזה שירותים אתה משתמש, ולא יודעת איך להציג את חווית המשתמש שלהם, נכון? בשביל זה יש אפליקציות שונות לבנק, לאוניברסיטה, לקופת חולים. איך האפליקציה משתמשת בבדיקה המתבצעת בחומרה? היא קוראת לפונקציה של מערכת ההפעלה. בעיקרון הפונקציה מפעילה את דיאלוג הבדיקה מול המשתמש, ואת החומרה שסורקת ומשווה. בסוף היא מחזירה true או false. האפליקציה של הבנק קוראת לפונקציה של מערכת ההפעלה, אם הזיהוי הצליח מכניסה אותך לחשבון, ואם לא עושה משהו אחר.

מה עושה עושה היריב? מוריד את האפליקציה של הבנק, מוצא את נקודת הקריאה לפונקציה של מערכת ההפעלה, ודורך עליה עם פקודת הסתעפות לנקודה שבה נמצא הקוד שמכניס אותך לחשבון. זהו. עכשיו הוא מפעיל את האפליקציה הפרוצה במחשב שלו, מכניס את מספר החשבון שלך, ונכנס לחשבון מפני שלא מתבצעת שום בדיקה. וזה לא הסוף. היריב מעלה את האפליקציה הפרוצה לטורנט כדי שכל אחד יוכל להתקין אותה ולהנות ממנה.

ב. כתבתי כבר שאני לא מומחה לקריפטוגרפיה, ולא עוסק באבטחת מידע. אם אתה חושב שאתה צודק, תקשר למאמר מקצועי (אתה, או משתתף אחר). לפי עניות דעתי, פתרון כזה בלתי אפשרי עבור אינדקס שמיצג נתון ביומטרי.

אסביר ביתר פרוט.

פונקצית hash היא פונקציה שידוע אלגוריתם יעיל שמממש אותה, אבל לא ידוע אגוריתם יעיל שמממש את הפונקציה ההפוכה שלה. הפונקציה מקבלת מספר, שיכול להיות סיסמה, או מאמר שלם. הפונקציה מחזירה מספר שהוא בלוק ביטים באורך קבוע. ההנחה היא שאם ידועה תמונה של הפונקציה אי אפשר למצוא את המקור.

כשאתה נרשם לשירות מסויים, אתה בוחר לעצמך סיסמה. הסיסמה נשלחת לשרת ושם היא מוצפנת בפונקצית hash. במאגר הסיסמאות יש רק תמונות של סיסמאות, ולא שומרים את המקור. מאוחר יותר, כאשר אתה רוצה להכנס אתה שולח את הסיסמה שלך. השרת מצפין אותה בפונקצית ה-hash, ומשווה לבלוק הביטים שהוא התמונה של הסיסמה שאיתה נרשמת. אם הסיסמאות שוות גם התמונות שוות, וכך אפשר לאשר את זהותך בלי לשמור את הסיסמה שלך במאגר.

נניח שהיריב (ההאקר) הצליח להשיג את המאגר. הוא לא יכול להשתמש בו כדי להשיג את הסיסמה שלך, מפני שהוא לא יכול לחשב את הפונקציה ההפוכה. בלי הסיסמה הוא לא יכול להכנס לחשבון מפני שהסיסמה עוברת את טרנספורמצית ה-hash בצד השרת. חייבים לשלוח את הסיסמה כדי שתהליך הזיהוי יצליח.

לפונקציות hash יש תכונה שהשינוי הזעיר ביותר בקלט משנה לחלוטין את הפלט. אתה לוקח מאמר שלם, משנה בו אות אחת, וה-xor בין שתי התמונות של שתי גירסאות המאמר, הוא בלוק ביטים רנדומלי.

התכונה הזו מתאימה לסיסמאות שהן או נכונות, או לא נכונות. נתון ביומטרי הוא "בערך", הוא "קרוב". אתה צריך למדוד מרחק בין שני אינדקסים ולהחליט עם הם קרובים מספיק כדי להתיחס אליהם כשווים. הפעלת פונקצית hash תהרוס את תכונת הקירבה. לכן חייבים להשוות אינדקסים, ולכן גם אם המאגר מוצפן צריכה להיות אפשרות לפענח את ההצפנה. לכן מאגר שמאפשר זיהוי ביומטרי מוגן פחות ממאגר סיסמאות.
___
איך הגעת מפריצה למאגר הביומטרי, להאזנה לטלפון אני לא יודע.
ובינתיים, בוויקיליקס 690758
א. לא ענית על כל הפסקה הראשונה שלי, שהיא הטיעון העקרוני (האקר על עם יכולות בלתי מוגבלות כמו שאתה מתאר הוא איש קש שלא תורם לדיון). תקרא אותה שוב ותראה אם יש לך תשובה טובה.

ב. זה כנראה לא טריוויאלי (גם אני לא מומחה הצפנה), אבל בהחלט יש כיוונים אפשריים.
אפשר להתחיל מכאן, כשהתשובה השנייה נראית לי יותר מקצועית ומלמדת.
משם אפשר להמשיך לכאן, כשהתשובה טוענת שזה קשה אבל עובדים על זה לא מעט (ויש שם הפניות למאמרים טכניים מפורטים יותר).
כנראה שאחד המושגים הבסיסיים פה הוא fuzzy hashing, שעושה סוג של Hash ששומר על תכונת המרחק. השמירה הזאת מקלקלת חלק מהבטיחות כמובן, אבל גם על זה מישהו עובד.

זה נראה לי מאמר מסכם לא רע שעובר על כמה שיטות בנושא. משם:
VI. CONCLUSION
Privacy preservation in biometric based verification systems
is a growing area of research with many challenges.
This paper first outlined the basic framework and performance
measures of PPBSs. Then it provided a comprehensive
review of the existing PPBSs, including biometric encryption
based schemes, cancelable biometric based schemes, multimodal
and hybrid based schemes, and SC based schemes.
The problems associated with the existing PPBSs were also
summarized and discussed. Furthermore, we highlighted the
challenges and future directions of PPBSs. It is hoped that
the review and analysis presented in this paper can help and
motivate researchers to develop more effective and efficient
PPBSs in the future.

_________
הגעתי לאורך הפתיל, תקרא. השאלה הדומה היא "האם אכפת לך בכלל מפרטיות" או "למה אכפת לך שמישהו יצותת כל הזמן לטלפון שלך, אבל לא אכפת לך שלמישהו תהיה גישה לכל הנתונים הפרטיים שלך".

חזרה לעמוד הראשי המאמר המלא

מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים