информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеАтака на Internet
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Apple случайно превратила FaceTime... 
 С наступающим 
 Неприятная уязвимость в SQLite... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Насколько мне известно, там подход такой: 21.10.05 07:28  Число просмотров: 3837
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
Насколько мне известно, там подход такой:
1) В чипе на борту генерируются криптографические креденшиалы
2) Производится оцифровка пальца
3) Креденшиалы шифруются на оцифровке (или оцифровка используется как индекс для доступа к ним)

Соответственно, если чисто механически исключить возможность "втиснуться" между сканером и чипом, то схема достаточно надежна...
<site updates>
Биометрия опять попала 17.05.02 13:25  
Publisher: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
Биометрия опять попала
The Register http://www.theregister.co.uk/content/55/25300.html

Японский исследователь Цутому Мацумото (Tsutomu Matsumoto) продемонстрировал действенный способ обмана сенсоров отпечатков пальцев, срабатывающий в 4 случаях из 5. При этом затраты на изготовление поддельного пальчика не превышают $10. Оставленный на стекле отпечаток пальца "проявляется" парами цианоакрилата (суперклея), фотографируется, после чего доводится до кондиции в фотошопе и печатается на прозрачной пленке, натягиваемой затем на изготовленный из желатиновой основы муляж.


Полный текст
Трактат в тему. Древняя ветка, но тема актуальна до сих пор. Новую ли начать, эту ли протолжить. 26.10.05 11:33  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 26.10.05 11:38  Количество правок: 1
<"чистая" ссылка>
> Японский исследователь Цутому Мацумото (Tsutomu Matsumoto)
> продемонстрировал действенный способ обмана сенсоров
> отпечатков пальцев, срабатывающий в 4 случаях из 5. При
> этом затраты на изготовление поддельного пальчика не
> превышают $10. Оставленный на стекле отпечаток пальца
> "проявляется" парами цианоакрилата (суперклея),
> фотографируется, после чего доводится до кондиции в
> фотошопе и печатается на прозрачной пленке, натягиваемой
> затем на изготовленный из желатиновой основы муляж.

Технология то шагнула вперед, хотя я в каком-то кино (даже двух) видел не менее изящные методы.
Первый из них - контактная линза для идентификации по радужной оболочки. В фильме злоумышленник прикидывался презедентом Соединенных Штатов.
Второй - грабители натягивали на палец что-то вроде презерватива, на конце которого был рельеф отпечатка оригинального пальчика. Тут и температура, и пульсация крови в сосудах. Технически определить, что под пленочкой совсем другой отпечаток - крайне сложная задача.
Еще вспомнилась древняя публикация в журнале - умер пожилой человек, которому начислялась немалая пенсия, в силу неграмотности он "подписывался" отпечатком пальца, родственники похоронили покойного с отрубленным пальчиком.

Не хочется заострять внимание на классификации биометрии, поскольку разница в зависимости от объекта идентификации мала - будь то изображение линий пальчика, изображение радужной оболочки глаза, изображение другого органа или генетический анализ. Хочется обсудить применение биометрии как идентификации для авторизации доступа к информации, как алтернативы распространенному классическому парольному доступу.
В качестве "ключа" конечно же не будет использоваться само изображение в силу большого объема (большой избыточности) и неудобства сравнения. Из картинки путем компьютерной обработки вытягиваются несколько чисел предположительно однозначно идентифицирующих изображение данного типа, что и сравнивается с образцами, хранящимися в базе.
Один из постулатов компьютерной идентификации заключается в том, что два абсолютно совпадающих изображения получить невозможно, поэтому численные значения биометрического параметра загрубляются до максимального соотношения "уверенного узнавания оригинала" к "уверенному отсечению неоригинала". В любом случае возможна ситуалия ложного узнавания или неузнавания.
Получаем несколько основных недостатков: неточность идентификации, возможность фальсификации, дороговизна оборудования, отсутствие возможности "делегировать" свои идентификационные данные, невозможность использования биоданных для электронной подписи.
Преимущества в случае хорошоотлаженной и надежной системы: отсутствие необходимости помнить пароль (ключ "всегда при себе", удобно), гарантированое отсечение лиц с сильно отличающимися биопараметрами.
В обоих системах ключевую информацию можно похитить - как подсмотреть пароль, так и снять биометрию.
Настоятельно не порекомендую использовать биометрию в качестве ключа симетричного шифрования.
Используя биометрию для доступа к базам данных следует качественно защищать патаметры в процессе использования и исключать возможность их предоставление кроме как предусмотренным методом (в частности через сканер).
Один из примеров глупого использования биометрической идентификации - защищать данные в ноутбуке посредством установки биометрической, как впрочем и парольной идентификации на этапе включения/загрузки.
Если б все было так легко, надежно, дешево, то биометрия уже давно бы применялась в каждой программе вместо паролей.
Область применения биометрии - идентификация преступников и трупов. К стати там и без компьютера все работает.
Замечания, дополнения, впечатления - пишите. Думаю не мне одному интересно будет.
Рисунок папилярных линий на пальце можно снимать не только оптическими методами! 26.10.05 13:58  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
Без разницы, хоть ядерно-магнитной томографией, хоть даже... 26.10.05 18:48  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Без разницы, хоть ядерно-магнитной томографией, хоть даже механическим методом - куча микрокнопок, хоть ультазвуком. Получили картинку - а дальше что? СтОит ли это применять в компьютерной идентификации? Я думаю что не стОит.
Да что ты в картинку-то уперся? Получаемые данные будут не... 27.10.05 13:31  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
> Без разницы, хоть ядерно-магнитной томографией, хоть даже
> механическим методом - куча микрокнопок, хоть ультазвуком.
> Получили картинку - а дальше что? СтОит ли это применять в
Да что ты в картинку-то уперся? Получаемые данные будут не обязательно картинкой. Могут быть значения электрических потенциалов или электропроводности. В ЯМР томографии картинка создается искусственно.
> компьютерной идентификации? Я думаю что не стОит.
А все просто - значения электрических потенциалов и... 27.10.05 13:44  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 27.10.05 13:46  Количество правок: 1
<"чистая" ссылка>
> Да что ты в картинку-то уперся? Получаемые данные будут не
> обязательно картинкой. Могут быть значения электрических
> потенциалов или электропроводности. В ЯМР томографии
> картинка создается искусственно.

А все просто - значения электрических потенциалов и электропроводности не относятся к биометрии (к индивидуальным особенностям/признакам биологического существа, присущим только этому живому существу). То есть у конкретного человека электрический потенциал или электропроводность может меняться в широких пределах в зависимости от прочих факторов. Найдется множество людей, у которых этот параметр совпадет. Радужная оболочка глаза же у всех разная. Рисунок, образуемый папилярными линиями на пальце, не изменяются в зависимости от условий.
Ты не понял. Один из способов определения папилярных линий -... 27.10.05 14:17  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
> А все просто - значения электрических потенциалов и
> электропроводности не относятся к биометрии (к
> индивидуальным особенностям/признакам биологического
> существа, присущим только этому живому существу). То есть у
> конкретного человека электрический потенциал или
> электропроводность может меняться в широких пределах в
> зависимости от прочих факторов. Найдется множество людей, у
> которых этот параметр совпадет. Радужная оболочка глаза же
> у всех разная. Рисунок, образуемый папилярными линиями на
> пальце, не изменяются в зависимости от условий.
Ты не понял. Один из способов определения папилярных линий - измерение электропроводности в различных точках кожи на пальце.
Тогда все равно получаем картинку. Под картинкой здесь я... 27.10.05 16:57  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Ты не понял. Один из способов определения папилярных линий
> - измерение электропроводности в различных точках кожи на
> пальце.

Тогда все равно получаем картинку. Под картинкой здесь я понимаю двумерное изображение. Пусть даже монохромное, пусть даже двухцветное (две градации серости/чернобелости). Потом анализ картинки и первичная обработка - прореживание, преобразование в линейную/векторную форму. Поиск ключевых точек...
Хреновый наверно способ 27.10.05 16:15  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Сопротивление кожи человека может меняться в десятки раз в зависимости от настроения, состояния здоровьи, усталости, опьянения, температуры и влажности воздуха...
Точно, но 27.10.05 17:25  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
> Сопротивление кожи человека может меняться в десятки раз в
> зависимости от настроения, состояния здоровьи, усталости,
> опьянения, температуры и влажности воздуха...
в некоторых случаях это случаях это становится огромным плюсом. Например, когда нужно не только опознать человека, но и учесть его состояние.
Если только в купе с шифрующим паролем. 26.10.05 19:39  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Наздоровье. Ни что не мешает комбинировать, даже приветствуется. Пальчик+ПИН+Карточка - можно даже так. Надежность растет, вероятность отказа увы тоже. 27.10.05 10:24  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
по моему полная чушь, тем более что существуют системы,... 19.10.05 13:48  
Автор: аналитик Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Биометрия опять попала
> The Register
> http://www.theregister.co.uk/content/55/25300.html
>
>
> Японский исследователь Цутому Мацумото (Tsutomu Matsumoto)
> продемонстрировал действенный способ обмана сенсоров
> отпечатков пальцев, срабатывающий в 4 случаях из 5. При
> этом затраты на изготовление поддельного пальчика не
> превышают $10. Оставленный на стекле отпечаток пальца
> "проявляется" парами цианоакрилата (суперклея),
> фотографируется, после чего доводится до кондиции в
> фотошопе и печатается на прозрачной пленке, натягиваемой
> затем на изготовленный из желатиновой основы муляж.
по моему полная чушь, тем более что существуют системы, считыватели которых учитывают даже пульс в пальчике. а кто вообще проверял как срабатывает желатиновый протез? хотелось бы посмотреть. а на каком принципе работеат сканер который он обманул?
Дату поста смотрели? Технологии за 3 года далеко ушли...:-) 19.10.05 14:06  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Кстати, раз уж тема поднялась 19.10.05 19:18  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Всегда меня мучали смутные сомнения...

Вот есть девайс считывающий пальцы. Он должен палец прочитать,оцифровать_как_то а потом уж захэшировать (типа круто!) и послать аутентифицирующей проге, саму оцифровку - уничтожить.

А что будет если украдут эту оцифровку?

Ну любым способом... может она фигово уничтожается или заставить поставить отпечаток на чуть подправленный злоумышленником девайс (чтобы не уничтожал..)... ну найти способ - в конце концов сам алгоритм оцифровки не может быть секретным, ибо девайсы доступны в продаже!

Типа этот человек никогда больше не сможет безопасно пользоваться такими девайсами?
В любой системе защита должна быть комплексная. 20.10.05 07:48  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Вот есть девайс считывающий пальцы. Он должен палец
> прочитать,оцифровать_как_то а потом уж захэшировать
> (типа круто!) и послать аутентифицирующей проге, саму
> оцифровку - уничтожить.
>
> А что будет если украдут эту оцифровку?
В любой системе защита должна быть комплексная.
Согласись, что врядли охранник на входе отнесется нейтрально к человеку, который вместо приложения пальца к сканеру курочит этот сканер и подключает к нему ноутбук (иначе как заюзать сворованную оцифровку)? Плюс, как правило, показывают PhotoID, да еще пин-код какой-нибудь вводят...

p.s. Лично я отношусь скептически к биометрическим методам, т.к. (не смотря на развитие технологий) они имеют довольно высокий процент как false negatives, так и false positives. Плюс они достаточно дороги и гиморны в эксплуатации. Посему использовать их в качестве основного средства аутентификации пока рано...
Ну а вот насчет ноута IBM ThinkPad со встроенным сканером отпечатка... вообще маразм его туда встраивать, получается. 20.10.05 13:36  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Насколько мне известно, там подход такой: 21.10.05 07:28  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
Насколько мне известно, там подход такой:
1) В чипе на борту генерируются криптографические креденшиалы
2) Производится оцифровка пальца
3) Креденшиалы шифруются на оцифровке (или оцифровка используется как индекс для доступа к ним)

Соответственно, если чисто механически исключить возможность "втиснуться" между сканером и чипом, то схема достаточно надежна...
ну да, проблема биометрического распознавания в том что биометрические показатели нельзя сменить в случае "кражи" 19.10.05 19:26  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
А технологии кражи и подделки появятся сразу как появится массовый спрос на них
Ну! А отвечают так: А как же его украдут? 19.10.05 19:48  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Интересно бы было узнать: А существуют ли алгоритмы одновременно и ищущие особые точки и сохраняющие это не в картинку, а сразу в некий хэш? Понимаю, что задача некорректная - но может есть некие извращения по этому поводу...
1  |  2  |  3 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach