информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяСтрашный баг в WindowsАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
ре:Я себе так все представляю 21.10.05 13:55  Число просмотров: 4532
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 21.10.05 13:57  Количество правок: 1
<"чистая" ссылка>
мой пост - дополнение к предыдущему, чем оспаривание...

> Ну а если надо иметь доступ к этой системе с разных

> девайсов одному и тому-же человеку - то можно построить
> аутентификацию на основе групповой подписи.. Ну, правда,
> придется челу побегать и поприслонять везде свой палец (по
> принципу, как замок с "таблеткой")
Существует два типа хранения ключей: централизованный (и защита хранилища это вопрос не считывателя) и распределенный (те в считывателях и его хранение-задача считывателя)
А регистрация пользователя - персонализация, то ли пальца, то ли ,как в нашем случае, смарт/проксимити карты. От этой процедуры никуда не деться.

> Ну и если украдут один из хэшей - да, конкретно к этой
> системе доступ поимеют - ну разломать тогда конкретный
> девайс и выкинуть. Но, главное, что человек может
Зачем же вандализм?:-) Достаточно указать хранилищу ключей, что ключ недействителен и просто его удалить.
Если же сопрут считыватель с ключами, то есть защита хранилища мастер ключом (многоуровневая: био, пароль, хасп, смарт карта и тд по фанатизма:-)). И без этого ключа использовать/читать считыватель+хранилище невозможно. Разве, что сделать анализ на уровне магнитного/электронного состояния энергонезависимой памяти. Что весьма не дешево:-))
<site updates>
Биометрия опять попала 17.05.02 13:25  
Publisher: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
Биометрия опять попала
The Register http://www.theregister.co.uk/content/55/25300.html

Японский исследователь Цутому Мацумото (Tsutomu Matsumoto) продемонстрировал действенный способ обмана сенсоров отпечатков пальцев, срабатывающий в 4 случаях из 5. При этом затраты на изготовление поддельного пальчика не превышают $10. Оставленный на стекле отпечаток пальца "проявляется" парами цианоакрилата (суперклея), фотографируется, после чего доводится до кондиции в фотошопе и печатается на прозрачной пленке, натягиваемой затем на изготовленный из желатиновой основы муляж.


Полный текст
Трактат в тему. Древняя ветка, но тема актуальна до сих пор. Новую ли начать, эту ли протолжить. 26.10.05 11:33  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 26.10.05 11:38  Количество правок: 1
<"чистая" ссылка>
> Японский исследователь Цутому Мацумото (Tsutomu Matsumoto)
> продемонстрировал действенный способ обмана сенсоров
> отпечатков пальцев, срабатывающий в 4 случаях из 5. При
> этом затраты на изготовление поддельного пальчика не
> превышают $10. Оставленный на стекле отпечаток пальца
> "проявляется" парами цианоакрилата (суперклея),
> фотографируется, после чего доводится до кондиции в
> фотошопе и печатается на прозрачной пленке, натягиваемой
> затем на изготовленный из желатиновой основы муляж.

Технология то шагнула вперед, хотя я в каком-то кино (даже двух) видел не менее изящные методы.
Первый из них - контактная линза для идентификации по радужной оболочки. В фильме злоумышленник прикидывался презедентом Соединенных Штатов.
Второй - грабители натягивали на палец что-то вроде презерватива, на конце которого был рельеф отпечатка оригинального пальчика. Тут и температура, и пульсация крови в сосудах. Технически определить, что под пленочкой совсем другой отпечаток - крайне сложная задача.
Еще вспомнилась древняя публикация в журнале - умер пожилой человек, которому начислялась немалая пенсия, в силу неграмотности он "подписывался" отпечатком пальца, родственники похоронили покойного с отрубленным пальчиком.

Не хочется заострять внимание на классификации биометрии, поскольку разница в зависимости от объекта идентификации мала - будь то изображение линий пальчика, изображение радужной оболочки глаза, изображение другого органа или генетический анализ. Хочется обсудить применение биометрии как идентификации для авторизации доступа к информации, как алтернативы распространенному классическому парольному доступу.
В качестве "ключа" конечно же не будет использоваться само изображение в силу большого объема (большой избыточности) и неудобства сравнения. Из картинки путем компьютерной обработки вытягиваются несколько чисел предположительно однозначно идентифицирующих изображение данного типа, что и сравнивается с образцами, хранящимися в базе.
Один из постулатов компьютерной идентификации заключается в том, что два абсолютно совпадающих изображения получить невозможно, поэтому численные значения биометрического параметра загрубляются до максимального соотношения "уверенного узнавания оригинала" к "уверенному отсечению неоригинала". В любом случае возможна ситуалия ложного узнавания или неузнавания.
Получаем несколько основных недостатков: неточность идентификации, возможность фальсификации, дороговизна оборудования, отсутствие возможности "делегировать" свои идентификационные данные, невозможность использования биоданных для электронной подписи.
Преимущества в случае хорошоотлаженной и надежной системы: отсутствие необходимости помнить пароль (ключ "всегда при себе", удобно), гарантированое отсечение лиц с сильно отличающимися биопараметрами.
В обоих системах ключевую информацию можно похитить - как подсмотреть пароль, так и снять биометрию.
Настоятельно не порекомендую использовать биометрию в качестве ключа симетричного шифрования.
Используя биометрию для доступа к базам данных следует качественно защищать патаметры в процессе использования и исключать возможность их предоставление кроме как предусмотренным методом (в частности через сканер).
Один из примеров глупого использования биометрической идентификации - защищать данные в ноутбуке посредством установки биометрической, как впрочем и парольной идентификации на этапе включения/загрузки.
Если б все было так легко, надежно, дешево, то биометрия уже давно бы применялась в каждой программе вместо паролей.
Область применения биометрии - идентификация преступников и трупов. К стати там и без компьютера все работает.
Замечания, дополнения, впечатления - пишите. Думаю не мне одному интересно будет.
Рисунок папилярных линий на пальце можно снимать не только оптическими методами! 26.10.05 13:58  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
Без разницы, хоть ядерно-магнитной томографией, хоть даже... 26.10.05 18:48  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Без разницы, хоть ядерно-магнитной томографией, хоть даже механическим методом - куча микрокнопок, хоть ультазвуком. Получили картинку - а дальше что? СтОит ли это применять в компьютерной идентификации? Я думаю что не стОит.
Да что ты в картинку-то уперся? Получаемые данные будут не... 27.10.05 13:31  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
> Без разницы, хоть ядерно-магнитной томографией, хоть даже
> механическим методом - куча микрокнопок, хоть ультазвуком.
> Получили картинку - а дальше что? СтОит ли это применять в
Да что ты в картинку-то уперся? Получаемые данные будут не обязательно картинкой. Могут быть значения электрических потенциалов или электропроводности. В ЯМР томографии картинка создается искусственно.
> компьютерной идентификации? Я думаю что не стОит.
А все просто - значения электрических потенциалов и... 27.10.05 13:44  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 27.10.05 13:46  Количество правок: 1
<"чистая" ссылка>
> Да что ты в картинку-то уперся? Получаемые данные будут не
> обязательно картинкой. Могут быть значения электрических
> потенциалов или электропроводности. В ЯМР томографии
> картинка создается искусственно.

А все просто - значения электрических потенциалов и электропроводности не относятся к биометрии (к индивидуальным особенностям/признакам биологического существа, присущим только этому живому существу). То есть у конкретного человека электрический потенциал или электропроводность может меняться в широких пределах в зависимости от прочих факторов. Найдется множество людей, у которых этот параметр совпадет. Радужная оболочка глаза же у всех разная. Рисунок, образуемый папилярными линиями на пальце, не изменяются в зависимости от условий.
Ты не понял. Один из способов определения папилярных линий -... 27.10.05 14:17  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
> А все просто - значения электрических потенциалов и
> электропроводности не относятся к биометрии (к
> индивидуальным особенностям/признакам биологического
> существа, присущим только этому живому существу). То есть у
> конкретного человека электрический потенциал или
> электропроводность может меняться в широких пределах в
> зависимости от прочих факторов. Найдется множество людей, у
> которых этот параметр совпадет. Радужная оболочка глаза же
> у всех разная. Рисунок, образуемый папилярными линиями на
> пальце, не изменяются в зависимости от условий.
Ты не понял. Один из способов определения папилярных линий - измерение электропроводности в различных точках кожи на пальце.
Тогда все равно получаем картинку. Под картинкой здесь я... 27.10.05 16:57  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Ты не понял. Один из способов определения папилярных линий
> - измерение электропроводности в различных точках кожи на
> пальце.

Тогда все равно получаем картинку. Под картинкой здесь я понимаю двумерное изображение. Пусть даже монохромное, пусть даже двухцветное (две градации серости/чернобелости). Потом анализ картинки и первичная обработка - прореживание, преобразование в линейную/векторную форму. Поиск ключевых точек...
Хреновый наверно способ 27.10.05 16:15  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Сопротивление кожи человека может меняться в десятки раз в зависимости от настроения, состояния здоровьи, усталости, опьянения, температуры и влажности воздуха...
Точно, но 27.10.05 17:25  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
> Сопротивление кожи человека может меняться в десятки раз в
> зависимости от настроения, состояния здоровьи, усталости,
> опьянения, температуры и влажности воздуха...
в некоторых случаях это случаях это становится огромным плюсом. Например, когда нужно не только опознать человека, но и учесть его состояние.
Если только в купе с шифрующим паролем. 26.10.05 19:39  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Наздоровье. Ни что не мешает комбинировать, даже приветствуется. Пальчик+ПИН+Карточка - можно даже так. Надежность растет, вероятность отказа увы тоже. 27.10.05 10:24  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
по моему полная чушь, тем более что существуют системы,... 19.10.05 13:48  
Автор: аналитик Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Биометрия опять попала
> The Register
> http://www.theregister.co.uk/content/55/25300.html
>
>
> Японский исследователь Цутому Мацумото (Tsutomu Matsumoto)
> продемонстрировал действенный способ обмана сенсоров
> отпечатков пальцев, срабатывающий в 4 случаях из 5. При
> этом затраты на изготовление поддельного пальчика не
> превышают $10. Оставленный на стекле отпечаток пальца
> "проявляется" парами цианоакрилата (суперклея),
> фотографируется, после чего доводится до кондиции в
> фотошопе и печатается на прозрачной пленке, натягиваемой
> затем на изготовленный из желатиновой основы муляж.
по моему полная чушь, тем более что существуют системы, считыватели которых учитывают даже пульс в пальчике. а кто вообще проверял как срабатывает желатиновый протез? хотелось бы посмотреть. а на каком принципе работеат сканер который он обманул?
Дату поста смотрели? Технологии за 3 года далеко ушли...:-) 19.10.05 14:06  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Кстати, раз уж тема поднялась 19.10.05 19:18  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Всегда меня мучали смутные сомнения...

Вот есть девайс считывающий пальцы. Он должен палец прочитать,оцифровать_как_то а потом уж захэшировать (типа круто!) и послать аутентифицирующей проге, саму оцифровку - уничтожить.

А что будет если украдут эту оцифровку?

Ну любым способом... может она фигово уничтожается или заставить поставить отпечаток на чуть подправленный злоумышленником девайс (чтобы не уничтожал..)... ну найти способ - в конце концов сам алгоритм оцифровки не может быть секретным, ибо девайсы доступны в продаже!

Типа этот человек никогда больше не сможет безопасно пользоваться такими девайсами?
В любой системе защита должна быть комплексная. 20.10.05 07:48  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Вот есть девайс считывающий пальцы. Он должен палец
> прочитать,оцифровать_как_то а потом уж захэшировать
> (типа круто!) и послать аутентифицирующей проге, саму
> оцифровку - уничтожить.
>
> А что будет если украдут эту оцифровку?
В любой системе защита должна быть комплексная.
Согласись, что врядли охранник на входе отнесется нейтрально к человеку, который вместо приложения пальца к сканеру курочит этот сканер и подключает к нему ноутбук (иначе как заюзать сворованную оцифровку)? Плюс, как правило, показывают PhotoID, да еще пин-код какой-нибудь вводят...

p.s. Лично я отношусь скептически к биометрическим методам, т.к. (не смотря на развитие технологий) они имеют довольно высокий процент как false negatives, так и false positives. Плюс они достаточно дороги и гиморны в эксплуатации. Посему использовать их в качестве основного средства аутентификации пока рано...
Ну а вот насчет ноута IBM ThinkPad со встроенным сканером отпечатка... вообще маразм его туда встраивать, получается. 20.10.05 13:36  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Насколько мне известно, там подход такой: 21.10.05 07:28  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
Насколько мне известно, там подход такой:
1) В чипе на борту генерируются криптографические креденшиалы
2) Производится оцифровка пальца
3) Креденшиалы шифруются на оцифровке (или оцифровка используется как индекс для доступа к ним)

Соответственно, если чисто механически исключить возможность "втиснуться" между сканером и чипом, то схема достаточно надежна...
ну да, проблема биометрического распознавания в том что биометрические показатели нельзя сменить в случае "кражи" 19.10.05 19:26  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
А технологии кражи и подделки появятся сразу как появится массовый спрос на них
Ну! А отвечают так: А как же его украдут? 19.10.05 19:48  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Интересно бы было узнать: А существуют ли алгоритмы одновременно и ищущие особые точки и сохраняющие это не в картинку, а сразу в некий хэш? Понимаю, что задача некорректная - но может есть некие извращения по этому поводу...
1  |  2  |  3 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach