информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsЗа кого нас держат?Атака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 И ещё раз об интернет-голосовании 
 Типовые уязвимости в драйверах... 
 Logitech готовится закрыть очередную... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Замечу, употребление слова ХЭШ отпечатка неуместно! 21.10.05 17:48  Число просмотров: 3523
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Устройство (будем считать, что оно "литое") во-первых имеет
> свой уникальный идентификатор, во-вторых сканирует палец.
> Палец сканируется, внутри оцифровывается как-то (ну там
> находятся ключевые точки, меряется пульс и т.д.), и все это
> вместе с уникальным идентификатором хэшируется и подается
> на выход девайса. Все работа его закончилась.
>
> Дальше этот хэш и будет паролем к системе. Как там при
> заведении нового юзера: введите пароль... вот и прислонит
> палец. Как система будет это хранить? Ну посчитает хэш от
> хэша... ну или даже допустимо, имхо, в таком виде и хранить
> - это уже технически.

Замечу, употребление слова ХЭШ отпечатка неуместно!
Поясню. Есть просто сканеры для пальчиков, есть устройства с предварительной обработкой. Если имеется только сканер, то отпечаток должен подлежать предварительной обработке для удобства сравнения. Если сравнивать только оттиски, то результат сравнения всегда будет отрицательный, поскольку два раза одинаково палец приложить невозможно. Да и для хранения отпечаткот потребуется больше памяти.
Предварительная обработка выдаст параметры для сравнения, а именно координаты узлов - разветвлений и начала/конца линий в условном масштабе. Это хешем назвать язык не поворачивается. Хешировать эти данные каким либо алгоритмом, чтоб потом сравнивать хеши глупо, потому что они будут совпадать один раз из десяти или ста. Предположим что два байта отвечают за координату и тип узла, диапазон координат [0-255], это около 0.1мм на 1, это на грани разрешения сканера. То есть каждый байт может спокойно отклоняться на единицу в зависимости от того как приложили палец (сильнее, слабже, со сдвигом, повернув на 1 градус, ...). Сравниловалка должна работать с этими данными, анализировать в зависимости от заданного порога точности, чтоб отклонение ни одной из координат не превысило заданную величину, сумма двух-трех наибольших отклонений не было болше заданного, общее количество отклонений не было больше заданного, тогда можно сказать что с заданной точностью пальчик тот же самый.
Так что коробочка-сканер должна выдавать либо картинку, либо параметры обработки, но не хэш в его криптографическом понимании.
В лучшем случае в интелектуальный сканер можно встроить шифровалку с ключем, который задается самостоятельно, чтоб предотвратить перехват и искажение данных на пути передачи к сравнителю.
В принципе о хищении отпечатков и их параметров можно не замарачиваться, если пользователь будет аутентифицироваться под присмотром сотрудника охраны, например. Тогда и "протезом" воспользоваться будет проблематично.
<site updates>
Биометрия опять попала 17.05.02 13:25  
Publisher: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
Биометрия опять попала
The Register http://www.theregister.co.uk/content/55/25300.html

Японский исследователь Цутому Мацумото (Tsutomu Matsumoto) продемонстрировал действенный способ обмана сенсоров отпечатков пальцев, срабатывающий в 4 случаях из 5. При этом затраты на изготовление поддельного пальчика не превышают $10. Оставленный на стекле отпечаток пальца "проявляется" парами цианоакрилата (суперклея), фотографируется, после чего доводится до кондиции в фотошопе и печатается на прозрачной пленке, натягиваемой затем на изготовленный из желатиновой основы муляж.


Полный текст
Трактат в тему. Древняя ветка, но тема актуальна до сих пор. Новую ли начать, эту ли протолжить. 26.10.05 11:33  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 26.10.05 11:38  Количество правок: 1
<"чистая" ссылка>
> Японский исследователь Цутому Мацумото (Tsutomu Matsumoto)
> продемонстрировал действенный способ обмана сенсоров
> отпечатков пальцев, срабатывающий в 4 случаях из 5. При
> этом затраты на изготовление поддельного пальчика не
> превышают $10. Оставленный на стекле отпечаток пальца
> "проявляется" парами цианоакрилата (суперклея),
> фотографируется, после чего доводится до кондиции в
> фотошопе и печатается на прозрачной пленке, натягиваемой
> затем на изготовленный из желатиновой основы муляж.

Технология то шагнула вперед, хотя я в каком-то кино (даже двух) видел не менее изящные методы.
Первый из них - контактная линза для идентификации по радужной оболочки. В фильме злоумышленник прикидывался презедентом Соединенных Штатов.
Второй - грабители натягивали на палец что-то вроде презерватива, на конце которого был рельеф отпечатка оригинального пальчика. Тут и температура, и пульсация крови в сосудах. Технически определить, что под пленочкой совсем другой отпечаток - крайне сложная задача.
Еще вспомнилась древняя публикация в журнале - умер пожилой человек, которому начислялась немалая пенсия, в силу неграмотности он "подписывался" отпечатком пальца, родственники похоронили покойного с отрубленным пальчиком.

Не хочется заострять внимание на классификации биометрии, поскольку разница в зависимости от объекта идентификации мала - будь то изображение линий пальчика, изображение радужной оболочки глаза, изображение другого органа или генетический анализ. Хочется обсудить применение биометрии как идентификации для авторизации доступа к информации, как алтернативы распространенному классическому парольному доступу.
В качестве "ключа" конечно же не будет использоваться само изображение в силу большого объема (большой избыточности) и неудобства сравнения. Из картинки путем компьютерной обработки вытягиваются несколько чисел предположительно однозначно идентифицирующих изображение данного типа, что и сравнивается с образцами, хранящимися в базе.
Один из постулатов компьютерной идентификации заключается в том, что два абсолютно совпадающих изображения получить невозможно, поэтому численные значения биометрического параметра загрубляются до максимального соотношения "уверенного узнавания оригинала" к "уверенному отсечению неоригинала". В любом случае возможна ситуалия ложного узнавания или неузнавания.
Получаем несколько основных недостатков: неточность идентификации, возможность фальсификации, дороговизна оборудования, отсутствие возможности "делегировать" свои идентификационные данные, невозможность использования биоданных для электронной подписи.
Преимущества в случае хорошоотлаженной и надежной системы: отсутствие необходимости помнить пароль (ключ "всегда при себе", удобно), гарантированое отсечение лиц с сильно отличающимися биопараметрами.
В обоих системах ключевую информацию можно похитить - как подсмотреть пароль, так и снять биометрию.
Настоятельно не порекомендую использовать биометрию в качестве ключа симетричного шифрования.
Используя биометрию для доступа к базам данных следует качественно защищать патаметры в процессе использования и исключать возможность их предоставление кроме как предусмотренным методом (в частности через сканер).
Один из примеров глупого использования биометрической идентификации - защищать данные в ноутбуке посредством установки биометрической, как впрочем и парольной идентификации на этапе включения/загрузки.
Если б все было так легко, надежно, дешево, то биометрия уже давно бы применялась в каждой программе вместо паролей.
Область применения биометрии - идентификация преступников и трупов. К стати там и без компьютера все работает.
Замечания, дополнения, впечатления - пишите. Думаю не мне одному интересно будет.
Рисунок папилярных линий на пальце можно снимать не только оптическими методами! 26.10.05 13:58  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
Без разницы, хоть ядерно-магнитной томографией, хоть даже... 26.10.05 18:48  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Без разницы, хоть ядерно-магнитной томографией, хоть даже механическим методом - куча микрокнопок, хоть ультазвуком. Получили картинку - а дальше что? СтОит ли это применять в компьютерной идентификации? Я думаю что не стОит.
Да что ты в картинку-то уперся? Получаемые данные будут не... 27.10.05 13:31  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
> Без разницы, хоть ядерно-магнитной томографией, хоть даже
> механическим методом - куча микрокнопок, хоть ультазвуком.
> Получили картинку - а дальше что? СтОит ли это применять в
Да что ты в картинку-то уперся? Получаемые данные будут не обязательно картинкой. Могут быть значения электрических потенциалов или электропроводности. В ЯМР томографии картинка создается искусственно.
> компьютерной идентификации? Я думаю что не стОит.
А все просто - значения электрических потенциалов и... 27.10.05 13:44  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 27.10.05 13:46  Количество правок: 1
<"чистая" ссылка>
> Да что ты в картинку-то уперся? Получаемые данные будут не
> обязательно картинкой. Могут быть значения электрических
> потенциалов или электропроводности. В ЯМР томографии
> картинка создается искусственно.

А все просто - значения электрических потенциалов и электропроводности не относятся к биометрии (к индивидуальным особенностям/признакам биологического существа, присущим только этому живому существу). То есть у конкретного человека электрический потенциал или электропроводность может меняться в широких пределах в зависимости от прочих факторов. Найдется множество людей, у которых этот параметр совпадет. Радужная оболочка глаза же у всех разная. Рисунок, образуемый папилярными линиями на пальце, не изменяются в зависимости от условий.
Ты не понял. Один из способов определения папилярных линий -... 27.10.05 14:17  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
> А все просто - значения электрических потенциалов и
> электропроводности не относятся к биометрии (к
> индивидуальным особенностям/признакам биологического
> существа, присущим только этому живому существу). То есть у
> конкретного человека электрический потенциал или
> электропроводность может меняться в широких пределах в
> зависимости от прочих факторов. Найдется множество людей, у
> которых этот параметр совпадет. Радужная оболочка глаза же
> у всех разная. Рисунок, образуемый папилярными линиями на
> пальце, не изменяются в зависимости от условий.
Ты не понял. Один из способов определения папилярных линий - измерение электропроводности в различных точках кожи на пальце.
Тогда все равно получаем картинку. Под картинкой здесь я... 27.10.05 16:57  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Ты не понял. Один из способов определения папилярных линий
> - измерение электропроводности в различных точках кожи на
> пальце.

Тогда все равно получаем картинку. Под картинкой здесь я понимаю двумерное изображение. Пусть даже монохромное, пусть даже двухцветное (две градации серости/чернобелости). Потом анализ картинки и первичная обработка - прореживание, преобразование в линейную/векторную форму. Поиск ключевых точек...
Хреновый наверно способ 27.10.05 16:15  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Сопротивление кожи человека может меняться в десятки раз в зависимости от настроения, состояния здоровьи, усталости, опьянения, температуры и влажности воздуха...
Точно, но 27.10.05 17:25  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
> Сопротивление кожи человека может меняться в десятки раз в
> зависимости от настроения, состояния здоровьи, усталости,
> опьянения, температуры и влажности воздуха...
в некоторых случаях это случаях это становится огромным плюсом. Например, когда нужно не только опознать человека, но и учесть его состояние.
Если только в купе с шифрующим паролем. 26.10.05 19:39  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Наздоровье. Ни что не мешает комбинировать, даже приветствуется. Пальчик+ПИН+Карточка - можно даже так. Надежность растет, вероятность отказа увы тоже. 27.10.05 10:24  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
по моему полная чушь, тем более что существуют системы,... 19.10.05 13:48  
Автор: аналитик Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Биометрия опять попала
> The Register
> http://www.theregister.co.uk/content/55/25300.html
>
>
> Японский исследователь Цутому Мацумото (Tsutomu Matsumoto)
> продемонстрировал действенный способ обмана сенсоров
> отпечатков пальцев, срабатывающий в 4 случаях из 5. При
> этом затраты на изготовление поддельного пальчика не
> превышают $10. Оставленный на стекле отпечаток пальца
> "проявляется" парами цианоакрилата (суперклея),
> фотографируется, после чего доводится до кондиции в
> фотошопе и печатается на прозрачной пленке, натягиваемой
> затем на изготовленный из желатиновой основы муляж.
по моему полная чушь, тем более что существуют системы, считыватели которых учитывают даже пульс в пальчике. а кто вообще проверял как срабатывает желатиновый протез? хотелось бы посмотреть. а на каком принципе работеат сканер который он обманул?
Дату поста смотрели? Технологии за 3 года далеко ушли...:-) 19.10.05 14:06  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Кстати, раз уж тема поднялась 19.10.05 19:18  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Всегда меня мучали смутные сомнения...

Вот есть девайс считывающий пальцы. Он должен палец прочитать,оцифровать_как_то а потом уж захэшировать (типа круто!) и послать аутентифицирующей проге, саму оцифровку - уничтожить.

А что будет если украдут эту оцифровку?

Ну любым способом... может она фигово уничтожается или заставить поставить отпечаток на чуть подправленный злоумышленником девайс (чтобы не уничтожал..)... ну найти способ - в конце концов сам алгоритм оцифровки не может быть секретным, ибо девайсы доступны в продаже!

Типа этот человек никогда больше не сможет безопасно пользоваться такими девайсами?
В любой системе защита должна быть комплексная. 20.10.05 07:48  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Вот есть девайс считывающий пальцы. Он должен палец
> прочитать,оцифровать_как_то а потом уж захэшировать
> (типа круто!) и послать аутентифицирующей проге, саму
> оцифровку - уничтожить.
>
> А что будет если украдут эту оцифровку?
В любой системе защита должна быть комплексная.
Согласись, что врядли охранник на входе отнесется нейтрально к человеку, который вместо приложения пальца к сканеру курочит этот сканер и подключает к нему ноутбук (иначе как заюзать сворованную оцифровку)? Плюс, как правило, показывают PhotoID, да еще пин-код какой-нибудь вводят...

p.s. Лично я отношусь скептически к биометрическим методам, т.к. (не смотря на развитие технологий) они имеют довольно высокий процент как false negatives, так и false positives. Плюс они достаточно дороги и гиморны в эксплуатации. Посему использовать их в качестве основного средства аутентификации пока рано...
Ну а вот насчет ноута IBM ThinkPad со встроенным сканером отпечатка... вообще маразм его туда встраивать, получается. 20.10.05 13:36  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Насколько мне известно, там подход такой: 21.10.05 07:28  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
Насколько мне известно, там подход такой:
1) В чипе на борту генерируются криптографические креденшиалы
2) Производится оцифровка пальца
3) Креденшиалы шифруются на оцифровке (или оцифровка используется как индекс для доступа к ним)

Соответственно, если чисто механически исключить возможность "втиснуться" между сканером и чипом, то схема достаточно надежна...
ну да, проблема биометрического распознавания в том что биометрические показатели нельзя сменить в случае "кражи" 19.10.05 19:26  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
А технологии кражи и подделки появятся сразу как появится массовый спрос на них
Ну! А отвечают так: А как же его украдут? 19.10.05 19:48  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Интересно бы было узнать: А существуют ли алгоритмы одновременно и ищущие особые точки и сохраняющие это не в картинку, а сразу в некий хэш? Понимаю, что задача некорректная - но может есть некие извращения по этому поводу...
1  |  2  |  3 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach