Биометрические методы защиты информации в информационных системах

 Классическая верификация (идентификация) человека по почерку подразумевает сличение анализируемого изображения с оригиналом. Именно такую процедуру проделывает например оператор банка при оформлении документов. Очевидно, что точность такой процедуры, с точки зрения вероятности принятия неправильного решения (см. FAR & FRR) невысокая. Кроме этого, на разброс значений вероятности принятия правильного решения оказывает и субъективный фактор. Принципиально новые возможности верификации по почерку открываются при использовании автоматических методов анализа почерка и принятия решения. Данные методы позволяют исключить субъективный фактор и значительно снизить вероятность ошибок при принятии решения (FAR & FRR). Метод биометрической аутентификации по рукописному почерку основывается на специфическом движении человеческой руки во время подписания документов. Для сохранения подписи используют специальные ручки или восприимчивые к давлению поверхности. Этот вид аутентификации человека использует его роспись. Шаблон создается в зависимости от необходимого уровня защиты. Автоматические методы идентификации позволяют принимать решение не только путем сличения изображения верифицируемого и контрольного образца, но и путем анализа траектории и динамики начертания подписи или любого другого ключевого слова.

Комбинированная биометрическая система аутентификации 

Комбинированная (мультимодальная) биометрическая система аутентификации применяет различные дополнения для использования нескольких типов биометрических характеристик, что позволяет соединить несколько типов биометрических технологий в системах аутентификации в одной. Это позволяет удовлетворить самые строгие требования к эффективности системы аутентификации. Например, аутентификация по отпечаткам пальцев может легко сочетаться со сканированием руки. Такая структура может использовать все виды биометрических данных человека и может применяться там, где приходится форсировать ограничения одной биометрической характеристики. Комбинированные системы являются более надежными с точки зрения возможности имитации биометрических данных человека, так как труднее подделать целый ряд характеристик, чем фальсифицировать один биометрический признак.

 

 

 

 

 

 

 

 

Уязвимость  биометрических систем

 

Биометрические  системы находят широкое применение в системах информационной безопасности, электронной коммерции, при раскрытии и предотвращении преступлений, судебной экспертизе, пограничном контроле, телемедицине и т. д. Но они уязвимы к атакам на различных стадиях обработки информации. Эти атаки возможны на уровне сенсора, где принимается изображение или сигнал от индивидуума, атаки повтора (replay) на линиях коммуникаций, атаки на базу данных, где хранятся биометрические шаблоны, атаки на модули сравнения и принятия решений.

Основную потенциальную  угрозу на уровне сенсора представляют атаки спуфинга (spoofing). Спуфинг — это обман биометрических систем путем предоставления биометрическому сенсору копий, муляжей, фотографий, отрезанных пальцев, заранее записанных звуков и т. п.

Цель атаки  спуфинга при верификации — представление  незаконного пользователя в системе как законного, а при идентификации — добиться необнаружения индивидуума, содержащегося в базе данных (БД). Противодействия атакам спуфинга более трудны, так как злоумышленник непосредственно имеет контакт с сенсором и невозможно использовать криптографические и другие методы защиты.

Статьи об успешных спуфинг-атаках на биометрические устройства появились в научных и популярных изданиях в конце 1990-х гг. В 1998 г. в  журнале Network Computing появилась статья, где сообщалось о принятии фальшивых отпечатков за настоящие устройствами распознавания отпечатков пальцев. Из шести тестированных устройств четыре оказались уязвимыми к атакам спуфинга. В 2002 г. профессором Национального университета Иокогама (Япония) Т. Матсумото и его студентами были разработаны два метода спуфинга устройств распознавания отпечатков пальцев. В первом методе пользователь сотрудничает со злоумышленником, и для создания искусственного пальца используется живой палец, во втором – используется латентный отпечаток.

Искусственные пальцы изготовлялись из желатина. Используя их, удалось с большей вероятностью (68 – 100 %) обмануть системы распознавания отпечатков пальцев с оптическими и емкостными сенсорами. В ноябре 2008 г. в германском журнале «C’t» были опубликованы результаты тестирования различных биометриических устройств от ведущих производителей. Тесты охватывали устройства распознавания отпечатков пальцев, лица и радужной оболочки. Системы распознавания лица удалось обмануть воспроизведением видео в обратном направлении. Сканеры радужной оболочки были обмануты удержанием высококачественной фотографии радужной оболочки перед лицом человека, для обнаружения живого зрачка на фотографии была сделана дырка. Некоторые сканеры отпечатков пальцев удалось обмануть просто дыханием или наложением полиэтиленового пакета на оставленные на поверхности сканера отпечатки, а также извлечением графитовым порошком латентных отпечатков пальцев.

Таким образом, были продемонстрированы уязвимости различных биометрических устройств в процессе верификации. Исследования, проведенные в университете Кларксон, показали, что в лабораторных условиях можно достичь 90 % успеха в принятии поддельных пальцев за настоящие. В этих экспериментах тестировались четыре типа устройств распознавания отпечатков пальцев, использовались отпечатки, взятые с рук трупов, и искусственные пальцы, созданные из пластика, желатина и пластилина. При использовании метода обнаружения живучести процент успешной верификации фальшивых образцов был менее 10 %.

 

 

 

 

Методы противодействия атакам спуфинга

 

Биометрическая  общественность ответила атакам спуфинга введением ряда механизмов противодействия. Меры антиспуфинга в биометрических системах включают следующие методы:

1. Рандомизация данных верификации;
2. Использование нескольких биометрических образцов;
3. Мультимодальная биометрия;
4. Мультифакторная аутентификация;
5. Контроль над процессом верификации (идентификации);
6. Запрос – ответ;
7. Обнаружение живучести;

Система может  рандомизировать отпечатки пальцев  или выражения лиц, запрашиваемых для верификации. Это уменьшает вероятность предоставления фальшивых биометрических образцов для верификации.

В процессе регистрации  в системе на каждого пользователя регистрируется, например, несколько  отпечатков пальцев (в идеале все 10). После этого в процессе аутентификации у пользователя запрашиваются для проверки несколько пальцев в произвольной последовательности, что значительно затрудняет вход в систему по фальшивым пальцам.

Для обнаружения  живучести можно использовать несколько биометрических характеристик одновременно, например отпечаток пальца и форма лица или радужная оболочка глаза и т. д. Это создает для злоумышленника трудности сфальсифицировать несколько биометрических характеристик одновременно, нежели чем одну характеристику.

Мультифакторная аутентификация, использующая наряду с биометрией смарт-карты, токены или пароли, может уменьшить вероятность обмана биометрических систем. В этом случае для обмана последней злоумышленнику вместе с фальшивыми биометрическими данными требуются дополнительные идентификаторы. Но мультифакторная аутентификация также уменьшает основное преимущество биометрических систем – удобство использования,

Контроль над  операциями биометрических систем может повысить уровень безопасности системы. Очевидно, что предпринять атаку спуфинга против контролируемой биометрической системы в этом случае труднее. Супервизор поможет пользователям правильно представить свои биометрические характеристики и минимизировать ошибки.

В методе запрос – ответ пользователя просят посмотреть на что-то, прослушать или прочувствовать что-то, а потом в ответ сделать что-то. Запрос, требующий один ответ из нескольких возможных, может затруднить простое воспроизведение сигналов, заранее записанных злоумышленником. В качестве примера можно привести изменение выражения лица (улыбнуться или хмуриться) (используется в Identix) или воспроизведение множества случайно генерированных фраз (используется в VeriVoice). Этот метод применяют обычно против атак воспроизведения, но его можно использовать и как метод обнаружения живучести.

Может использоваться и непроизвольный запрос – ответ. Сюда относятся рефлекс на удары, изменение зрачка в зависимости от интенсивности света, рефлекс мышц на электрическое раздражение. Ясно, что методы, в которых используются удары, не одобряются пользователями. Важный аспект заключается в том, что запрос – ответ показывает только присутствие человека, но он может быть и неавторизованным пользователем.

 

 

 

 

Цель обнаружения  живучести в биометрических системах заключается в том, чтобы убедиться, что для регистрации, верификации и идентификации используются только «подлинные» биометрические характеристики. В принципе обнаружение живучести основывается на совпадении

одного или  нескольких признаков биометрического образца с признаками, связываемыми с живым биометриическим образцом.

Подходы по обнаружению  живучести можно разделить: на обнаружения  живучести и обнаружения неживучести. На практике биометрические системы чаще разрабатываются на обнаружение живучести, чем на неживучести.

В методах обнаружения  живучести в качестве признаков  жизни используется физиологическая  или поведенческая информация или  информация, содержащаяся в биометрическом образце. В системах распознавания  отпечатков пальцев для обнаружения живучести используются измерение температуры, пульса, диэлектрического сопротивления, обнаружение подкожных признаков, сравнение последовательно принятых биометрических образцов и т. д.

Для других биометрических характеристик методы обнаружения живучести, как правило, основываются на анализе произвольного и непроизвольного поведения. Системы распознавания лица могут требовать от пользователя движения головы, губ, глаз или изменения выражения лица. Системы распознавания голоса могут запрашивать пользователя произнести случайно генерированную фразу или буквенно-цифровую последовательность, чтобы предотвратить воспроизведение записанных звуков.