IT-Nachwuchsforschung in Österreich

Weitere Magazine

Empfehlungen

Info

Fingerabrücke verschlüsselt vergleichen von Julia Mader Privacy Preserving Fingerprinting Matching Privacy Preserving Fingerprint Matching - oder wie man Fingerabdrücke verschlüsselt vergleichen kann - damit befasste sich die Forschung im Zuge meiner Masterarbeit. Da biometrische Daten immer mehr zur Identifikation und Authentifizierung genutzt werden, stellt ihre Unmöglichkeit diese bei Kompromittierung zu widerrufen, ein Sicherheitsrisiko dar. Ein weiteres Problem sind Bedenken hinsichtlich Privatsphäre der Nutzer*innen aufgrund von Datensammlung, Speicherung und möglichen Missbrauchs der biometrischen Daten. Als Lösung präsentieren wir den Einsatz von Multiparty Computation (MPC) für den verschlüsselten Vergleich der biometrischen Daten. MPC ist ein Teilbereich der Kryptographie, der unabhängigen Parteien, die weder einander noch einer dritten Partei vertrauen, die gemeinsame Berechnung anhand von geschützten Daten ermöglicht, ohne diese offenzulegen. Dazu teilt MPC (basierend auf Shamir’s Secret Sharing) geheime Daten (Secret S) in n Shares. Diese werden dann auf n Parteien aufgeteilt, welche Berechnungen auf ihren jeweiligen Shares ausführen können. Das Protokoll garantiert, dass die Kombination von weniger als t Shares keine Informationen über das Geheimnis offenlegt, während es durch t oder mehr Shares rekonstruiert werden kann. Der Nachteil von MPC ist allerdings, dass ihr Einsatz die Berechnung und damit den Matching-Prozess erheblich verlangsamt. Dies ist der Grund weshalb MPC noch wenige praktische Einsatzgebiete Grafik Konzept (c) Julia Mader hat, obwohl die Idee in den 80er-Jahren entwickelt wurde. In den letzten Jahren gab es jedoch erhebliche Fortschritte bei der Implementierung von MPC-Protokollen, die es nun für den realen Einsatz geeignet machen könnten. SICHERHEITSCHECK AM FLUG- HAFEN Motiviert wurde die Idee durch einen Anwendungsfall, der gemeinsam mit der UN identifiziert wurde 1 . In diesem wird ein zusätzlicher Sicherheitscheck am Flughafen vorgestellt, genau genommen der verpflichtende Abgleich der Fingerabdrücke aller Reisenden mit No-Fly-Listen, wobei bei einem Treffer in einer Liste die Reise nicht fortgesetzt werden darf. Der Einsatz von MPC für dieses Szenario würde einerseits das vertrauliche Zusammenführen von nicht öffentlich zu teilenden No-Fly-Listen ermöglichen und andererseits die Privatsphäre der Reisenden schützen. Dieser Anwendungsfall betont erneut die Wichtigkeit der Optimierung der MPC-Implementierung, da die Wartezeit für Reisende durch die zusätzliche Überprüfung nicht verlängert werden soll. Konkret funktioniert der Datenfluss wie folgt: Zunächst werden die individuellen No-Fly-Listen verschiedener Organisationen geheim (verschlüsselt) geteilt und unter den Parteien verteilt, in diesem Fall auf drei Server. Durch die Aufteilung in „Secret Shares“ kennen die Teilnehmer*innen nur die von ihnen gehaltenen Daten und können durch diese keinerlei Schlüsse über die Daten anderer Teilnehmer*innen oder gar die Gesamtdatei ziehen. Wird anschließend ein Fingerabdruck gescannt, wird ein sogenanntes Template generiert und ebenfalls verschlüsselt an die Server gesendet. Sobald die Server die verschlüsselten Teile erhalten haben, können sie das Ergebnis der Matching-Funktion in einem gemeinsamen MPC-Protokoll geheim berechnen und nur das Ergebnis offenbaren. Nur im Fall einer Übereinstimmung in der Grafik Secret Sharing (c) Julia Mader 18 OCG Journal | 01 • 2024
Young Researchers‘ Day Julia Mader bei der IKT- Sicherheitskonferenz 2023 (c) Nicolas Petri Datenbank werden die persönlichen Daten der Reisenden offengelegt, um dem Sicherheitspersonal weitere Schritte zu erlauben. DERZEITIGER STAND DER FOR- SCHUNG Das Projekt beinhaltete die Implementierung zweier unterschiedlicher Fingerabdruckmatcher mit MPC mithilfe eines Open-Source-Packages namens MPyC: Python Package for Secure Multiparty Computation und die anschließende Analyse deren Performance. Für die Implementierung ausgewählt wurden FingerCode 2 , ein beliebter Feature-Vektor-basierter Matcher, und SourceAFIS 3 , ein minuzienbasierter Matcher mit herausragender Performance. Während sich Feature-Vektor-basierte Matcher wie FingerCode aufgrund ihres einfachen Vergleichs durch die Berechnung der euklidischen Distanz zweier beschreibender Feature Vektoren gut für die Implementierung mit MPC eignen würde, kann der Algorithmus aufgrund seiner hohe Fehlerraten nicht für die geplanten Einsatzmöglichkeiten verwendet werden. Der Algorithmus wurde demzufolge nur als Vergleichsbasis für den minuzienbasierten Matcher implementiert und um die verlangsamenden Eigenschaften von MPC zu untersuchen. SourceAFIS zeigte im Vergleich sehr gute Genauigkeit, aber eine recht komplexe (und somit langsamere) Implementierung. Nach ersten Implementierungen des Algorithmus mit MPyC resultierte dieser in einer Ausführungszeit von drei Stunden. Durch kluge Optimierungen des Algorithmus und beschleunigenden Maßnahmen, wie Parallelisierungen, konnte die Zeit auf sieben Minuten reduziert werden. Verglichen mit der originalen Ausführungszeit ist das eine hervorragende Optimierung, die für die geplanten Einsatzzwecke allerdings noch nicht ausreicht. Aus diesem Grund wurden Experimente mit einem zweiten Framework namens MP-SPDZ 4 ausgeführt, welches eine Ausführungszeit von sieben Sekunden erlauben würde. Diese Ergebnisse zeigen, dass noch weitere Arbeit notwendig ist, um den Matcher für das obengenannte Szenario einzusetzen. Sie verdeutlichen aber, dass MPC als Alternative zu oder auch in Kombination mit herkömmlichen Kryptographie-Methoden nicht außer Acht gelassen werden sollte und definitiv als zukunftsträchtiges Verschlüsselungsmedium dienen wird. ACKNOWLEDGMENTS Das Projekt wurde finanziert durch das Sicherheitsforschungs-Förderprogramm KIRAS des Bundesministeriums für Finanzen (BMF) unter der Grant Agreement Nr. 905287 („PASSENGER“), sowie das Horizon Europe-Programm der Europäischen Union unter der Grant Agreement Nr. 101073821 („SUNRISE“). Die dargestellten Ansichten und Meinungen sind jedoch ausschließlich die der Autorinnen und Autoren und spiegeln nicht notwendigerweise die der Europäischen Union oder der Europäischen Forschungsagentur wider. Weder die Europäische Union noch die Förderbehörde können dafür verantwortlich gemacht werden. 1 Sobers, R. (2024). 161 Must-Know Cybersecurity Statistics and Trends. [Online]. Available at: [Last accessed: 2024-01-18]. 2 Ghanbari, Z. & Rahmani, Y. & Ghaffarian, H. & Ahmadzadegan, M. H. (2015). “Comparative approach to web application firewalls”. In: 2015 2nd International Conference on Knowledge-Based Engineering and Innovation (KBEI), pp. 808–812. doi: 10.1109/KBEI.2015.7436148. 3 Clincy, V. & Shahriar, H. (2018). “Web Application Firewall: Network Security Models and Configuration”. In: 2018 IEEE 42nd Annual Computer Software and Applications Conference (COMPSAC). Vol. 01, pp. 835–836. doi: 10.1109/COMPSAC.2018.00144. 4 Pałka, D. & Zachara, M. (2011). “Learning Web Application Firewall - Benefits and Caveats”. In: Proceedings of the IFIP WG 8.4/8.9. ARES’11. Vienna, Austria: Springer-Verlag, pp. 295–308. isbn: 9783642232992. doi: 10.1007/978-3-642-23300-5_23. Julia Mader iarbeitet als Junior Scientist am AIT Center for Digital Safety & Security, wo sie sich vor allem mit Multiparty Computation beschäftigt. Im Herbst 2023 schloss sie ihr Masterstudium Elektrotechnik an der TU München ab. 01 • 2024 | OCG Journal 19
Seite 1 und 2: OCG Journal Ausgabe 01 • 2024 | C
Seite 3 und 4: Inhalt [ 20 Young Researchers‘ Da
Seite 5 und 6: Young Researchers‘ Day AK IT-Sich
Seite 7 und 8: Young Researchers‘ Day Bluetooth
Seite 9 und 10: Young Researchers‘ Day Sicherheit
Seite 11 und 12: Young Researchers‘ Day Daten aus
Seite 13 und 14: Young Researchers‘ Day Grafik Glo
Seite 15 und 16: Young Researchers‘ Day niedrigem
Seite 17: Young Researchers‘ Day die Anwend
Seite 21 und 22: Ausgewählte Forschung Abbildung 1:
Seite 23 und 24: Ausgewählte Forschung der Anwendun
Seite 25 und 26: Ausgewählte Forschung Schutz der P
Seite 27 und 28: Ausgewählte Forschung mous problem
Seite 29 und 30: Ausgewählte Forschung fristigen Un
Seite 31 und 32: Ausgewählte Forschung auch für Cl
Seite 33 und 34: ausfordern und deren algorithmische
Seite 35 und 36: Wettbewerbe Screenshot Java Wiz (c)
Seite 37 und 38: Wettbewerbe OCG Förderpreis-FH 202
Seite 39 und 40: Intern Veranstaltungen und Termine

IT-Nachwuchsforschung in Österreich

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?