Opdracht caseweek SSN - Fingerprint Readers
Opdracht caseweek SSN - Fingerprint Readers
Opdracht caseweek SSN - Fingerprint Readers
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Opdracht</strong> <strong>caseweek</strong> <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
Steffen van Loon<br />
studentnummer 0611360<br />
Mark Meijerink<br />
studentnummer 0607975<br />
January 11, 2006<br />
1<br />
Gert Bon<br />
studentnummer 0609102
Inhoudsopgave<br />
Caseweek <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
1 Inleiding 3<br />
2 Algemeen 3<br />
2.1 Biometrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3<br />
2.1.1 Voor- en nadelen van biometrische methoden . . . . . 4<br />
2.2 Vingerafdrukken . . . . . . . . . . . . . . . . . . . . . . . . . 5<br />
2.2.1 Forensisch onderzoek . . . . . . . . . . . . . . . . . . . 5<br />
2.2.2 Databanken . . . . . . . . . . . . . . . . . . . . . . . . 6<br />
3 Platformen voor vingerafdruk 6<br />
3.1 Fysieke toegang . . . . . . . . . . . . . . . . . . . . . . . . . . 6<br />
3.2 Computer toegang . . . . . . . . . . . . . . . . . . . . . . . . 7<br />
3.3 Data toegang . . . . . . . . . . . . . . . . . . . . . . . . . . . 8<br />
4 Scan-technieken 9<br />
4.1 Optische sensor . . . . . . . . . . . . . . . . . . . . . . . . . . 9<br />
4.2 Ultrasone sensor . . . . . . . . . . . . . . . . . . . . . . . . . 9<br />
4.3 Capacative sensor . . . . . . . . . . . . . . . . . . . . . . . . . 10<br />
4.4 Temperatuur sensor . . . . . . . . . . . . . . . . . . . . . . . 10<br />
4.5 Druk sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11<br />
4.6 Multispectrum sensor . . . . . . . . . . . . . . . . . . . . . . 11<br />
5 Security 11<br />
5.1 Misleidmethodes . . . . . . . . . . . . . . . . . . . . . . . . . 12<br />
5.1.1 Brute force . . . . . . . . . . . . . . . . . . . . . . . . 12<br />
5.1.2 Verouderde vingerafdrukken . . . . . . . . . . . . . . . 12<br />
5.1.3 Nep vingerafdrukken . . . . . . . . . . . . . . . . . . . 12<br />
5.2 Nauwkeurigheid van de sensoren . . . . . . . . . . . . . . . . 13<br />
6 Verwachtingen en toekomstperspectief 13<br />
7 Conclusies en aanbevelingen 14<br />
Page 2 of 16
1 Inleiding<br />
Caseweek <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
Dit document is geschreven voor het vak Security of Systems and Networks.<br />
In dit document behandelen we het door ons gekozen onderwerp, namelijk<br />
vingerafdruk lezers. Wij behandelen hierbij de huidige stand van zaken<br />
rondom deze techniek, alsmede een korte inleiding en een aantal productvergelijkingen.<br />
Wij hebben veel geleerd tijdens het projectverloop van deze<br />
opdracht. In eerste instantie dachten we dat deze techniek een betrouwbare<br />
methode was om identificatie mogelijk te maken. In de loop van het<br />
project bleek dit echter steeds tegenstrijdiger. Uiteindelijk hebben we zelfs<br />
besloten om de door ons geplande testen niet meer uit te werken, omdat al<br />
voldoende duidelijk was dat de huidige stand van de betrouwbaarheid van<br />
deze systemen onvoldoende bleek.<br />
2 Algemeen<br />
2.1 Biometrie<br />
Biometrie is de wetenschap die zich bezig houdt met het vaststellen van<br />
meetbare eigenschappen van levende wezens. De term “biometrie” is afgeleid<br />
van de Griekse woorden “bios” (=leven) en “metron” (=eigenschap).<br />
Tegenwoordig duidt het woord biometrie vooral op de identificatiemethode<br />
aan de hand van fysieke of gedragseigenschappen van personen, waardoor<br />
unieke lichaamskenmerken vastgesteld kunnen worden.<br />
In de ICT wordt de term “biometrie” vaak gebruikt om de techniek aan te<br />
duiden om verschillende eigenschappen van mensen te analyseren met als<br />
doel de authenticatie van een persoon. Hierbij kunnen verschillende fysieke<br />
eigenschappen geanalyseerd worden, zoals vingerafdrukken, de iris of retina<br />
van het oog, stempatronen, gezichtspatronen, handomtrekken en dergelijke.<br />
Ook kunnen gedragseigenschappen gemeten worden, zoals herkenning van<br />
het looppatroon, handtekening, enzovoort.<br />
Biometrie wordt al een tijdje toegepast in de misdaadbestrijding. Biometrie<br />
is echter veel breder toepasbaar, en is door de unieke identificatie uitermate<br />
geschikt als beveiligingsmethode. Er zijn vele toepassingsmogelijkheden<br />
in ontwikkeling en in theorie zou deze vele pasjes, sleutels, wachtwoorden,<br />
codes en handtekeningen kunnen vervangen. Biometrie is op zichzelf niet<br />
fraudegevoelig, echter de implementatie van het meetsysteem is cruciaal voor<br />
een goede werking.<br />
Het makkelijkst toepasbaar is de handmeting, maar deze techniek is toch<br />
niet 100% betrouwbaar en daarom wordt het meestal gecombineerd met een<br />
Page 3 of 16
Caseweek <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
verplicht pasje, toegangscode of handtekening. De iris- en netvliesmeting is<br />
daarentegen het meest betrouwbaar, maar minder makkelijk toe te passen.<br />
De spraakherkenningstechniek is nog volop in ontwikkeling en kan worden<br />
toegepast op bijvoorbeeld telefonische financiële transacties, toegang tot gevoelige<br />
computergegevens en voor het starten van auto’s. De meting van<br />
warmtepatronen in het gelaat of van gezichtskenmerken tenslotte is een van<br />
de nieuwste mogelijkheden.<br />
2.1.1 Voor- en nadelen van biometrische methoden<br />
Het gebruik van biometrische methoden voor het identificeren van personen<br />
heeft een aantal voor- en nadelen. Een van de voordelen van biometrie is<br />
dat de lichaamskenmerken die in aanmerking komen voor biometrie niet<br />
overdraagbaar zijn op andere personen. De oudere implementaties voor<br />
authenticatie zijn dit vaak wel, denk hierbij aan het gebruik van bijvoorbeeld<br />
pasjes, sleutels en wachtwoorden.<br />
Een van de grootste voordelen van de biometrische identificatiemethode is<br />
de betrouwbaarheid. Tot nu toe is dit enige bekende techniek die 100% zekerheid<br />
geeft dat de persoon in kwestie is die hij of zij aangeeft te zijn.<br />
Een ander groot voordeel van de biometrische identificatiemethode is de<br />
snelheid van de identificatie. De snelheid is afhankelijk van de grootte van<br />
het databestand waarmee de afgelezen gegevens vergeleken moeten worden.<br />
Onder normale omstandigheden kunnen ongeveer 10.000 vergelijkingen per<br />
seconde worden gedaan.<br />
Er zitten echter ook nadelen aan het toepassen van biometrische identificatie.<br />
Op dit moment is het gebruiken van deze technologie nog erg kostbaar.<br />
Één van de grootste problemen is echter de mogelijke aantasting van privacy.<br />
Er dienen gegevens van vele personen vastgelegd te worden voor de<br />
implementatie van biometrie. De potentiële mogelijkheid bestaat om allerlei<br />
databestanden met deze persoonlijke gegevens onderling te koppelen.<br />
Denk hierbij aan medische gegevens, financiële gegevens, politiebestanden,<br />
telefoniegegevens, lidmaatschappen, koopgedrag, enzovoort. Hiermee kan<br />
de mogelijkheid gecreëerd worden dat overheden of bedrijven deze gegevens<br />
gebruiken om burgers op een ontoelaatbare manier te controleren.<br />
Tevens is misbruik op dit moment nog een groot probleem. De huidige implementaties<br />
van biometrische controle is vaak nog erg fraudegevoelig. In dit<br />
document zullen wij verder ingaan op een specifieke biometrische methode,<br />
namelijk het gebruik van vingerafdrukidentificatie. Hierbij zullen we ook<br />
een aantal verschillende implementaties hiervan onder de loep nemen.<br />
Page 4 of 16
2.2 Vingerafdrukken<br />
Caseweek <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
Een vingerafdruk is een afdruk van het patroon van groeven in iemands<br />
vinger. Er wordt algemeen verondersteld dat deze groeven bestaan voor<br />
het geven van grip bij het beetpakken van dingen. Vingerafdrukken zijn<br />
genetisch bepaald en uniek voor ieder persoon. Naast de afdruk van de<br />
vinger, zijn ook de groeven op handpalmen, voetzolen en tenen bij ieder mens<br />
uniek. Er is geen enkele vinger die exact dezelfde groefeigenschappen heeft.<br />
Zelfs bij eeneiige tweelingen zijn de vingerafdrukken verschillend. Het unieke<br />
patroon van groeven wordt onder andere bepaald door de aderstructuur<br />
en doorbloeding, de grootte van de poriën, de plaatsing en grootte van de<br />
zweetklieren en zenuwen aan het huidoppervlakte, de dikte van de huid, de<br />
hoeveelheid celvocht en de ruimte tussen de cellen. Ook huidveranderingen<br />
spelen een rol. De kenmerken van deze groeven worden al na week 14 tot<br />
16 weken uniek gevormd in de baarmoeder.<br />
Het grote voordeel van vingerafdrukken is dat deze niet significant wijzigen<br />
bij het ouder worden. Ook als de vinger beschadigd, zal deze normaal<br />
gesproken zo genezen dat de unieke groeven worden hersteld. Deze eigenschappen<br />
maakt dat het identificeren van personen aan de hand van een<br />
vingerafdruk erg interessant is.<br />
2.2.1 Forensisch onderzoek<br />
Wanneer een persoon iets aanraakt, zal er een zichtbaar of onzichtbare afdruk<br />
achterblijven. Een achterblijvende afdruk kan verzameld worden voor<br />
visuele studie of vergelijking. Dit maakt de vingerafdruk uitermate geschikt<br />
voor forensisch onderzoek. Er zijn een aantal verschillende manieren waarop<br />
de vingerafdruk zichtbaar gemaakt kan worden en waarop deze gekopiëerd<br />
kan worden. Op de traditionele manier gebeurde dit met het poederen van<br />
de afdruk met een fijne stof. Tegenwoordig zijn er andere methodes, die grofweg<br />
in te delen zijn in optische, chemische en fysische methodes. Het nadeel<br />
van chemische en fysische methodes is dat deze het te onderzoeken materiaal<br />
aantasten, waardoor het materiaal niet meer geschikt is voor andere<br />
onderzoeken.<br />
In dit document gaan we niet verder in op het forensisch spooronderzoek.<br />
Wat wel nog opviel was een aantekening op een website dat er wereldwijd<br />
nog geen enkele regelgeving is omtrend het identificeren van personen aan<br />
de hand van een vingerafdruk. In Nederland worden bij een vergelijking van<br />
een vingerafdruk 12 kenmerkende punten vereist. In Zuid-Africa zijn echter<br />
7 kenmerkende punten al voldoende om iemand te identificeren. In veel<br />
landen zoals Engeland en Amerika zijn er geen regels hieromtrend opgesteld.<br />
Page 5 of 16
Caseweek <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
De betreffende expert die aan het forensisch onderzoek werkt maakt de<br />
beslissingen.<br />
2.2.2 Databanken<br />
Als men aan de hand van een vingeradruk de identiteit van een persoon wilt<br />
vaststellen, moet hierbij uiteraard wel vergelijkingsmateriaal zijn. Hiervoor<br />
zijn verschillende database-systemen opgezet. In Nederland wordt door het<br />
Nederlands Forensisch Instituut[1] een databestand bijgehouden genaamd<br />
HAVANK (Het Automatisch Vingerafdrukkensysteem Nederlandse Kollektie),<br />
die in 2003 al ruim 10 miljoen vingerafdrukken bevatte. De FBI houdt<br />
een database bij die op dit moment ruim 250 miljoen vingerafdrukken bevat,<br />
genaamd IAFIS[2]. Voor het gebruik van vingerafdrukken als toegangsbeveiliging<br />
is geen grote database noodzakelijk. Enkel de vingerafdrukken van<br />
de personen die toegang dienen te krijgen moeten immers opgeslagen worden<br />
ter vergelijking.<br />
3 Platformen voor vingerafdruk<br />
Er zijn een aantal platformen welke je met vingerafdruk technologie zou<br />
kunnen beschermen tegen aanvallen van buiten. Hierbij valt op te merken<br />
dat het beschermen tegen aanvallen ook van binnenuit een organisatie kan<br />
zijn. De verschillende platformen die wij onderscheiden zijn:<br />
� Fysieke toegang<br />
� Computer toegang<br />
� Data toegang<br />
Op deze aspecten zullen we nader ingaan en vervolgens van een aantal producten<br />
de eigenschappen bekijken.<br />
3.1 Fysieke toegang<br />
Gegevens kun je beschermen door het ontzeggen van de toegang tot een<br />
bepaalde ruimte. Hierbij kan je denken aan het beveiligen van de deur door<br />
deze te voorzien van een deurklink met vingerafdruk technologie. Dit is<br />
bijvoorbeeld toepasbaar bij een serverruimte of andere ruimte waarbij ongeauthorizeerde<br />
toegang niet gewenst is. Een tweetal voorbeelden zijn:<br />
Biometric Door Lock 220AT [8] (prijs �800,- excl. software)<br />
De belangrijkste eigenschappen zijn:<br />
Page 6 of 16
Caseweek <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
� Vingerafdruk of keypad (PIN) toegang (geen sleutel)<br />
� 50 gebruikers<br />
� 6 AA batterijen (low battery alert, 2/ 3 year lifetime)<br />
� Non volatile memory<br />
� Key override<br />
� CMOS Optical vingerafdruk Sensor<br />
Volgens de beschrijving [9] is dit product geschikt voor thuis- en kantoorgebruik,<br />
voor IT / gereedschap ruimtes en controlled access rooms. Tegen een<br />
meerprijs is er software beschikbaar welke audit trails bijhoudt.<br />
Voor: Met de software is bij te houden wie er langsgekomen zijn (logging).<br />
Tegen: Erg duur in de aanschaf en het keypad maakt het ook mogelijk toegang<br />
te verkrijgen.<br />
Biometric Door Lock LA9-3 (prijs �200,-)<br />
De belangrijkste eigenschappen:<br />
� Vingerafdruk, keypad (PIN) of sleutel toegang<br />
� 138 gebruikers<br />
� 4 AA batterijen<br />
� Non volatile memory<br />
� CMOS Optical vingerafdruk sensor<br />
Voor: Goedkoop.<br />
Tegen: Keypad en sleutel toegang. Je wilt immers dat zo min mogelijk mensen<br />
erin kunnen op een zo klein mogelijk aantal manieren.<br />
3.2 Computer toegang<br />
Ook de toegang tot een computer valt te “beveiligen” met vingerafdruk<br />
technologie. De vraag is, is het echt beveiligd? Je kunt immers nog steeds<br />
toegang krijgen met het toetsenbord.<br />
Microsoft Finger Print Reader [10] (prijs �29,-)<br />
Microsoft levert een vingerafdruk lezer voor toegang tot de computer. Hierbij<br />
geeft Microsoft zelf al aan dat het voor het vervangen van wachtwoorden<br />
is en niet voor informatie gevoelige toepassingen. Echter het is een simpel,<br />
klein draagbaar apparaat welke je aansluit op een USB poort van je<br />
computer, laptop of PDA.<br />
Een aantal andere producten van Microsoft met vingerafdruk technologie:<br />
Page 7 of 16
Caseweek <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
� Microsoft Wireless IntelliMouse Explorer met <strong>Fingerprint</strong> Reader<br />
� Microsoft Optical Desktop met <strong>Fingerprint</strong> Reader<br />
Bij de Microsoft Wireless IntelliMouse Explorer [11] wordt een losse vingerafdruk<br />
lezer geleverd. Echter bij de Microsoft Optical Desktop [12] set zit<br />
de vingerafdruk lezer keurig in het toetsenbord verwerkt.<br />
Voor: Draagbaar en klein.<br />
Tegen: Niet voor professioneel gebruik.<br />
3.3 Data toegang<br />
Naast de fysieke en computer toegang kan men tot op dataniveau de toegang<br />
beveiligen met vingerafdruk technologie. Hierbij kan men de toegang<br />
tot een harde schijf regelen of zelfs de data encrypten op basis van een<br />
vingerafdruk.<br />
Sony Micro Vault [13] with <strong>Fingerprint</strong> Access (prijs �50,-)<br />
Deze memory stick van Sony biedt de mogelijkheid tot het encrypten en<br />
decrypten van bestanden en mappen. Als je nieuwe bestanden sleept naar<br />
de map worden ze automatisch ge-encrypt. Om de mappen of bestanden te<br />
decrypten heb je een vingerafdruk nodig.<br />
Naast de mogelijkheid van het encrypted opslaan van mappen en bestanden<br />
met behulp van vingerafdruk, kan je de vingerafdruk ook gebruiken voor<br />
het opslaan van wachtwoorden en id’s van bijvoorbeeld websites. Dit is<br />
vergelijkbaar met de Microsoft Finger Print Reader.<br />
Tevens kan je een screensaver lock doen op basis van je vingerafdruk. Een<br />
andere handige toevoeging op dit apparaatje is de mogelijkheid om automatisch<br />
je favoriete websites op te slaan op de memorystick.<br />
Voor: Draagbaar en klein (ook meteen een nadeel), altijd je favoriete sites<br />
bij je.<br />
Tegen: Vingerafdruk sensor wat aan de kleine kant.<br />
LaCie SAFE [14] mobile hard drive fingerprint access, 40 GB ( �149,- )<br />
Deze USB harde schijf van LaCie biedt de mogelijkheid voor het opslaan van<br />
5 gebruikersprofielen en 10 vingerafdrukken. De harde schijf doet zijn werk<br />
zowel onder Windows als onder Mac en kan nauwkeurig ingesteld worden<br />
per gebruiker tot op lees- en schrijfrechten toe.<br />
Om de schijf benaderbaar te maken op de computer sluit je deze eerst aan<br />
waarna je authenticeert met je vingerafdruk. Voor het apparaat is geen<br />
extra adapter of software noodzakelijk.<br />
Page 8 of 16
Voor: Plug and play.<br />
Tegen: Draagbaar.<br />
4 Scan-technieken<br />
Caseweek <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
Binnen de techniek voor het lezen van vingerafdrukken zijn in de loop der<br />
jaren vele verschillende soorten herkenning ontwikkeld. In dit hoofdstuk<br />
worden de belangrijkste behandeld.<br />
4.1 Optische sensor<br />
Deze techniek is gebaseerd op het projecteren van de vingerafdruk op een<br />
camera. De gebruiker plaatst een vinger op een glazen of helder plastic plaat<br />
en door middel van een LED wordt de vinger verlicht. Door het gebruik<br />
van prisma’s en lenzen wordt het beeld geprojecteerd op een CCD-camera<br />
(charged coupled device). Een CCD-camera is een rij van lichtgevoelige<br />
diodes. Het resultaat is een projectie van de vingerafdruk met hoog contrast.<br />
4.2 Ultrasone sensor<br />
Figuur 1: Optische sensor<br />
Dit type sensor is gebaseerd op het verschil in terugkaatsing van geluidsgolven.<br />
De lijnen en tussenruimtes van de vingerafdruk verschillen in terugkaatsing.<br />
De sensor zendt tonen uit met een frequente tussen de 20 kHz en<br />
enkele gHz. De hoge frequenties zijn nodig om de splitsingen en eindpunten<br />
van de lijntjes in de vingerafdruk goed te kunnen meten. Door middel van<br />
geluidsgolven wordt het reliëf van de vinger bepaald.<br />
Page 9 of 16
4.3 Capacative sensor<br />
Figuur 2: Ultrasone sensor<br />
Caseweek <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
Deze techniek maakt gebruik van een sensor welke een rij met condensatoren<br />
bevat. Door de isolerende werking van de huid kan een condensator onder<br />
een lijn zichzelf meer opladen dan een condensator onder een tussenruimte.<br />
Het voltage dat een condensator uitgeeft varieert dus. Aan de hand van<br />
dit voltage kan de sensor zien of er boven de condensator een lijn of een<br />
tussenruimte zit. Door elke condensator uit te lezen kan een beeld worden<br />
gevormd van de vingerafdruk.<br />
4.4 Temperatuur sensor<br />
Figuur 3: Capacatieve sensor<br />
Deze techniek is gebaseerd op temperatuurverschillen. De huid en de lucht<br />
verschillen in temperatuur. Het verschil tussen de huid en de lucht is onder<br />
normale omstandigheden ongeveer 2 graden. De sensor maakt gebruik van<br />
een rij temperatuurgevoelige pixels om de verschillen in temperatuur in beeld<br />
te brengen en wordt de vingerafdruk gescand.<br />
Page 10 of 16
4.5 Druk sensor<br />
Caseweek <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
Deze techniek is gebaseerd op het contact tussen de huid en de sensor. De<br />
sensor bestaat uit een raster van kleine sensoren. Als een persoon een vinger<br />
op de sensor plaatst, komen alleen de lijnen in contact met de sensoren. De<br />
tussenruimtes maken geen contact met het oppervlak van de sensor. Op deze<br />
manier kan een duidelijk beeld worden gemaakt van de vingerafdruk.<br />
4.6 Multispectrum sensor<br />
Deze techniek is gebaseerd op het verzamelen van afbeeldingen gemaakt met<br />
verschillende golflengtes. Als lichtbron worden LED’s gebruikt met elk een<br />
verschillende golflengte. De weerkaatsende lichtstralen worden opgevangen<br />
op een CCD-camera. Aan de hand hiervan kan de sensor de vingerafdruk<br />
bepalen en tevens bepalen of de vinger echt is. Door het gebruik van licht<br />
met verschillende golflengtes kan de onderhuidse structuur bepaald worden.<br />
Deze techniek is nog jong en daarom zijn er nog maar weinig vingerafdruk<br />
lezers die gebruik maken van deze sensoren. Één van de fabrikanten van<br />
multispectrum sensoren is Lumidigm [23]<br />
5 Security<br />
Figuur 4: Multispectrum sensor<br />
In dit hoofdstuk gaan we in op de security met betrekking tot vingerafdruk<br />
lezers. In het onderdeel security behandelen wij de verschillende misleidmethodes<br />
en de nauwkeurigheid van de sensoren.<br />
Page 11 of 16
5.1 Misleidmethodes<br />
Caseweek <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
Vingerafdruk lezers kunnen op een aantal manieren misleid worden. De<br />
methodes die het meest gebruik worden zijn brute-force, verouderde vingerafdrukken<br />
en namaak-vingers en namaak-vingerafdrukken.<br />
5.1.1 Brute force<br />
Bij toepassingen van vingerafdruk lezers voor het verlenen van toegang tot<br />
systemen of data is de grootte van het aantal geregistreerde vingerafdrukken<br />
cruciaal voor de betrouwbaarheid van het systeem. De kans dat een<br />
vingerafdruk met de verkeerde persoon gematched is bij een systeem met<br />
veel geregistreerde vingerafdrukken groter dan bij een systeem waar slechts<br />
een tiental vingerafdrukken zijn geregistreerd. Het toekennen van een vingerafdruk<br />
aan de verkeerde persoon wordt de False Acceptance Rate (FAR)<br />
genoemd. Als je nagaat dat ieder persoon 10 vingers heeft dan heeft deze<br />
persoon dus al 10 kansen om toegang te krijgen.<br />
5.1.2 Verouderde vingerafdrukken<br />
Als iemand zijn vingerafdruk scant blijft er vaak een afdruk achter op de<br />
glas/plastic plaat. Tenzij de sensor is uitgerust met een zelfreinigingmechanisme.<br />
In het verleden zijn onderzoeken gedaan waaruit bleek dat het<br />
ademen op de plaat al genoeg was om de lezer de vorige vingerafdruk te laten<br />
gebruiken. Een andere manier is het gebruik van een glad stuk gelatine<br />
of silicone ter grootte van een vingerafdruk op de sensor te drukken. De<br />
sensor leest de lijnen van de vorige vingerafdruk en kan iemand ongewenst<br />
geaccepteerd worden.<br />
5.1.3 Nep vingerafdrukken<br />
Er zijn talloze voorbeelden van onderzoeken waarbij men nepvingers van; gelatine,<br />
wax, silicone, vingers heeft gemaakt die een vingerdruk hebben van<br />
een ander persoon en hiermee de vingerafdruk lezers kunnen misleiden. Het<br />
bekendste onderzoek is van Tsutomu Matsumoto[5][6]. Een groep studenten<br />
heeft onder leiding van T. Matsumoto een uitgebreid onderzoek gedaan naar<br />
de manier waarop sensoren te misleiden zijn. Het is de studenten gelukt om<br />
alle sensoren te misleiden. Bruce Schneier heeft in zijn cryptogram van mei<br />
2002 een item geplaatst over de presentatie van Tsutomu Matsumoto op<br />
een congres in 2002 genaamd: Optical Security and Counterfeit Deterrence<br />
Techniques IV. In december 2004 hebben een drietal studenten van het Gjovik<br />
University College een uitgebreid onderzoek gedaan naar het misleiden<br />
Page 12 of 16
Caseweek <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
van vingerafdruk lezers [7]. In dit onderzoek zijn aantal verschillende vingerafdruk<br />
lezers werden getest. De paper die zij hebben geschreven omschrijft<br />
precies hoe de mallen en nep vingerafdrukken zijn gemaakt. In het onderzoek<br />
hebben de studenten gebruik gemaakt van vrijwel dezelfde technieken<br />
die ook door Tsutomu Matsumoto zijn gebruikt.<br />
Figuur 5: Verschillende mallen: Plasticine, klei, kaarsvet, lijm en een ets<br />
5.2 Nauwkeurigheid van de sensoren<br />
Bij het gebruik van vingerafdruk lezers voor het verlenen van fysieke toegang<br />
tot ruimtes of toegang tot data wil je niet dat een medewerker na verloop<br />
van tijd geweigerd wordt door verandering van het huidoppervlak. Deze<br />
veranderingen van het huidoppervlak en dus ook van de vingerafdruk kunnen<br />
ontstaan door ouderdom, sneetjes en/of vuil. De beste optie zou zijn om<br />
een nieuwe vingerafdruk te nemen van deze persoon, maar meestal wordt dit<br />
door sensoren in de praktijk anders opgelost. De meeste sensoren hebben een<br />
bepaalde marge ingebouwd om de zogenoemde False Reject Rate (FRR) zo<br />
laag mogelijk te houden. Door het gebruik van deze marges zijn vele sensoren<br />
eenvoudig te misleiden. Door de gebruikte uitgekiende technieken blijven de<br />
onderzoekers binnen deze marge waardoor de sensor de vingerafdruk gewoon<br />
herkend. In het onderzoek van Ton van der Putte en Jeroen Keuning van<br />
Atos Origin [15] wordt nader in gegaan op het misbruik van de marges.<br />
6 Verwachtingen en toekomstperspectief<br />
In de biometrie geldt digitale vingerafdruktechniek als een van de meest<br />
betrouwbare methoden voor persoonsverificatie. Iedereen heeft een unieke<br />
vingerafdruk. Al jaren wordt die unieke vingerafdruk gebruikt voor het<br />
opsporen van personen bij misdrijven. Veelal is dit succesvol in combinatie<br />
met DNA sporen of andere herkenningspatronen.<br />
Tevens worden vingerafdrukken steeds meer toegepast als beveiligingsmiddel<br />
en is met de nieuwere technieken heel makkelijk te gebruiken. Er zijn<br />
in de afgelopen jaren verschillende experimenten geweest om de goedkopere<br />
consumentenelectronica om de tuin te leiden. Deze zijn tot op heden<br />
Page 13 of 16
Caseweek <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
allemaal geslaagd. De toepasbaarheid van vingerafdruk lezers is dus zeer<br />
groot, maar tot op heden zijn de gebruikte technieken en de implementaties<br />
daarvan niet secuur genoeg gebleken. Een unieke vingerafdruk valt te reproduceren<br />
of te hergebruiken en hiermee is de huidige consumentenelectronica<br />
gemakkelijk voor de gek te houden. De techniek zelf is dus erg goed, alleen<br />
de implementatie is ook hierbij het probleem. Als de technische implementaties<br />
in de toekomst beter zullen worden, zal ook het gebruik hiervan sterk<br />
toenemen.<br />
7 Conclusies en aanbevelingen<br />
Men kan niet stellen dat het onderzoek naar vingerafdruk technologie nutteloos<br />
is geweest. Ook is het nog te vroeg om te roepen dat vingerafdrukherkenning<br />
totaal afgeschreven is. Vingerafdruk in combinatie met andere<br />
slimmere methoden kan nog steeds een uitkomst bieden. Te denken valt aan<br />
een combinatie van hand-, gezicht-, iris- en stemherkenning.<br />
We kunnen echter stellen aan de hand van het door ons gedane onderzoek<br />
dat de goedkopere consumententoepassingen tot op heden onbruikbaar zijn.<br />
Voorlopig valt hier nog geen grote doorbraak te verwachten. Het is enkel<br />
wachten tot de professionele scanapparatuur goedkoper geproduceerd kan<br />
worden, waarmee de betrouwbaarheid van het systeem gegarandeerd kan<br />
worden tegen een acceptabele prijs.<br />
Ons advies is dan ook om voorlopig geen gebruik te maken van de bestaande<br />
implementaties, omdat deze makkelijk te omzeilen zijn. Voor huis- tuin- en<br />
keukengebruik zijn het echter leuke speeltjes om eens uit te proberen.<br />
Page 14 of 16
Referenties<br />
[1] Nederlands Forensisch Instituut<br />
- http://www.forensischinstituut.nl/NFI/nl<br />
Caseweek <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
[2] Integrated Automated <strong>Fingerprint</strong> Identification System<br />
- http://www.fbi.gov/hq/cjisd/iafis.htm<br />
[3] Meerdere Wikipedia’s<br />
http://www.wikipedia.org<br />
[4] Nederlandse website mbt vingerafdrukken<br />
http://www.vingerafdrukken.nl en http://www.fingerprints.tk/<br />
[5] Paper: Impact of Artificial Gummy Fingers on <strong>Fingerprint</strong> Systems,<br />
Tsutomu Matsumoto, Hiroyuki Matsumoto, Koji Yamada, Satoshi Hoshino<br />
Yokohama National University Japan<br />
[6] Item van Bruce Schneier over de presentatie van Tsutomu Matsumoto<br />
op de Optical Security and Counterfeit Deterrence Techniques IV in<br />
2002.<br />
- http://www.schneier.com/crypto-gram-0205.html<br />
[7] Paper: Attacking <strong>Fingerprint</strong> Sensors,<br />
Anders Wiehe, Torkjel Sondrol, Ole Kasper Olsen en Frederik Skarderud<br />
Gjovik University College.<br />
- http://www.olekasper.no/.../attacking fingerprint sensors.pdf<br />
[8] Biometric Doorlocks<br />
- http://www.ultimatesecuritysolutions.com/biometric...220at.htm<br />
[9] KeyLess Pro Doorlocks<br />
- http://www.keylesspro.com/biometric.htm<br />
[10] Microsoft <strong>Fingerprint</strong> Reader<br />
- http://www.microsoft.com/hardwar...ProductDetails.aspx?pid=036<br />
[11] Microsoft Wireless IntelliMouse Explorer<br />
- http://www.microsoft.com/hardwar...ProductDetails.aspx?pid=035<br />
[12] Microsoft Optical Desktop<br />
- http://www.microsoft.com/hardwar...ProductDetails.aspx?pid=034<br />
[13] Sony Micro Vault<br />
- http://www.sony.net/Products/Media/Microvault/usm-c.html<br />
[14] Lacie mobile drive<br />
- http://www.lacie.com/products/product.htm?pid=10114<br />
Page 15 of 16
Caseweek <strong>SSN</strong> - <strong>Fingerprint</strong> <strong>Readers</strong><br />
[15] Onderzoek: Biometrical <strong>Fingerprint</strong> Recognition : Don’ t get your<br />
fingers burned, Ton van der Putte and Jeroen Keuning<br />
- http://www.keuning.com/.../Biometrical <strong>Fingerprint</strong> Recognition.pdf<br />
[16] German Bergdata Biometrics GmbH develops soft- and hardware for<br />
fingerprint biometrics<br />
- http://www.bergdata.com/en/main/index.php<br />
[17] <strong>Fingerprint</strong> FAQ, website<br />
- http://www.bromba.com/faq/fpfaqe.htm#arbeiten<br />
[18] Paper van intel<br />
- http://developer.intel.com/design/.../<strong>Fingerprint</strong>SensorProductGuidelines.pdf<br />
[19] Biometric Sensor Interoperability: A Case Study In <strong>Fingerprint</strong>s, Arun<br />
Ross(West Virginia University), Anil Jain(Michigan State University)<br />
- http://biometrics.cse.msu.edu/RossInter BIOAW04.pdf<br />
[20] Handbook of <strong>Fingerprint</strong> Recognition,<br />
- http://bias.csr.unibo.it/maltoni/handbook/<br />
[21] Homepage of Bruce Schneier,<br />
- http://www.schneier.com/crypto-gram-9808.html#biometrics<br />
[22] Nieuwsbericht over het gebruik van multispectrum sensoren,<br />
- http://www.sensorsmag.com/articles/0105/25/main.shtml<br />
[23] Website van een fabrikant van multispectrum sensoren,<br />
- http://www.lumidigm.com/<br />
[24] Website met een overzicht van vingerafdruk gerelateerde berichten,<br />
- http://www.optel.pl/tp.htm<br />
Page 16 of 16