Vulnerabilidades de segurança de um sistema biométrico

Compartilhar isso

Share on facebook
Share on linkedin
Share on whatsapp
Share on email

Biometria e criptografia: a senha biométrica

A biometria proporciona à pessoa características únicas que estão sempre presentes. Eles podem ser usados ​​como uma chave criptográfica?

 

Em primeiro lugar, podemos definir a criptografia convencional como uma metodologia baseada em chaves de criptografia, que são apenas cadeias de bits longas o suficiente, geralmente 128 bits ou mais. Essas chaves, podem ser “simétricas”, “públicas” ou “privadas”, são uma parte essencial de qualquer criptossistema, por exemplo, Public Key Infrastructure (PKI). Para o ser humano é impossível memorizar uma chave aleatória tão longa, geralmente gerada, após vários passos, a partir de uma senha ou PIN. Portanto, o gerenciamento de senhas desempenha um papel importante, mas é o ponto mais fraco de qualquer criptossistema, pois a senha pode ser adivinhada, encontrada com uma pesquisa de força bruta ou roubada por um invasor.

Então a biometria pode nos ajudar a tornar um sistema de criptografia confiável?

A resposta é negativa: as imagens ou modelos biométricos são variáveis ​​por natureza, ou seja, cada nova amostra biométrica é sempre diferente e a criptografia convencional não tolera um único erro de bit.

 

Portanto, uma função óbvia da biometria no criptossistema convencional é apenas o gerenciamento de senhas. Ao receber a resposta Sim, o sistema desbloqueia uma senha ou uma chave.

 

Um sistema biométrico sempre produz uma resposta Sim / Não, que é essencialmente um bit de informação.

 

O sistema biométrico e o aplicativo são conectados por meio de apenas um bit.

 

Modelos biométricos ou imagens armazenadas em um banco de dados podem ser criptografadas por criptografia convencional

meios.

 

Isso melhoraria o nível de segurança do sistema, uma vez que um invasor deve obter acesso a

as chaves de criptografia primeiro.

 

No entanto, a maioria dos problemas de privacidade associados a um grande banco de dados permanece, uma vez que as chaves e, portanto, os dados biométricos, são controlados por um guardião

 

Podemos usar Biometria para criptografia?

 

Devido à sua variabilidade, a imagem biométrica ou modelo em si não pode servir como um criptográfico

chave. No entanto, a quantidade de informações contidas em uma imagem biométrica é bastante grande: para

exemplo, uma imagem típica de 300×400 pixels de tamanho, codificada com oito bits por pixel tem 300x400x8

= 960.000 bits de informação. Claro, essas informações são altamente redundantes. Ou é possível vincular uma chave de 128 bits às informações biométricas, de modo que a chave possa ser regenerada de forma consistente? Enquanto a resposta à primeira questão é problemática, a segunda questão deu origem a uma nova área de pesquisa, chamada Criptografia Biométrica (BE). A criptografia biométrica é um processo que vincula com segurança um PIN ou uma chave criptográfica a uma biométrica, de modo que nem a chave nem a biometria podem ser recuperadas do modelo armazenado. A chave é recriada apenas se a amostra biométrica ao vivo correta for apresentada na verificação. 15 A chave digital (senha, PIN, etc.) é gerada aleatoriamente no cadastro, para que o usuário (ou qualquer outra pessoa) nem saiba. A chave em si é totalmente independente da biometria e, portanto, sempre pode ser alterada ou atualizada. Depois que uma amostra biométrica é adquirida, o algoritmo BE liga de forma segura e consistente a chave à biometria para criar um BE protegido

modelo, também chamado de “modelo privado”.

a chave é criptografada com a biométrica. O modelo BE oferece uma excelente proteção de privacidade e pode ser armazenado em um banco de dados ou localmente (cartão inteligente, token, laptop, telefone celular, etc.). Ao final da inscrição, tanto a chave quanto a biométrica são descartadas.

 

Na verificação, o usuário apresenta sua nova amostra biométrica, que, quando aplicada ao

modelo BE legítimo, permitirá que o algoritmo BE recupere a mesma chave / senha. Em outro

palavras, o biométrico serve como uma chave de descriptografia. No final da verificação, a amostra biométrica

é descartado mais uma vez. O algoritmo BE é projetado para levar em conta variações aceitáveis ​​no

entrada biométrica.

Por outro lado, um invasor, cuja amostra biométrica é diferente o suficiente,

não será capaz de recuperar a senha. Este esquema de criptografia / descriptografia é confuso, pois o

a amostra biométrica é diferente a cada vez, ao contrário de uma chave de criptografia na criptografia convencional.

Claro, é um grande desafio tecnológico fazer o sistema funcionar.

 

Depois que a chave digital, senha, PIN, etc. são recuperados, eles podem ser usados ​​como base para qualquer

ou aplicação lógica. A maneira mais óbvia encontra-se no criptossistema convencional, como um

PKI, onde a senha irá gerar um par de chaves públicas e privadas.

Portanto, a criptografia biométrica é uma ferramenta eficaz, segura e amigável para a privacidade de senhas biométricas

gestão, uma vez que a biometria e a senha estão vinculadas em um nível fundamental.