Sicherheit

Falscher Fingerabdruck wird vom System entlarvt

Die Computerfachzeitschrift c´t hatte mit Falsifikaten existierende biometrische Erkennungssysteme wie Fingerabdruck- oder Gesichtserkennung ausgetrickst. Auch die Iriserkennung – sie gilt als besonders sicher – hat man überlisten können.

Hermann Eul, Bereichschef für Sicherheitssysteme bei Infineon nahm das als Anlass, vergangene Woche die hohen Sicherheitskriterien der vom Unternehmen hergestellten Chips herauszustellen: Immerhin arbeitet in den neuen computerlesbaren Pässen und ID-Karten der Niederländer ein Infineon-Chip und das amerikanische Verteidigungsministerium rüstet derzeit seine Mitarbeiter mit neuen Zugangskarten auf Basis eines Infineon-Chips aus. Estlands Personalausweis wird einen Infineon-Chip tragen, ebenso wie der von Israel, Italien, Hongkong und Macao.
Eul verwies darauf, dass die Hardwaretechnologie auf dem Chip um Größenordnungen sicherer ist als jedes Softwaresystem, das Sicherheit „verkauft“: Lines-of-Codes kann man fälschen, eine auf dem Chip feste Hardwareverdrahtung nicht. Dazu trügen viele Vorsichtsmaßnahmen bei: Extrem kleine Strukturen sind selbst unter dem Mikroskop nicht mehr zugänglich, besonders robuste nichtflüchtige Speicher, kritische EEPROM-Zellen auf dem Sicherheitschip sind getrennt gekapselt, Read-only-Memories (ROM) werden implantiert und deren Struktur „versteckt“. Temperatur- und Lichtsensoren nehmen wahr, wenn jemand über andere als elektronische Wege „eindringen“ will, ASICs statt Standardprozessoren entziehen sich konventioneller Angriffe, weil ihre Struktur nicht offen liegt. Die Speicherinhalte werden „verwürfelt“, verborgene Layer und Bauelemente im Chip erschweren den Einblick in den Aufbau. Kurz: Was man sich an Angriffsfläche ausdenken kann, wird laut Eul beim Entwurf solcher Sicherheitschips berücksichtigt.
Wie also konnte es dann zu Problemen mit Sicherheitschips kommen, wie sie die c´t aufgezeigt hat? Eul winkt ab: „Nichts Neues, wissen wir schon längst.“ Den geglückten Versuch, einen schon mal genutzten Fingerabdruck auf eine Folie abzuziehen und durch Anhauchen zu reaktivieren, lässt er in der Praxis nicht gelten: „Zweidimensionale Abbildungen eines Fingerabdrucks werden von den kapazitiven Sensoren sehr häufig als Fälschung erkannt und gar nicht an die Software zur Auswertung weitergegeben. Meist werde in einem solchen Fall zum erneuten Auflegen des Fingers aufgefordert – ein Eindringling könne das Latenzbild dann nicht mehr als biometrische Eintrittskarte verwenden. Weil solche Tricks nichts Neues sind, habe man im System (allerdings nicht auf dem Sensor) Gegenmaßnahmen treffen können.
Seit 1999 fertigt Infineon den Fingertipsensor in Serie. Der derzeitige Sensor nimmt nur die Fingerabdruckdaten auf. Diese werden ohne weitere Verarbeitung direkt an die nachgelagerte Biometrie-Software geleitet. Erst hier werden die eingelesenen Daten durch spezielle Algorithmen mit den gespeicherten Referenzdaten verglichen. Nicht der Sensor entscheidet über den Grad der gebotenen Sicherheit, sondern das nachgelagerte System.
Um aber zu zeigen, dass man die Warnungen verstanden hat, wird man bis zum Jahresende einen verbesserten Fingerabdruck-Chip anbieten, der gegen Latenzbilder unempfindlicher ist. Für die nächste Generation von Fingerabdrucksensoren will man Sensoraufnahme und Sensorerkennung im Chip zusammenfassen. Einlesen und Identifizieren finden dann vor Ort statt. Damit kann man unerlaubte Einflussnahme auf die Erkennungssoftware unterbinden. DELANO L. KLIPSTEIN

Stellenangebote im Bereich Arbeitssicherheit

Deutsche Gesetzliche Unfallversicherung e.V. (DGUV)-Firmenlogo
Deutsche Gesetzliche Unfallversicherung e.V. (DGUV) Referent/Referentin (m/w/d) Präventionsdienste Sankt Augustin
Advanced Nuclear Fuels GmbH-Firmenlogo
Advanced Nuclear Fuels GmbH Ingenieur (m/w/d) für Kerntechnik oder Sicherheitstechnik Lingen
Stadtwerke Augsburg Holding GmbH-Firmenlogo
Stadtwerke Augsburg Holding GmbH Leiter Arbeitssicherheit und Umweltmanagement (m/w/d) Augsburg
Bundesamt für das Personalmanagement der Bundeswehr-Firmenlogo
Bundesamt für das Personalmanagement der Bundeswehr Feuerwehrmann/-frau (m/w/d) im gehobenen feuerwehrtechnischen Dienst (Laufbahnausbildung) Köln
Bundesamt für das Personalmanagement der Bundeswehr-Firmenlogo
Bundesamt für das Personalmanagement der Bundeswehr Duales Studium: Sicherheitstechnik im gehobenen Feuerwehrtechnischen Dienst (m/w/d) Wuppertal
bluesign technologies ag-Firmenlogo
bluesign technologies ag Chemical Company Assessor (f/m) Sankt Gallen (Schweiz), Augsburg
Berufsgenossenschaft Verkehrswirtschaft Post-Logistik Telekommunikation-Firmenlogo
Berufsgenossenschaft Verkehrswirtschaft Post-Logistik Telekommunikation Ingenieur*in (m/divers/w) für die Prüfung von Maschinen und Arbeitsmitteln deutschlandweit

Alle Arbeitssicherheit Jobs

Top 5 Arbeitssic…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.