Biometrische Identifikation - Fingerabdruck

Biometrische Identifikation

Fingerabdruck

Oliver Kunz
by Oliver Kunz
time to read: 13 minutes

Im vergangenen Juli beschäftigte sich Sean Rütschi mit Biometrie und wie sie in fünf Minuten ausgehebelt werden kann. Mittlerweile ist einige Zeit vergangen und Apple lancierte die neue iPhone Serie mit TouchID, Apples Fingerabdruckscanner. Ich kann mich an keine Anwendung von Biometrik im zivilen Bereich erinnern, die mehr mediale Aufmerksamkeit erhalten hat. Nebst einigen polemischen Aussagen, wurde selten die Lösung als Gesamtes betrachtet und in ihren eigentlichen Kontext gestellt. Mitarbeiter der scip AG haben zu diesem Thema in den Medien Stellung genommen und versucht Abhängigkeiten aufzuzeigen. In diesem Artikel geht es nicht um das Ausspielen von PIN, Passwort, und anderen Mechanismen gegen den Fingerabdruck. Sie erhalten hier eine Veranschaulichung der grundsätzlichen Methodik eines Fingerabdruckscanners.

Fingerabdruck – Die Geschichte

Sie werden den Fingerabdruck wohl aus der Kriminalistik kennen, zumindest aus den entsprechenden Filmen. Wie lange der Mensch bereits auf den Fingerabdruck als Erkennungsmerkmal zurückgreift wird unterschiedlich dokumentiert. In Anbetracht erster wissenschaftlicher Auseinandersetzungen mit dem Fingerabdruck als Ursprung der heutigen Verwendung, kann der Ursprung auf Mitte des 19. Jahrhunderts zurückgeführt werden. Damals wurde in Studien untersucht, ob zwei identische Fingerabdrücke auf unterschiedlichen Fingern auffindbar sind. Der zweite zentrale Punkt, der untersucht wurde, war die Frage, ob ein Fingerabdruck sich während dem Älterwerden verändert. Das tut er nicht. Beide Punkte aus diesen wissenschaftlichen Arbeiten sind zentral und gelten noch heute.

Ende des 19. Jahrhunderts wurde in Argentinien der Gebrauch von Fingerabdrücken als Identifikationsmerkmal von Kriminellen eingesetzt. Anfangs des 20. Jahrhunderts folgten dem Pionierstaat weitere Nationen, darunter die USA und Grossbritannien.

In den 60er Jahren des 20. Jahrhunderts begann die elektronische Verarbeitung von Fingerabdrücken. Die Weiterentwicklung von Computern brachte Fingerabdruckscanner 20 Jahre später in den Zivilen Sektor ein. Es war nun nicht mehr nur ein Werkzeug für die Justizbehörden.

Keine andere biometrische Methodik wird schon so lange verwendet, weiterentwickelt und untersucht. Daher besteht in diesem Feld ein enormer Erahrungsschatz, mit dem kein anderes biometrisches System mithalten kann.

Der Fingerabdruck

Ein Fingerabdruck besteht aus Linien, die sich über die gesamte Fingerkuppe ziehen, die sogenannten Papillarleisten – im englischen ridges (deutsch: Kämme) genannt. Das Gegenstück, der Abstand zwischen einzelnen Pappilarleisten wird im englischen valleys (deutsch: Täler) genannt. Zwecks der Einfachheit verwenden wir hier die eingedeutschten Begriffe aus dem Englischen.

Grobe Merkmale

Schauen Sie die verschiedenen Fingerabdrücke von Personen an. Ihnen fallen bereits mit ungeübtem Auge drei grobe Unterschiede auf. Der Bogen, die Schleife und der Wirbel sind weit verbreitet, dazu gibt es noch Vermischungen der Varianten.

Fingerabdruck als Bogen, Schleife und Wirbel

Diese Merkmale finden sich auf den Fingerkuppen aller Menschen wieder und eignen sich daher überhaupt nicht für die Identifikation oder Verifikation einer Person.

Feine Merkmale

Um Personen zuverlässig unterscheiden zu können werden feinere Merkmale, sogenannte Minutien verwendet. Das Wort Minutien stammt vom lateinischen Wort Minutia ab, was so viel bedeutet wie Kleinigkeiten. Diese Kleinigkeiten haben eine enorm wichtige Funktion, sie erlauben es erst, den Fingerabdruck zu verwenden. Es gibt eine ganze Reihe von bekannten Minutien, die erkannt werden können. Darunter fallen unter anderem Endungen oder Verzweigungen von Kämmen oder ein kurzer Kamm der zwischen zwei anderen Kämmen liegt oder von einem Kamm umschlossen wird.

Fingerabdrucksensor

Obwohl im Allgemeinen nur vom Fingerabdrucksensor gesprochen wird, ist der Sensor eigentlich nur eines der Elemente, welches in diesem biometrischen System benötigt wird. Es kann zwischen sechs unterschiedlichen Modulen differenziert werden.

Modul Funktion
Datenerfassung Der Sensor ist Teil dieses Moduls. Es dient der Erstellung eines optischen Bildes des Fingerabdruckes. Dieses Bild wird an das Merkmalserfassungs-Modul weitergereicht.
Merkmalextraktion Hier wird das eben gescannte Fingerabdruckbild verarbeitet. Dabei kommen Techniken zum Einsatz um die Erkennungsmerkmale eines jeden Fingerabdruckes zu extrahieren.
Templatespeicher Im System abgelegt ist die Vorlage des Fingerabdruckes. Da die Vorlage ein zentrales Element der Sicherheit darstellt wird bei der Registration üblicherweise eine Identifikation mittels Lichtbildausweises verlangt.
Abgleich Die gespeicherte Vorlage wird nun mit dem neuen Scan verglichen und die Abweichung der beiden Bilder ermittelt.
Entscheidung Im Entscheidung Modul wird die Abweichung des Scans zum Template herbeigezogen. Überschreitet die Abweichung eine bestimmte Abweichung nicht ist die Person erfolgreich identifiziert und verifiziert.

Architektur der Analyse eines Fingerabdrucks

Der Sensor steht demnach immer am Anfang der Verarbeitung und ist jener Teil, der für jedermann ersichtlich ist. Um einen Nutzen zu bringen muss er jedoch mit anderen Modulen gekoppelt werden. Im übrigen wird es immer eine gewisse Abweichung zwischen dem Template und dem aktuellen Scan geben. Diese Abweichungen kommen durch störende Faktoren wie Schweiss, Dreck, Fett, Umwelteinflüsse etc. zu Stande.

Scan Verarbeitung

Nachdem der Fingerabdruck gescannt wurde, wird das Bild qualitativ aufbereitet, die Minutien extrahiert und ein Abgleich mit dem Template vorgenommen.

1. Am Anfang steht somit das eingescannte Bild der Fingerkuppel. Das Bild ist noch nicht klar und muss zuerst aufbereitet werden um Störungen zu minimieren.
2. Ein gängiger Schritt um Störungen zu reduzieren ist die Erkennung der Kammrichtungen. Hierzu werden die einzelnen Pixel analysiert und aus dem Gesamtbild ein Richtungsbild erstellt. Diese wird anschliessend als Filter über den Scan gelegt.
3. Es resultiert ein Bild, das klarere Abgrenzungen hat. Durch eine Binärisierung wird das Graustufenbild auf ein Schwarzweissbild reduziert. Dadurch steigert sich nochmals die Schärfe der Kämme.
4. Der letzte Aufbereitungsschritt ist das Ausdünnen der Kämme. Dabei werden die Linien auf die Grösse eines einzelnen Pixels verschmälert. Dadurch lassen sich die Minutien noch besser erkennen.
5. Nun folgt die Extraktion der Minutien. Mittels Bilderkennung werden die zuvor besprochenen, feinen Merkmale hervorgehoben und markiert. Das Abdrucksbild gleicht nun einer Karte mit den Hinweisen nach besonderen Orten.
6. Um Zeit zu sparen könnten lediglich die extrahierten Minutien des Templates gespeichert werden. Nach der Extraktion werden die einzelnen Punkte miteinander verbunden – der sogenannte Minutien-Graph entsteht. Dieser Graph wird nun als Abgleichwert verwendet.

Probleme

Generelle Probleme

Nebst den, zu Beginn dieses Artikels beschriebenen, beiden Prinzipien für Fingerabdrücke, haben biometrische Systeme ein weiteres Grundprinzip. Sie müssen für jedermann verwendbar sein. Sprich, jeder Mensch sollte ein solches Merkmal haben und es soll weiterhin die beiden bereits erwähnten Prinzipen befolgen. Obwohl der Fingerabdruckerkennung weit verbreitet ist, ist das letzte Prinzip eines der Probleme dieser Methodik. Denn es gibt Menschen die über keinen oder einen unausgeprägten Fingerabdruck verfügen. Auch kann es sein, dass der Fingerbadruck durch schwere manuelle Tätigkeiten abgenutzt wurde. Diese Menschen können eine solche Methode nicht verwenden und müssten mit einem anderen System bedient werden.

Abgesehen davon, dass nicht jeder Mensch Fingerabdruckscanner verwenden kann, gibt es mögliche Probleme, die nichts mit der Partizipationsfähigkeit, sondern mit der Einstellung der Benutzer zu tun hat. Seit jeher wird mit einem Fingerabdruck die Verbrecheridentifizierung in Verbindung gebracht. Die Assoziation mit Verbrechen könnte bei Benutzern ein negatives Gefühl und schwindende Akzeptanz hervorrufen.

Die Hygiene ist ein weiterer Aspekt, der gegen die Akzeptanz sprechen könnte. Nicht jedem ist es lieb eine Glasplatte zu berühren auf der womöglich Krankheitserreger der früheren Benutzer hinterlassen wurden. Gerade durch das Aufkommen globaler Epidemien wie dem H5N1-Grippevirus, kann die Bedenken steigern und zur Abnahme der Akzeptanz führen.

Ebenfalls oft erwähnt wird, dass dieser unwiderruflich sei. Sprich, wird der Fingerabdruck kompromittiert, so kann man ihn nicht einfach wechseln wie bei einem Passwort.

Technische Probleme

Dadurch, dass ein Biometrisches System aus verschiedenen Modulen besteht, bietet es eine entsprechende Angriffsfläche. Jedes Modul könnte potentiell angegangen werden um unerlaubten Zugang zum gesicherten System zu erhalten.

Zum Beispiel:

Ein oft zu wenig beachtetes Problem ist die Qualität des Scans. Diese hängt direkt mit dem Schwellwert der Abweichung zusammen. Je besser ein Sensor den Fingerabdruck erfasst, desto höher die Qualität des Abdruckes. Davon profitiert das Merkmalsextraktions Modul, es werden mehr, oder bessere, Minutien erkannt. Demzufolge ist es möglich, den Abweichungsschwellwert zweier Minutien-Graphen kleiner zu halten als bei einem Sensor von schlechter Qualität. Bei einem solchen würden Störungen ansonsten zu einer häufigen negativen Bewertung der Identifikation führen.

Fazit

Biometrische Erkennung mittels Fingerabdrücken hat – wie so vieles – ihren berechtigten Platz. Es handelt sich um die am längsten bekannte und daher am meisten analysierte biometrische Erkennung. Gewiss, im Internet gibt es einige Beispiele, wie man Fingerabdrucksensoren überlisten kann. Bei TouchID Hack sind Researcher mit der gleichen Methodik herangegangen, wie bereits anfang der 2000er Jahre. Auffallend ist, dass die überlisteten Sensoren sich immer nur auf die Fingerkuppel konzentriert haben. Teuerere Modelle haben mehrere Sensoren und arbeiten mit einem 3D-Modell des Fingers. Es werden also weitere Faktoren herbeigezogen. Werden biometrische Systeme mit einem weiteren Verfahren kombiniert, verringert sich das Missbrauchspotential merklich. Im ersten Job nach meinem Studium habe ich in einem Datencenter gearbeitet, das nur durch einen 3D-Fingerabdruckscanner und Batch zugänglich war. Der Batch wurde verwendet um den Fingerabdruckscanner zu aktivieren.

Quelle

About the Author

Oliver Kunz

Oliver Kunz has been in information security since 2010. Mainly, he deals with incident response, forensics and the security of mobile devices.

Links

You need support in such a project?

Our experts will get in contact with you!

×
Active Directory certificate services

Active Directory certificate services

Eric Maurer

Specific Criticism of CVSS4

Specific Criticism of CVSS4

Marc Ruef

The new NIST Cybersecurity Framework

The new NIST Cybersecurity Framework

Tomaso Vasella

Ways of attacking Generative AI

Ways of attacking Generative AI

Andrea Hauser

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here