Teilprojekt 4: Biometrisches Identifikationssystem

Das Verisoft-Teilprojekt 4 zielt darauf ab, ein industrielles biometrisches Identifikationssystem zu verifizieren. Ein Zugangssystem auf einem Host-PC vergleicht biometrische Daten, die von einem biometrischen Sensor gelesen werden, mit einem Referenztemplate, das auf einer Smartcard gespeichert ist, und gewährt oder verwehrt den Zugang in Abhängigkeit vom Grad der Ähnlichkeit zwischen beiden Datensätzen. Die Zugangssoftware, die kryptographischen Primitive und deren Kombination sowie die Sicherheit des zu Grunde liegenden kryptographischen Protokolls wird formal verifiziert. In diesem Teilprojekt ist es darüber hinaus sehr wichtig, das Referenztemplate des Benutzers vor Mißbrauch durch einen bösartigen Angreifer auf dem Hostsystem zu schützen.

Das Teilprojekt wird unter der Leitung von T-Systems in enger Kooperation mit dem DFKI, TU München, TU Darmstadt und der Universität des Saarlandes (Gruppe Prof. Finkbeiner) bearbeitet.

Einführung

Authentifikationsmethoden

Es gibt viele Applikationen in denen eine Identifikation und Authentikation eines Nutzers gefordert wird. Die Sicherheitspolicy bestimmt die Authentikationsstärke bezogen auf den Schutz von Informationen und Ressourcen. In der Informationstechnologie werden drei Möglichkeiten der Authentifizierung der Identität eines Benutzers unterschieden:

  • Nachweis der Identität durch Wissen (PIN, Passworte, Passphrase);
  • Nachweis der Identität durch Besitz (Smartcards, RF-ID, elektronische Token);
  • Nachweis der Identität durch Sein (physiologische oder verhaltenstypische Merkmale = Biometrie).

Die Wahl der Methode oder auch der Methodenkombination bestimmt das zu erreichende Sicherheitsniveau. In diesem Projekt wird durch Kombination von Biometrie und Chipkarte ein sicheres Authentikationssystem eingeführt.

Besonderheiten biometrischer Systeme

Im Ergebnis von Feldversuchen haben wir lernen müssen, dass alle biometrischen Systeme einige Besonderheiten aufweisen [1][2]:

  • Das Nichtfunktionieren einer biometrischen Authentikation, d.h. das Zurückweisen einer berechtigten Person bzw. die Akzeptanz einer nicht berechtigten Person, ist ein normaler Betriebsfall.
  • Bei jedem biometrischen System gibt es immer Personen, bei denen das Verfahren gar nicht oder nicht in ausreichendem Maße funktioniert. Deshalb ist immer ein Rückfallsystem erforderlich.
  • Weil die meisten biometrischen Systeme keine wirksame Lebenderkennung besitzen, sind diese Systeme gegebenenfalls zu überwachen.
  • Wegen einer lebenslangen Bindung eines Nutzers an seine biometrischen Daten und der damit verbundenen Forderungen des Bundesdatenschutzgesetzes, benötigen wir eine Lösung des Datenschutzes, bevor das biometrische System in Betrieb genommen wird.

Lösungsweg

Die Grundidee eines Chipkartenbasierten Biometrischen Identifikationssystems (CBI-System) ist die sinnvolle Kombination von bewährten Chipkartenverfahren und neuartiger biometrischer Verfahren um die oben genannten Nachteile zu vermeiden.

Sicherheitsziele des CBI-Systems

Das CBI-System realisiert eine Zugangskontrolle zu Computerressourcen sowie eine Zutrittskontrolle zu Gebäuden. Dabei nutzt das CBI-System biometrische Merkmale in Kombination mit einem Token um einen Nutzer zu identifizieren und authentifizieren, wobei der Token eine Signaturkarte ist. Die rufende Applikation bekommt eine positive oder negative Antwort vom CBI-System. Ein oder mehrere verschiedene und unabhängige biometrische Referenztemplates können auf der Smartcard gespeichert werden. So kann ein Nutzer gemäß der Sicherheitspolicy und des Sicherheitsniveaus durch verschiedene Biometrien authentifiziert werden. Es gibt zwei wesentliche Sicherheitsziele, die durch das CBI-System erfüllt werden müssen:

  • Erhöhung der Überwindungssicherheit des Zugangssystems durch die Nutzung der Kombination von zwei Authentifikationsmethoden
  • Die biometrischen Referenzdaten bzw. das Referenztemplate werden lokal gespeichert, um die Anforderungen des Datenschutzes zu erfüllen

Für die Realisierung des ersten Sicherheitszieles werden die Biometrie basierten und Token basierten Authentikationsmethoden kombiniert um ein höheres Sicherheitsniveau zu erreichen, als jede der beiden Methoden allein erreichen kann. Um durch das System positiv authentifiziert zu werden, muss ein Nutzer zunächst eine gültige Chipkarte vorweisen und dann seine biometrischen Merkmale presentieren. Zusätzlich verbessert die Nutzung des Biometriesystems im Verifikationsmodus das Ergebnis, denn das Sicherheitsniveau eines Biometrischen Systems im Identifikationsmodus ist nur so hoch wie die Qualität des schlechtesten Referenztemplates in der Datenbank.

Das zweite Sicherheitsziel ist direkt hergeleitet aus den Datenschutzbestimmungen, die eine dezentrale Speicherung von beliebigen biometrischen Daten empfehlen, damit sie nicht geändert werden können, da sie an eine Person gebunden sind, im Gegensatz zu PIN und Passwort, die personenbezogen sind und jederzeit geändert werden können. Jede Person sollte in der Lage sein, alle notwendigen Authentikationsdaten unter seiner eigenen Kontrolle zu behalten.

Sicherheitsanforderungen

In diesem Abschnitt werden die detailierteren Sicherheitsanforderungen bezüglich der zu erreichenden Sicherheitsziele formuliert.

  • Der Host akzeptiert nur gültige Smartcards.
  • Die Smartcard akzeptiert nur gültige Hosts.
  • Fehlgeschlagene Gültigkeitsprüfungen der Smartcard für die Hosts sind zu zählen und auswertbar.
  • Der Host akzeptiert nur gültige biometrische Referenzdaten.
  • Die biometrischen Daten und die Referenzdaten sind in allen Phasen vertraulich zu behandeln.
  • Die biometrische Erkennung ist erfolgreich, wenn die biometrischen Daten und die Referenzdaten hinreichend ähnlich sind.
  • Fehlversuche bei der biometrische Erkennung werden toleriert, müssen aber gezählt werden.

Sicherheitsfunktionen

Um die im vorherigen Abschnitt genannten Anforderungen zu erfüllen müssen die folgenden Sicherheitsfunktionen implementiert werden

  • Smartcard und Host authentifizieren sich gegenseitig und die Kommunikation ist gesichert
  • Für fehlgeschlagene Authentikationen gegenüber der Smartcard wird ein Fehlbedienungszähler eingerichtet
  • Die biometrischen Referenzdaten werden elektronisch signiert.
  • Sämtliche biometrische Daten werden nach der Entscheidung aktiv überschrieben.
  • Für fehlgeschlagene biometrische Verifikationen wird ein weiterer Fehlbedienungszähler eingerichtet.

Was soll in Verisoft verifiziert werden ? (Ziele des TP4)

  • Erfüllen die Sicherheitsfunktionen die Sicherheitsanforderungen?
  • Besitzt die Implementation (Source Code) die gleichen Eigenschaften wie dessen Spezifikation?

Arbeitspakete des Teilprojektes 4

AP 4.1 Das Chipkartenkommunikationsprotokoll

Inhalt des AP4.1 ist in einem ersten Schritt die Formalisierung des standardisierten Kommunikationsprotokolls zwischen Chipkarte, Chipkartenleser und einem Host (Protokoll T=1 nach ISO/IEC 7816-3). In einem zweiten Schritt sollen die wesentlichen Merkmale des Kommmunikationsprotokolls verifiziert werden. (dies ist eine gemeinsame Arbeit mit der Gruppe Finkbeiner der Universität des Saarlandes)

AP 4.2 Das Protokoll des Chipkartenbasierten Biometrischen Identifikationssystems

Das Ziel von AP4.2 ist die Prüfung, dass unter Verwendung verschiedener Methoden wie Signaturprotokollverifikation und Informationsflusskontrolle, die Sicherheitsfunktionen mit den Sicherheitsanforderungen übereinstimmen. Die Spezifikation des Systems wird in UML beschrieben. Die Formalisierung und Verifikation in UMLsec wird von der TU München durchgeführt und in VSE durch das DFKI. Die Formalisierung und Verifikation der Kryptoprimitiven wird durch die TU Darmstadt realisiert.

AP 4.3 Die Implementation des CBI-Systems

Das AP4.3 wird eine Antwort geben auf die zweite Frage der Ziele des Teilprojektes 4: Sind im Quellcode die gleichen Sicherheitsfunktionen implementiert, wie in seiner Spezifikation beschrieben sind. Das CBI-system wird in C-Code (später in C0-Code) implementiert werden, um seine Korrektheit gegen die formale Spezifikation zu verifizieren. Dies erfolgt in Zusammenarbeit mit dem DFKI und der TU MÜnchen.

Systemaufbau

Das CBI-Systems besteht aus drei Hauptkomponenten, das sind ein Computersystem, der Biometrische Sensor und die Chipkarte, die über ein Chipkartenterminal mit dem Computersystem kommuniziert. Die Hostsoftware, die auf dem Computersystem ausgeführt wird, steuert sowohl die Merkmalsextraktion, die biometrische Verifikation und die Kommunikation zwischen den Komponenten als auch die verschiedenen kryptografischen Funktionen und Schlüssel. Zusätzlich erhält der Nutzer über ein Display eine Information über das Ergebnis der biometrischen Verifikation. Dies kann eine Nachricht über den Bildschirm des Nutzers sein oder auch in den biometrischen Sensor intergrierte LED. Der allgemeine Aufbau des Systems ist in der nachfolgenden Abbildung dargestellt.

system_components.jpg

Das CBI-system kann genutzt werden als ein Zugangssystem zu Computerressourcen und als Zutrittssystem zu Räumen und Gebäuden. In der Praxis kann das Computersystem für das erste Szenario ein PC oder eine Workstation sein, auf dem die Hostsoftware läuft. Die Hostsoftware ist zum Beispiel der PAM-Modul, wie er von Unix-Systemen bekannt ist. Der Biometriesensor und das Chipkartenterminal sind als externe Geräte mit dem Computersystem verbunden.

Im zweiten Scenario ist das Computersystem einfach ein Microcontroller mit Speicherkapazität, auf dem sich gleich die Hostsoftware befindet. Sensor und Sensorsoftware sind gleich mit dem Microcontrollersystem gekoppelt und als ein System an dem zu kontrollierendem Zutritt installiert. In einem weiteren Schritt kann der Chipkartenleser ebensogut in das System integriert werden.

Demonstrator zum CBI-System

Der Demonstrator "Tippverhalten mit Template on Card" zeigt alle Elemente des Chipkarten basierten Biometrischen Identifikationssystems. Benötigt wird ein PC mit Tastatur, die im Demonstrator auch als biometrischer Sensor benutzt wird. Ein Chipkartenleser, eine TCOS-Chipkarte sowie die Demosoftware werden mitgeliefert. Mit dem System kann das Tippverhalten des Nutzers erfasst (Enrolt) werden, der biometrische Datensatz, das sogenannte Template, wird dabei auf der Chipkarte gespeichert. Mit dieser Chipkarte ist dann jederzeit und an jedem Verisoft-Demonstrator die Verifikation der Identität des Nutzers möglich, das System vergleicht das Tippverhalten der Testperson mit dem Tippverhalten das im biometrischen Template extrahiert ist. In der nachfolgenden Abbildung sind die Hauptkomponenten des CBI-Systems dargestellt.

Schema_Demo_CBI_web2.jpg

Referenzen

  1. Gunter Lassmann (edt.), Bewertungskriterien zur Vergleichbarkeit biometrischer Verfahren, Version 2.0, 10. Juli 2002, TeleTrusT Arbeitsgruppe 6 'Biometrische Identifikationsverfahren'.
  2. Gunter Lassmann, "Some results on robustness, security, and usability of biometric systems", Proc. ICME 2002, Lausanne, Switzerland, Aug. 2002, vol. 2, pp. 577-580.

 
Revision 14 Dec 2006