To to moc dlouho netrvalo. iPhone 5s s čtečkou otisků prstů byl na trhu pár dnů a hackerům z Chaos Computer Clubu se jeho čtečku podařilo ošálit. V zájmu objektivity je nutné říct, že to není tak úplně chyba Apple a problém je mnohem širší.

„Hackeři“ nijak nemanipulovali s hardwarem iPhonu ani s jeho softwarem. Prostě vytvořili dostatečně kvalitní falešný prst, respektive jeho otisk, se kterým se technologie TouchID spokojila. Apple (i další firmy, které používají podobnou technologii) tak narazil na jeden ze základních problémů celé oblasti biometrického ověření totožnosti.

Autentizaci, tedy ověření vlastní totožnosti, lze provádět v zásadě třemi způsoby: něčím, co uživatel zná (typicky heslo), něčím co uživatel má (fyzický předmět, jako je klíč nebo čipová karta) a konečně něčím, co uživatel je. Biometrická autentizace využívá toho třetího faktoru.

Od bertillonáže k otiskům

Existuje celá řada fyzických charakteristik, které umožňují s větší či menší přesností identifikovat konkrétní osobu. První takový systém představil koncem 19. století Alphonse Bertillon, který po změření řady tělesných rozměrů dokázal identifikovat zločince díky jedinečné kombinaci různých parametrů.

Z „bertillonáže“ se postupně biometrické metody v kriminalistice (jak dobře ví diváci Dobrodružství kriminalistiky) propracovaly k daktyloskopii a snímání otisků prstů je nejrozšířenější metodou biometrické identifikace a autentizace dodnes.

Existují i jiné metody: snímání otisku sítnice, duhovky, analýza hlasu, způsobu podpisu (dynamický biometrický podpis), tváře nebo třeba rytmu psaní na klávesnici. Níže popsané problémy se nicméně týkají v podstatě všech z nich.

Přesné měření pro nepřesné výpočty

Ve své podstatě jsou veškeré biometrické metody založené na tom, že se co nejpřesněji změří nějaká fyzická charakteristika nositele (třeba kresba papilárních linií na prstu nebo obrazec žilek na sítnici) a ta se uloží jako vzor. V případě autentizace se potom patřičná charakteristika změří znovu a porovná se s uloženým vzorem.

Zde se skrývá první kámen úrazu: porovnání se dělá s jistou mírou tolerance. Porovnávací algoritmus bude mít vždy jistou míru falešně pozitivních výsledků (kdy pustí dovnitř někoho, koho nemá) a falešně negativních výsledků (kdy nepustí oprávněného uživatele).

Současné algoritmy bývají většinou dost tolerantní, protože pro uživatele je dost frustrující, když má problém s odemčením svého zařízení nebo přístupem do budovy či sejfu. A spokojenost uživatele je nade vše. Problém přitom není v tom, že by čtečka propustila cizího člověka, ale že klesá náročnost ošálení čtečky kopií zdroje biometrických údajů.

Jen pro lokální použití

Biometrickou autentizaci je možné použít jenom lokálně, nelze se jí autentizovat vůči vzdálenému systému. Lépe řečeno: lze, ale má to velká rizika. Celý systém je totiž jenom tak důvěryhodný, jak důvěryhodné je spojení mezi čtečkou biometrických údajů a místem, kde se data vyhodnocují. Pokud se někomu podaří odchytit nebo podvrhnout „surová“ data, má vyhráno.

Lepší čtečky toto nebezpečí do jisté míry minimalizují tím, že ukládání vzorů a veškeré vyhodnocování probíhá přímo ve čtečce samotné, nikoliv v hostitelském zařízení a jeho operačním systému. Můžeme doufat, že to je případ čtečky v iPhone. Ostatně, Apple nedávno koupil společnost AuthenTec, technologického leadera v oboru.

Pro vzdálenou autentizaci je tedy biometrika prakticky nepoužitelná. Občas se lze nicméně setkat s řešením, kdy se pomocí biometrické autentizace odemyká privátní klíč asymetrického algoritmu a další autentizace pak probíhá tímto klíčem. Otisk prstu pak slouží místo zadávání PINu.

Heslo změníte, své tělo nikoliv

Další problém může nastat v případě, že jsou biometrická data nějakým způsobem kompromitována. Heslo či PIN můžete změnit, klíč zneplatnit (nebo v nejhorším typicky časem vyprší sám), ale své biometrické charakteristiky změnit nedokážete.

Pokud tedy dojde k jejich kompromitaci, máte smůlu.

Získat otisk prstu může být snazší, než zjistit PIN

Další nebezpečí konkrétně v případě otisku prstu spočívá v tom, že otisky prstů zanecháváme doslova na čemkoliv, čeho se dotkneme. Klíč ke vstupu do zařízení tak rozhazujeme všude, kudy projdeme a stačí ho zvednout.

Útoky na čtečky otisků prstů probíhají následujícím způsobem: V prvním kroku je nutné získat kvalitní otisk. K tomu stačí jakýkoliv hladký povrch, ať už detektivkami provařená sklenička, nebo třeba plášť zařízení samotného.

Jako druhý krok se pomocí běžných daktyloskopických metod, jako je použití jemného prášku nebo kyanoakrylátových par, otisk zobrazí.

Ve třetím kroku se otisk vyfotografuje nebo naskenuje do počítače. Poté se v grafickém programu obrázek upraví, vyčistí a invertuje.

Čtvrtý krok spočívá v tom, že se otisk vytiskne pomocí laserové tiskárny na fólii. Toner na fólii způsobí výškový rozdíl dostatečný pro další zpracování.

Pátý a poslední krok spočívá v tom, že se na výtisk v tenké vrstvě nanese disperzní lepidlo na dřevo (například klasický Herkules) nebo želatina. Tím vznikne kopie reliéfu, který má oběť na prstu a která se dá použít pro ošálení čtečky.

Čtečka vnímá primárně reliéf samotný. Jako formu obrany může sledovat třeba i teplotu nebo vodivost materiálu, ale obě tyto ochrany se dají obejít, stačí falešné bříško prstu nahřát, případně na něj dýchnout, aby se trochu navlhčilo. Tento postup je známý už řadu let, byl použit v praktických útocích, i v aktuálním útoku na iPhone 5s.

Nemáte právo nevypovídat

Právní řády všech civilizovaných zemí v sobě mají zakotvené právo nevypovídat sám proti sobě. Ačkoliv jsou rozličné snahy toto státu nepříjemné právo různě omezit (viz třeba české „řešení problémů s osobou blízkou“), jsou zatím vesměs neúspěšné. Podle platného českého práva nejste povinni vydat heslo, šifrovací klíč nebo podobný údaj, který máte v paměti.

Nicméně jste povinni strpět odebrání otisků prstů, prohlídku těla nebo jiné podobné úkony (§ 114 zákona č. 141/1961 Sb., trestní řád). V případě, že budete klást odpor, můžete k tomu být donuceni i násilím. Pokud bude nějaká informace chráněná pouze biometricky, mohou k ní orgány činné v trestním řízení získat tímto způsobem přístup.

Dobré, nebo špatné?

Nejslabším článkem systému z hlediska bezpečnosti je většinou jeho uživatel. Sebelepší technologie je k ničemu, pokud ji uživatelé nebudou používat, protože je pro ně příliš složitá nebo nepohodlná. Tady má biometrika velký potenciál. Pokud dnes necháváte svůj počítač nebo telefon otevřený, protože jste líní zadávat heslo, je použití čtečky otisku prstů rozhodně krokem vpřed.