'Bij beveiligingskwesties kun je niet paranoïde genoeg zijn’ /reageer

  • door: Enith Vlooswijk
    over: software, privacy
    op: 24 september 2009
  • Geautomatiseerde vingerafdruksystemen zijn minder nauwkeurig.

  • Universitair docent en beveiligingsdeskundige Boris Skoric: het loont voor een crimineel een persoon te zoeken met een bijna gelijke vingerafdruk.

Aanvragers van een nieuw paspoort moeten sinds deze week hun vingerafdrukken afstaan, die centraal worden opgeslagen. Velen uitten al hun angst over misbruik van de gegevens door kwaadwillenden van buitenaf. Misbruik door insiders wordt ondertussen onterecht buiten beschouwing gelaten.

“Bij geautomatiseerde vingerafdruksystemen is er minder controle op de kwaliteit van de achtergelaten vingerafdruk”, zegt universitair docent Boris Skoric. “Dat heeft onder meer te maken met de tijd die je neemt voor de afname. Vanwege die onnauwkeurigheid loont het voor een crimineel om in een grote data-base een persoon te zoeken die op hem lijkt qua vingerafdruk. Zo kan hij doen alsof hij die persoon is.”

Lek

“Er moet dus een vorm van bescherming op die database zitten. Door de data te versleutelen, kunnen alleen systeem beheerders ernaar kijken. Heel veel aanvallen op databases gebeuren echter van binnenuit. Dankzij een lek kunnen criminelen hun slag slaan.”

“Hoe je zaken als wachtwoorden tegen systeembeheerders kunt beschermen, is al sinds de jaren zeventig bekend. Het heet ‘cryptographic hash function’ en komt erop neer dat de ingevoerde gegevens door een complexe wiskundige procedure worden gemangeld. De systeembeheerder ziet alleen het resultaat en is niet in staat om uit te rekenen wat oorspronkelijk werd ingevoerd, ook al weet hij precies wat de mangelmethode is.”

Ruis

“Er is één probleem: een wachtwoord kun je telkens letterlijk invoeren, maar de afdruk van een wijsvinger bevat altijd wat ruis. Twee afdrukken van dezelfde vinger zijn nooit volledig hetzelfde. Die ruis kun je verwijderen met zogeheten ‘error correction codes’. Daarbij wordt een klein beetje extra informatie aan de data geplakt, om de vingerdrukafnames onderling beter vergelijkbaar te maken. Die extra informatie kan echter iets blootgeven over de oorspronkelijke biometrische gegevens. Ik heb me beziggehouden met een methode, ‘fuzzy extractors’, om error correction codes toe te passen zonder dat er teveel gevoelige informatie weglekt.”

Er is één probleem: een wachtwoord kun je telkens letterlijk invoeren, maar de afdruk van een wijsvinger bevat altijd wat ruis

Geheime dienst

“Dergelijk onderzoek gebeurt pas sinds enkele jaren; er is nog een lange weg te gaan. De methode wordt nauwelijks toegepast, de meeste mensen zijn niet op de hoogte van het bestaan ervan. Het punt is ook dat bepaalde beleidsmakers juist wel de mogelijkheid willen om alle gegevens in te zien. Instanties als de geheime dienst willen vaak graag een achterdeur naar dergelijke data. Dat wordt, denk ik, nog een lange strijd.

Paranoïde

Wie zich bezighoudt met computerveiligheid, maakt pessimistische aannames. In dit vakgebied is het helaas zo dat je nooit paranoïde genoeg kunt zijn, wil je enige kans van slagen hebben. Dan kom je uiteindelijk uit op deze beschermingsmethode.”

Reageren via Facebook

Reacties

Over Enith Vlooswijk

Enith Vlooswijk is freelance wetenschapsjournaliste. Haar bedrijf heet AllesZins Journalistiek & Tekst. Ze maakt bovendien muzikale theatervoorstellingen met Kindertheater Vanillewijs.