Vlákno názorů k článku Poučení z hacku Sony: kde jinde mít hesla než ve složce Hesla? od h4x0r - Já jsem reagoval na post od Karla, 14:12,...

Já jsem reagoval na post od Karla, 14:12, kde jasně psal:

Již dnes existují databanky otisků prstů, které si mezi sebou černý trh prodává.

Opakuji - vzhledem k tomu, že databanky jsou bez vazby na identifikaci konkrétního člověka, pak jakákoliv práce s takovou databankou je pokus-omyl a tudíž bruteforce.

Záměrně jsem psal "první příspěvek na toto téma", aby bylo zřejmé, o co jde, leč vidím, že marně.

Jistě že se tu o bruteforce mluví. První příspěvek na toto téma byl o databance otisků na černém trhu, kde "jen" stačí najít ten vhodný. To je ale přesný popis bruteforce, protože jinak než metodou pokus-omyl to na uzavřeném systému nepůjde.

Pokud by to stále ještě někomu nebylo jasné, ať mi pošle privátní zprávu, za 50.000Kč mu poskytnu tajnou databázi všech PINů, používaných klienty České spořitelny u svých platebních karet. Garantuji, že v ČR neexistuje karta od ČS s PINem, který by v databázi nebyl.

Ano, pro ty méně důvtipné, databáze bude obsahovat posloupnost všech čísel od 0000 do 9999.

A teď si představte, že s touto "databází" budete chtít udělat bruteforce útok na první kartu ČS, kterou dostanete do ruky. Máte šanci cca 1:3333 že vám to vyjde - většinou máte 3 pokusy, než vám bankomat kartu sežere, a 10000 kombinací k dispozici.
U biometrie máte těch počet možností o mnoho vyšší a počet pokusů samozřejmě záleží na implementaci té které metody, ale víc než 8 jsem jich ještě neviděl. Už je to jasné, proč je taková DB bez identifikace celkem dost na nic?

Protože pokud nebudete mít identitu, tak s milionovou databází otisků v praxi nebudete schopen ty svoje miliony otisků projet, abyste ten "první dostatečně dobrý" našel.

První důvod, proč potřebujete identitu, je to, že je nereálné vyrábět si pro každý vzorek v černé databázi maketu a tu pak zkoušet. To není něco jako rainbow tables, na které stačí velký disk a pak se používají jen elektronicky, tzn. prakticky ihned a zadarmo. Abyste oblafl biometrii, musíte mít něco fyzického, co na senzor musíte použít. Ať už to je nějaký gumový prst nebo fotka sítnice apod. Čili důvod jedna - obrovská logistická, časová a většinou i finační náročnost dělat si vzorky od všech položek v DB.

Druhý důvod je ten, že identitu potřebujete i na to, abyste nemusel dělat nereálnou "brute force" metodu zkoušení všech vzorků. Samozřejmě můžete namítnout, že někomu se může vyplatit mít zásobu desítek tisíc až milionů umělých prstů a je to jen o tom zkoušet, který z nich projde.
Jenže jak jsem psal, každá jen trochu rozumná implementace vás nechá vyzkoušet pár vzorků, než se dočasně či trvale zadisabluje - právě proto, aby nějaký chytrák nezkoušel vše, co jde.

Tudíž teoreticky ano, identitu nepotřebujete. V praxi neexistuje biometrická implementace, která by neměla omezený počet pokusů a kde by zároveň nebyla jiná, méně náročná cesta, jak systém prolomit.

Uvědomte si, že ta černá databáze biometrických dat není to samé, jako databáze hesel, kterou si koupíte někde v undergroundu. U hesel máte obrovskou šanci (a statistiky to potvrzují), že spousta uživatelů má stejné heslo, takže stačí jednoduchý elektronický bruteforce. U biometrie platí, že pravděpodobnost shody vzorků dvou lidí je minimálně jedna ku desítkám tisíc (v praxi spíš víc a to mnohem). Tzn. ve vaší databázi s miliónem položek bude při poměru 1:20000 jen padesát lidí, jejichž vzorky mohou být zaměnitelné, v praxi spíš ještě míň. Takže efektivita bruteforce je prakticky na nule.

Mohu vám garantovat, že pokud by někdo našel/ukradl vaší platební kartu a věděl, že ji máte chráněnou otiskem, výrazně levnější je pro něj ten váš otisk získat, než se snažit na to jít přes anonymní databázi spousty otisků.

Proč přesně by ta černá databáze musela obsahovat identitu? Karel napsal: "tak bude útočníkovi stačit ukrást vám kartu, najít na ní rozumný otisk prstu, na černém trhu najít jeho kvalitní kopii a pak už jde vybrat kartu"

Jinak řečeno, budete mít na jedné straně otisk prstu z karty, který sice nebude použitelný pro biometrický senzor, ale pořád bude dostatečně dobrý na to, aby se dal projet onou databází kvaltiních otisků a otestovat na shodu. Kde v tom vystupuje identita dotyčného?

Nebo jinak, nehledáte fungující klíč ke konkrétnímu zámku, ale fungující klíč ke klíči, který sice nefunguje, ale tomu fungujícímu se dost(atečně) podobá.

Obávám se, že nemáte až tak úplně pravdu.

Představte si tutéž situaci, jen místo "otisk prstu" použijte "klíč".

Existují prodejny klíčů, takže není problém si nakoupit miliony různých klíčů. Zámků je všude spousty a na rozdíl od té biometrie máte neomezeně pokusů na to, abyste se pokusil spárovat ten konkrétní zámek s některým klíčem z vaší zásoby.

Jsou kvůli tomu klíče nepoužitelné? V žádném případě - nejslabší bod vaší metody je totiž ten, abyste ke konkrétnímu zámku, který potřebujete překonat, našel ten jediný pravý klíč, který k němu patří. To, že máte různých klíčů milion, dva či třeba padesát, je vám relativně k ničemu, pokud nemáte možnost zjistit, který z nich to je.

V reálném životě je metoda stylem "pokus-omyl" u klíčů poměrně zdlouhavá, ale v zásadě časově neomezená. Přesto se prakticky nepočítá a na zámky se útočí něčím zcela jiným než hledáním správného klíče v databázi.

U biometrických skenů je metoda "pokus-omyl" velice rychlá, ale v praxi - právě proto - omezena na určitý počet pokusů, které můžete provést v nějakém konkrétním časovém horizontu. Nebo se dokonce biometrické ověření pro daný účet zablokuje úplně.

Z tohoto pohledu je samotná - a naprosto pravdivá - skutečnost, že nemůžete změnit "prst" nebo "sítnici", irelevantní, protože vy ji ani měnit nepotřebujete.

Slabina, kterou jste popsal, bude skutečnou slabinou až v situaci, kdy bude na černém trhu databáze, kde ty otisky prstů či obrázky sítnice budou spárovány s konkrétní lidskou identitou. A nevěřím, že něco takového někdy přijde. Jsem přesvěden o tom, že pokud někdo bude chtít *právě moje* otisky získat, že je nakonec získá - bude mne sledovat, podstrčí mi předmět, kde je zanechám, sejmou si je z věcí, které jsem osahal apod., tzn. cíleně získat určitě půjde, ale nevěřím tomu, že jako si dnes koupím databázi e-mailů či funkčních platebních karet, že by někdo měl skutečně rozsáhlou databázi biometrických údajů párovaných na konkrétního člověka.

Biometrické ochrany mají jiný skutečný háček - nikdy si nemůžete být jist, že biometrické ověření bude vždy k dispozici a proto musí existovat nějaká záložní varianta - napřípad pro situaci, kdy vám všechny prsty rozleptá kyselina. Třeba heslo, čip, smartcard apod. A na tu záložní variantu se dá útočit jako na nejslabší článek.