Protokoll der 3. Seminarsitzung
1. November 2012
Thema: »Manipulationstests optischer Fingerabdruckscanner«
Autor: Arne Hoffmann
Vorlesende: André Schmelzer & Christian Steinfeldt
- Herstellung des Fakefingers
Die Vorlesenden beschreiben die möglichen Methoden einen Fake-Finger herzustellen. Besonders wird hierbei auf Methoden mit Leim, Heißkleber und Gelatine eingegangen, da die Vorlesenden diese Versuche selbst durchgeführt haben. Dabei werden die in ihren Versuchen entstandenen Präparate herumgereicht. Auch erwähnt wird die Möglichkeit, den Abdruck in eine Platine zu ätzen, welches ein Versuch ist, den die Vorlesenden jedoch nicht durchführen konnten. Hervorgehoben werden auch die Schwierigkeiten bei den durchgeführten Herstellungsverfahren (z.B. Verbrennungen bei der Heißklebermethode).
- Vorstellung der Sensoren
Es werden kurz zwei optische Scanner (Arduino- und UareU-Scanner) vorgestellt, welche für die Durchführung der Tests gedacht waren, wobei ersterer wegen technischen Schwierigkeiten jedoch nicht zum Einsatz gebracht werden konnte. Der UareU-Scanner wird außerdem hinsichtlich Herstellerangaben und tatsächlicher Leistung verglichen, wobei eine schlechte Einschätzung des Geräts herauskommt auf Grund schlechter Bildqualität, Nicht-Verschlüsselung des USB-Datenverkehrs und hoher Fehlerrate beim Erkennen eines validen Fingerabdrucks.
- Tests
Die Vorlesenden stellen das Programm fprint vor. Sie nehmen ein paar Fingerabdrücke auf und zeigen, wie sie dem Programm übermittelt werden und welche Informationen das Programm aus dem Bild gewinnt (z.B. Position der Minutien). Der an dieser Stelle angedachte praktische Vergleich der verschiedenen Erkennungsraten von Fälschungen und echtem Abdruck gegeneinander entfällt, es wird jedoch erwähnt, dass beim Testen der Präparate die Erkennungsraten ähnlich groß waren.
- Replay-Attacken
Die Vorlesenden erläutern näher den Nachteil des unverschlüsselten USB-Datenverkehrs. Dieser ermöglicht es, durch illegales Lesen des USB-Datenverkehrs eine digitale Kopie des Fingerabdrucks anzufertigen.
An dieser Stelle wird auch über den Nutzen einer solchen Verschlüsselung diskutiert, da man, um eine Kopie machen zu können, den zugehörigen Computer bereits gehackt haben muss. Die Diskussion ergibt, dass die Verschlüsselungen auf ein einzelnes Gerät betrachtet zwar keinen Sinn machen, ihr Fehlen aber auf mehreren Systeme mit gleicher Fingererkennung problematisch wird.
- Referenzen
Es werden die Vortragsreferenzen angegeben.
Anschließend wird mit allen Kursteilnehmern die Herstellung von falschen Fingerabdrücken mittels der Leimmethode vorgenommen. Während der Leim trocknet, nennen die Teilnehmer des Kurses weitere Ideen zur Herstellung von Fake-Fingern. Es werden Silikon und Alginat (wie es Zahnärzte für Zahnabdrücke verwenden) als Bespiele genannt, um ein stabile Nachbildung des Fingers zu erhalten. Für die Aufnahme eines guten Fingerabdrucks wird Fotofilm vorgeschlagen.
Die Vorlesenden ziehen das Fazit, dass die Herstellung eines Fake-Fingers zur Täuschung von optischen Fingerscannern vor allem einige Zeit und Übung benötigt wird, wobei das Resultat oft nicht besonders gut darin ist, den Scanner zu täuschen.
Anschließend werden noch einige Tests mit den inzwischen getrockneten Leimfingerabdrücken durchgeführt, diese fallen jedoch negativ aus.