|
Auteur |
Bericht |
de Webmeester Webmeester
Leeftijd: 42 Geslacht: Sterrenbeeld: Studieomgeving (BA): EUR
Berichten: 15631
|
Geplaatst: za 21 jan 2006 16:52 Onderwerp: Digitale identiteitsfraude: over 5 jaar de gewoonste zaak? |
|
|
Hoogleraar Corien Prins van Universiteit van Tilburg heeft in NJB een essay Variaties op een thema: van paspoort- naar identiteitsfraude gepubliceerd waarin ze gokt dat over vijf jaar het volgende bericht op de voorpagina van diverse landelijke dagbladen staat: 'Lichaamskenmerken van vele miljoenen burgers op straat. Bij een 'hack' bleken beveiligingsexperts in staat zich zonder al te veel moeite toegang te kunnen verschaffen tot de landelijke databank waarin biometrische gegevens van ons gezicht en onze vingers zijn opgeslagen.'
Een onrealistisch scenario? Verre van, zo stelt Prins. In feite vond namelijk een soortgelijk voorval afgelopen september al plaats. Toen bleken ruim 1,2 miljoen patiëntgegevens na een computerkraak van enkele ziekenhuissystemen vrij toegankelijk voor hackers. Voor techneuten was het wellicht niets meer dan een vingeroefening voor een toekomstige kraak van de landelijke of Europese biometrie-databank.
J.E.J. Prins, Variaties op een thema: van paspoort- naar identiteitsfraude, NJB 2006-1
Wat is jullie verwachting? |
|
|
|
|
raboof
Leeftijd: 41 Geslacht: Sterrenbeeld: Studieomgeving (BA): RUN Studieomgeving (MA): RUN Berichten: 28
|
Geplaatst: zo 22 jan 2006 13:36 Onderwerp: Re: Digitale identiteitsfraude: over 5 jaar de gewoonste zaa |
|
|
de Webmeester schreef: | 'Lichaamskenmerken van vele miljoenen burgers op straat. Bij een 'hack' bleken beveiligingsexperts in staat zich zonder al te veel moeite toegang te kunnen verschaffen tot de landelijke databank waarin biometrische gegevens van ons gezicht en onze vingers zijn opgeslagen.'
Een onrealistisch scenario? Verre van, zo stelt Prins. |
Inderdaad geen onrealistisch scenario. Maar het is juist een stap vooruit vergeleken bij wat we nu hebben: als nu een databank gehacked wordt en de wachtwoorden bij 'hackers' bekend worden, dan kunnen die hackers zich als ons voordoen.
In het geval van biometrie zullen ze daarvoor het systeem ervan moeten overtuigen dat ze het kenmerk niet alleen kennen, maar ook echt zelf fysiek bezitten. Dat is dus juist een extra barriere.
(technisch geneuzel in de kantlijn: passwords kun je hashen, er zal een techniek moeten komen om iets dergelijks ook met biomtrische gegevens te doen. En dat is niet eenvoudig) |
|
|
|
|
Pantagruel
Leeftijd: 51 Geslacht: Sterrenbeeld:
Berichten: 24
|
Geplaatst: ma 23 jan 2006 0:01 Onderwerp: Re: Digitale identiteitsfraude: over 5 jaar de gewoonste zaa |
|
|
de Webmeester schreef: |
snip ...
Wat is jullie verwachting? |
Dat dit landelijke dataverzamelingspunt vrij snel een zeer geliefd doelwit zal worden. Immers kun je je iedere identiteit aanmeten. De hordes scriptkiddies zullen al snel afketsen maar de echte hacker zal doorzetten afhankelijk van zijn/haar motivatie (intellectuele bevrediging of geldelijk gewin)
Verder geldt natuurlijk dat geen enkele beveiliging waterdicht is en het een kwestie van tijd zal zijn voordat er een gat gevonden wordt.
raboof schreef: |
(technisch geneuzel in de kantlijn: passwords kun je hashen, er zal een techniek moeten komen om iets dergelijks ook met biomtrische gegevens te doen. En dat is niet eenvoudig) |
Meer techno babbel:
Een hash is enkel zo goed als de rekentijd die het kost om deze te breken/bereken. MD5 werd verondersteldt relatief veilig te zijn maar inmiddels zijn er al botsende MD5 waarden bekend http://www.win.tue.nl/~bdeweger/CollidingCertificates/ .
Op de volgende site een leuke pdf over de rekenkracht nodig om zo'n MD5 hash collision te bepalen http://cryptography.hyperlink.cz/md5/MD5_collisions.pdf
Maar je geeft terecht aan de hash methode zal sterker moeten worden ('salting') anders wordt deze webpagina wel heel interresant http://passcracking.com/ |
|
|
|
|
bona fides
Geslacht:
Studieomgeving (BA): UL Studieomgeving (MA): UL Berichten: 22893
|
Geplaatst: ma 23 jan 2006 3:21 Onderwerp: |
|
|
Ik denk dat het Raboof (wat hashing betreft) gaat om de moeilijkheid om biometrische gegevens in een hash te vangen. Al weet ik niet hoe biometrische gegevens precies worden opgeslagen, ik durf wel te stellen dat laten we zeggen gelaatstrekken niet in 1 enkel 'exact' getal worden opgeslagen. Om te kijken of jouw gelaatstrekken voldoen aan de opgeslagen gegevens zal moeten worden gekeken of de afstanden tussen ogen, jukbeenderen, mond, neus, etc, binnen een bepaalde marge overeenstemmen met de afstanden zoals opgeslagen in de databank. Die onvermijdbare marge in de meetgegevens sluit uit dat je een biometrische identiteit op eenvoudige wijze in 1 exact getal kunt vastleggen (zodanig dat 2 sets meetgegevens van dezelfde persoon afkomstig zijn precies dan als die getallen gelijk zijn). Maar zo'n exact getal heb je nodig om op de gebruikelijke wijze te kunnen hashen (waarbij het eigenlijk niet van belang is of je daarbij MD4, MD5, SHA1 of andere hashalgoritmes gebruikt; voor de veiligheid van de hash is het gekozen algoritme natuurlijk weer wel van belang).
Nu is zeker niet uit te sluiten dat er een mooie methode gevonden wordt (of al gevonden is... erg op de hoogte ben ik niet) om biometrische gegevens zo te versluieren (te hashen) dat je er nog steeds mee kunt vaststellen of 2 sets meetgegevens van dezelfde persoon afkomstig zijn, terwijl op basis van de versluierde gegevens alleen geen eigenschappen van de persoon te herleiden zijn, maar eenvoudig zal zo'n methode niet zijn. |
|
|
|
|
raboof
Leeftijd: 41 Geslacht: Sterrenbeeld: Studieomgeving (BA): RUN Studieomgeving (MA): RUN Berichten: 28
|
Geplaatst: ma 23 jan 2006 11:36 Onderwerp: Re: Digitale identiteitsfraude: over 5 jaar de gewoonste zaa |
|
|
Dit is alleen relevant als je de hash als 'signature' gebruikt, niet als je hem gebruikt om een wachtwoord obscuur op te slaan.
Deze collisions betekenen dat je, "vanuit niets", een pair verschillende inputs kunt vinden met dezelfde hash-waarde. Ze betekenen niet dat je, gegeven een hash-waarde, een bijbehorende plaintext kunt vinden. En zelfs al was dat zo, zoals je zelf al zegt, als je salt zit je wel goed.
bona fides schreef: | Nu is zeker niet uit te sluiten dat er een mooie methode gevonden wordt (...) om biometrische gegevens zo te versluieren dat je er nog steeds mee kunt vaststellen of 2 sets meetgegevens van dezelfde persoon afkomstig zijn, terwijl op basis van de versluierde gegevens alleen geen eigenschappen van de persoon te herleiden zijn, maar eenvoudig zal zo'n methode niet zijn. |
Dat bedoelde ik exact.
Een andere benadering is natuurlijk gewoon stellen dat de opgeslagen gegevens niet gevoelig zijn. Is het problematisch als er een plaatje van mijn iris "op straat komt te liggen"? Van een foto van mijn gezicht is het al weer minder wenselijk (ter voorkoming van discriminatie op basis van huidskleur), maar criminelen hebben wel makkelijkere manieren om aan mijn huidskleur te komen.
Ik heb overigens ondertussen het artikel ook gelezen, het gaat eigenlijk vooral over het BSN, ik was er niet zo van onder de indruk. Er wordt de overheid telkens een stelling in de mond gelegd om die vervolgens niet heel overtuigend aan te vallen. Ik krijg het idee dat het stuk vooral bedoeld is om wat sappige quotes te produceren waarmee-ie in de krant kan komen . |
|
|
|
|
raboof
Leeftijd: 41 Geslacht: Sterrenbeeld: Studieomgeving (BA): RUN Studieomgeving (MA): RUN Berichten: 28
|
Geplaatst: ma 23 jan 2006 11:39 Onderwerp: Re: Digitale identiteitsfraude: over 5 jaar de gewoonste zaa |
|
|
Pantagruel schreef: | de Webmeester schreef: | Wat is jullie verwachting? |
Dat dit landelijke dataverzamelingspunt vrij snel een zeer geliefd doelwit zal worden. Immers (dan) kun je je iedere identiteit aanmeten. |
Ik betwijfel of dat laatste waar zou zijn. |
|
|
|
|
|