Suchen

Biometrie und PKI Mit dem Fingerabdruck zum Schlüssel

| Autor / Redakteur: Klaus Schmeh / Gerald Viola

Wer eine Smartcard zum Verschlüsseln oder Signieren verwendet, muss vor der Nutzung meist eine Geheimnummer (PIN) eingeben. Dabei ist es technisch auch möglich, statt der PIN einen Fingerabdruck zu verwenden. Doch was in der Theorie seit Jahren gut klingt, hat in der Praxis noch seine Tücken. Der Autor dieses Artikels berichtet über den derzeitigen Stand der Technik und über Erfahrungen, die er in einem Projekt gesammelt hat.

Firmen zum Thema

( Archiv: Vogel Business Media )

Noch ein Passwort? Muss das sein? – Diese Klage bekommt nahezu jeder zu hören, der im Unternehmen Verschlüsselung oder elektronische Signaturen einführen will. Doch kryptografische Schlüssel müssen nun einmal geschützt werden, und da sind Passwörter meist erste Wahl. Dies gilt auch dann, wenn ein Schlüssel auf einer Smartcard abgespeichert wird (was aus Sicherheitsgründen zu empfehlen ist). Das Passwort ist in diesem Fall meist eine PIN, die der Anwender zur Freischaltung der Karte eintippen muss.

Smartcard-Sharing unterbunden

Unvermeidlich sind Passwörter allerdings nicht, denn eine attraktive Alternative ist seit Jahren bekannt: die Biometrie. Anwendungen gibt es zwar in vielen Varianten, doch im Zusammenhang mit Smartcards ist fast nur die Fingerabdruckerkennung von Interesse: Die Karte fragt über einen Sensor im Kartenleser den Fingerabdruck des Anwenders ab und vergleicht diesen mit einem Referenzwert. Fällt der Vergleich positiv aus, wird die Karte aktiv.

Natürlich hat die Fingerabdruckerkennung als PIN-Ersatz nicht nur für vergessliche Anwender Vorteile. Auch Unsitten wie das Aufschreiben einer PIN oder leicht zu erratende Kombinationen wie 123456 werden verhindert.

Das meist verbotene, aber dennoch häufig praktizierte, „Smartcard-Sharing“ lässt sich so ebenfalls unterbinden. Letztere Eigenschaft ist vor allem im Zusammenhang mit elektronischen Signaturen von Vorteil, denn sie soll ja wie eine Unterschrift an eine Person gebunden sein.

Die Auswahl der Technik

Die Vorteile der Fingerabdruckerkennung überzeugten Mitte 2005 auch eine Schweizer Bank, die den Aufbau einer PKI plante (der Autor dieses Artikels war an diesem Projekt beteiligt). Diese Bank wollte den Betriebssystemzugang unternehmensweit mit digitalen Zertifikaten absichern, wobei Smartcards zum Einsatz kommen sollten. Als weitere PKI-Anwendungen standen eMailverschlüsselung und die Anmeldung am Internetproxy auf der Wunschliste. Da die IT-Abteilung den Anwendern keine weiteren Passwörter zumuten wollte, war die Fingerabdruckerkennung von Anfang an vorgesehen.

Ebenfalls eine Anforderung der Bank war es, das Referenzmuster des Fingerabdrucks auf der Karte selbst zu speichern („Template on card“). Die vergleichsweise geringe Speicherkapazität, die ein Smartcardchip bietet, erwies sich als lösbares Problem, da ein brauchbares Referenzmuster heute nur etwa 256 Byte benötigt. Da gängige Smartcards 32 kBit Arbeitsspeicher bereitstellen, ist es sogar möglich, mehrere Finger und mehrere Muster pro Finger auf einmal zu registrieren. Eine Template-on-Card-Lösung bietet beispielsweise die Firma Reiner SCT in Form des Lesergerätes cyberJack biometric mit integriertem Fingerabdrucksensor.

Keine Ideallösung

Allerdings fiel cyberJack biometric wieder aus der Wahl, da die Bank auch den Vergleich zwischen Muster und aktuellem Wert auf der Karte vornehmen lassen wollte („Match on card“). Die Reiner-Lösung unterstützte ein Match-on-Card nicht ohne eine entsprechende Anpassung. Genau genommen ist das Verfahren allerdings auch keine Ideallösung, denn eine Karte kann hierbei nicht unterscheiden, ob ein eingehender Wert tatsächlich gemessen wurde oder ob ein beliebiger Wert neu eingespielt wird. Als ideal gilt daher ein „System on card“, also eine Smartcard mit integriertem Fingerabdrucksensor. Bisher sind solche Lösungen jedoch nicht über den Prototypstatus hinausgekommen.

Eine weitere Anforderung ergab sich aus der Tatsache, dass die Bank Betriebssystemanmeldungen über ein Novell eDirectory und die zugehörige Authentifizierungs-Lösung NMAS durchführte. Da das Betriebssystem-Login mithilfe der PKI abgesichert werden sollte, musste die Smartcard-Biometrie-Lösung unbedingt NMAS unterstützen. Dies war bei der Match-on-Card-Lösung von Datakey nicht der Fall. Da sich auch sonst kein geeignetes Produkt fand, wurde eine Anpassung notwendig. Das Projektteam entschied sich dafür, die NMAS-kompatible Smartcard-Middleware cv act sc / interface von cryptovision als Basis zu nehmen. Diese Middleware unterstützt das Smartcardbetriebssystem CardOS von Siemens, das wiederum von der Biometrie-Lösung BioMatch von Precise Biometrics unterstützt wird. BioMatch zählt nicht nur zu den führenden Produkten dieser Art am Markt, sondern unterstützt auch Match-on-Card.

Die Aufgabe bestand also darin, cv act sc / interface BioMatch-kompatibel zu machen, was innerhalb eines entsprechenden Software-Entwicklungsprojekts geschah. Die verwendete PKI-Software cv act PKIntegrated benötigte dagegen keine Anpassung, da sie in das Novell eDirectory integriert und mit cv act sc / interface interoperabel ist.

Umsetzung in die Praxis

Natürlich ist die Nutzung von Fingerabdrücken in einer PKI mit einem Mehraufwand verbunden. So müssen alle Arbeitsplätze mit Smartcard-Fingerabdrucklesern ausgestattet werden. Die im vorliegenden Projekt verwendeten Biometrie-Leser kosten um 100 Euro. Zudem muss auf jedem PC die Smartcard-Middleware installiert werden.

Die Nutzung von Fingerabdrücken macht es fast zwangsläufig notwendig, dass die Kartenausgabe zusammen mit dem Einlesen des Referenzmusters an einer Registrierungsstelle erfolgt. Im vorliegenden Fall wurden drei Fingerabdrücke pro Person gespeichert. Dadurch ist sichergestellt, dass eine Fingerverletzung oder ein sonstiges Problem bei der Erkennung keine Probleme macht.

Damit eine Smartcard-Anmeldung praktikabel einsetzbar ist, muss beachtet werden, dass Biometrie nicht in allen Fällen funktioniert. Es gibt Menschen, deren Fingerabdruck für eine Erkennung nicht geeignet ist (Sheep-Goat-Problem). Für solche Anwender wurden Karten ins Konzept aufgenommen, die auf herkömmliche Weise mit einer PIN freizuschalten sind.

Nach einem dreimonatigen Pilotbetrieb innerhalb der IT-Abteilung ging die PKI Mitte des Jahres in die produktive Phase. Inzwischen sind alle 800 Mitarbeiter mit Fingerabdrucklesern versorgt. Wie erwartet, mussten einige der 800 Anwender (bisher etwa 30) mit einer Ersatzlösung in Form einer PIN ausgestattet werden.

Artikelfiles und Artikellinks

(ID:2001300)