Minority Report i dag?

Jeg mener, at vi teknisk set ikke er langt fra at kunne identificere personer, som vi så det filmatiseret i Minority Report.

Jeg har i et stykke tid fulgt et par amerikanske firmaer (Sarnoff og Retica), der har udviklet en teknik, der kan genkende iris mønstre over en større afstand (2,5-10 meter) og mens målet bevæger sig. Begge teknologier (Iris on the move og Eagle-Eyes) er udviklet under tilskud fra det amerikanske militær, men er nu på markedet til kommercielle virksomheder. Jeg har forsøgt at få en live demonstration af produkterne, men har endnu ikke fået lokket dem en tur til Danmark. Så jeg har, indtil nu, desværre måtte nøjes med at se reklame videoerne, men det er jo ikke helt det samme som selv at kunne teste produktet. Det virker jo altid i den slags salgs videoer.

Produkterne ligger da også i den dyre ende ' Sarnoff's IOM Portal Device skulle koste omkring $100k.

Jeg kunne godt tænke mig at høre om nogle af jer har set disse eller lignende produkter live' Der skulle stå nogle demo versioner i enkelte lufthavne, herunder en i Schiphol lufthavnen i Amsterdam. Ligeledes har de været præsenteret på diverse Biometri konferencer sidste år. Slutteligt vil jeg høre, hvor langt I tror at vi teknisk er fra Minority Report'

/msh

Kommentarer (61)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Kim Sørensen

Mener du ikke Microsofts Natal?

Playstation Move er stort set bare en kopi af Nintendos Wii-mote.... Natal kører derimod helt uden controller... Så hvis man havde et hologram-system lader Natal faktisk til at være mere avanceret end skærmen fra Minority Report (var det ikke noget med han skulle bruge nogle specielle handsker?) :)

  • 0
  • 0
#3 Anonym

Næ - vi er der allerede fordi teknologideterminisme systematisk ignorerer sikkerhedsspørgsmål når man designer teknologi med udgangspunkt i systeminteressen ude at ænse hverken ret eller behov.

Se på Mobiltelefoner, de tidlige RFID-design, bluttooth, Sigbee som alle lækker identifiers til højre og venter fordi kommercielle interesser har sikret at "standarderne" optimerer gatekeeperfunktionen.

Autoamtisk ansigtsgenkendelse bliver en realitet så længe ingen banker det inkompetente og stærkt ideologisk dansk Datatilsynet på plads - de blåstempler jo hvad som helst.

Se f.eks. her hvordan en banal tur i Tivoli har udviklet sig til det rene overgreb med Datatilsynets stempel. http://www.datatilsynet.dk/afgoerelser/arkiv-over-afgoerelser/artikel/ad...

Og Google/Facebook ligger lige bagved klar til at misbruge data. Der er endnu værre på vej.

Heldigvis er der andre kræfter som har indset at vi er kommet alt for langt ud. http://blog.tech-and-law.com/2010/03/data-protection-directive-reform.html http://blog.tech-and-law.com/2010/03/edps-calls-for-privacy-by-design-fo...

  • 0
  • 0
#8 Anonym

Mads

De fleste teknologier kan designes både invasivt og bæredygtigt, dvs. det drejer sig ikke om teknologien som sådan, men designets indflydelse på magt og kontrol - det er ikke lovligt at fratage dig din selvbestemmelse og suverænitet.

Der er lovgivet omkring kravene til teknologidesign - problemet er at lovgivningen ikke overholdes og man nu er gået i gang med at styrke formuleringerne.

Reelt er det danske datatilsyn en af dem som klart er ved at blive underlagt krav om kraftig styrkelse fordi de ikke overholder de mest basale krav om hverken uafhængighed af myndighederne eller håndhæver de love de er sat til at administrere. Det danske datatilsynm prioriterer bureaukrati over ret.

Det er f.eks. ikke lovligt at identificere dig biometrisk, slet ikke uden din frivillige accept.

Lad os lige holde anholdelse udenfor.

Jarle

Det er lidt mere nuanceret - biometri er ekstra sensitivt fordi du ikke kan få nye nøgler og ikke kan beskytte de biometriske nøgler du har.

Du må ALDRIG basere sikkerhed på biometri heller ikke multi-model.

Du kan basalt set bruge biometri til 2 ting a) En specelt slags password til dine identitetsdevices. Reelt er de først og fremmest forsinkende mere end absolutte - dvs. helt enig i at det skal kobles med rene datanøgler som du har 100% kontrol over. Der er konkret 2 varianter - bioemtrisk kryptering og/eller tamperproof hardware.

b) Verifikation når der er eksperter til stede, dvs. at du kan verificere at du "logger på" dine nøgle devices uden at bruge f.eks. forfalsket biometri.

Et overvågningskamera er et aktivt angreb på din sikkerhed fordi det KAN indeholde biometrisk ansigtsgenkendelse a la Minority Report. Det er en trussel - ikke en løsning. Worst case er jo at man antager at det er dig uden du påtager dig ansvaret/accepterer at det finder sted.

Forensics/død er specialcases.

  • 0
  • 0
#12 Anonym

@ Marc

Så godt som alle kommunikationsprotokoller som låser sikkerhedsmodellen i netværks/kommunikationslagene lækker persistente Identifiers.

Det er ikke alle, men det kræver en meget bevidst tilgang til sikkerhedsmodellen for at undgå det sker.

Og det er der meget få protokoller som har styr på - det er faktisk rigtigt svært at addressere devices uden at lække identifiers.

Men om du identificeres og overvåges på basis af biometri, ip-adresse, MAC-addresser eller andre er ret ligegyldigt.

Som Google har lært os på den hårde måde - i samme sekund en identifier kan knyttes til en persistent personidentifier er identifieren at regne som en persistent personidentifier. Og det misbruges stadigt mere systematisk til personprofilering, planøkonomi og stadig mere nidkær kontrol.

Problemstillingerne er set før, men aldrig i det omfang og på så mange områder på en gang. Vi taler stærk aggression i ambient (f.eks. RFID), biometri, infrastruktur, cloud og applikationslaget på samme tid.

  • 0
  • 0
#13 Marc Munk

Nu er der ingen grund til at blande google eller cloud ind i sigbee..?

Jeg har aldrig selv brugt sigbee. Det er ikke mere end et par måneder siden jeg hørte om det første gang. Men sådan som jeg har forstået det er det ikke en afløser for normal wifi men mere en slags bluetooth med noget længere række vide der bruges til trådløse højtalere og microfoner.

  • 0
  • 0
#14 Anonym

Marc

om du trackes via irisgenkendelse eller via detektering af en Zigbee eller RFID er det samme (selvom biometri selvfølgelig er meget værre idet du ikke kan få nye nøgler). Du mister stadig kontrollen.

Readere er online og de sladrer til cloud databaser med trigger-baseret respons, dvs. du kan i praksis ikke tillægge afstand nogen betydning.

Det eneste interessante er den logiske sikkerhedsdmodel som netop skal kunnne isolere multiple transaktioner med den samme device/person fra hinanden.

Det lærer man den hårde vej, når man arbejder med at håndtere RFID-problemet og EPC-Global problemet.

  • 0
  • 0
#16 Anonym

Marc

Stationære readers og mobile devices. Intra-home kan isoleres med Nat/Firewalls, men der er lang vej igen førend man begynder at tænke sådan.

Reelt er man i færd med at gøre vores hjem til glashuse og emmnensekr til omvendre målskiver fordi man aldrig tænker sikkerhed med udgangspunkt i mennesker. Start med Intelligente Energimålere uden sikkerhed som f.eks. i realtid ved om vi er hjemme. Og selveøglige mobiltelefoner som lækker data til højre og venstre.

  • 0
  • 0
#18 Anonym

Carsten Jeg er ikke ude efter ZigBeee specielt.

Men den lækker identifiers som kan kobles til ejermanden. På samme måde som et betalingskort (når den processeres), en mobiltelefon eller et rejsekort. Og ZigBee vil altid svare, dvs. den lækker både på anfordring fra angriberen og ved passiv aflytning.

Om du identificeres/overvåges via iris-genkendelse eller en device, du har på dig som ikke kan holde kæft, kan komme ud på det. Forskellen er at kommunikationsprotokollerne KUNNE være designet til ikke at lække, men sjældent er det.

Som et eksempel - og ikke andet - på hvordan man kan løse den slags problemer, se det paper om RFID, jeg har været med til at lave og præsenterede på PST2004 i Canada. http://dev.hil.unb.ca/Texts/PST/

Og her nogle af de mange nuancer som man skal tage højde for når den omsættes til produkter http://www.rfidconsultation.eu/docs/ficheiros/Stephan_J_Engberg.pdf

  • 0
  • 0
#19 Carsten Sonne

Stephan,

Men den lækker identifiers som kan kobles til ejermanden.

Jeg kender i nogen grad ZigBee. Måske er der et sikkerhedproblem jeg har overset. Kan du ikke uddybe overstående?

Det kan da ikke gælde 'non-beacon-enabled networks'?

  • 0
  • 0
#20 Marc Munk

Kan du nævne et produkt der bruger sigbee..? Gerne noget der kunne underbygge dit påstulat om at det straks melder alt til en cloud server...

Og hvor kommer elmålerne ind i billedet? Er vi som altid ude i at trække nye ting ind i debatten for ikke at skulle tage stilling til spørgsmål der ikke kan besvares med dine standard svar?

  • 0
  • 0
#21 Anonym

Marc

Og hvor kommer elmålerne ind i billedet? Er vi som altid ude i at trække nye ting ind i debatten for ikke at skulle tage stilling til spørgsmål der ikke kan besvares med dine standard svar?

Tag dig sammen og oprethold venligst en høvisk tone - "som altid" er en beskidt insinuation som jeg ikke vil acceptere fra nogen.

Vi taler generelt og ikke specielt ZigBee. Jeg nævnte et eksempel på en ikke-mobil automatisk kommunikation direkte ind i hjemmet som lækker sensitiv information i alle de konfigurationer, jeg hidtil har set.

Gerne noget der kunne underbygge dit påstulat om at det [Red ZigBee] straks melder alt til en cloud server...

Det har jeg aldrig påstået

Mig bekendt indeholder ZigBee intet identitetsbeskyttende!? Tværtimod er den fuldt blotlæggende af hvem der kommunikerer til hvem. http://en.wikipedia.org/wiki/ZigBee_specification

Vend den rundt. Kan du af protokollen aflæse persistent deviceidentifier eller ej? Det er klart min opfattelse, men jeg står gerne korrigeret hvis der er varianter af protokollen som jeg ikke er opmærksom på.

Omvendt specificerer ZigBee ikke sikkerheden i protokollen, så måske kan den spoofes hvis en device er meget bevidst om styring af sin konstant fornyende IP i koordination med andre devices, den vil kommunikere med.

Men protokollen indeholder intet herom som etablerer sådanne mekanismer uden persistente identifiers (f.eks. noget avanceret dynamisk P2P) - og i så tilfælde ville en sådan mekanisme være væsentligt mere signifikant end ZigBee aspektet, dvs. det ville ikke være ZigBee men noget andet som blot benytter ZigBee på en utilsigtet - og for mig at se ikke særlig velegenet - måde.

Enhver device i netværket kan rapportere og nogen devices gør det, dvs. kobler sig direkte på nettet og koordinerer med f.eks. servere. Hvad de rapporterer afhænger af så mange ting.

Men enhver form for discovery mekanisme i ZigBee vil være åbent identificerende af andre devices til netværket og dermed blotlæggende.

Hvad er din pointe?

Enten dokumenterer du det modsatte eller også kom med en undskyldning for din uberettigede insinuation.

  • 0
  • 0
#22 Carsten Sonne

Mig bekendt indeholder ZigBee intet identitetsbeskyttende!?

IEEE 802.11, bruger MAC-48 identifiers. IEEE 802.15.4 bruger i stedet EUI-64 identifiers. Men hvad kan du bruge den til ? Det er jo ikke anderledes end din trådløse router.

I øvrigt, en enhed der benytter IEEE 802.15.4 & ZigBee behøvet jo ikke at være koblet på nettet, f.eks. et lukkede sensornetværk.

Tværtimod er den fuldt blotlæggende af hvem der kommunikerer til hvem.

ZigBee har indbygget kryptering baseret på 128 bit nøgler.

Stephan, jeg forstår ikke helt hvad din anke er vedr. ZigBee. Slet ikke i relation til identifikation af en person.

  • 0
  • 0
#23 Anonym

Carsten

Det er ikke mig som forfølger ZigBee, men nogen som forsøger at påstå at ZigBee er "sikkert".

IEEE 802.11, bruger MAC-48 identifiers. IEEE 802.15.4 bruger i stedet EUI-64 identifiers.

Du beskriver det modsatte af identitetsbeskyttelse.

Jeg vil definere det ud fra en kontekstisolering - udenforstående må ikke kunne kende forskel på 2 uafhængige transaktioner med den samme device/person og 2 transaktioner med 2 forskellige devices/personer. Og udenforstående vil i denne sammenhæng sige alle andre end f.eks. hustandens medlemmer.

Det er persistente identifiers (tilgængelig for andre) som ødelægger sikkerheden og skaber "Minority Report"-problemerne.

Kryptering af datapakkerne beskytter ikke mod leak af identifiers i netværks/kommunikationslagene. Og det beskytte ikke indholdet hvis modparten er udenforstående (f.eks. en online service provider).

Lukkede net f.eks. indenfor hjemmets 4 vægge er glimrende og kan kompensere for meget - problemerne begynder når de kobles på nettet uden sikkerhed eller skal fungere mobilt.

Omkring "anken". Har du en ZigBee device på dig, så bliver det en tracking device overfor omgivelserne. Kobles den på nettet fra hjemmet lækker den data om hjemmet. Forestil dig hvis din computer kører Cloud Desktop (hvilket man selvfølgelig ikke gør) med noget ZigBee Discovery - så er dit "lukkede sensornet" pludselig ikke så lukket mere men rapporteret direkte til udenforstående.

  • 0
  • 0
#24 Marc Munk

Der er ingen insinuationer i mit indlæg. Jeg skriver tingene som de er..?

Og med hensyn til cloud så afhænger det åbenbart af hvordan man læser dine indlæg

Readere er online og de sladrer til cloud databaser med trigger-baseret respons, dvs. du kan i praksis ikke tillægge afstand nogen betydning.

Det citat burde virke bekendt. Og når man så tager højde for at jeg har talt om rækkevide i forbindelse med sigbee så er det nærliggende at sige at du har koblet sigbee og cloud sammen.

Jeg kender ikke noget særligt til sigbee og det gør du åbenbart heller ikke. Men du burde stadig prøve at svare på det ene spørgsmål du ikke har svaret på endnu...

  • 0
  • 0
#26 Kim Sørensen

Uden passord (eller simpel pinkode) er det blot at kopiere ens iris og printe på en kontaktlinse...

Hæh.... Ja hvorfor ikke - It could work :)

Men bortset fra det så troede jeg faktisk ikke man fokuserede på iris-skanninger. Jeg troede nethinden var langt mere interessant i en identifikations/autorisations-kontekst. Den kan man ihvertfald ikke bare lige printe ud på en kontaktlinse. Så skanning af nethinden må vel betegnes som den mest sikre/effektive metode.

  • 0
  • 0
#27 Anonym

Marc

Kravl nu ned fra den hest.

Det er objektivt tilfældet med RFID/EPC

Og hvis du tager eksemplet med Intelligente Energimålere (typisk GSM) som opsamler fra ZigBee devices, så har du præcis det samme som RFID/EPC

  • 0
  • 0
#28 Marc Munk

Hvilken hest? Jeg forsøger at finde ud af hvad du vil fremtil. Hvis du ser et problem med de intelligente energimålere vil jeg da mene at følgende ville være noget du burde se på:

http://www.ds.dk/da-DK/Aktuelt/Nyheder/Sider/Vilduvaeremedtilatdefineref...

Den eneste grund til at bruge sigbee i en energimåler er vel at man skal have mulighed for at forbinde til andre enheder for at hive noget data ud af disse... Jeg kan godt følge dig i at det er umådeligt uheldigt hvis denne data kan kobles sammen med data fra andre målere eller tilsvarende.

  • 0
  • 0
#29 Jarle Knudsen

Hæh.... Ja hvorfor ikke - It could work :)

Men bortset fra det så troede jeg faktisk ikke man fokuserede på iris-skanninger. Jeg troede nethinden var langt mere interessant i en identifikations/autorisations-kontekst.

En "unbreakable" fingerscanner der skulle teste fingeraftryk, puls, hudensmodstand, fugtighed og andre ting som producenten nægtede at oplyse, blev omgået med et stykke papir med et klat spyt på O_O

Det store problemet med biometri er at biometriske data er [b]offentlige og frittilgængelige[/b]. Kopiering af dem er bare spørgsmål om teknologi der måske ikke eksisterer (eller er dyr) i dag, men kan være billig og lettilgængelig i morgen. Samtidig kan disse biometriske data ikke udskiftes dersom de bliver kompromitteret (kopieret).

Misbrug er bare tidsspørgsmål.

Det springer man nemt over i videoen.

  • 0
  • 0
#30 Kim Sørensen

En "unbreakable" fingerscanner der skulle teste fingeraftryk, puls, hudensmodstand, fugtighed og andre ting som producenten nægtede at oplyse, blev omgået med et stykke papir med et klat spyt på O_O

Jo men nu påstår jeg jo heller ikke at en fingeraftrykslæser skulle være den mest sikre metode. Jeg påstod i øvrigt heller ikke at en eller anden fingeraftryksskanner, som Mythbusters har købt i Staples eller lignende, skulle være voldsomt sikker. Jeg udtalte mig om nethindeskanning... Og det virker umiddelbart som en temmeligt svær metode at omgå - særligt hvis fremgangsmåden er papirlapper og spyt :)

Kopiering af dem er bare spørgsmål om teknologi der måske ikke eksisterer (eller er dyr) i dag, men kan være billig og lettilgængelig i morgen. Samtidig kan disse biometriske data ikke udskiftes dersom de bliver kompromitteret (kopieret).

Bestemt... Men ud fra en vurdering af nuværende teknologi så må nethindeskanning vel siges at være temmeligt sikkert... Hvis kunstruktion af kunstige organer med præcision ned i celleniveau en dag bliver muligt, må vi jo revurdere sikkerheden af metoden. Men indtil den dag har jeg svært ved at forestille mig en metode til at omgå nethindeskanning. Nethindeskanning har naturligvis nogle helt praktiske begrænsninger...men hvis vi udelukkende forholder os til hvilken metode der er mest sikker, så vil jeg mene det "hands down" er nethindeskanning.

  • 0
  • 0
#31 Jarle Knudsen

Nethindeskanning har naturligvis nogle helt praktiske begrænsninger...men hvis vi udelukkende forholder os til hvilken metode der er mest sikker, så vil jeg mene det "hands down" er nethindeskanning.

Det store problemet er: hvad vil du gøre når [i](ikke hvis)[/i] din nethinde bliver kopieret og misbrugt? Kan du få en ny nethinde?

  • 0
  • 0
#33 Maciej Szeliga

Det er vel ret klart - når det bliver en realitet, så kan man ikke bruge nethinden til identifikation/autentifikation!

Der er to problemer ved den holdning: 1. Den slags udfordringer dukker meget hurtigere end man antager ved indførlsen af en teknologi. 2. Når udfordringen så dukker op tager det en evighed at løse problemet.

  • 0
  • 0
#34 Anonym

Mads

Kom nu ind i kampen i stedet for at stille sikkerhed op som om det gavner sikkerheden at angribe personen. Det er naivt.

Der er 2 primære sikkerhedskriterier - revokation og recovery - des mere kritiske forhold, des mere ufravigeligt er kravet. (Availability, integrity etc. er lavere ordens krav og drejer sig mere om det håndværksmæssige end det logiske grunddesign)

Man kan ikke bruge nogen form for biometri til identifikation/authentifikation i Minority Report versioen, dvs. hvor udenforstående opsamler biometri og laver sammenligningen.

3 primære årsager - personens suverænitet undermineres altid (personen mister muligheden for at revoke data henførbarheden til hans person), systemet står åbent overfor angreb baseret på biometrisk idenitetestyveri (personen har ingen mulighed for at kontrollere misbrug af biometri ved at revoke nøgler) og systemets sikkerhed er komprimnieret uden mulighed for opgradering (legacy idet man låser access til en bestemt "teknologi" som forudsigeligt fejler).

(Og ja - Bioemtriske pas er nopget af det værste lort vi til dato har set fra et sikkerhedsmæssigt synspunkt. Det er vel det eneste som er værre end f.eks. den ulovlige NemId som samtidig er en pengemaskine som vil ligge og dræne samfundet for innovationsevne og penge.)

Derimod kan man altid redesigne systemet så de samme bioemtrisk mekanismer tages i brug med større sikkerhed. F.eks. kan du "logge ind" på dit nøgledevice med en kombinationaf bioemtri og pinkode som så kan aktivere enhver form for digital nøgle overfor modparter.

"Noget du er, har og ved" gælder KUN mod DIN DEVICE - fordi andre ellers kan misbruge det samme uden for kontekst. Det vigtigste er at du skal opretholde magtens til REVOKATION.

Men der skal arbejdes med revokation på mange niveauer - enkeltCredentials (din status har ændret sig - e.g. ikke betalt abonnement), Enkeltnøgler (f.eks. ny teknologi), Kontekstspecifik Identitet (dvs. datarevokation fordi henførbarheden elimineres), Device (din device er stjålet/sikkerheden vurderes som for lav) og worst case selve rod-id (e,g, cpr).

Credentials og herunder betinget Identifikation (ufrivilig kobling af en nøgle til en Rod-Id) skal styres uafhængigt, fordi det er præcis dem som andre skal kunne revoke hvis du gør noget "galt" - at ophøre som betalende kunde er jo en forbrydelse mod virksomheden ;-)

Går det galt og du skal revoke rod-id, har det voldsomme konsekvenser fordi man skal revoke samtlige nøgler som kan være kompromiteret.

Du taler om at eliminere selve muligheden for at bootstrappe sikkerhed, dvs. etablere mekanismer som ikke kan revokeres overhovedet. Biometriske nøgler kan ikke revokeres og systemer som baserer sig på biometriske nøgler kan ikke recover fra fejl.

Grundidentitet (din fysiske krop) kan aflede flere Rod-Id (forskellige domæner såsom Statsborgerskab, eller skift over tid - f.eks. vidnesbeskyttelse og fuld skift af grundidentitet) som igen kan afledes MANGE kontekstuelle identiteter - credentials og hvor stærkt hver enkelt identitet er bundet til en Rod-identitet er ortogonalt og skal forhandles i kontekst.

Mads - et systems sikkerhed kan aldrig blive bedre end systemets brugeres evne til at kontrollere deres egen sikkerhed. Det starter med at sikre deres kontrol over deres identitet og deres nøgler.

Eller rettere det starter med at sikkerhedsfolk begynder at tage udgangspunkt i sikkerhed og ikke reducerer det til systematiske angreb på mennesker i den falske tro at det forbedrer systemets sikkerhed.

BIOMETRISK IDENTIFIKATION (mod den fysiske person) er i en digitale verden det værste du kan gøre for sikkerheden - IDENTIFIKATION (mod Rod-Id / Cpr) det næstværste. Begge dele vil altid reducere sikkerheden.

Identifikation kan ALTID med fordel erstattes med en kombination af Authentikering (nøglegenkendelse mod en kontekstspecifik nøgle) og Ansvarlighed (Betinget Identifikation).

Selv hvis du derefter bruger en digital signatur overfor f.eks. en konkret person (e.g. Lægen) vil systemet ikke være kompromiteret med identificerende information som ikke kan sikres.

Automatisk biometrisk antaget Identikation ("Minority Report") er det ubetinget værste vi kan gøre for sikkerheden i en digitale verden - ALLE systemer gøres sårbarbare fordi ingen kan sikres og systemet ikke kan recover uden meget voldsomme omkostninger og lang tid.

  • 0
  • 0
#36 Anonym

Mads

Gør vi?

Jeg tror du tror at Identifikation gavner sikkerheden !? Jeg kan ikke læse andet af dine ord.

Udenforståendes Identifikation af personen fratager personen kontrollen. Det er et angreb på personen - etablering af en primær trussel / en risiko.

Hvis det er i din interesse kan du (med de rette værktøjer) selv etablere det samme bedre og med flere nuanver - hvis det ikke er i din interesse, så er truslen et konkret angreb uanset om det er kommercielt, kriminelt eller hvordan.

  • 0
  • 0
#38 Kim Sørensen

Der er to problemer ved den holdning: 1. Den slags udfordringer dukker meget hurtigere end man antager ved indførlsen af en teknologi. 2. Når udfordringen så dukker op tager det en evighed at løse problemet.

Se evt. Mads' svar...

Derudover så synes jeg din teknologiske optimisme er lige lovligt....ja...optimistisk. Jeg mener... Produktion af organer med præcision ned i celleniveau? Det er vist ikke noget der ligefrem ligger rundt om hjørnet. Så når vi kommer dertil...hvem siger så ikke vi ikke har opfundet en endnu sikrere metode til identifikation? Skanning af hjernebølger? Ja måske vi endda har udviklet os som intelligent liv, i sådan en grad, at vi har ikke har behov for at sikre os med den slags - måske vi bare er ærlige mennesker i fremtiden...nu vi alligevel er i science fiction delen af diskussionen kan vi vel lige så godt gå hele vejen ;)

  • 0
  • 0
#39 Jarle Knudsen

Produktion af organer med præcision ned i celleniveau? Det er vist ikke noget der ligefrem ligger rundt om hjørnet.

Hvorfor produktion af organer med præcision ned i celleniveau? Biometrisk fingeraftryk kunne omgås med et stykke papir. Der kan ikke udelukkes at iris / nethinde identifikation kan omgås med et fotografi i en brilleramme.

Hvad med blinde og eller dem med grå stær?

Så når vi kommer dertil...hvem siger så ikke vi ikke har opfundet en endnu sikrere metode til identifikation?

Biometri dugger ikke til identifikation (endnu mindre til autorisering) da "nøgle" (ansigt, fingeraftryk, iris, nethinde, DNA-genkendelse etc.) er [b]offentlig frit tilgængelig[/b] samt [b]kan ikke tilbagekaldes[/b] når de bliver kompromitteret (kopieret).

  • 0
  • 0
#40 Kim Sørensen

Hvorfor produktion af organer med præcision ned i celleniveau? Biometrisk fingeraftryk kunne omgås med et stykke papir. Der kan ikke udelukkes at iris / nethinde identifikation kan omgås med et fotografi i en brilleramme.

Først og fremmest ville dem, der betjener skanneren, nok rimeligt nemt kunne gennemskue det, hvis du forsøgte at narre systemet med et billede i brillerammen: http://www.carnivalsource.com/store/c/1672-Fun-Glasses.html

For det andet så ville det heller ikke være noget problem, at fange den slags svindel automatisk - nethindens udformning og placering gør sådanne low-tech forsøg irrelevante. Du kan uden problemer lave et system, hvor du skal udskifte dine øjne, før vi kan snakke om at det er muligt, at snyde det.

Med andre ord skal du udskifte dine øjne, for at snyde systemet. Der kan du så sikkert finde på alle mulige forklaringer med at lave øjne af papmaché eller glas... Men medmindre du vil miste synet så bliver du altså nødt til at fremstille kunstige legemsdele med præcision ned i celleniveau :)

Hvad med blinde og eller dem med grå stær?

Hvad med dem? Grå stær er et problem med øjets glaslegeme ikke nethinden. Blinde mennesker kan have fuldstændigt perfekte og sunde øjne.

  • 0
  • 0
#41 Maciej Szeliga

Derudover så synes jeg din teknologiske optimisme er lige lovligt....ja...optimistisk. Jeg mener... Produktion af organer med præcision ned i celleniveau?

Så du har ikke set/hørt at man kan gro diverse organer allerede på nuværende tidspunkt ? Nej, jeg er ikke specielt optimistisk. I øvrigt er det slet ikke sikkert at vi behøver at kopiere øjet biologisk.

Så når vi kommer dertil...hvem siger så ikke vi ikke har opfundet en endnu sikrere metode til identifikation?

Det her illustrerer HELE problemet. For det første antager man at problemet ligger langt ude i fremtiden. ("Det er meget svært at spå, specielt om fremtiden"). For det andet antager man at man vil ummiddelbart forske i højre sikkerhed når man nu har en tilsyneladende velfungerende sikkerhed. For det tredje glemmer man, at det er meget svært at implementere et nyt modul til tusindvis af systemer på samme tid.

Skanning af hjernebølger?

Hjernebølger, det er "bare" elektromagnetiske impulser, det kan enhver AM-radiosender kopiere sammen med en båndoptager.

  • 0
  • 0
#43 Jarle Knudsen

Først og fremmest ville dem, der betjener skanneren, nok rimeligt nemt kunne gennemskue det, hvis du forsøgte at narre systemet med et billede i brillerammen

Så vi skal have en "betjener" til overvågnig? Som video viser at der skulle være [b]ubetjente[/b] skannere. Der røg hele automatisering.

For det andet du går ud fra at alle mennesker skal have fuldstændigt perfekte og sunde øjne. Det er langfra tilfælde.

For det tredje: hvordan vil du tilbagekalde en kompromitteret (kopieret) iris, nethinde, fingeraftryk eller anden biometrik?

Svar nu venligst på det sidste spørgsmål først.

  • 0
  • 0
#44 Kim Sørensen

hvordan vil du tilbagekalde en kompromitteret (kopieret) iris, nethinde, fingeraftryk eller anden biometrik?

Det vil jeg ikke... Det har jeg da heller ikke skrevet jeg ville? Hvis sikkerheden bliver kompromitteret bliver man naturligvis nødt til at finde et andet system.

Grunden til jeg ikke har svaret dig på det er at Mads gav det svar for længe siden...der er jo ingen grund til at sidde og gentage hinanden mere end højst nødvendigt.

Så vi skal have en "betjener" til overvågnig? Som video viser at der skulle være ubetjente skannere. Der røg hele automatisering.

Jeg er sådan set ligeglad med hvad videoen viser. Jeg taler om at nethindeskanning er den sikreste metode til biometrisk identifikation/autentifikation.

du går ud fra at alle mennesker skal have fuldstændigt perfekte og sunde øjne. Det er langfra tilfælde.

Nu har jeg aldrig skrevet at alle skal have perfekte og sunde øjne. Men det er da klart, at visse øjenskader, misdannelser og sygdomme vil forhindre en person i at benytte sådan et system....og hvad så?

  • 0
  • 0
#45 Jarle Knudsen

Biometriske systemer er kompromitteret allerede nu. De er defekte pr. design da: 1. Nøgle ikke kan udskiftes når de bliver kompromitteret. 2. En hel del af population er afskåret fra at bruge systemet (iris, nethinde).

De er blot luftkasteller som kommercielle virksomheder forsøger at score kassen på.

Kim, jeg kan ikke tage dine argumenter alvorlig når du minimerer alvorlige problemer og mangler til en simpel "og hvad så?".

  • 0
  • 0
#46 Anonym

Mads

Du skriver f.eks.

Det er vel ret klart - når det bliver en realitet, så kan man ikke bruge nethinden til identifikation/autentifikation!

Ordet "når" indikerer at det kan bruges før "det (red: spoofing af nethinde/iris) bliver en realitet" !?

Hvis du ikke mener det, så fint - vi er enige. Men du udtrykker det ikke klart fordi det vil i givet fald betyde at du vil være klart og utvetydigt modstander af f.eks. biometrisk genkendelse a la Tivolis overgreb.

Hvis du mener det eller blot udtrykker det uklart, så vil jeg ikke bruge tid på at forfølge det.

  • 0
  • 0
#47 Martin Bøgelund

I øvrigt er det slet ikke sikkert at vi behøver at kopiere øjet biologisk.

En meget sandsynlig angrebsvektor på iris-identifikation/autentification, er at gå efter det digitaliserede aftryk (http://www.globalsecurity.org/security/systems/biometrics-eye_scan.htm), eller den hash-værdi som maskinelle systemer nødvendigvis må arbejde med. Med udviklingen i computerkraft lyder det tiltag meget lettere, end at dyrke fup-øjne i en konisk kolbe.

Iris-scanninger har for mig at se kun værdi i sammenhænge hvor du alligevel står overfor en levende person, der blot skal have endnu et kontrolpunkt for at sandsynliggøre at du er dig.

Autentifikation af personer der sidder alene derhjemme for nedrullede gardiner og laver transaktioner i netbanken, skal efter al sandsynlighed gennemføres med en anden form for nøgle end iris - netop af de årsager (revoke, damage) som du nævner.

Og når vi alligevel skal have en anden form for nøgle, oveni iris-nøglen, var det måske oplagt helt at parkere iris som nøgle.

  • 0
  • 0
#49 Kim Sørensen

Jarle

Jeg afviser eller minimerer ikke noget som helst. Du kommer med et argument der hedder "jamen folk med visse misdannelser kan ikke bruge systemet"...dertil spørger jeg så bare "og hvad så?". Hvordan gør det metoden mere usikker? Vi kommer ikke videre hvis du bare bliver ved med at gentage de samme ting, uden at besvare nogle af de spørgsmål du bliver stillet.

  • 0
  • 0
#50 Jarle Knudsen

Det er noget du misforstår (med vilje?). Metoden er ikke usikker fordi der findes folk med misdannelser.

[b]Metoden er usikker fordi man ikke kan tilbagekalde en kompromitteret nøgle[/b] (iris, nethinde, fingeraftryk eller anden biometrik).

Når du så alligevel skal have en person at overvåge aktivt systemet (at ingen snyder med eks. en papirkopi) samt have en anden form for nøgle, så er det helt oplagt at parkere biometrik som nøgle.

  • 0
  • 0
#52 Jarle Knudsen

Og hvorfor skal man i øvrigt have en anden form for nøgle?

Igen viser du at du ikke aner hvad du taler om.

Jeg anbefaler at du starter med at læser noget om kryptografi før vi fortsætter den diskussion.

  • 0
  • 0
#53 Jarle Knudsen

For det andet så ville det heller ikke være noget problem, at fange den slags svindel automatisk - nethindens udformning og placering gør sådanne low-tech forsøg irrelevante. [b]Du kan uden problemer lave et system, hvor du skal udskifte dine øjne, før vi kan snakke om at det er muligt, at snyde det.[/b]

Har du aldrig hørt om kunstige øjenproteser?

http://www.okularist.dk/Oversigt/Produkter/Kunstigt_oje/kunstigt_oje.html

  • 0
  • 0
#54 Kim Sørensen

Vi stopper den bare her... Men i forbindelse med dit seneste udfa..undskyld...indlæg, så tillad mig at citere mig selv:

Med andre ord skal du udskifte dine øjne, for at snyde systemet. Der kan du så sikkert finde på alle mulige forklaringer med at lave øjne af papmaché eller glas... Men medmindre du vil miste synet så bliver du altså nødt til at fremstille kunstige legemsdele med præcision ned i celleniveau :)

Det står i direkte forlængelse af det du lige har citeret, så jeg nægter at tro du ikke har læst det.

  • 0
  • 0
#56 Maciej Szeliga

Og når nogen klarer at fremstille kunstige legemsdele med præcision ned i celleniveau hvad vil du så gøre? Hvordan tilbagekalder du den kompromitteret nøgle?

Jeg tror at meningen er at man så bare kan skære den kompromitterede finger (eller øje) af og erstatte med ny. ;-)

  • 0
  • 0
#57 Anonym

Kim

Du glemmer at borgerens sikkerhed og dermed skaber du i dine betragtninger et utal at problemer.

Uanset om en given Biometri er spoofet eller ej, så er løsningen at sikre at man kun må kunne bruge biometri kombineret med bruger-kontrollerede random nøgler, der kan trækkes tilbage.

Selve læseren skal sidde i/på borgeren nøgledevice.

Se f.eks. side 14 i Security Roadmapping for EU IST FP7-program http://www.securitytaskforce.eu/dmdocuments/securist_ab_recommendations_...

In recent technological research, there have been numerous approaches to the employment of biometrics for security purposes, building on the uniqueness of biometric bodily characteristics and the easy availability of biometric devices. Biometrics has played, and will increasingly play, an important role in crime forensics and in non-repudiation but also for self-protection and proving innocence. What is critically important is to recognise that the goal should not be identification and surveillance but the balance of security needs. For instance biometrics is problematic for use for authentication as the “secret key” is not secret, revocable or unique, – biometrics can be spoofed and victims of identity theft cannot get a new set of biometrics, and using several spoofable biometrics can merely create more “fake security”.

Empowerment considerations involve ensuring that the use of biometrics in Identity and key management is based on easily and securely revocable keys such as private biometrics (biometrics locked in mobile tamper-resistant reader-devices) or bio-cryptography (integration of biometric characteristics in revocable cryptography keys) while enabling the use of a plurality of identity schemes. Indeed, empowerment and dependability are not achievable if control is always with someone else and attackers commit identity theft based on faking biometric credentials – an old type of crime that will grow in a world where identity credentials are increasingly used.

  • 0
  • 0
#58 Kim Sørensen

Hej Stephan

Du lægger for meget i det jeg har skrevet. Jeg skriver sådan set bare at i forhold til biometrisk identifikation/autentifikation så er nethindeskanning den mest sikre metode - that's it! Jeg har ikke påstået der ikke er praktiske problemer...jeg har ikke engang påstået der ikke er etiske eller teoretiske problemer. Så hvis vi lige trækker i bremsen, kan vi vel blive enige om at nethindeskanning er den mest sikre metode - i.e. den metode, der er sværest at snyde.

Hvis du, Jarle eller andre så ønsker at diskutere etik eller teoretiske problemer må i endeligt sige til - den del af diskussionen synes jeg er enormt interessant. Men i bedes venligst afholde jer fra at kritisere mig for noget jeg overhovedet ikke har udtalt mig om :)

  • 0
  • 0
#59 Kim Sørensen

Jeg tror at meningen er at man så bare kan skære den kompromitterede finger (eller øje) af og erstatte med ny. ;-)

Der er vist ingen der plæderer for at folk skal rende rundt og stikke øjne ud eller skære fingre af... Ja altså lige bortset fra Jarle, der mener det er oplagt, at udskifte sine øjne med glaskugler ;) Løsningen er jo oplagt... Hvis du har en lås, hvor du ikke kan udskifte nøglen, og nøglen så bliver kopieret -> så bliver du nødt til at udskifte låsen. [b]Det svar er for længst både givet og gentaget.[/b]

I øvrigt... Hvis det er muligt for en person, at udskifte sine øjne med kopier af dine...er det så ikke oplagt at argumentet, om at nøglen ikke kan udskiftes, er uholdbart?

  • 0
  • 0
#60 Maciej Szeliga

Løsningen er jo oplagt... Hvis du har en lås, hvor du ikke kan udskifte nøglen, og nøglen så bliver kopieret -> så bliver du nødt til at udskifte låsen. Det svar er for længst både givet og gentaget.

BINGO! Vores påstande er så at: 1. det er for det første meget problematisk at foretage denne udskiftning af låsen for 3 millioner mennesker på en gang og vi derfor ikke bør gå denne vej 2. det bliver meget svært at påvise at nøglen er kompromitteret både fordi konceptet jo er pr. def. ubrydeligt og fordi dem der har brudt den skulle dumme sig ud over alle grænser for at blive afsløret

For fingeraftryk gælder der yderligere at: 1. de kan nemt kopieres til silicone 2. der findes folk som ikke har fingeraftryk, f.eks. efter ulykker men man kan være født uden 3. hvis man går efter "11 ligheder er en match" så er der noget med at 1 ud af 30000 er en match, det er OK ved kriminal efterforskning, hvor man kan bore mere i de mistænkte men ikke til identifikation

Selv DNA går igen blandt mennesker her er det noget med 1 ud af 1000000 som ville matche (og alle enæggede tvillinger). Iris er ummiddelbart bedst men iris ændrer sig bl.a. ved sygdomme og det er ikke kun øjnesygdomme som påvirker iris vilket vil give masse af fejl.

  • 0
  • 0
Log ind eller Opret konto for at kommentere