《电子技术应用》
您所在的位置:首页 > MEMS|传感技术 > 业界动态 > 指纹识别再现安全漏洞 手机指纹加密将受考验

指纹识别再现安全漏洞 手机指纹加密将受考验

2015-10-20

  9月24日,美国政府宣布,黑客窃取了国防部和其他政府部门员工的安检数据,包括大约560万份指纹记录,较最初报告的数量增加450万份。有业内观点认为,美国信息泄露将会导致指纹数据被大规模滥用以谋取利益,美国政府也在随后组建了安全小组专门应对此次出现的指纹信息泄露危机。

  众所周知,当今信息化社会,指纹识别已经成为市场最热的一种生物安全技术,该技术已经渗入到生活当中方方面面,例如身份证、手机、上班打卡、银行支付等。美国此次爆发的指纹泄露危机也给信息安全敲响了警钟。

  美国宣布560万指纹信息泄露

  9月24日上午,美国政府宣布,黑客窃取了国防部和其他政府部门员工的安检数据,包括大约560万份指纹记录,较最初报告的数量增加450万份。美国人事管理办公室(OPM)和美国国防部是在对遭窃数据展开持续分析的过程中,发现新增的被盗指纹记录的。美国政府今年春天发现了此次数据被盗事件,受此影响的安检记录可以追溯到数年之前。

  这一消息的曝光正值中国国家主席习近平访美之际。美国总统奥巴马曾经表示,网络安全问题将成为他周五在白宫会见习近平时的重要议题。美国官员表示,目前没有证据显示被盗数据遭到滥用,但他们担心此事可能产生反间谍问题。白宫发言人约什·厄内斯特(JoshEarnest)周三表示,对数据泄密事件的调查仍在继续,他并没有对幕后主导发表结论。受此影响的美国联邦政府雇员约为2150万人。

  他指出,OPM的这份声明与习近平访美没有关系,而是因为OPM官员会见了国会议员,并向其告知了指纹问题,因此需要公开披露此事。OPM在声明中说,他们一直在分析被窃数据,直到最近才发现有新增的被盗数据。正因如此,目前估算的被窃数据从最初的110万份增加到560万份。OPM表示,受此影响的人员数量仍然为2150万人。但OPM不认为这些被盗的指纹记录可能构成太大威胁,他表示,这些数据目前无法被大规模滥用。但他也承认,随着技术的进步,威胁可能逐步扩大。该机构称:“我们组建了一个跨部门工作小组,聘请这一领域的专家来评估攻击者现在和将来可能采取的滥用方式。”

  该跨部门小组包括美国联邦调查局、国土安全部和五角大楼的工作人员。OPM称:“如果今后开发出滥用指纹数据的新方法,政府将向受此影响的人提供额外信息。”内布拉斯加共和党参议员本·萨斯(BenSasse)曾经批评美国政府未能重视网络安全问题,他认为OPM的声明进一步表明,数据被盗事件“是一场公关危机,而非国家安全危机”。受此影响的个人尚未收到通知。OPM在声明中表示,他们正在与美国国防部合作,向这些人发出通知。

  不过与美国相对发达的安全保障来说,我国似乎对于指纹等信息的安全并不看重,而与我们生活息息相关的指纹识别到底安不安全也成为了社会关注和探讨的一个话题。

  在手机领域指纹泄露影响全部信息

  虽然美国的指纹危机并未对我国产生什么影响,但是我们也必须时刻关注指纹安全。最近,在手机领域又开始出现了一个新的卖点,就是指纹加密。比如iPhone系列,华为MATE7,魅族MX4PRO等等,无一不是将指纹加密作为卖点。指纹识别功能的战争,已经从“要不要放”升级到了“该放在正面还是反面”了。

  这其中一方面是因为用户不满足于手机已经具备的基本功能,另一方面也因为用户的安全意识增强,手机承载了太多敏感信息,必须有一套足够安全的防护措施。可能因为指纹是每个人独一无二的,因此造成了指纹比密码更安全的感觉。

  早在iPhone4时代,还没有现在的专门指纹识别系统,而苹果APPStore里就有指纹加密应用。只需要把手指贴在屏幕上,就可以进行加密、解密等操作,看起来像是把触屏变成了指纹传感器。

  本质上,手机上使用的这种指纹传感器也是一种电容屏,两者工作原理几乎是相同的,只不过相对于触屏而言,指纹传感器的分辨率高出了几个量级,因此能够识别出指纹特征。不能否认,指纹识别器到手机系统之间的部分,是相当安全的。从硬件到软件,每一家厂商都在这个环节下足了功夫。有专门负责加密的硬件,有专有的传输协议,有防止破解的多重防护,一个强大加密网络把他们紧密联系起来,已经安全到几乎无法破解。如果将指纹系统比作一把锁,这里就相当于锁芯的部分,而且这个锁芯近乎无敌。

  但是,如果你的锁钥匙丢了,被别人捡到,那就等于大门对外敞开了,你手机里的任何信息,包括银行卡,一般手机都会绑定银行卡,身份信息等,问题的关键就在这儿。虽然指纹具有唯一性,但指纹在我们的生活环境中太常见了。不论工作、生活、娱乐,我们在做任何事情的时候都不可能把双手扔在家里或者藏匿起来。手会和各种东西接触,于是手指皮肤分泌出的化学物质,让我们在各种各样的环境中都留下了指纹。

  深圳揣摩科技有限公司国际部张泽伟就表示:“试想一下,如果犯罪分子拿到了你的指纹信息打开了你的手机,然后盗走了你的身份信息、银行卡信息、电话信息等,最后你可能会丢失存款、信用卡等等。这就是为什么现在微信上好多小游戏都是让按手指什么的,最后莫名其妙的通过微信支付转走了大量存款。”

  “碳粉+胶带”不能破解指纹加密

  当然,抛开一些骗取信息的恶意的软件等,也有另一种观点认为只需要一点碳粉外加一段透明胶带,就能轻松地从喝水的杯子上或者任何相对干净的平面上获取一个人的指纹信息。

  法律上来说,用获得的指纹信息再造出来的指纹在学术上被称作“假指纹”,一般可被做成指模,用以骗过各类指纹识别系统。美国泄露的指纹信息完全可能被制作成指模等工具。

  据了解,一般人通过简单的方式是做不出那么好的假指纹的。一些犯罪现场也会残留非常多的指纹,然而即使给刑侦学专家充分的时间在现场采集、采集后再经过精细加工,最终获得的指纹有60%的匹配度就非常不错了。这个数字意味着,通过一般的采集加工手段,从水杯等生活用品上最终获得的假指纹与真实指纹的匹配度顶多只有60%相似。

  自动指纹识别系统中都有一个阈值来区分指纹匹配是否成功。比如,正在验证指纹信息与存储信息比对匹配超过90%就算成功。而法医学上的指纹匹配度阈值更低,低于60%。就算拥有刑侦专家水平,通过日常生活中采集残留指纹制作假指纹也难以攻破指纹安全系统,普通人如此做想要破掉指纹安全系统的难度可想而知了。

  不过并不否认,的确有些黑客通过极端方式可以从人们生活中的残留痕迹提取到相对完整的指纹信息,用以攻击对应的信息安全系统,并可能获得成功。不能说完全没有这方面的威胁,存在非常专业的人员,但这是非常极端的行为,对普通人的威胁约等于零。

  德国吉徕中国代理商御龙国际有限公司销售部孙江波在接受笔者采访时表示:“总体来看指纹是安全的。之前我们在我们的指纹门禁系统上做了一个测试,就是用‘碳粉+胶带’获取了指纹,然后试图打开门禁,但是最后都失败了。我不能说指纹绝对的安全,但是一般情况下都是安全的,所以这个完全不必担心。”


本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。