keskiviikko 11. syyskuuta 2013

Haluaako NSA sormenjälkesi?

Tätä se luottamuksen menetys sitten teettää: kukaan ei enää luota amerikkalaisiin palveluihin. Heti, kun Apple oli saanut esiteltyä iPhone 5S:n sormenjälkitunnistuksen netissä alkoi kauhistelu siitä, miten NSA saa nyt myös meidän sormenjälkemme.

Todennuksen tekninen toteutustapa ei vielä ole tiedossa, mutta todennäköisesti kyse on vain järjestelystä, joka vapauttaa PIN-koodin (ja ilmeisesti myös AppleID:n salasanan) sormenjäljen perusteella. Tätä varten sormenjäljestä laskettu tiiviste tallennetaan paikallisesti puhelimeen.

Sormenjälki on vain apuväline, jonka ansiosta näitä kahta koodia ei tarvitse kirjoittaa. Pelkkään sormenjälkitunnistukseen ei voi luottaa, sillä käsihän voi olla olla vaikka paketissa tai sormi laastaroituna.

Ei ole uskottavaa, että Apple lähettäisi sormenjäljen omaan pilveensä. Toki laitteessa voi olla takaportti, josta edes Applen insinöörit eivät ole tietoisia, mutta paras turva sormenjäljille on se, ettei NSA tarvitse niitä mihinkään.

Sormenjäljet liittyvät reaaliseen maailmaan. NSA:ta kiinnostaa digitaalinen maailma ja viestintä. Siellä sormenjäljillä ei ole merkitystä (CIA voi olla eri juttu...).

Sitä paitsi jokainen USA:han matkustanut joutuu luovuttamaan kaikkien sormiensa jäljet ja oman valokuvansa joka kerta astuessaan immigrationin portista. No, kaikki eivät tietenkään käy USA:ssa, mutta ehkä suomalaisten jäljet olisi helpompi urkkia vaikka passien sormenjälkirekisteristä.

Ollaan siis tyytyväisiä, että Apple on vihdoin tuonut sormenjälkitodennuksen puhelimeen! Ehdotin sitä jo 10 vuotta sitten, mutta jostain syystä Nokia ei saanut vietyä ideaa tuotekehityksestä tuotantoon. Apple on nyt toiminut edelläkävijänä ja kohta sormenjälkitunnistus löytyy kaikista kehittyneimmistä älypuhelimista.

Onnettoman PIN-koodin korvaaminen sormenjäljellä kohentaa tietoturvaa varmasti enemmän kuin mitä sormenjäljen luovuttaminen sitä heikentää. Urkintariskit ovat jatkossakin ihan muualla kuin sormissa.

PS. Hesarin toimittaja ehti jo pelotella, miten rosvot eivät jatkossa tyydy varastamaan pelkkää puhelinta vaan leikkaavat myös sormen irti. Koska sormenjälki ei koskaan voi olla ainoa tapa puhelimen avaamiseen, pelottelu tuntuu turhalta. Sitä paitsi kehittyneemmät sormenjälkilukijat toimivat vain elävällä sormella (iPhonen tekniikan yksityiskohdat eivät vielä ole tiedossa).

16 kommenttia:

Anonyymi kirjoitti...

Ehkä pitäisi käyttää iiristä tunnistimena. Silmää voi olla hankalampi irrottaa ja saada iiriksen vielä toimimaan.

Che Guevaralta leikattiin molemmat kädet ranteesta, jotta kuuluisan vallankumousjohtajan kuolema saatiin aukottomasti varmistettua. NSA, CIA, FBI, Nato tai mikä muu tahansa saattaa hyvinkin turvautua leikkaamiseen tällaisissa tapauksissa.

Anonyymi kirjoitti...

Niin paitsi, että NSA on signaalitiedustelu. Ei ne tee mitään sormenjäljillä.

Temehero kirjoitti...

Taas lähti joukkohysteria valtaan. :-D Sormenjälkitunnistushan on aivan mahtava ominaisuus, kunhan se on vain toissijainen kirjautumistapa. Mitä ihmettä mikään ulkomaalainen järjestö tai edes SUPO tekisi Applen sormenjälkirekisteristä ongituista sormenjäljilläsi, sehän on epäluotettavakin. (Puhelimeenhan voi laittaa omaksi nimekseen vaikka Mao Tse Tungin.)

Jos pelkää että tämä johtaa käsien irtileikkaamiseen, niin kannattaa pistää toivonsa Linnunradan käsikirjassa liftareille esiteltyihin pankkiautomaatteihin jotka raaputtivat irti vähän niskaihoa identiteetin tunnistamiseen.

PS. Tämä Bloggerin CAPTCA on huono. Käyttäisin mielummin sormenjälkitunnistinta.

Dr Jouni Laurila kirjoitti...

Mitenkäs estetään ettei sormenjälkiä oteta puhelimesta, kuten poliisi tekevät ja tehdään siitä kopio?

Puhelintahan käytetään paljain käsin.

Osmo kirjoitti...

Eihän sormenjälki paranna tietoturvaa, kun se on vaihtoehto koodeille. Toki välillisesti se voi parantaa, koska mitä kätevämpi lukko on sitä useammin sitä käyttää.

Zarr kirjoitti...

Ei tuo ole niin kaukaa haettua, tämä jo 8 vuoden takaa (tosin silloin oltiin varastamassa autoa):

http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm

Osmo kirjoitti...

Eihän tuo sormenjälki sinänsä suoran lisää tietoturvaa, koska aina voi naputella ne koodit. Etu tulee välillisesti siitä, että kun lukko on helppo avata, sitä myös käyttää.

PIN-koodihan suojaa vain liittymän. Se on, jotta SIM-korttia ei voi käyttää toisessa puhelimessa. Lisäksi puhelin pitää suojata, jotta sitä ei voi käyttää joko samalla SIM:llä sen ollessa valmiiksi päällä tai asettamalla toinen SIM tai ilman sitä. Minulla puhelin menee lukkoon tunnin jälkeen. Tiheämpi olisi koodilla hankalaa, mutta sormenjäljellä se voisi toimia.

Sinänsä näissä ei tarvitse hirveän vahvoja suojauksia. SIM:n voi mitätöidä nopeastikin. Nykyiset älypuhelimetkin saa yleensä tyhjennettyä etänä, joten muutaman tunnin suojaus riittää. Siinä ajassa ei oikein ehdi saada puhelinta auki, vaikka saisi kopioitua sormenjäljen siitä.

Kaino Kivi kirjoitti...

"Ei ole uskottavaa, että Apple lähettäisi sormenjäljen omaan pilveensä" - Millä perustelet? Tottakai nämä pilviveikot keräävät tietoa mielin määrin, koska tieto on valtaa.

Google mm. pyrkii leipomaan kaikkeen viestintään tiedon käyttäjistä, sijainnista ja fyysisistä laitteista joiden välillä viestit kulkevat - vaikka viestit eivät kulkisi edes Googlen palveluissa. Sormenjälkiä kun kehitellään, niin tiedetään henkilö, joka fyysistä laitetta käyttää. Miksi Apple jättäytyisi tuosta pois.

Dr Jouni Laurila kirjoitti...

Kannatta lukaista tämä.

Kyllä tuossa saattaa olla ideaa. Saapa nähdä.

http://www.macworld.com/article/2048514/the-iphone-5s-fingerprint-reader-what-you-need-to-know.html#tk.nl_macwk

LyhjeHylje kirjoitti...

"Koska sormenjälki ei koskaan voi olla ainoa tapa puhelimen avaamiseen, pelottelu tuntuu turhalta. Sitä paitsi kehittyneemmät sormenjälkilukijat toimivat vain elävällä sormella"

Totta, mutta koita selittää tätä peruskoulun reputtaneelle, seuraavaa huumeannostaan haikaavalle, kadunvarren kasvatille. Hän ehtii leikkaamaan parikin sormea ennenkuin uskoo ettei niillä mitään tee.

Petteri Järvinen kirjoitti...

Sormen leikkaamisella pelotellut turvallisuustutkija peruu sanojaan.

Taisi karata sanallinen mopo käsistä, kuten Suomenkin uutisoinnissa.

Petteri Järvinen kirjoitti...

Irrotettu sormi ei riitä iPhonen lukituksen avaamiseen, kertoo Mashable.

Anonyymi kirjoitti...

Irrotetun sormen avulla voi kuitenkin valmistaa väärennetyn sormenjäljen, jonka voinee kiinnittää elävään sormeen.

Sormenjäljestä pitää saada kuva, jonka. avulla voitaisiin syövyttää tavallisen piirilevyn kuparifolioon oikeanmuotoinen reliefi. Sitten tippa lateksia tmv. piirilevylle ja sormi siihen, niin sormi saa uuden pinnoitteen, jossa on väärennetty sormenjälki.

Joko nyt aukeaa iphone? Toisaalta, ei sormea ole pakko viedä iphonen mukana: riittää, että mukaan saadaan sormenjälki jossain muodossa.

Dr Jouni Laurila kirjoitti...

Ei kai sentään noin helpolla.

Eikös siinä ole joku lämpösensori tai jotain muuta millä toteaa onko elävä kohde.

Jossain oli myös kokeiltu, että osaa lukea muutakin. Mitä jos käyttääkin vaikka kyynärpäätä. Keksiikö joku sen? :-)

Zarr kirjoitti...

http://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid

Kauanpa meni murtamiseen.

Anonyymi kirjoitti...

Ei kai sentään noin helpolla.

Itse asiassa kuvailemani prosessi oli tarpeettomankin monimutkainen. Väärennettyä sormenjälkeä ei tarvitse edes syövyttää reliefiksi piirilevyn kupariin, vaan riittävä 3D-muoto syntyy jo tulostettaessa jälki piirtoheitinkalvolle. Tätä käytetään muottina, jolla valmistetaan väärennetty sormenjälki ihan oikeaan ja elävään varkaan sormeen.

Ja sitten oleellinen pointti tuosta ccc:n tiedotteesta: on kertakaikkisen pöljää käyttää "salasanana" biometristä jälkeä, jota sen omistaja kylvää päivittäin ympäriinsä, jonka väärentäminen on helppoa, ja jota ei voi mitenkään muuttaa.

Website Security Test