Ik koop zowiezo geen dingen met vingerafdruk scanner, ik vraag me af hoe lang het zal duren eer een overvaller het slachtoffer dwingt om de vinger er op te houden, desnoods met geweld.
#3
Sil.
Gewoon instellen op de vingerafdruk van Opstelten en een latex versie ervan aan je sleutelbos hangen.
en over een half jaar krijgen we te horen dat de NSA toegang heeft tot de grootste vinger afdruk database ter wereld.
Nee voor mijn geen eiFoon.
#5
Bismarck
@4: Ach, als je de afgelopen jaren een nieuw paspoort of ID hebt gehaald, zit je in die database al. Of dacht je dat de NSA je gemeente niet gehackt heeft?
@2: Of de vinger afhakt om te gebruiken?
#6
zmmmmmmcie
@Bismarck, #2 Nou heb ik (wegens desinteresse:P) geen idee hoe de iPhone werkt maar normale recente vingerafdrukscanners doen het volgens mij alleen als de vinger nog leeft. De mythbustersmethode heeft waarschijnlijk aanmerkelijk meer kans van slagen.
@Bolke #4, Bismarck, #5 Als je jezelf als software ontwikkelaar ook maar een tikkeltje serieus neemt dan sla je vingerafdrukken dusdanig op dat de vingerafdruk zelf niet is te reconstrueren uit de opgeslagen gegevens, net als met een wachtwoord; je kunt wel kijken of het hetzelfde is, maar niet (of maar heel moeilijk) achterhalen wat er is opgeslagen. Dat is overigens geen sinecure met vingerafdrukken, maar het kan prima.
Als ik het zo lees, slaat Apple echter gewoon je vingerafdruk op. Wat Motorola doet, kan ik niet vinden. De overheid slaan ook gewoon je vingerdruk op.
Van de gemeentes kan ik me dat voorstellen; die zijn op dit gebied doorgaans erg incompetent. Of juist gewoon kwaadaardig. Bij Apple speelt iets anders mee; ze willen op den duur dat je ook met je vingerafdruk kunt betalen (tip: DAT MOET JE NIET WILLEN:P) en hebben daarvoor waarschijnlijk toch wel een volledige kopie van je vingerafdruk nodig.
@6: Voor wat ik begrepen heb slaat Apple slechts een aantal referentiepunten op en slaat die gecodeerd op, op een afgebakend deel van de chip. Komt dus niet buiten de telefoon, en het lijkt me niet heel makkelijk om de info van de chip te lezen. Maar zonder meer informatie kan niemand zeggen of het überhaupt kan. Ook deze informatie kan je 1-weg versleuteld opslaan.
Deze opzet is voldoende voor wat betreft het beveiligen van de telefoon, want voor het unlocken is er geen behoefte aan een systeem dat miljoenen vingerafdrukken uit elkaar kan houden. Op dit moment gebruiken de meeste mensen een 4-cijferige code, wat betekent dat in theorie je een kans van (iets meer dan) 3 keer 1 op de 10.000 hebt om een willekeurige telefoon te unlocken. Wat voldoende is voor een telefoon is natuurlijk lang niet genoeg in een rechtszaak (als het daarvan komt).
Dus zelfs als ze de gegevens uit de telefoon kunnen halen, dan nog vraag ik me af of ze er echt iets mee kunnen.
#8
zmmmmmmcie
@Joost, #7 Zo’n ding slaat altijd maar “een aantal” referentiepunten op. Bijvoorbeeld “een aantal” gelijk aan de resolutie van de scanner:Ppp En, ja, het komt niet buiten je foon. Maar het staat er wel op terwijl dat technisch niet nodig is. Waarschijnlijk dan; een techniek om een one-way hash van dit soort data vol ruis te maken is natuurlijk geen kattepis.
En uit dat “aantal referentiepunten” kun je wel degelijk voldoende informatie afleiden om de vingerafdruk dusdanig te reconstrueren dat je hem met een echte vingerafdruk kunt vergelijken. Hier een voorbeeld:
Nou is dat niet zo’n punt als je de foon niet kunt unlocken zonder de eigenaar en de handel geencrypt is zolang ie niet geunlockt is. Maar dat is natuurlijk niet het geval; hij zal die opgeslagen vingerafdruk toch moeten kunnen decrypten voor ie kan unlocken:P Bovendien is het maar de vraag of die data ECHT alleen op je telefoon blijft. Lees daarover bijvoorbeeld ook dit:
Bottomline: je wil je vingerafdruk gewoon zo min mogelijk in digitale apparaten hebben staan. Of dat nou je eigen telefoon is of een database van een incompetente overheid. Een telefoon die je niet aan kunt zetten zonder dat ie je vingerafdruk scant komt er bij mij niet in. Maargoed ik ben dan ook een paranoide idioot met een autistische (software)ontwikkelingsstoornis;P
@zmmmmmmcie: Alles is hackbaar ja. De vraag is echter in hoeverre de “resolutie” (geen beter woord, sorry) van de vingerafdruk voldoende is om hem te kunnen reverse engineeren, en dan wel zo dat hij bruikbaar is in andere velden. En ik heb geen idee hoeveel punten of andere kenmerken dit zijn, en wat de false positive ratio is. Totdat we dat weten is dit natuurlijk nogal academisch en soms een beetje fundamentalistisch gezwets en hebben we feitelijk geen idee hoe (on)gevaarlijk dit is. :-p
Ja natuurlijk wil je je vingerafdruk niet overal hebben, maar hoe gevaarlijk dat is hangt af van hoe het gedaan wordt, en hoe het wordt opgeslagen. Laten we gewoon even afwachten tot een universiteit ermee is gaan spelen :-)
In theorie zou het natuurlijk zo kunnen zijn dat het weldegelijk one way is ge-encode.
Vingerafdruk -> representatie -> algoritme -> opgeslagen one way hash.
Hoe ze dat oplossen met oriëntatie en hoek van de vinger op de sensor, geen idee.
Ik unlock het direct voor ze.
Er onder zit echter een onzichtbare (externe) schil, die zich automatisch ontsluit na het invoeren van een “code-zin” waar niet om gevraagd wordt. ;-)
#12
zmmmmmmcie
@Joost, #9 Totdat we dat weten is dit natuurlijk nogal academisch en soms een beetje fundamentalistisch gezwets
Nee. Totdat we dat weten kunnen we maar beter uitgaan van de meest voor de hand liggende implementatie, namelijk dat er een vingerafdruk is opgeslagen met een detailniveau dat “gangbaar” is in de industrie en dat DUS voldoende is om aan jouw echte vingerafdruk te relateren. Zie mijn link uit #8.
Je moet dingen niet gebruiken omdat je niet weet of ze onveilig zijn. Beter gebruik je dingen niet omdat je niet weet of en waarom ze wel veilig zijn.
@11: Leuk bedacht. Maar tenzij je die geheime onzichtbare dinges helemaal zelf bedacht hebt is de politie er natuurlijk ook van op de hoogte. Alleen kunnen ze je dan wettelijk (nog) niet dwingen je wachtwoord te vertellen. In andere landen kan dat trouwens wel, en ben je strafbaar als je niet meewerkt.
#14
zmmmmmmcie
@Olav, #13 Er zijn allerlei oplossingen waarmee je je data zodanig kunt versleutelen dat je geloofwaardig kunt ontkennen dat die data uberhaupt bestaat.
Nieuwe leuze ter vervanging van “An apple a day keeps the doctor away”:
“Apple, every keeps your personal freedom away” ;-)
Nederlandse variant:
Zal uw privacy u een zorg zijn, blijf dan met uw “slimme telefoon” online.
#17
John Sirre
Wat we niet zien: Waar dat apparaat vandaan komt, wie het heeft gemaakt en onder welke omstandigheden. Terwijl een goed ontworpen gadget bepaalde idealen zichtbaar maakt, laat het minder welgevallige zaken soepel van zich afglijden.
De strijkbout uit de jaren 40 lijkt op een vliegtuig omdat dat het summum is van technologische mogelijkheden, maar de technologie zelf verbergt zijn herkomst. Door wie, waar en hoe
die strijkbout wordt gemaakt, dat wordt obscuur en irrelevant
zo gauw ik het object op zich begin te waarderen.
Reacties (17)
Nog een reden om het ding niet te kopen.
Ik koop zowiezo geen dingen met vingerafdruk scanner, ik vraag me af hoe lang het zal duren eer een overvaller het slachtoffer dwingt om de vinger er op te houden, desnoods met geweld.
Gewoon instellen op de vingerafdruk van Opstelten en een latex versie ervan aan je sleutelbos hangen.
http://www.puttyworld.com/thinputdeffi.html
en over een half jaar krijgen we te horen dat de NSA toegang heeft tot de grootste vinger afdruk database ter wereld.
Nee voor mijn geen eiFoon.
@4: Ach, als je de afgelopen jaren een nieuw paspoort of ID hebt gehaald, zit je in die database al. Of dacht je dat de NSA je gemeente niet gehackt heeft?
@2: Of de vinger afhakt om te gebruiken?
@Bismarck, #2 Nou heb ik (wegens desinteresse:P) geen idee hoe de iPhone werkt maar normale recente vingerafdrukscanners doen het volgens mij alleen als de vinger nog leeft. De mythbustersmethode heeft waarschijnlijk aanmerkelijk meer kans van slagen.
@Bolke #4, Bismarck, #5 Als je jezelf als software ontwikkelaar ook maar een tikkeltje serieus neemt dan sla je vingerafdrukken dusdanig op dat de vingerafdruk zelf niet is te reconstrueren uit de opgeslagen gegevens, net als met een wachtwoord; je kunt wel kijken of het hetzelfde is, maar niet (of maar heel moeilijk) achterhalen wat er is opgeslagen. Dat is overigens geen sinecure met vingerafdrukken, maar het kan prima.
Als ik het zo lees, slaat Apple echter gewoon je vingerafdruk op. Wat Motorola doet, kan ik niet vinden. De overheid slaan ook gewoon je vingerdruk op.
Van de gemeentes kan ik me dat voorstellen; die zijn op dit gebied doorgaans erg incompetent. Of juist gewoon kwaadaardig. Bij Apple speelt iets anders mee; ze willen op den duur dat je ook met je vingerafdruk kunt betalen (tip: DAT MOET JE NIET WILLEN:P) en hebben daarvoor waarschijnlijk toch wel een volledige kopie van je vingerafdruk nodig.
@6: Voor wat ik begrepen heb slaat Apple slechts een aantal referentiepunten op en slaat die gecodeerd op, op een afgebakend deel van de chip. Komt dus niet buiten de telefoon, en het lijkt me niet heel makkelijk om de info van de chip te lezen. Maar zonder meer informatie kan niemand zeggen of het überhaupt kan. Ook deze informatie kan je 1-weg versleuteld opslaan.
Deze opzet is voldoende voor wat betreft het beveiligen van de telefoon, want voor het unlocken is er geen behoefte aan een systeem dat miljoenen vingerafdrukken uit elkaar kan houden. Op dit moment gebruiken de meeste mensen een 4-cijferige code, wat betekent dat in theorie je een kans van (iets meer dan) 3 keer 1 op de 10.000 hebt om een willekeurige telefoon te unlocken. Wat voldoende is voor een telefoon is natuurlijk lang niet genoeg in een rechtszaak (als het daarvan komt).
Dus zelfs als ze de gegevens uit de telefoon kunnen halen, dan nog vraag ik me af of ze er echt iets mee kunnen.
@Joost, #7 Zo’n ding slaat altijd maar “een aantal” referentiepunten op. Bijvoorbeeld “een aantal” gelijk aan de resolutie van de scanner:Ppp En, ja, het komt niet buiten je foon. Maar het staat er wel op terwijl dat technisch niet nodig is. Waarschijnlijk dan; een techniek om een one-way hash van dit soort data vol ruis te maken is natuurlijk geen kattepis.
En uit dat “aantal referentiepunten” kun je wel degelijk voldoende informatie afleiden om de vingerafdruk dusdanig te reconstrueren dat je hem met een echte vingerafdruk kunt vergelijken. Hier een voorbeeld:
http://pippaking.blogspot.nl/2007/11/reconstructing-fingerprint-images-from.html
Nou is dat niet zo’n punt als je de foon niet kunt unlocken zonder de eigenaar en de handel geencrypt is zolang ie niet geunlockt is. Maar dat is natuurlijk niet het geval; hij zal die opgeslagen vingerafdruk toch moeten kunnen decrypten voor ie kan unlocken:P Bovendien is het maar de vraag of die data ECHT alleen op je telefoon blijft. Lees daarover bijvoorbeeld ook dit:
http://arstechnica.com/security/2013/09/of-course-nsa-can-crack-crypto-anyone-can-the-question-is-how-much/
Bottomline: je wil je vingerafdruk gewoon zo min mogelijk in digitale apparaten hebben staan. Of dat nou je eigen telefoon is of een database van een incompetente overheid. Een telefoon die je niet aan kunt zetten zonder dat ie je vingerafdruk scant komt er bij mij niet in. Maargoed ik ben dan ook een paranoide idioot met een autistische (software)ontwikkelingsstoornis;P
@zmmmmmmcie: Alles is hackbaar ja. De vraag is echter in hoeverre de “resolutie” (geen beter woord, sorry) van de vingerafdruk voldoende is om hem te kunnen reverse engineeren, en dan wel zo dat hij bruikbaar is in andere velden. En ik heb geen idee hoeveel punten of andere kenmerken dit zijn, en wat de false positive ratio is. Totdat we dat weten is dit natuurlijk nogal academisch en soms een beetje fundamentalistisch gezwets en hebben we feitelijk geen idee hoe (on)gevaarlijk dit is. :-p
Ja natuurlijk wil je je vingerafdruk niet overal hebben, maar hoe gevaarlijk dat is hangt af van hoe het gedaan wordt, en hoe het wordt opgeslagen. Laten we gewoon even afwachten tot een universiteit ermee is gaan spelen :-)
In theorie zou het natuurlijk zo kunnen zijn dat het weldegelijk one way is ge-encode.
Vingerafdruk -> representatie -> algoritme -> opgeslagen one way hash.
Hoe ze dat oplossen met oriëntatie en hoek van de vinger op de sensor, geen idee.
http://tinyurl.com/qb3f2o7
Ik unlock het direct voor ze.
Er onder zit echter een onzichtbare (externe) schil, die zich automatisch ontsluit na het invoeren van een “code-zin” waar niet om gevraagd wordt. ;-)
@Joost, #9 Totdat we dat weten is dit natuurlijk nogal academisch en soms een beetje fundamentalistisch gezwets
Nee. Totdat we dat weten kunnen we maar beter uitgaan van de meest voor de hand liggende implementatie, namelijk dat er een vingerafdruk is opgeslagen met een detailniveau dat “gangbaar” is in de industrie en dat DUS voldoende is om aan jouw echte vingerafdruk te relateren. Zie mijn link uit #8.
Je moet dingen niet gebruiken omdat je niet weet of ze onveilig zijn. Beter gebruik je dingen niet omdat je niet weet of en waarom ze wel veilig zijn.
EDIT. Ook: http://9gag.com/gag/amXYEBX
@11: Leuk bedacht. Maar tenzij je die geheime onzichtbare dinges helemaal zelf bedacht hebt is de politie er natuurlijk ook van op de hoogte. Alleen kunnen ze je dan wettelijk (nog) niet dwingen je wachtwoord te vertellen. In andere landen kan dat trouwens wel, en ben je strafbaar als je niet meewerkt.
@Olav, #13 Er zijn allerlei oplossingen waarmee je je data zodanig kunt versleutelen dat je geloofwaardig kunt ontkennen dat die data uberhaupt bestaat.
http://en.wikipedia.org/wiki/Deniable_encryption
Maar daar hebben Apple-gebruikers natuurlijk niks aan, voor hen is er enkel The Apple Way.
Oplossing: http://9gag.com/gag/aYbx2B7
Nieuwe leuze ter vervanging van “An apple a day keeps the doctor away”:
“Apple, every keeps your personal freedom away” ;-)
Nederlandse variant:
Zal uw privacy u een zorg zijn, blijf dan met uw “slimme telefoon” online.
Wat we niet zien: Waar dat apparaat vandaan komt, wie het heeft gemaakt en onder welke omstandigheden. Terwijl een goed ontworpen gadget bepaalde idealen zichtbaar maakt, laat het minder welgevallige zaken soepel van zich afglijden.
De strijkbout uit de jaren 40 lijkt op een vliegtuig omdat dat het summum is van technologische mogelijkheden, maar de technologie zelf verbergt zijn herkomst. Door wie, waar en hoe
die strijkbout wordt gemaakt, dat wordt obscuur en irrelevant
zo gauw ik het object op zich begin te waarderen.