Biometrische Erkennung anhand des Tippverhaltens

Fingerabdrücke, Iris-Scans und Gesichtserkennung sind die wohl bekanntesten biometrischen Verfahren. Von Herstellern wie Psylock kommt Biometrie-Software, die Benutzer anhand des Tippverhaltens erkennt.

Innenminister jubeln, Datenschützern sträuben sich die Haare. Anbieter versprechen die ultimative Waffe gegen die vermeintlich kriminelle Anonymität im Web, Datenschützer befürchten Orwell-Szenarien. Nicht erst seit der Chaos Computer Club Wolfgang Schäubles Fingerabdruck in seiner Mitgliederzeitschrift veröffentlichte [1], kämpft die Branche gegen die zunehmende Skepsis der Benutzer (siehe auch “Recht”-Artikel in diesem Heft).

Die biometrische Erkennung anhand des individuellen Tippverhaltens scheint dagegen sicherer und komfortabler. Ein eigenes Lesegerät sei nicht notwendig und das Merkmal nicht kopierbar, sagen zumindest Wissenschaftler und Hersteller wie Psylock [2] aus Regensburg.

Assyrien

Einer der ältesten biometrischen Versuche (Kasten “Biometrie – Begriffe”) datiert aus dem Assyrien des 8. Jahrhundert vor Christi [3]. Archäologie-Experten fanden ein tönernes Siegel mit einem Fingerabdruck und vermuten, dass Ahas, der König Judas, höchstpersönlich seinen Finger in den Ton drückte. Vielleicht war es aber auch Baruch, ein Schreiber des Propheten Jeremias. Zur endgültigen Klärung fehlt ein Referenzabdruck des Königs oder des Schreibers. Dieser Fall zeigt die drei Komponenten eines erfolgreichen biometrischen Verfahrens: Der Erfassung (Enrolment) des persönlichen Merkmals folgt das Erstellen von Datensätzen (Templates) und später dann der Vergleich des vorgezeigten Charakteristikums mit der Vorgabe (Matching).

Biometrie – Begriffe
Biometrie ist die Wissenschaft von der Messung am Lebewesen (Griechisch Bios = Leben, metrein = messen). Die biometrische Erkennung nutzt Biometrie, um Individuen anhand von Merkmalen zu erkennen. Sie steht dabei im Gegensatz zur Biometrik, die die statistische Beschreibung in der Biologie betreibt. Ziel der biometrischen Erkennung ist es, einen lebenden Menschen in Echtzeit zu identifizieren, während die Forensik an Leichen zwar ähnliche Methoden nutzt, aber etwas mehr Zeit dafür hat. Biometrische Verfahren sind Mechanismen, die auf biometrischer Erkennung basieren und einen Menschen authentisieren. Meist benutzen sie spezielle Erkennungsgeräte wie einen Fingerabdruck- oder Iris-Scanner. Biometrische Systeme sind die Kombination aus Hardware und Software, die der biometrischen Identifikation oder Verifikation der Identität dient, sie verwenden dafür biometrische Verfahren. Mehr Grundlagen gibt es beim BSI [4], in der Biometrie-FAQ von Manfred Bromba [5] und in der Wikipedia [6]. Eine Webseite rund um Biometrie und Datenschutz [7] betreibt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.

Biometrie –
Begriffe

Biometrie ist die Wissenschaft von der Messung am Lebewesen (Griechisch Bios = Leben, metrein = messen).

Die biometrische Erkennung nutzt Biometrie, um Individuen anhand von Merkmalen zu erkennen. Sie steht dabei im Gegensatz zur Biometrik, die die statistische Beschreibung in der Biologie betreibt. Ziel der biometrischen Erkennung ist es, einen lebenden Menschen in Echtzeit zu identifizieren, während die Forensik an Leichen zwar ähnliche Methoden nutzt, aber etwas mehr Zeit dafür hat.

Biometrische Verfahren sind Mechanismen, die auf biometrischer Erkennung basieren und einen Menschen authentisieren. Meist benutzen sie spezielle Erkennungsgeräte wie einen Fingerabdruck- oder Iris-Scanner.

Biometrische Systeme sind die Kombination aus Hardware und Software, die der biometrischen Identifikation oder Verifikation der Identität dient, sie verwenden dafür biometrische Verfahren.

Mehr Grundlagen gibt es beim BSI [4], in der Biometrie-FAQ von Manfred Bromba [5] und in der Wikipedia [6]. Eine Webseite rund um Biometrie und Datenschutz [7] betreibt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.

Genetisch, zufällig, erlernt?

Die Wissenschaft unterscheidet biometrischen Merkmale nach zwei Kategorien: verhaltensbezogene (Unterschrift, Stimme, Tippverhalten) oder physiologische Merkmale (Fingerabdruck, Hand- oder Gesichtserkennung, Iris- oder Retina-Abbild). Unabhängig davon spielt eine wichtige Rolle, ob das Merkmal leicht messbar, ob damit möglichst viele Personen eindeutig unterscheidbar sind. Idealerweise bleibt das Merkmal auch über die gesamte Lebensspanne eines Menschen gleich.

Die Experten sprechen von genotypischen (genetisch bedingten), randotypischen (vom Zufallsprozessen beeinflussten) und konditionierten (erlernten) Merkmalen. Als genotypisch gilt beispielsweise die DNA eines Lebewesens, der Fingerabdruck hängt von Umwelteinflüssen im Embryonalstadium ab, das Verhalten an der Tastatur oder die Unterschrift geben gute Beispiele für konditionierte Merkmale. Tendenziell verändern sich letztere über die Jahre stärker, aber auch manche eher genotypische Merkmale wie die Stimme variieren stark im Laufe eines Lebens. Für den professionellen Einsatz spielt darüber hinaus eine gewichtige Rolle, ob sich das Verfahren unkompliziert im Alltag anwenden lässt. Hier sind Komfort, Genauigkeit, Verfügbarkeit, Kosten und die Akzeptanz durch den Benutzer gefragt.

Schau mir in die Augen!

Für die Authentifizierung durch Biometrie ist auch relevant, ob sich das Merkmal leicht oder schwer fälschen lässt. Da reicht die Spanne von einfach fälschbaren Charakteristika wie der Unterschrift oder dem Fingerabdruck (Kasten “Fingerabdrücke selbst gemacht”) bis zum Iris- oder Retina-Scan, die sehr hohes Vertrauen genießen, allerdings als teuer und umständlich gelten. DNA-Proben sind bei der Verbrecherjagd etabliert, können aber keine eineiigen Zwillinge unterscheiden und eignen sich noch nicht für Live-Systeme. Die früher als “Brillengestellerfassung” verspottete Gesichtserkennung macht langsam Fortschritte, wozu auch der großflächige Einsatz beiträgt, zum Beispiel in Großbritannien. Weil mehr und mehr Menschen beim Thema Videoüberwachung aber sensibel reagieren, kämpft diese Methode jedoch besonders mit der schlechten Akzeptanz durch die Benutzer.

Fingerabdrücke selbst gemacht
Die bekannteste Biometrie-Methode ist der Fingerabdruck. Generationen von TV-Kommissaren und -Forensikern überführten damit Verbrecher, viele moderne Notebooks haben einen Fingerprintreader eingebaut. Im Personalausweis aber gilt der Abdruck unter Kritikern als reines Security-Theater [8], als unsichere Methode, die dem Benutzer mehr Sicherheit vorgaukelt, als sie zu leisten imstande ist. Eine ermunternde Antwort auf die Frage “Würden Sie Ihr Passwort oder Ihre EC-PIN auf jedem Glas, jedem Tisch, jeder Türklinke hinterlassen?” bleiben die Consultants der Hersteller meist schuldig, und die von beiden Seiten bisweilen polemisch geführte Debatte sorgt für eine steigende Unsicherheit bei den Benutzern. Heute braucht niemand mehr einem Opfer den Finger abzuschneiden, ein beliebiger Abdruck, zum Beispiel auf einem Wasserglas, reicht. Der Chaos Computer Club zeigt seit 2004 in einem Video auf seiner Webseite [9], wie sich mit Hausmitteln (Holzleim, Sekundenkleber, Digicam) innerhalb von wenigen Minuten ein beliebiger Fingerabdruck fälschen lässt. Mit dem haben die Bastler handelsübliche Scanner überlistet und zusammen mit der ARD in Supermärkten eingekauft [10]. Das Problem ist bekannt: Hersteller wie Siemens arbeiten an fortgeschrittenen Techniken zur Lebenderkennung [11], die Puls, Blutdruck oder Wärmebilder mit einbeziehen, um die Wahrscheinlichkeit zu minimieren, dass das Gerät ein Foto des Fingerabdrucks nicht vom Originalfinger oder dem Körperteil einer Leiche unterscheiden kann.

Fingerabdrücke selbst
gemacht

Die bekannteste Biometrie-Methode ist der Fingerabdruck. Generationen von TV-Kommissaren und -Forensikern überführten damit Verbrecher, viele moderne Notebooks haben einen Fingerprintreader eingebaut. Im Personalausweis aber gilt der Abdruck unter Kritikern als reines Security-Theater [8], als unsichere Methode, die dem Benutzer mehr Sicherheit vorgaukelt, als sie zu leisten imstande ist.

Eine ermunternde Antwort auf die Frage “Würden Sie Ihr Passwort oder Ihre EC-PIN auf jedem Glas, jedem Tisch, jeder Türklinke hinterlassen?” bleiben die Consultants der Hersteller meist schuldig, und die von beiden Seiten bisweilen polemisch geführte Debatte sorgt für eine steigende Unsicherheit bei den Benutzern.

Heute braucht niemand mehr einem Opfer den Finger abzuschneiden, ein beliebiger Abdruck, zum Beispiel auf einem Wasserglas, reicht. Der Chaos Computer Club zeigt seit 2004 in einem Video auf seiner Webseite [9], wie sich mit Hausmitteln (Holzleim, Sekundenkleber, Digicam) innerhalb von wenigen Minuten ein beliebiger Fingerabdruck fälschen lässt. Mit dem haben die Bastler handelsübliche Scanner überlistet und zusammen mit der ARD in Supermärkten eingekauft [10].

Das Problem ist bekannt: Hersteller wie Siemens arbeiten an fortgeschrittenen Techniken zur Lebenderkennung [11], die Puls, Blutdruck oder Wärmebilder mit einbeziehen, um die Wahrscheinlichkeit zu minimieren, dass das Gerät ein Foto des Fingerabdrucks nicht vom Originalfinger oder dem Körperteil einer Leiche unterscheiden kann.

Tippverhalten

Eines der jüngsten biometrischen Verfahren ist die Erkennung einer Person am individuellen Tippverhalten, wie sie Psylock anbietet. Keystroke Dynamics [12] erfasst und analysiert die individuell typische Charakteristik der Eingabe an einer Computertastatur. Nach dem kurzen Hype mit zahlreichen Veröffentlichungen um die Jahrtausendwende wurde es still, aber mittlerweile haben es doch mehrere Hersteller zur Marktreife gebracht.

Die Methode scheint vielversprechend, weil sie keine aufwändigen Lesegeräte voraussetzt und auch am Strand, im Flugzeug oder im Internetcafe funktioniert. Die größten Vorteile des Tippverhaltens als biometrisches Merkmal liegen laut Herstellern aber in der Einzigartigkeit und der Eindeutigkeit sowie in der Eignung für nicht vertrauenswürdige Clientrechner. Zwar fällt es an sich in die Kategorie “Konditioniert”, aber die exakte Ausprägung bei einem Individuum hängt sowohl von genotypischen als auch randotypischen Faktoren ab.

Wie ein Mensch eine Tastatur bedient, ist zum einen ein Resultat der individuellen Biographie, aber auch seiner Körpermaße. Da spielen Faktoren wie die Länge der Finger, Muskelaufbau und individuelle Eigenschaften ebenso eine Rolle wie die Lerncharakteristik, Denkvorgänge oder die Sprachbeherrschung. Das Tippverhalten lässt sich nicht in einzelnen Körperteilen lokalisieren, die Details spielen sich größtenteils im Millisekundenbereich unterhalb der menschlichen Wahrnehmungsschwelle ab.

Linux ist genauer

Der Rechner kann die Eigenheiten der Person an der Tastatur jedoch erkennen, indem er die Abfolge der Key-Press- und Key-Release-Events aufzeichnet und die Zeitabstände misst. Während die Windows-Systeme nur eine minimale Auflösung von 15 Millisekunden beherrschen, tickt der Pinguin im Millisekundenrhythmus. “Das ist auf Linux einfach konzeptionell besser gemacht”, sagt Thomas Wölfl, Entwicklungsleiter bei Psylock. “Wir raten für sensible Bereiche schon deswegen zu Linux-Systemen, für Web-basierte Produkte müssen wir aber auch kompatibel zu Windows-Clients sein, daher beschränken wir uns notgedrungen auf die weniger exakte, aber kompatible Variante.”

Die Software von Psylock ist in drei Teile aufgeteilt, der Client wahlweise in Flash oder Javascript realisiert, die Entscheidungskomponente auf dem Server in Java. Sie kommt mit einem nur 57 KByte schlanken, gut dokumentierten API. Interessierten Linux-Programmierern, die dafür die passende PAM-Library entwickeln möchten, bietet Psylock Unterstützung an.

Das junge Verfahren ist erprobt, Tausende Benutzer der Universitäten Regensburg und Landshut tippen im Browser vom Psylock-Server vorgegebene Sätze ein und setzen so ihre Passwörter zurück, andere Kunden verwenden das System für Logins oder die kontinuierliche Verifikation, ob wirklich der Berechtigte noch vor dem Rechner sitzt oder ob er nach dem Login einen Kollegen rangelassen hat.

Und von Falschakzeptanzraten (FAR) unter dem Zehntelpromille-Bereich (acht von 300000 Versuchen), wie sie Psylock angibt, können andere Biometrieverfahren nur träumen, vor allem beim Preis von einmalig 10 Euro pro User.

Während sich die Mitbewerber Gedanken über die Sicherheit der (USB-)Erfassungsgeräte am Client machen müssen, findet bei Psylock eine rein Server-seitige Verifikation statt, die zahlreiche Angriffsvektoren ausschließt. Daher benötigt Psylock immer eine direkte Verbindung zwischen Server und Client. Terminaldienste, die die Tastaturevents kombiniert und eventuell sogar komprimiert übertragen, vertragen sich damit nicht. Das Enrolment, also das initiale Training des Systems ist bereits nach neun Sätzen abgeschlossen. Der Client arbeitet wie ein sehr genauer Keylogger, er misst und sammelt die Zeiten zwischen den Tastenanschlägen und überträgt die Daten an den Server, ein klassisches Challenge-Response-Verfahren.

Die Matrix

Die eigentliche Arbeit des korrekten Matching verrichtet der Server. Bei einem Standardsatz mit etwa 50 Zeichen ergeben sich 100 Timing-Werte. Die kombiniert Psylock mit den Geometriedaten und diversen Metadaten der Tastatur, sodass pro Wert eine Matrix aus 15 Parametern entsteht, insgesamt also etwa 1500 Werte.

Typische Fragestellungen dabei sind: Welche [Umschalt]-Taste verwendet der Benutzer? Korrigiert er falsche Eingaben, wenn ja: wie genau? Wie viele und welche Finger verwendet er zum Tippen? Wie schnell wechselt er zwischen den Tasten [A] und [B]? Wie unterschiedlich beschleunigen seine Finger beim Wechsel zwischen Tasten? Verwendet er den Nummernblock?

Algorithmen aus dem Bereich der Support-Vektor-Maschinen ([13], Abbildung 1), die mit Hilfe des Maschinenlernens und der KI in zehn Jahren Forschungsarbeit an der Universität Regensburg entstanden sind, berechnen aus diesen Zahlen einen eindeutigen, nicht umkehrbaren Hashwert, und nur den speichert der Server.

Abbildung 1: Das von Psylock verwendete Support-Vektor-Maschinen-Verfahren unterteilt den Ergebnisraum in zwei oder mehrere Kategorien. Objekte sind durch Vektoren repräsentiert und durch eine mehrdimensionale Hyperebene in Klassen aufgeteilt. (Bild: © Wikipedia (GNU-Lizenz))

Damit ist das Verfahren von Psylock ein “Exot”. Während die Biometrie sonst meist einen Bild- oder Mustervergleich verwendet, setzt Psylock eine Klassifikationstechnik in Kombination mit statistischen Verfahren ein. Ein direkter Vergleich von hinterlegtem Muster und dem bei der Zugangskontrolle aufgenommenem Template ist so unmöglich. Auch ein Angreifer, der in den Besitz der Server-Maschine gelangt, kann die Merkmale der Benutzer nicht extrahieren. Anhand des erzeugten Hashwerts lassen sich nur Ähnlichkeiten und Wahrscheinlichkeiten berechnen und die Eingaben des Anmeldeversuches auswerten.

Offene Fragen

Allen biometrischen Verfahren gemeinsam ist ein anderes, grundlegenderes Problem: Die Merkmale sind einmalig. Während sich ein gecracktes Passwort zurück- oder neu setzen lässt, hat der Besitzer eines biometrischen Merkmals in diesem Falle keine Chance, der spezielle Fingerabdruck oder Iris-Scan bleibt kompromittiert. Hat ein Angreifer es erst einmal geschafft, das Tippverhalten erfolgreich zu simulieren, indem er zum Beispiel von dem jeweiligen Benutzer umfangreiche Tipp-Poben sammelt und einspeist, dann ist dieses Verfahren unbrauchbar.

Konkrete Ansätze für Hacker dürften beim Tippverhalten Replay-Attacken oder Angriffe analog zu den verbreiteten Captcha-Hacks [14] mit eigenen Keyloggern auf Clients sein. Auch deshalb arbeitet Psylock bereits an Zufallstexten für die Anmeldung.

Fazit

Die Chancen stehen nicht schlecht für die Keystroke Recognition. Der Komfort, die laut Herstellern hohe Akzeptanz und der erhebliche Aufwand für Angreifer machen sie zu einer spannenden Technologie, die sich sicherlich für viele Szenarien eignet.

Auch die US-Army hatte das im Zweiten Weltkrieg zur Perfektion gebracht: Die Geheimdienste erkannten freundliche und feindliche Funker an der individuellen Melodie ihrer Morsezeichen.

Infos
[1] CCC-Datenschleuder mit Schäubles Fingerabdruck: [http://ds.ccc.de] [2] Psylock: [http://www.psylock.com] [3] Tonsiegel des Ahas: [http://www.gutenachrichten.org/ARTIKEL/gn00ja_art5.htm] [4] BSI zur Biometrie: [http://www.bsi.bund.de/fachthem/biometrie/index.htm] [5] Grundlagen zur Biometrie: [http://www.bromba.com/faq/biofaqd.htm] [6] Wikipedia zu Biometrie: [http://de.wikipedia.org/wiki/Biometrie] [7] Biometrie und Datenschutz: [https://www.datenschutzzentrum.de/projekte/biometrie] [8] Security-Theater: [http://en.wikipedia.org/wiki/Security_theater] [9] Fingerabdruck fälschen: [http://www.ccc.de/biometrie/fingerabdruck_kopieren] [10] ARD Plusminus: Mit gefälschtem Fingerabdruck bei Edeka einkaufen: [http://www.daserste.de/plusminus/beitrag_dyn~uid,y2i9gnyp0ejp1iqp~cm.asp] [11] Lebenderkennung: [http://de.wikipedia.org/wiki/Fingerabdruck-Scanner] [12] Keystroke Dynamics: [http://en.wikipedia.org/wiki/Keystroke_dynamics] [13] Support-Vektor-Maschinen: [http://de.wikipedia.org/wiki/Support_Vector_Machine] [14] Captcha-Attacken: [http://www.techdirt.com/articles/20080523/0327151211.shtml]

Infos

[1] CCC-Datenschleuder mit Schäubles Fingerabdruck: [http://ds.ccc.de]

[2] Psylock: [http://www.psylock.com]

[3] Tonsiegel des Ahas: [http://www.gutenachrichten.org/ARTIKEL/gn00ja_art5.htm]

[4] BSI zur Biometrie: [http://www.bsi.bund.de/fachthem/biometrie/index.htm]

[5] Grundlagen zur Biometrie: [http://www.bromba.com/faq/biofaqd.htm]

[6] Wikipedia zu Biometrie: [http://de.wikipedia.org/wiki/Biometrie]

[7] Biometrie und Datenschutz: [https://www.datenschutzzentrum.de/projekte/biometrie]

[8] Security-Theater: [http://en.wikipedia.org/wiki/Security_theater]

[9] Fingerabdruck fälschen: [http://www.ccc.de/biometrie/fingerabdruck_kopieren]

[10] ARD Plusminus: Mit gefälschtem Fingerabdruck bei Edeka einkaufen: [http://www.daserste.de/plusminus/beitrag_dyn~uid,y2i9gnyp0ejp1iqp~cm.asp]

[11] Lebenderkennung: [http://de.wikipedia.org/wiki/Fingerabdruck-Scanner]