(no subject)
Apr. 19th, 2013 05:11 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
cat_muciusПрочёл давеча совершенно сногсшибательную штуку: группа из Беркли сумела построить систему аутентификации на основе электроэнцефалограмм. То есть буквально так: компьютер способен опознать юзера с помощью мысли.
Причём работает это достаточно удобно: на юзера надеваются наушники, оборудованные блютусом и одним ЭЭГ-сенсором. Юзер морщит ум, сенсор ловит, блютус передаёт, компьютер сравнивает энцефалограмму с заранее записанными сэмплами – из того же источника и из других. Если сходство с сэмплами от того же умища достаточно близко, а от других умищ – достаточно далеко, то бинго.
Интересно, что в отличие от паролей и криптоключей, “отпирающая” мысль не обязана быть секретом. Она не обязана быть воспроизведением какой-нибудь кодовой фразы – можно петь про себя, к примеру. Или представлять себе картинку. Или сосредоточиться на тактильных ощущениях. Мысль может быть глубоко частного характера, а может быть доступной любому - например, когда участники испытаний просто сосредотачивались на своём дыхании, на вероятности правильно соотнести энцефалограмму с её “хозяином” это сказывалось не хуже, чем в случаях, когда их просили думать что-то сугубо личное. Можно шевелить ушами, а можно вспоминать счастливейший миг своей жизни, мысленно произнося “eXpect0 p@tronum!”
Правда, когда первый вал энтузиазма схлынул, на меня навалились подозрения. Основное заключалось в том, что в резюме одного из исследователей за 23 февраля сего года значилось, что статья была представлена на security-конференции в Японии первого апреля. :-)
Должен сказать, что если это прикол, то я купился полностью. Впрочем, для прикола он как-то чересчур малоабсурден – масса народу перепечала сообщение без всяких опасений, журнал “Хакер”, к примеру. :-) Наушники с сенсором существуют на самом деле, в любом случае.
Но даже если это розыгрыш, всё равно интересно подумать, насколько безопасна была бы такая схема. Я пока вижу несколько слабых мест:
a. Вероятность ошибки. Биометрия вообще, в отличие от традиционных паролей и криптоключей, штука куда более статистическая. Вероятность случайно подобрать качественный пароль пренебрежимо мала, случайное совпадение ключей RSA – ещё маловероятнее. В отношение же отпечатков пальцев вероятность, афаик, где-то 0.0001.
Если статья – не розыгрыш, то наименьшее экспериментальное значение ошибки – 0.011. Для реальной системы коммерческого уровня – пока ещё неприемлемо.
b. Мы плохие хозяева собственным мыслям. Вынудить кого-то подумать о чём-то гораздо легче, чем вынудить его сообщить секрет – причём сделать это можно прямо в лоб, нисколько не скрывая намерений. Представляете себе систему, взломанную по методу “не думай о белой обезъяне”? Можно придумать и более изощрённые способы, когда носитель мысли-ключа не подозревает об атаке. Хитро спрятанный в изголовье кресла ЭЭГ-сенсор и разговор, образ, обстановка, наводящие на нужную мысль... Возможно, для специалистов в области энцефалографии такие опасения покажутся смешными, но пока я не вижу причин совсем их сбрасывать со счётов.
c. Вероятность replay-атаки. Если я могу перехватить энцефалограмму при легальном заходе юзера в систему, то ничто не мешает мне подсовывать её на вход той же или даже другим системам уже без участия оригинального источника.
С этим можно бороться – если юзер будет использовать всегда лишь свой доверенный сенсор, если будет проверять, как бы смешно это не звучало, что никакой другой сенсор его не считывает и если между сенсором и системой будет обеспечиваться традиционная криптографическая защита от replay-атак: шифрование и всякие challenge-response протоколы.
d. Атака с подставным терминалом. Допустим, юзер пытается зайти на один компьютер, но на самом деле его сенсор общается по беспроволочной связи совсем с другим. Юзер думает свою мысль-ключ, и тем отпирает не тот терминал, который у него перед глазами, а другой, за которым сидит хакер. Что даёт хакеру две возможности:
Перехватить и декодировать ключевую энцефалограмму.
Зайти за счёт юзера на терминал.
Первую возможность можно побить, установив между сенсором и терминалом криптографическое доверие, наподобие SSL, но во-первых, возникает та же проблема, что и с SSL – если терминалов много, то доверительные отношения с каждым не наладишь, значит приходиться доверяться третьей удостоверяющей стороне. Что открывает возможности для man-in-the-middle атак со стороны того, кто эту третью сторону контролирует.
Но даже если доверие установлено, вторая проблема остаётся. Сенсору затруднительно сообщить носителю “эй, это совсем не тот компьютер – срочно думай другую мысль!”
Решить это можно, отказавшись от беспроволочной связи, но это ударяет по удобству для пользователя.
e. Наконец, сама система может быть хакнута – или просто её хозяева могут использовать хранимые в ней сэмплы юзерских энцефалограмм, чтобы получать доступ к совсем другим системам. Та же проблема с паролями – люди редко придерживаются правила ”один пароль – один сайт”.
Так что полагаться на ЭЭГ как на основной метод аутентификации, на мой взгляд, нельзя. Иное дело, что в качестве дополнительной меры защиты к паролю или к смарт-карте с криптоключом она может быть вполне полезна. К тому же по сравнению с прочей биометрией у неё есть то неоспоримое приемущество, что в случае чего придумать новую мысль-ключ несравненно проще, чем отрастить новую сетчатку или отпечаток пальца. :-)
Эх, жалко будет, если розыгрыш – я уж отчётливо представил себе, как устанавливаю расширение схемы Active Directory, добавляющее к каждому объекту класса user объект класса pensieve. :-)
P.S. Собираюсь сегодня на концерт Amorphis – френды, ещё кто-то идёт?
Update: отменный был концерт, музыканты молодцы. После неудачного экспириенса с Symphony X меня преследовали печальные мысли, уж не устарел ли я для металла. Аморфис доказали: нет, не устарел. :-)
Update2: вот тут можно не только узнать, что игралось, но и послушать, если кому вдруг любопытно.
Причём работает это достаточно удобно: на юзера надеваются наушники, оборудованные блютусом и одним ЭЭГ-сенсором. Юзер морщит ум, сенсор ловит, блютус передаёт, компьютер сравнивает энцефалограмму с заранее записанными сэмплами – из того же источника и из других. Если сходство с сэмплами от того же умища достаточно близко, а от других умищ – достаточно далеко, то бинго.
Интересно, что в отличие от паролей и криптоключей, “отпирающая” мысль не обязана быть секретом. Она не обязана быть воспроизведением какой-нибудь кодовой фразы – можно петь про себя, к примеру. Или представлять себе картинку. Или сосредоточиться на тактильных ощущениях. Мысль может быть глубоко частного характера, а может быть доступной любому - например, когда участники испытаний просто сосредотачивались на своём дыхании, на вероятности правильно соотнести энцефалограмму с её “хозяином” это сказывалось не хуже, чем в случаях, когда их просили думать что-то сугубо личное. Можно шевелить ушами, а можно вспоминать счастливейший миг своей жизни, мысленно произнося “eXpect0 p@tronum!”
Правда, когда первый вал энтузиазма схлынул, на меня навалились подозрения. Основное заключалось в том, что в резюме одного из исследователей за 23 февраля сего года значилось, что статья была представлена на security-конференции в Японии первого апреля. :-)
Должен сказать, что если это прикол, то я купился полностью. Впрочем, для прикола он как-то чересчур малоабсурден – масса народу перепечала сообщение без всяких опасений, журнал “Хакер”, к примеру. :-) Наушники с сенсором существуют на самом деле, в любом случае.
Но даже если это розыгрыш, всё равно интересно подумать, насколько безопасна была бы такая схема. Я пока вижу несколько слабых мест:
a. Вероятность ошибки. Биометрия вообще, в отличие от традиционных паролей и криптоключей, штука куда более статистическая. Вероятность случайно подобрать качественный пароль пренебрежимо мала, случайное совпадение ключей RSA – ещё маловероятнее. В отношение же отпечатков пальцев вероятность, афаик, где-то 0.0001.
Если статья – не розыгрыш, то наименьшее экспериментальное значение ошибки – 0.011. Для реальной системы коммерческого уровня – пока ещё неприемлемо.
b. Мы плохие хозяева собственным мыслям. Вынудить кого-то подумать о чём-то гораздо легче, чем вынудить его сообщить секрет – причём сделать это можно прямо в лоб, нисколько не скрывая намерений. Представляете себе систему, взломанную по методу “не думай о белой обезъяне”? Можно придумать и более изощрённые способы, когда носитель мысли-ключа не подозревает об атаке. Хитро спрятанный в изголовье кресла ЭЭГ-сенсор и разговор, образ, обстановка, наводящие на нужную мысль... Возможно, для специалистов в области энцефалографии такие опасения покажутся смешными, но пока я не вижу причин совсем их сбрасывать со счётов.
c. Вероятность replay-атаки. Если я могу перехватить энцефалограмму при легальном заходе юзера в систему, то ничто не мешает мне подсовывать её на вход той же или даже другим системам уже без участия оригинального источника.
С этим можно бороться – если юзер будет использовать всегда лишь свой доверенный сенсор, если будет проверять, как бы смешно это не звучало, что никакой другой сенсор его не считывает и если между сенсором и системой будет обеспечиваться традиционная криптографическая защита от replay-атак: шифрование и всякие challenge-response протоколы.
d. Атака с подставным терминалом. Допустим, юзер пытается зайти на один компьютер, но на самом деле его сенсор общается по беспроволочной связи совсем с другим. Юзер думает свою мысль-ключ, и тем отпирает не тот терминал, который у него перед глазами, а другой, за которым сидит хакер. Что даёт хакеру две возможности:
Первую возможность можно побить, установив между сенсором и терминалом криптографическое доверие, наподобие SSL, но во-первых, возникает та же проблема, что и с SSL – если терминалов много, то доверительные отношения с каждым не наладишь, значит приходиться доверяться третьей удостоверяющей стороне. Что открывает возможности для man-in-the-middle атак со стороны того, кто эту третью сторону контролирует.
Но даже если доверие установлено, вторая проблема остаётся. Сенсору затруднительно сообщить носителю “эй, это совсем не тот компьютер – срочно думай другую мысль!”
Решить это можно, отказавшись от беспроволочной связи, но это ударяет по удобству для пользователя.
e. Наконец, сама система может быть хакнута – или просто её хозяева могут использовать хранимые в ней сэмплы юзерских энцефалограмм, чтобы получать доступ к совсем другим системам. Та же проблема с паролями – люди редко придерживаются правила ”один пароль – один сайт”.
Так что полагаться на ЭЭГ как на основной метод аутентификации, на мой взгляд, нельзя. Иное дело, что в качестве дополнительной меры защиты к паролю или к смарт-карте с криптоключом она может быть вполне полезна. К тому же по сравнению с прочей биометрией у неё есть то неоспоримое приемущество, что в случае чего придумать новую мысль-ключ несравненно проще, чем отрастить новую сетчатку или отпечаток пальца. :-)
Эх, жалко будет, если розыгрыш – я уж отчётливо представил себе, как устанавливаю расширение схемы Active Directory, добавляющее к каждому объекту класса user объект класса pensieve. :-)
P.S. Собираюсь сегодня на концерт Amorphis – френды, ещё кто-то идёт?
Update: отменный был концерт, музыканты молодцы. После неудачного экспириенса с Symphony X меня преследовали печальные мысли, уж не устарел ли я для металла. Аморфис доказали: нет, не устарел. :-)
Update2: вот тут можно не только узнать, что игралось, но и послушать, если кому вдруг любопытно.
