Vingerafdruk Ghanese kiezer achter slot en grendel

Reading time: 5 minutes

Author:

Biometrische gegevens zijn erg privacygevoelig en bij de verwerking is zorgvuldigheid geboden. Bij het Eindhovense Genkey gebruiken ze meerdere beveiligingsmechanismes. Niet alleen versleutelen ze hun systeem met externe software, ze slaan de biometrische gegevens ook nog eens op als cijfercode waardoor die niet te achterhalen zijn.

One man, one vote. Op zich een logisch principe voor een democratie, maar in derdewereldlanden met een incomplete basisadministratie kan het een probleem zijn. In Ghana hebben ze bij de laatste verkiezingen extra maatregelen genomen. Niet alleen moesten kiezers zich van tevoren registreren, ze moesten daarbij ook hun vingerafdrukken afgeven. Al die vingerafdrukken kwamen in een grote database terecht, waaruit de dubbele werden verwijderd. Wie op 7 december 2012 twintig keer op dezelfde kandidaat wilde stemmen, kwam bedrogen uit. Eén vingerafdruk is immers maar één man en dus maar één stem.

Ghana heeft zo‘n vijftien miljoen kiezers. Met de gebruikelijke technieken zou het onmogelijk zijn geweest al die vingerafdrukken te ontdubbelen. Daarom heeft het Afrikaanse land gekozen voor een alternatieve biometrisch matchfunctie, ontwikkeld door het Eindhovense Genkey.

’Ons bedrijf rust in feite op twee pijlers‘, vertelt technologiedirecteur Tom Kevenaar van Genkey. ’Enerzijds hebben we technologie om heel snel biometrische gegevens te vergelijken en te matchen. Per seconde kunnen we op een quadcore zo‘n honderd miljoen vingervergelijkingen doen, een factor tienduizend sneller dan de standaard. Anderzijds hebben we technologie om biometrische gegevens beveiligd op te slaan, zodat privacy gewaarborgd is. Daarbij gebruiken we intrinsiek veilige templates. Er is geen extra cryptografie meer nodig; de data zijn zo opgeslagen dat de biometrische gegevens er niet uit te halen zijn.‘

’Naast deze twee coretechnologieën bieden we ook databasesystemen aan‘, vervolgt Kevenaar. ’In combinatie met onze matcher kunnen we zo volledige oplossingen leveren die heel snel databases kunnen doorzoeken.‘

Biohash

Genkey kan zo snel vingerafdrukken matchen omdat het een alternatieve manier heeft ontwikkeld om vingerafdrukken te registreren. ’De verwerking van biometrische data is lastig door de variabiliteit in de metingen‘, legt Kevenaar uit. ’Iedere meting is uniek is; je hebt dus nooit twee keer exact dezelfde gegevens, waardoor matchen moeilijk is.‘

De wereldwijd gangbare techniek om vingerafdrukken te matchen, werkt op basis van zogeheten minutiae, hoofdkenmerken van het lijnenpatroon. Elke vinger heeft er hier ongeveer veertig van. Hun locatie wordt opgeslagen in een database. Om een match te maken, worden de locaties van twee sets minutiae met elkaar vergeleken. Uit de ene set worden bijvoorbeeld drie locaties gekozen en in de andere set wordt dan gekeken of een dergelijke driehoek daar ook voorkomt. Vervolgens wordt een nieuwe driehoek of vierhoek gekozen, enzovoorts. Dat moet een groot aantal keer worden gedaan om een betrouwbaar beeld te krijgen. Dat maakt de methode behoorlijk arbeidsintensief.

De aanpak van Genkey is anders. Uit een plaatje van een vingerafdruk haalt het eigenschappen van de vinger. Hierbij valt te denken aan de vorm van de afdruk of het aantal lijnen (de ridge frequency), maar het kunnen ook allerlei wiskundige formuleringen zijn die uit het plaatje zijn af te leiden. De Eindhovenaren combineren deze features in een vector. Een match zoeken gaat nu heel eenvoudig in één keer aan de hand van die vector, en niet meer in allemaal losse stappen.

Genkey slaat de vector niet direct op, maar versleutelt deze eerst met een cryptografische hashfunctie (een eenrichtingsfunctie waarbij de input niet is te herleiden uit de output). Ook dat brengt technische uitdagingen met zich mee. Vingerafdrukmetingen hebben immers variabiliteit in zich en een hashfunctie verandert de vector zó sterk dat hij niet meer is te matchen. ’Een groot deel van onze ontwikkeltijd is daarin gaan zitten‘, vertelt Kevenaar. ’Hoe maken we een zo stabiel mogelijke representatie van een biometrische meting zodat we die door een hashfunctie kunnen halen?‘

De Eindhovenaren hebben het probleem opgelost door bij de selectie van de vingerafdrukfeatures een inschatting te maken van de betrouwbaarheid van de metingen. Daarbij onderscheiden ze betrouwbare, stabiele vingerafdrukinformatie en variabele ruis. De stabiele informatie halen ze wel door een cryptografische hashfunctie, de variabele ruis slaan ze los op.

Beide delen zijn nodig bij het matchen. ’Als we het verificatieproces in gaan, doen we een nieuwe meting met featurewaardes. Die nieuwe meting bewerken we met de ruisinformatie uit de database‘, licht Kevenaar toe. ’Zo proberen we dezelfde hashfunctie te maken, een match.‘ Het mooie van het systeem is dat de database an sich dus geen biometrische gegevens bevat, maar enkel een ’biohash‘ met ruisinformatie. De privacy is zodoende gewaarborgd.

Codemeter

Niet alleen de biometrische gegevens heeft Genkey beveiligd, ook de programmacode van de verwerkingssoftware. Kevenaar: ’Er zit ontzettend veel research in onze technologieën. Een deel van Genkey komt voort uit Philips en alleen daar hebben we er al zo‘n vijftig manjaar onderzoek in gestoken. Er zit dus heel veel waarde in de software die we bij een klant neerzetten. In Ghana hebben we ruim 26 duizend biometrische verificatieapparaten geleverd. Zoals iedere softwarefabrikant willen we niet dat kwaadwillenden kopieën kunnen maken van de programmatuur die daarop draait. Een extra veiligheidsprobleem is dat onze oplossingen zeer breed en vaak buiten onze controle worden ingezet. Daarom moeten we maatregelen nemen om zaken als reverse engineering tegen te gaan.‘

Voor de beveiliging van de code zelf leunt Genkey op Wibu-Systems. Dit Hengelose bedrijf biedt een groot aantal versleutelingsmethodieken. Genkey gebruikt het Codemeter-product, een programma dat beveiligingsapplicaties en softwaresleutels maakt. ’Het voordeel daarvan is dat we het achteraf kunnen toepassen‘, verklaart Kevenaar. ’We hoeven het ontwikkelproces van onze broncode niet te veranderen. Een ander voordeel is dat in die oplossing alles zit dat we nodig hebben: licensing, codeprotectie en een methode om andere data te beveiligen. Bovendien is de beveiliging hardwareonafhankelijk. Wibu biedt ook een hardwareoplossing, maar als je 26 duizend apparaten verspreidt over Ghana, wil je niet elk exemplaar zijn eigen dongle gaan geven.‘

Voordat een systeem de deur uit gaat, haalt Genkey zijn programmatuur door Codemeter. De Wibu-tool encrypt de code en bundelt die samen met een licentiebestand tot een softwarepakket. Wanneer het apparaat start, zal de embedded software eerst dat bestand aanspreken en met behulp van een digitale handtekening kijken of het wel origineel is. Is dat het geval, dan wordt een aantal gestelde voorwaarden uitgelezen. Dat kunnen licentievoorwaarden zijn, zoals de tijd dat de software mag worden gebruikt, maar ook hardware-eigenschappen van het systeem.

’Denk aan kenmerken als het serienummer, wat voor processor erin zit, wat voor harde schijf‘, vult accountmanager Robbert Groen van Wibu-Systems aan. ’De eigenschappen van het apparaat zijn direct ook de beveiligde container waarbinnen we onze filters uitrollen. Wordt een van die eigenschappen veranderd of klopt er eentje niet, dan heeft dat direct effect op de sleutel en zal de software niet starten.‘

Codemeter past zowel symmetrische als asymmetrische versleuteling toe. Bij het starten van de applicatie en het opvragen van de digitale handtekening gebruikt het asymmetrische encryptie, waarbij er keuze is uit het zeer veilige 224 bit ECC en het oudere 2048 bit RSA. De broncode zelf is versleuteld met behulp van symmetrische 128 bit AES-encryptie. Symmetrische methodes zijn daar weer beter voor geschikt omdat ze in principe minder CPU-intensief zijn dan asymmetrische.