Безопасное хранение биометрической информации для сравнения

Question

Я использую биометрический сканер отпечатков пальцев с SDK, который позволяет мне сравнивать два изображения отпечатка пальца. Мой вопрос в том, хочу ли я локально сохранить одно из изображений для последующего сравнения, что является самым безопасным способом сделать это?

Мое мышление заключается в том, что при выполнении одинаковых действий с паролями простым безопасным способом было бы хеширование исходного пароля для хранения, а затем сравнение хэшей вместо паролей с открытым текстом. Очевидно, что это невозможно с изображениями отпечатков пальцев, поскольку они будут давать несколько разные результаты каждый раз. Итак, какой самый безопасный способ сохранить исходное изображение?

Заранее благодарен

Answer 1

Биометрические данные полагаются на нечеткое сравнение. Чтобы это произошло, вы должны иметь исходное изображение. Хэш является по определению односторонней операцией и, следовательно, не подходит.

Для безопасного хранения этих учетных данных вы должны использовать симметричный шифр. AES-256 с режимом CBC и рандомизированным IV, а c ryptographic nonce в качестве ключа - очень хороший выбор. Хотя IV менее важна в этой конкретной реализации, потому что 2 одинаковых отпечатка пальца невозможно, поэтому 2 одинаковых текста шифрования никогда не должны происходить, однако я бы все же использовал случайный IV. Многое может пойти не так с impmamentaiton симметричного шифра и есть libraires, которые заботятся о нем такой Jasypt, хотя я не знаю, какую платформу вы используете.

Если злоумышленник может извлечь исходный отпечаток пальца, используемый для сравнения, он сможет обойти эту систему безопасности. Например, The MythBusters where able to break 2 off the shelf fingerprint readers using this attack. В свете этой атаки вы можете рассмотреть Two-Factor Authentication.