本篇文章1374字,读完约3分钟
[it168 Information]如今,广泛用于移动终端的指纹识别已成为高安全性的象征。我们也习惯于在手机解锁、支付和安全加密等场景中应用指纹识别,并且认为它是安全的。不幸的是,一些指纹传感器并不像你想象的那么安全。相反,他们可能会直接出售你的指纹图像,成为一个致命的安全漏洞,但你没有办法知道它。
Synaptics在最近结束的台北电脑展上做了这样的展示。一个看似普通的指纹识别笔记本,在用户使用指纹识别后,罪犯可以捕获指纹传感器的原始数据,并将数据无线传输到另一台机器上,这样就可以模仿主人的指纹,然后用模仿的假指纹破解主人的电脑、手机等一系列指纹设备,不到20分钟。
这背后是怎么回事?事实上,指纹识别方案可以称之为安全性,它需要在指纹采集、传输、存储等环节提供安全性。任何环节的疏忽都会直接影响系统的安全性。我们常用的指纹识别主要关注存储的安全性。例如,手机将调用独立的信任区来确保安全,而个人设备将调用独立的加密芯片来存储指纹数据,这带来了安全的印象。
但是当涉及到指纹信息的传输时,一些指纹识别方案就不那么小心了,甚至直接背叛了你的安全。以下图为例,在从传感器向主机传输指纹信息的过程中,第四种方案根本没有加密措施,而第三种方案在传感器和mcu之间没有加密措施,尽管在mcu和主机之间建立了加密传输。这种未加密的传输意味着你的指纹信息将被毫无保留地暴露出来,外人可以通过某种方式获得它,这间接地解释了synaptics刚才的演示:为什么你的指纹可以很容易地被收集和复制。
更具讽刺意味的是,根据synaptics的数据,收集和复制指纹的设备成本不到200美元,主要包括一个跳线和一台打印机,这些都可以通过amzon或淘宝网获得。令人惊讶的是,你的大部分财产都可以以如此低的成本获得。
为了解决这一潜在的安全问题,synaptics提倡指纹信息的点对点加密传输,并推出了一套完整的称为sentrypoint的安全套件。基于securelink,传感器和计算机主机之间的线路通过tls 1.2和aes-256256位高级加密进行加密。双重加密措施使指纹数据传输更加安全,这在其他指纹方案中并不常见,也是synaptics的独特优势。
▲打印仿指纹
同时,synaptics还提供了一种更安全的解决方案,即传感器内匹配传感器匹配解决方案,它直接匹配和识别传感器内的指纹信息,而指纹信息根本不需要传输到传感器外,因此传感器与主机之间的链路只传输“是”或“否”的匹配结果信息,当然,结果是加密传输,这将通过链路窃取指纹的可能性降低到了零。
此外,针对目前指纹识别被假体指纹破坏的情况,synaptics也有针对性的对策。pureprint技术可以利用人工智能检测指纹图像,从而区分真假手指。pureprint驱动程序支持升级和更新,并不断学习新的指纹修复材料以应对新的威胁。有趣的是,synaptics透露,内部会有很多团队来解决假肢的指纹识别问题,而且团队之间会定期进行一定的技术交流,互相设场景,互相刁难,并在讨论中完善假肢的指纹识别技术。
如今,当指纹识别被广泛使用时,synaptics不断强调安全指纹识别的重要性。就像木桶理论一样,安全性将取决于系统中最薄弱的环节。只有指纹采集、传输、存储等环节提供保证,您的指纹识别是安全的。
标题:20分钟即可破解 你的指纹真的安全么?
地址:http://www.hcsbodzyz.com/hcxw/9235.html