「ZeroBIO研究プロジェクト 第一回ワークショップ 生体情報のプライバシー」というワークショップを聴講してきた.
http://zerobio.cs.dm.u-tokai.ac.jp/
久しぶりに「行ってよかった」と思う内容で,当方にとっては非常に勉強になった.
でもって,このワークショップで聞いた話の中で耳に残った言葉が「(セキュリティ)技術も法律も破られるためにある」と「生体認証は,重要な情報へのアクセスに関わる認証に使うべきではなく,高い利便性が優先され,安全性はそこそこあればよい場面でのみ使うべきであろう」という二つであった.
なおこのZeroBIOの名前の由来は,ゼロ知識証明とバイオメトリクスのかけあわせだと推測する.
この研究グループは,おおまかにみると,生体認証技術と暗号技術を組み合わせた新しい研究分野の創造(融合分野)ということのようです.
このワークショップでの発表内容に関する資料は,後日,上記のWebにて公開される予定なので,興味のある方はWebに注目しているといいでしょう.
以降は,聴講しての走り書き.当方なりの解釈も入っています.その点はご了承下さい
- 生体認証で,生体情報をそのまま使わず,暗号技術を応用することで生体認証の問題点を改善する手法が提案されている.
◎ キャンセラブルバイオメトリクス
-- 生体情報をそのまま認証に使用せず,生体情報を変換して照合に使用.これにより生体情報を秘匿化
-- 変換方法を変更することにより,秘密情報(テンプレート)を更新可能
◎ バイオメトリック暗号
-- 生体認証とPKIの融合
-- 生体情報を元に秘密鍵を生成し,ユーザに補助情報を返す
-- 認証時には,生体情報と補助情報を提示し,暗号技術を使って認証する
-- Fuzzy Commitment/Fuzzy Vault
-- 統計的AD変換
◎ 非対称生体認証
-- クライアントが認証サーバに対し,Xに十分近いX'の知識を持つことをゼロ知識証明する
-- ユーザは乱数Rを持ち,認証時には生体情報と乱数Rを提示して認証する
◎ ACBio(Authentication Context for Biometrics)という提案が国際標準として進められているらしい.
-- 問題点は,インフラの完全性,相互運用性,プライバシ
-- いろいろと証明書を発行
-- データフォーマットを定義
- バイオメトリクス(生体認証)は,本人の秘密情報管理によらずFARが一定.しかしパスワード認証は,パスワードの決定方法によってFARが大きく異なる.
- バイオメトリクスは,よく言われる三種類の認証において運用時の問題が(感覚的に)一番少ない.
- ヒルクライミング攻撃: 認証機器とその照合結果のスコア値を知ることができればテンプレートをまったく知らなくても攻撃可能 (ただし,繰り返し試行錯誤するためbrute-force攻撃ができることが前提となる).オフラインアタックができるならば,それなりに攻撃に成功する恐れあり
- IPAが,以前からいろいろとガイドラインを検討している.詳細はWebを
- 生体認証は,毎回毎回異なる入力情報を使って,0 or 1判定をしなければいけない(ある)意味無茶なこと.
-- 生体情報から一意な鍵を生成することができれば,この問題は改善できる!
- リモート生体認証(サーバクライアント間認証)の安全性
-- 詳細省略
-- 暗号屋さんの解析方法に感服.
■ パネルディスカッション
一つめはこんな問題提起がされていた.
「生体情報漏洩事件は今後(?)年の間に起きるか?」である
1年以内という司会者の"ふり"に対し,パネリストからは「永久に起きない」という意見から「すでに起きている」意見まであったのは興味深かった.ようするに見方や情報漏洩に対する捉え方によって異なるが,興味深い意見だったのは「盗むことのできない生体情報はない.そういう意味では,すでに一部では漏洩していると考えても間違いではない」という見方だ.
顔認証などはそのいい例であろう.
次の提起は「生体情報はクライアントが保持すべきか,それともサーバが管理すべきか」である.これはどちらの方法も一長一短であることがパネリストの意見が語られる前に整理されていた.で,どうなることかと思いきや,結果としては安全性と利便性の問題に帰着したところが興味深かった.生体情報をクライアントが持つということは,すなわち所有物認証と同等になってしまうことを意味する(もちろん単なる所有物認証よりは安全性の高い認証になる.それはユーザとクライアント間の認証が生体情報で実現されるからだ.単なる所有物認証では,クライアント端末とユーザ間は認証できない.すなわち正規のユーザ以外の人間でも,そのクライアント機器さえ持っていれば認証できてしまうからである).その理由は,認証するためには生体情報を格納しているクライアント機器を持ち歩かなければならず,所有物なしでも認証ができるという生体認証の利点が一つ失われるからである.ただしサーバ側に生体情報を管理させることも別の問題がある.ということで,利便性優先ならサーバ管理,安全性(?)優先ならばクライアント管理というように落ち着いたように見え,結局のところどちらかがいいという結論にはならなかった.
残念ながら,現在の技術レベルで生体情報を使用して機密情報や重要な情報を保護するには,ユーザもその認証を安全に使用するにあたってそれ相応の注意をはらう必要があると言っていた.つまり,生体認証を使えばユーザがなんの注意を払わなくても安全に認証することができるというものではない.そういう意味では知識照合型認証や所有物認証と同等であり,それらより優れた方法とは言いきれないということをユーザも理解すべき.ということだ.
Posted by z at March 10, 2007 02:33 AM