Skip to main content
QUICK REVIEW

[論文レビュー] The Fuzzy Vault for fingerprints is Vulnerable to Brute Force Attack

Preda Mihăilescu|ArXiv.org|Aug 22, 2007
Biometric Identification and Security参考文献 8被引用数 54
ひとこと要約

この論文は、指紋ベースのバイオメトリクス認証に用いられるファジィボックス方式が、$O(2^{69})$のセキュリティを主張するパラメータを用いていながらも、ブルートフォース攻撃に対して脆弱であることを示している。本稿では、追加の minutiae 特徴と構造的なチャフ配置を用いたクイズベースのチャレンジといった強化手法を提案し、方式を暗号的に安全な水準まで引き上げることを示している。現行の実装では、パrameterの調整のみでは堅牢なセキュリティを達成できないことが明らかになった。

ABSTRACT

The extit{fuzzy vault} approach is one of the best studied and well accepted ideas for binding cryptographic security into biometric authentication. The vault has been implemented in connection with fingerprint data by Uludag and Jain. We show that this instance of the vault is vulnerable to brute force attack. An interceptor of the vault data can recover both secret and template data using only generally affordable computational resources. Some possible alternatives are then discussed and it is suggested that cryptographic security may be preferable to the one - way function approach to biometric security.

研究の動機と目的

  • 指紋バイオメトリクスに適用されたファジィボックス方式のセキュリティを分析すること。
  • 指紋用ファジィボックスの既存実装が、高水準のセキュリティを主張しているにもかかわらず、実行可能なかぎりのブルートフォース攻撃に対して脆弱であることを実証すること。
  • セキュリティを損なう現在のパrameter選択と設計選択の限界を特定すること。
  • クイズベースのチャレンジや構造的なチャフ配置といった新たな技術を提案し、ファジィボックスのセキュリティを著しく向上させること。
  • より強固で、証明可能に安全なシステムを実現するため、ヒューリスティックなバイオメトリクス結合手法ではなく暗号的プリミティブの採用を主張すること。

提案手法

  • 指紋の minutiae に内在する限られたエントロピーと構造的パターンを悪用するブルートフォース攻撃を提案し、秘密鍵を回復可能であることを示す。
  • 各 minutiae に追加情報(例:方向、曲率)を付加する「クイズ付きファジィボックス」の概念を導入し、正当なユーザーだけが検証可能であるようにする。
  • 正規の点とチャフ点を区別することが計算的に不可能になるように、定期的間隔で六角形グリッド上にチャフ点を配置する。
  • 誤り訂正符号を用いて、minutiae のわずかな位置ずれを許容しながらも、正しい鍵の回復を保証する。
  • 複数の指紋(例:2本の指)を用いることで、ボックス空間のサイズを増加させ、効果的にセキュリティ要因を二乗化する。
  • ワンウェイ関数に基づく結合の代替手段として、タイムスタンプ付き公開鍵暗号方式を統合することを提案する。

実験結果

リサーチクエスチョン

  • RQ1指紋用ファジィボックス方式は、$O(2^{69})$のセキュリティを主張しているにもかかわらず、実行可能な計算コストでブルートフォース攻撃によって破られる可能性があるか?
  • RQ2なぜ現在の指紋ボックス実装におけるパrameter選択が、このような攻撃を防げないのか?
  • RQ3追加のバイオメトリクス特徴(例:方向、曲率)を用いることで、エントロピーを増加させ、ボックスのセキュリティを向上させられるか?
  • RQ4相関に基づく暗号解析を防ぐことができるチャフ配置戦略を設計できるか?
  • RQ5ワンウェイ関数やファジィボックスに依存せずに、暗号的基準を達成できるバイオメトリクス認証システムを構築できるか?

主な発見

  • 指紋用ファジィボックス実装は、$O(2^{69})$のセキュリティを主張するパrameterを用いていながらも、ブルートフォース攻撃に対して脆弱である。
  • 攻撃が成功するのは、実際の指紋 minutiae のエントロピーが想定よりも低く、データ内の構造的パターンが有効な探索空間を縮小するためである。
  • セキュリティは単なるパrameterチューニングでは向上せず、ボックスの根本的な設計がこうした攻撃に対する耐性を制限している。
  • 追加の minutiae 特徴(例:方向)を用いたクイズベースのチャレンジを導入することで、セキュリティが $2^{kb}$ 倍に向上する。ここで $k$ は多項式の次数、$b$ は1つの minutiae あたりの不確実性のビット数である。
  • 六角形グリッドを用いた構造的なチャフ配置により、ボックスのサイズが増加し、相関攻撃を防げる。これにより、有効なサイズが2倍に増加し、識別可能性が排除される。
  • 本稿は、タイムスタンプ付き公開鍵暗号基盤を用いた暗号的プリミティブが、ワンウェイ関数に基づくバイオメトリクス結合手法よりも、より堅牢でスケーラブルな代替手段であると結論づける。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。