NTNU-forskere har utviklet en sikkerhetsløsning for lagring av fingeravtrykk. Patentet er nå kjøpt av firmaet CrossMatch, som står for sikkerhetsløsninger for fingeravtrykk på grenseoverganger inn til USA. Illfoto: Thinkstock

Norsk sikkerhetspatent på alle grenseoverganger i USA

Registrering og lagring av millioner av fingeravtrykk gir stor risiko. Forskere jakter stadig på nye og bedre sikkerhetsløsninger for å beskytte deg.

Stadig flere av oss legger igjen fingeravtrykk, i passet, for å komme inn i nettbanken eller på mobiltelefonen. Har du tenkt på hvor informasjonen om fingeravtrykket ditt lagres og hvem som har tilgang til den? Enten vi lagrer fingeravtrykket på chipen i mobiltelefonen, hos leverandører av servere eller i skyen, er sikkerhet en bekymring.

Dette er et tema for forskere innen informasjonssikkerhet. Bian Yang ved Center for Cyber and Information Security (CCIS), NTNU i Gjøvik, forsker på hvordan vi skal sikre at personlig informasjon ikke blir tilgjengelig for uvedkommende.

Biometri kan ikke endres, slik vi gjør med PIN-koder eller passord. Biometri er våre personlige fysiologiske kjennetegn. Illfoto: Thinkstock

Yang og hans kolleger har utviklet en sikkerhetsløsning for lagring av fingeravtrykk. Patentet er nå kjøpt av firmaet CrossMatch, som står for sikkerhetsløsninger for fingeravtrykk på grenseoverganger inn til USA.

– For å komme inn i USA må du legge igjen fingeravtrykkene dine fra alle ti fingre. Det er klart at det innebærer en stor sikkerhetsrisiko å lagre så store mengder fingeravtrykk. En lekkasje av disse med kobling til individer ville vært katastrofalt, forteller Yang.

Kan gi deg uendelig med fingeravtrykk

Fingeravtrykket, ansiktet, øret, irisen, ganglaget, måten du taster på – alt dette er unikt for nettopp deg. Dette egner seg godt til identifisering, og kalles biometrisk informasjon.

– Biometri kan ikke endres, slik vi gjør med PIN-koder eller passord. Biometri er våre personlige fysiologiske kjennetegn, unike trekk som gjør oss til den vi er, sier Yang.

I dag blir det mer og mer vanlig å bruke biometrisk informasjon for sikker innlogging. Siden vi har ti fingre tenker du kanskje at du kun har ti muligheter til identifisering. Det er ikke nødvendigvis riktig. Metoden Yang har utviklet gjør at vi kan generere et uendelig antall digitale informasjonsbiter fra det samme fingeravtrykket. Disse kan brukes som passord på forskjellige steder.

Bitene med informasjon er like unike som fingeravtrykket, men har den fordelen at du kan logge inn uten direkte bruk av det sensitive og svært personlige fingeravtrykket. Vi kan på den måten oppnå den samme sikre identifiseringen med biometrisk informasjon i beskyttet form.

Teknologien er mer sårbar enn vi tror

Metoden sikrer deg mot at noen får tak i og misbruker fingeravtrykket ditt. Dette er viktig når bruken av skytjenester øker.

Lagring i sky gir mange fordeler, det tar liten plass og er lettvint, men samtidig gir vi ansvaret for sikkerhet til en tredjepart. Vi sender sensitiv informasjon avgårde til servere vi ikke vet hvor befinner seg, og velger å stole på leverandørene av skyen. Teknologien er sårbar, mer enn vi kanskje tror. Brukervennlighet og lav pris går på bekostning av sikkerheten.

Gjør det umulig å finne originalen

Yang forklarer at sikkerheten øker når fingeravtrykket ditt er beskyttet, mens informasjonsbiter trekkes ut og brukes til identifisering. Det kan sammenlignes med at du bruker forskjellige passord på ulike innlogginger. Hver gang du logger inn et sted genereres informasjon fra fingeravtrykket ditt.

Bian Yang ved Center for Cyber and Information Security (CCIS), NTNU i Gjøvik.

– Vi sikrer at disse informasjonsbitene ikke kan kobles til hverandre, og at de ikke kan kobles tilbake til det opprinnelige fingeravtrykket. Dette er viktig for å forhindre at noen stjeler eller misbruker fingeravtrykksinformasjonen din. Å beskytte informasjonen før du sender den til skyen og samtidig bruke den i beskyttet form vil bli viktig i framtida, sier Yang.

Vil alltid være en risiko

EUs nye regulering for databeskyttelse trer i kraft om ikke lenge. General Data Protection Regulation skal styrke personvernet og føre til en mer enhetlig personvernpolitikk på tvers av landegrensene. Hittil har ikke lovene i ulike land harmonert med hverandre, og det skaper problemer for globale selskaper som for eksempel Google, Facebook, LinkedIn.

– Vi har forsket med tanke på å finne nye, felles løsninger i EU, for å gjøre det mulig å implementere den nye loven når den trer i kraft om halvannet år, sier Yang.

Siden det alltid vil være en sikkerhetsrisiko må forskerne gjøre det de kan for å minimere risikoen og eventuelle konsekvenser av en brist.

– Vi gjør dette først og fremst fordi det er viktig å beskytte brukerne. Sikkerhetsbehovet tenker du ofte ikke på før noe har gått galt. Vi forsker for å forhindre at noe skal skje, sier Yang.