11 forskjellige biometriske fingeravtrykksensorane blei testa, og alle blei lurt ved 80 prosent av forsøka. Det blei brukt falske fingrar laga av same materiale som gelébjørnar og anna godteri. Sensorane som blei undersøkt er av den typen som kan bli aktuell for mobiltelefonar og relatert teknologi.

Mange snusar på teknologien

Undersøkinga viser at det er skrekkeleg billeg og enkelt å forfalske fingeravtrykk, enten dei er laga av ei direkte avstøyping av fingeren, eller av fingeravtrykk henta frå glas eller andre harde overflater.

Biometriske fingeravtrykkssensorar er teknologi som skal kunne kjenne igjen menneske ved hjelp av fingeravtrykket. Selskap som sel denne teknologien har hevda at den er svært sikker.

I Noreg har vi høyrt at SAS vurderer teknologien ved innsjekking. Enkelte nye PC-ar tek allereie teknologien i bruk for innlogging, og mange mobiltelefonselskap snusar ivrig på fingeravtrykksensorane for å løyse identifikasjonsproblem.

Lurte alle 11

Men resultata frå kryptograf og matematiker Tsutomu Matsumoto og resten av forskarane ved Graduate School of Environment and information Services ved Yokohama National University, kan få mange til å revurdere. Ved å lage falske fingrar av gummibjørnstoff har dei klart å lure sensorane.

Forskarane testa 11 ulike sensorar, og den bedragerske geléen lurte alle sensorane i 80 prosent av forsøka.

Enkel oppskrift

Oppskrifta på ei fingeravtrykkforfalsking er skremande enkel: Kjøp mjuk plast til å lage ei form frå ei hobbyforretning, og lag ei avstøyping av fingeren din. Når plasten er blitt hard, kan du helle i gelatin frå ei daglegvareforretning, og la det stivne.

Eventuelt kan du så hole ut den falske fingeren og trekke den over din eigen, slik at den kjem opp på kroppstemperatur for sensorar som sjekkar dette. Du kan også fukte den litt for å lure sensorar som måler fukt eller elektrisk motstand.

Matsumoto peikar også ut at dersom du blir utfordra av ei tryggleikssvakt, er det mogeleg å ete opp beviset.

Henta avtrykk frå glas

Matsumoto klarte også å bruke fingeravtrykk henta frå glas eller andre overflater til å lage forfalskinga. Først blei avtrykket framheva og herda ved hjelp av superlim. Limen festar seg til avtrykket, som består av sveitte og døde hudceller. Dette er ein standardteknikk for rettsmedisinarar for å gjere fingeravtrykk synlege.

Matsumoto tok så eit bilete av avtrykket med eit digitalt kamera, og auka kontrasten i bildebehandlingsprogrammet PhotoShop, før han skreiv det ut på ein transparent.

Transparenten brukte han til å etse biletet inn i eit koparbelagt fotoark, som er mykje brukt av elektroniske ingeniørar og hobbyelektronikarar. Dette blei eit tredimensjonalt relieff av det originale fingeravtrykket, som Matsumoto nytta til å skape ei ny avstøyping. Resten gjekk føre seg som skildra ovanfor. Også her blei sensorane lurt i 80 prosent av tilfella.

Renommert kryptograf applauderer

Forskingsresultata blei presentert i januar, på konferansen Electronic Imaging 2002, men den store internasjonale merksemda har ikkje kome før no. Nyheita har hovudsakleg spreidd seg gjennom eit nyheitsbrev frå kryptografen og tryggleikseksperten Bruce Schneier. Han er grunnleggjar og sjef for Counterpane Systems, og gir ut eit månadleg nyheitsbrev om dei aktuelle problemstillingane innan kryptografi og personvern.

- Resultata er nok til å forkaste systema fullstendig, og til å få dei forskjellige selskapa med sine biometriske fingeravtrykk til å pakke saman, skriv Schneier i nyheitsbrevet. Han poengterer også at dersom det er mogeleg for Matsumoto å gjere dette, kan semi-profesjonelle gjere mykje meir. Han oppfordrar til at folk tenkjer seg om før dei trur på selskapa som produserer denne teknologien, og er imponert over resultata frå Matsumoto.

Forskinga er presentert i ei PDF-fil
Nyheitsbrevet Crypto-Gram frå Counterpane