https://www.mobil.se/nyheter/reportage/reportage-fingeravtryck-i-mobilen
560139
Biometri i mobilen

Reportage: Fingeravtryck i mobilen

Vi tittar närmare på inloggningstekniken som är snabbare, säkrare och svårare att glömma bort än PIN-koden.

Sida 1

Från millennieskiftet och framåt har det med jämna mellanrum lanserats mobiler, handdatorer, surfplattor och andra prylar med inbyggd fingeravtrycksläsare. I de flesta fall har det handlat om nischprodukter för vissa marknader eller för kunder med speciella säkerhetskrav, men när Apple köpte biometriföretaget Authentec och presenterade Iphone 5S med Touch ID exploderade intresset. Idag skulle det nästan vara otänkbart att lansera en premiummobil utan fingeravtryckssensor eller någon annan typ av biometrisk inloggning.

Fingeravtryckssensorer i mobilen handlar om att göra det enkelt att få bra säkerhet. Det går snabbt att låsa upp mobilen och du slipper använda PIN-koden i miljöer där det finns mycket folk som kan se vad du knappar in, säger Jörgen Lantto, VD för Fingerprint Cards.

Fingerprint Cards, med huvudkontor i Göteborg, är tillsammans med Synaptics och Idex ett av de största företagen på världsmarknaden när det gäller sensorer för fingeravtryck. Företaget grundades 1997 och visade redan 1999 upp en prototyp på en fingeravtrycksläsare för mobiler i samarbete med Ericsson. De första stora kunderna var dock kinesiska banker som behövde en teknisk lösning för att hindra de anställda från att låna varandras terminaler och göra felaktiga överföringar.

Fingeravtrycksläsare till Ericsson-telefoner från 1999

Jörgen Lantto berättar att det finns två huvudtyper av fingeravtrycksläsare – ”swipe” och ”touch”. Omkring 2010 började Fingerprint Cards utveckla sina första sensorer som blev skarpa produkter i mobiler. Det var swipe-sensorer som bygger ihop en bild av fingeravtrycket när man drar fingret över läsaren. Idag är det touch-sensorerna som efterfrågas av marknaden och det ska gå lika enkelt att läsa in fingeravtrycket som att trycka på en knapp. Det är den typen av sensor som Apple använder och det fungerar på lknande sätt med de sensorer som Fingerprint Cards levererar till exempelvis Huawei Honor 7 och de båda nya Nexusmobilerna från Google.

Apple leder just nu utvecklingen och har både lyckats få in tekniken i modeller som säljer bra och standardiserat gränssnittet med API:er som gör att apputvecklare kan dra nytta av läsaren. Även om flera Androidmobiler – till exempel Motorola Atrix 4G – började säljas före Iphone 5S så är det först med Android 6.0 Marshmallow som tekniken blir en del av systemet och en app med stöd för fingeravtryck kan fungera i mobiler från olika märken.

Sida 2

Pontus Jägemalm, utvecklingschef på Fingerprint Cards, berättar att man arbetar parallellt med många olika utmaningar. Sensorerna ska passa in i designen på många olika mobiler samtidigt som mjukvaran måste vara både snabb och säker.

– Vi har lagt mycket fokus på att utveckla ett bra algoritm-system. Mobiltillverkarna vill ha mindre och billigare touch-sensorer och utmaningen är att få fram tillräckligt mycket information för att kunna göra en säker identifiering och få hög prestanda på en mindre yta, säger han.

Sensorhårdvaran består av specialutvecklade chip som kombinerar analog och digital CMOS-teknik – ungefär som bildsensorn i en kamera. Sensorerna från Fingerprint Cards använder kapacitiv teknik och har byggt på samma grundprincip från starten, men det sker ständiga förbättringar och såväl hastigheten som precisionen ökar. Den kapacitiva tekniken är besläktad med sensorerna i pekskärmar och pekplattor, men fingeravtryckssensorerna har högre precision och läser av ytan i tre dimensioner.

Kapacitansen är ett mått på hur mycket elektrisk laddning som kan lagras. I alla mobilladdare finns till exempel en kapacitans i form av en kondensator som jämnar ut spänningen och filtrerar bort störningar, men det uppstår också en kapacitans när ett finger närmar sig ett ledande material. Kapacitansen mäts i farad och kondensatorn i en laddare ligger ofta omkring 100 mikrofarad medan laddningen som kan lagras mellan fingret och skärmen eller fingeravtryckssensorn är många miljarder gånger mindre.


Varje pixel i sensorerna är 50 mikrometer och mäter extremt små kapacitanser – det handlar om femto- eller till och med attofarad, berättar Pontus Jägemalm. Pixeltätheten är inte lika hög som på en digitalkamerasensor, men betydligt högre än på en pekskärm eller pekplatta och det ger en avbildning som fångar alla unika linjer och drag – ned till enskilda svettkörtlar. Sensorn ger inte bara en bild – den kan faktiskt också fungera som en pekplatta. Med Huaweis mobiler kan du exempelvis skrolla i listor eller styra kameran genom gester på fingeravtryckssensorn.

Sida 3

Är fingeravtrycket säkrare än koder?
En fyrsiffrig PIN-kod tar i teorin ungefär en timme att knäcka – för hand. Med någon form av automatisk pryl som knappar in koder skulle det kunna gå ännu snabbare, men de flesta system har lösningar som sätter käppar i hjulen för den här typen av angrepp. Att prova alla tänkbara koder tills man hittar den rätta kallas Brute Force. Det enklaste sättet att förhindra det är att begränsa antalet försök – till exempel PIN-koden på SIM-kort eller betalkort som spärras efter några få felaktiga inmatningar. En annan vanlig metod är att lägga till längre och längre fördröjningar efter varje felaktigt försök så att det blir praktiskt omöjligt att testa tillräckligt många kombinationer på rimlig tid. Baksidan med ett säkert system för PIN-koder är just spärrarna. Om det finns en skarp gräns vid exempelvis bara tre försök kan det räcka med lite förvirring kring vilken kod som gäller var kombinerat med ett feltryck för att man ska bli utelåst. Med biometri slipper man avvägningen mellan koder och lösenord som ska vara tillräckligt korta och enkla för att gå att komma ihåg, men ändå utgöra ett hinder för angripare. Även om algoritmerna innehåller ett ganska betydande utrymme för avvikelser så är risken mindre att en obehörig person blir godkänd av fingeravtrycksläsaren än att man gissar rätt PIN-kod på första försöket.

Sensorsystemet fortsätter att lära sig under användning och får bättre prestanda med tiden. När det gäller säkerhetsnivån så arbetar vi typiskt med en sannolikhet på 1 på 50 000 att fel person kan öppna mobilen och vid den nivån fungerar inloggningen för rätt användare på första försöket i 99 fall av 100, säger Jörgen Lantto.


För betalningar, webbplatser och molntjänster blir fingeravtrycket en del av en så kallad flerfaktorsautentisering. Varje faktor är en typ av inloggningsuppgifter – något man har (till exempel en krypteringsnyckel lagrad i mobilen), något man vet (en kod eller ett lösenord) eller något man är (fingeravtryck eller andra biometriska data). Så fort inloggningen kräver mer än en faktor blir den betydligt svårare att ta sig runt. Det räcker inte med att kunna din kod, tillverka en kopia av ditt finger eller stjäla din mobil. Angriparen måste komma över alla delar och utföra sina planer innan du upptäcker vad som är på gång och spärrar nyckeln eller lösenordet. 

Fingeravtrycket fyller ungefär samma funktion som PIN-koden till bankdosan eller till ett betalkort med chip – det används för att låsa upp och godkänna användningen av de primära autentiseringsuppgifterna. Det gör att om du blir av med mobilen, dosan eller kortet kan du återkalla behörigheten för prylen och dina konton förblir säkra – även om du fortsätter att logga in med fingeravtryck på din nya mobil eller återanvänder PIN-koderna. 

Sida 4

Katerina Mitrokotsa, forskare inom datasäkerhet och biometri på Chalmers tekniska högskola, menar att det är avgörande för säkerhet och integritet att man använder biometriska data på rätt sätt.

Idag lagras fingeravtrycket bara i mobilen, men det finns ett driv mot att allt ska lagras i molnet. Biometriska data går inte att återkalla – du kan välja ett nytt lösenord, men inte byta ut fingrarna. Så om tjänster skulle börja verifiera biometriska uppgifter i molnet så hamnar alla data i farozonen när någon kommer över fingeravtrycket.

En biometrisk avbildning kan också på egen hand innehålla känslig information. Det finns forskning som visar samband mellan olika mönster i ett fingeravtryck och såväl genetiskt ursprung som en rad sjukdomar. Så hur lagrar man fingeravtrycket på ett säkert sätt?

– Det enklaste hade varit om det var möjligt att kryptera det biometriska avtrycket på samma sätt som ett lösenord, säger Katerina Mitrokotsa.

Testenhet för fingeravtrycksläsare

Tjänster och system som tar säkerheten på allvar lagrar aldrig användarens lösenord i klartext, utan omvandlar det till ett krypterat så kallat hashvärde. Hashvärdets funktion påminner lite om sista siffran i ett personnummer. Varje siffra i personnumret påverkar slutsiffrans värde, men det går inte att vända på processen och återskapa ett helt personnummer från slutsiffran. En viktig skillnad är att ett personnummer bara har 10 möjliga slutsiffror medan ett hashvärde ofta är 128 eller 160 bitar långt, vilket ger ungefär 1,5x10^48 olika kombinationer. Annorlunda uttryckt är det en och en halv miljard miljard miljard miljard miljarder. Gånger tusen. Krypteringen är utformad så att man enkelt kan omvandla ett lösenord till hashvärde, samtidigt som det ska vara omöjligt att räkna baklänges och få ut lösenordet från hashvärdet. När användaren matar in lösenordet körs det genom hashfunktionen och systemet kan kontrollera om det matchar det lagrade värdet samtidigt som lösenordsdatabasen – om den skulle komma på avvägar – inte går att använda för att till exempel logga in på andra sajter där användaren valt samma lösenord. Tekniken har sårbarheter – till exempel har vissa äldre hashfunktioner visat sig ha matematiska brister och hashvärden ger ett dåligt skydd för lösenord som går att hitta i en vanlig ordlista, men för starka lösenord är det en bra metod. Så varför inte för fingeravtryck?

Problemet är att det alltid uppstår små skillnader mellan varje inläsning, berättar Katerina Mitrokotsa.

Trycket, fingrets vinkel i förhållande till läsaren, svett och smuts är alla faktorer som påverkar. Resultatet blir aldrig helt identiskt. Varje liten avvikelse ger ett helt annat hashvärde, så det går inte att använda de traditionella metoderna.

Sida 5

Svårigheten att använda kryptering har medfört att tillverkarna tagit genvägar och lanserat produkter med allvarliga brister. HTC One Max lagrar fingeravtrycken som vanliga bildfiler – helt utan skydd – och en app med elak kod skulle kunna stjäla informationen. Det finns också exempel på drivrutiner med säkerhetsluckor som gör det möjligt att simulera fingeravtrycksläsaren i mjukvara och på så sätt lura systemet.


Lösningen kan vara något som kallas homomorfisk kryptering – en typ av kryptering som låter systemet utföra beräkningar på de lagrade värdena utan att först omvandla dem till klartext. När man jämför hashvärden blir svaret väldigt digitalt – antingen matchar det perfekt eller inte alls. Utmärkt för lösenord, men omöjligt att använda för biometri. Att jämföra hashvärdena från två olika inläsningar av samma fingeravtryck skulle inte ge någon vägledning alls, men med homomorfisk kryptering kan man göra en mer analog jämförelse och få fram ett värde på hur stora likheter det finns mellan det lagrade krypterade fingeravtrycket och en ny scanning.


Mobiltillverkarna använder också speciella finesser i hårdvaran för att göra hanteringen av fingeravtryck säkrare. På Apples enheter lagras fingeravtrycken i ett minne integrerat i systemchipet som benämns ”Secure Enclave”. Apples lösning bygger vidare på en teknik som CPU-utvecklaren ARM kallar för Trustzone. Med Trustzone går det att säkra olika komponenter som sensorer, skärm och minne så att man kan garantera att informationen verkligen kommer från exempelvis fingeravtrycksläsaren. Tekniken gör det också väldigt svårt för appar eller andra funktioner i systemet att komma åt varandras privata filer. Motsvarigheter till Trustzone finns hos de flesta systemchiptillverkare och funktionen har namn som TEE (Trusted Execution Environment) eller SE (Secure Element). Android har sedan länge ett API som heter Android Keystore System som kan lagra krypteringsnycklar och annan känslig information med hjälp av säkerhetsfunktionerna i hårdvaran, så det är fullt möjligt att hantera fingeravtryck på ett bra sätt. Både HTC och Samsung har fått kritik för att inte använda de säkerhetsfunktioner som finns för sina fingeravtrycksläsare. Introduktionen av Android M kan dock leda till att säkerheten blir betydligt bättre. Google har tagit fram tydliga riktlinjer för hur fingeravtrycken ska hanteras och där ingår att använda kryptering och säkra minnen för att hindra såväl appar som personer beväpnade med lödkolv från att komma åt informationen.

Sida 6

Alternativen
Just nu står fingeravtrycken i centrum när det gäller biometri i mobilen, men det finns flera alternativ på marknaden. 

Ansiktsigenkänning
De flesta prylar med en inbyggd kamera klarar att känna igen ett ansikte. När syftet är att filma eller fotografera används tekniken för att lägga fokus på rätt ställe i bilden eller för att ta gruppfoton där alla ler, men ansiktet går även att använda för autentisering. Inloggning med ansiktet finns i såväl mobiler och surfplattor som datorer, men det är en osäker teknik jämfört med fingeravtryck eller en svårgissad PIN-kod. En vanlig mobilkamera kan ha svårt att känna igen dig under olika ljusförhållanden samtidigt som den går att lura med utskrivna foton eller med ett videoklipp. Ansiktsinloggning introducerades med version 4 av Android och allt som krävdes för att kringgå funktionen var att leta upp mobilens ägare på Facebook eller på webben och rikta kameran mot en lagom högupplöst porträttbild. Från version 4.1 lade Google till finessen ”Liveness Check” som innebär att mobilen inte låses upp förrän personen framför kameran blinkar. Dessvärre visade sig även denna lösning vara ganska lättlurad – allt som krävdes var att man skapade en kopia av bilden och målade över ögonen med en hudfärgad pensel i Photoshop. En snabb växling mellan originalbilden och den redigerade versionen – och mobilen detekterade en blinkning. På mer kontrollerade platser kan ansiktsigenkänning fungera bra – till exempel för inpassering på gym eller för säkerhet på flygplatser. Tekniken kräver antingen väldigt bra kameror – till exempel med 3D-teknik eller känslighet i det infraröda området – eller att identifieringen sker i en övervakad miljö där man inte kan komma undan med att hålla upp skärmar eller andra förfalskningar framför kameran.

Iris
Ögats iris – regnbågshinnan – har ett mönster som är minst lika komplext och individuellt som ett fingeravtryck. Det finns flera fördelar med att använda just denna del av anatomin för biometrisk identifiering. Regnbågshinnan är väl synlig, men samtidigt är vi bra på att hålla den fri från smuts, sår och andra skador. Man lämnar inte heller ifrån sig bilder av regnbågshinnan i samma utsträckning som fingeravtryck – även om det är tänkbart att någon kan lyckas ta en tillräckligt skarp bild i smyg. Fujitsu och den Japanska operatören NTT Docomo lanserade Androidmobilen Arrows NX med en iris-scanner från Delta ID tidigare i år. Även Microsoft satsar på inloggning med ögat och Windows 10-mobilerna Lumia 950 och Lumia 950 XL har särskilda iris-kameror med infraröd belysning. Att använda en infraröd kamera istället för synligt ljus innebär både att du slipper bli bländad av en fotobelysning när du loggar in och att det blir svårare att använda en bild från en vanlig kamera för att lura scannern.

Näthinna
Även ögats insida går att använda för identifiering. Ögonbotten med näthinnan – retina på engelska och latin – och synnerven har ett mönster av blodkärl som är unikt och går att fotografera med rätt kamera och belysning. Utmaningen är att fokusera genom ögats lins och glaskropp för att få en skarp bild av insidan. Biometriska skannrar som läser näthinnan är vanligare på vita duken än i verkligheten. Tekniken är dyr och opraktisk jämfört med att läsa regnbågshinnan – det räcker med att titta på mobilens skärm för att göra en iris-scanning, men att läsa näthinnan påminner mer om ett besök hos ögonläkaren. Man ska dock inte helt räkna bort möjligheten att någon lyckas skapa en näthinne-skanner för mobilen. Forskarna Luis J. Haddock, David Y. Kim och Shizuo Mukai vid Harvard Medical School visade i en rapport att man kan använda en Iphone kombinerad med en extern lins för ögonbottenfotografering, så lyckas man krympa optiken så att den ryms inuti telefonen kan det bli användbart. Både för identifiering och för att diagnostisera ögonsjukdomar.

RFID/NFC
Trådlösa mikrochip kan fungera nästan som en biometrisk inloggning. Glasinkapslade RFID-taggar som placeras under skinnet är den vanligaste metoden för att id-märka hundar och katter, men metoden fungerar naturligtvis bra även för människor. Fördelar jämfört med fingeravtrycket är att chippet går att både byta ut och operera bort. Det kan också vara utrustat med kryptering och andra säkerhetsfunktioner som gör det svårt att kopiera autentiseringsuppgifterna.

Låsa upp mobilen med ett avhugget finger?
Ett vanligt tema i filmer och teveserier är att skumma typer tar sig förbi biometriska säkerhetsanordningar genom att stjäla handen, fingret eller ögat som krävs för att öppna bankvalvet eller logga in på den superhemliga datorn. Blodigt och spektakulärt förvisso, men är det något man behöver vara orolig för i verkliga livet?

I mars 2005 rapporterade BBC om en bilkapning i Malaysia där ägaren till en Mercedes S-klass fick fingret avhugget eftersom tjuvarna behövde ”nyckeln” till bilens biometriska startspärr. Artikeln finns fortfarande på BBC:s webbplats och om historien är sann utgör den ett mycket sällsynt belägg för att den här typen av brottslighet verkligen förekommer. De flesta typer av fingeravtrycksläsare skulle godkänna ett avhugget finger – åtminstone om det är någorlunda färskt. Men det är fullt möjligt att kombinera olika typer av sensorer för att göra identifieringen säkrare – till exempel en pulsmätare, temperatursensor eller en pulsoxymeter. Så det är möjligt, men knappast praktiskt, att lura en fingeravtrycksläsare med ett avhugget finger. Handlar det bara om en enstaka inloggning vore det enklare för rånaren att tvinga sitt offer att placera fingret på läsaren. Är planen mer tidskrävande finns det också bättre alternativ – ett kapat finger passerar snabbt sitt bäst-före-datum medan en enkel avgjutning kan fungera i flera år.

Olika tekniker för fingeravtrycksläsning

Optisk
Den optiska läsaren fungerar ungefär som en skanner för vanliga papperssidor. Sensorn innehåller en ljuskälla – antingen synligt ljus eller infrarött – och en kamerasensor som tar en bild av fingertoppen. Svagheten med optiska läsare är att de ofta har svårt att skilja ett riktigt finger från en enkel kopia på papper eller plastfilm. 

Ultraljud
Sonografi, eller ultraljudsavbildning, gör det möjligt att se genom olika vävnader och skapa tredimensionella bilder. Fingeravtrycksläsare med ultraljud sänder ut och detekterar ljud med mycket hög frekvens. Ljudet reflekteras på olika sätt av olika lager i huden och sensorn kan skapa en bild av hur fingret ser ut på djupet – oberoende av smuts eller skador på överhuden. Eftersom sensorn ser andra strukturer än de man får fram om man lyfter ett avtryck från en yta eller gör en avgjutning av ett finger så kan det bli svårt att lura ultraljudstekniken. Qualcomm använder ultraljud i sin fingeravtrycksläsare Snapdragon Sense ID. Tekniken visades upp på Mobile World-mässan i mars 2015 och de första mobilerna med Sense ID väntas dyka upp omkring årsskiftet.

Kapacitiv
Kapacitiva fingeravtrycksläsare arbetar efter samma principer som mobilens pekskärm eller pekplattan på en laptop. Kapacitansen är ett mått på hur mycket elektrisk laddning som går att lagra i en komponent och sensorn består av ett rutnät av plattor som var och en utgör ena halvan av en plattkondensator. Normalt består plattkondensatorn av två ledande plattor, monterade med ett litet mellanrum, men i sensorn utgör användarens finger den andra halvan av komponenten. Kapacitansen hos en plattkondensator påverkas av många olika faktorer, men de två viktigaste är plattornas area och avståndet mellan dem. När fingret läses av mäter sensorn kapacitansen i alla punkter och värdena blir ett väldigt exakt mått på avståndet mellan fingret och varje kondensatorplatta. I dalarna i fingeravtryckets mönster är avståndet större och i topparna, där fingret är i kontakt med sensorn, är det som minst. Resultatet blir en högupplöst, tredimensionell bild av fingertoppens yta. Det finns två typer av kapacitiva sensorer – passiva och aktiva. Den passiva sensorn mäter den kapacitans som naturligt uppstår mellan fingret och sensorn medan den aktiva varianten skickar ut en elektrisk signal som ökar laddningen. Aktiva sensorer gör det möjligt att variera laddningen så att avläsningen blir tydlig oberoende av hudtyp och andra omständigheter. Den aktiva tekniken tillåter också betydligt tjockare material mellan ytan och de aktiva komponenterna – något som gör det enklare integrera sensorn i mobilens design.