Julian Joswig: IT Blog

Die Sicherheit hinter Touch ID und Face ID

Geschrieben am 25. Oct 2017, 10:16

Mit der Vorstellung des iPhone X im September 2017, welches erstmals die neue biometrische Sicherheitsfunktion Face ID erhält, entflammen erneut Sicherheitsbedenken der Nutzer. Im Zentrum der Diskussion sind vor allem Datenschutzsorgen, da die iOS-Geräte nun entweder den Fingerabdruck (Touch ID) oder das Gesicht (Face ID) des Nutzers speichern. Der folgende Artikel soll mit weitläufigen (Negativ-)Gerüchten aufräumen und das Thema korrekt einordnen.

Was sind Touch ID und Face ID?

iOS-Geräte (iPhone, iPad) verfügen über biometrische Sensoren, welche in Verbindung mit der Software des Geräts den Zugriff auf das Gerät steuern. Folgende Varianten sind derzeit vorhanden:
  • Touch ID: ein Fingerabdrucksensor (CMOS-Sensor) liest das Fingerabdruckprofil ein und entsperrt bspw. das Gerät. Derzeit können bis zu fünf Finger hinterlegt werden.
  • Face ID: die Gerätekamera (TrueDepth-Kamera) auf der Vorderseite erfasst die Gesichtsgeometrie und entsperrt bspw. das Gerät. Derzeit kann nur ein Gesicht hinterlegt werden.

Wie helfen die Biometriefunktionen Touch ID und Face ID bei der Gerätebenutzung?

Die Biometriefunktionen sind kein vollständiger Ersatz des Gerätepassworts, sondern lediglich eine Ergänzung, und sollen die Gerätenutzung vereinfachen. Zur Nutzung von Touch ID oder Face ID muss immer ein Gerätepasswort vergeben sein. Touch ID und Face ID können in folgenden Fällen das Gerätepasswort ersetzen:
  • Entsperrung des iOS-Geräts
  • Bestätigung von Einkäufen im AppStore oder iTunes Store
  • Autorisierung von Zahlungsvorgängen mit Apple Pay
  • uvm.
In einer Reihe von Fällen jedoch ist die Eingabe des Gerätspassworts unumgänglich, bspw. nach einem Neustart des Geräts oder bei Änderung des Gerätepassworts.

Wie sicher sind Touch ID und Face ID einzuschätzen?

Die hinterlegten Fingerabdrücke sowie das Gesicht werden im so genannten "Secure Enclave" gespeichert. Hierbei handelt es sich um eine gesonderte Komponente des Prozessors, welche mit Fokus auf Sicherheit entworfen wurde.

Wahrscheinlichkeit gleicher Merkmale

Apple gibt die Wahrscheinlichkeiten, dass jemand mit einem vergleichbaren Fingerabdruck oder Gesicht das Gerät entsperren kann, wie folgt an:
  • Touch ID: 1 zu 50.000 (bei Hinterlegung eines Fingers!)
  • Face ID: 1 zu 1.000.000
Bezogen auf die Bevölkerung in Deutschland von rund 82 Millionen Menschen, gibt es rechnerisch gesehen ca. 1.600 Menschen mit ähnlichen Fingerabdruck- bzw. 82 Menschen mit ähnlichen Gesichtsmerkmalen.

Speicherung der Daten

Die hinterlegten Fingerabdrücke bzw. das Gesicht sind permanent in der "Secure Enclave" gespeichert und verlassen diese Komponente niemals. Findet beispielsweise ein Abgleichvorgang statt, senden die Sensoren die Merkmale des gescannten Fingers bzw. Gesichts an die "Secure Enclave". Die "Secure Enclave" gleich die Daten mit den gespeicherten Informationen ab und sendet lediglich ein binäres Ergebnis zurück: der gesendete Finger/ das Gesicht entspricht den Merkmalen hinterlegten oder nicht. Somit haben Apps niemals Zugriff auf die biometrischen Merkmale des Nutzers. Die Einseitigkeit der Verbindung zur "Secure Enclave", das heißt der Datenfluss erfolgt nur zur und nicht von der "Secure Enclave", drückt sich zudem in zwei weiteren Eigenschaften aus:
  • die gespeicherten Merkmale des Fingerabdrucks bzw. Gesichts werden niemals in die iCloud geladen und stehen lediglich auf dem betroffenen Gerät zur Verfügung
  • die gespeicherten Merkmale sind ebenfalls nicht in Backups enthalten - weder in iCloud Backups noch in lokalen Backups, welche bspw. mit iTunes angefertigt wurden
Bei der Hinterlegung der Merkmale (Gesicht, Finger) wird auf ein mathematisches Verfahren zurückgegriffen, um eine digitale Abbildung zu ermöglichen. Dieses mathematische Verfahren ist vergleichbar mit der Erstellung eines Hash-Wertes bei Passwörtern. Es ist Best-Practice, Passwörter in Datenbanken nicht im Klartext, sondern als Hash-Wert abzulegen. Ein Hash-Wert ist stark vereinfacht vergleichbar mit einer Quersumme. Die Quersumme einer Zahl ist eine reduzierte Abbildung der ursprünglichen Zahl, so wird aus der Zahl 32487 die Quersumme 24 (3+2+4+8+7 = 24). Es handelt sich dabei um eine Einwegfunktion, das heißt aus der Quersumme 24 lässt sich die urspürngliche Zahl (hier: 32487) nicht ermitteln. Die hinterlegten Merkmale des Fingers oder Gesichts werden somit durch das mathematische Verfahren so in der "Secure Enclave" gespeichert, so dass sich die ursprünglichen Fingerabdrücke bzw. Gesichtsmerkmale daraus nicht erzeugen lassen (bzw. nur mit sehr großem Aufwand!). Nicht zu vernachlässigen ist eine Berichterstattung über eine Patentschrift zur iCloud Synchronisierung von Fingerabdrücken (vgl. https://www.heise.de/mac-and-i/meldung/Touch-ID-iCloud-Sync-fuer-Fingerabdruecke-taucht-in-Apple-Patentschrift-auf-2518418.html). Zum aktuellen Zeitpunkt liegen noch keine Erkenntnisse darüber vor, ob eine solche Synchronisierungsmöglichkeit in naher Zukunft tatsächlich umgesetzt werden würde. Dies würde zumindest dem oben genannten Grundsatz, dass die Merkmale die "Secure Enclave" niemals verlassen, zumindest entgegen sprechen.

Möglichkeiten der Umgehung von Touch ID bzw. Face ID

Es gab in den letzten Jahren vermehrt Medienberichte über Möglichkeiten zur Umgehung von Touch ID (vgl. https://www.heise.de/security/meldung/Fingerabdrucksensor-des-iPhone-6-ueberlistet-2399891.html). Dabei wurden Fingerabdruckattrappen mit überschaubarem Aufwand reproduziert, um damit das iPhone entsperren zu können. Die Möglichkeit, unter Verwendung einer Attrappe den Sensor zu überlisten, erscheint bei genauerer Betrachtung nicht verwunderlich, denn die Attrappe bildet genau das nach, was sich am Finger befindet: das Profil bzw. die Erkennungsmerkmale. Dass eine nachgebaute Attrappe dann den Sensor überlisten kann, erscheint somit nicht verwunderlich. Rein theoretisch gesehen handelt es sich bei der Umgehung per Attrappe im engeren Sinn nicht um eine Lücke des Systems. Ein vergleichbarer Umstand würde entstehen, wenn jemand das Gerätspasswort (= den Passcode) ausspäht und ihn dann nutzt, um das Gerät zu entsperren. Es liegt folglich die Vermutung nahe, dass man Fotos nutzen könnte, um Face ID des iPhone X überlisten zu können. Dieser Lücke scheint zumindest konzeptionell bedacht worden zu sein. Face ID erfasst nicht nur das Gesicht und die Merkmale, sondern erfasst durch einen Infrarotsensor sogar die Gesichtsgeometrie (das heißt Proportionen, wie beispielsweise Höhenunterschiede zwischen Nase und Augen mittels eines Tiefenmodells). Ein Foto verfügt über keine nennenswerte Geometrie, da sich ein Foto komplett auf einer Ebene befindet. Der Sensor wird somit keine Höhenunterschiede feststellen können und eine Entsperrung per Foto erscheint damit unwahrscheinlich.

Fazit

Apple scheint bei der Implementierung von Sicherheit von Touch ID und Face ID nach aktuellem Kenntnisstand aus Sicht der physikalischen Sicherheit und des Datenschutzes den richtigen Ansatz gewählt zu haben. Die gespeicherten biometrischen Merkmale verlassen das Gerät niemals und werden mathematisch repräsentiert gespeichert, so dass die Originalmerkmale nicht zu rekonstruieren sind. Ob die vermeintlichen Lücken, die Erstellung einer Fingerattrappe, als Sicherheitsrisiko einzustufen ist, muss im Einzelfall geprüft werden. Eine Deaktivierung von Touch ID scheint an dieser Stelle keine Lösung zu sein, da auch ein eingespeichertes Gerätepasswort ausgespäht werden kann.

Quellen:

Julian Joswig

Julian Joswig Facebook Julian Joswig LinkedIn Julian Joswig Twitter Julian Joswig XING

Über diesen Blog

Was ist der Inhalt dieses Blogs, fragt ihr euch vielleicht? Mein Name ist Julian Joswig und ich bin großer Fan von IT und Technologie (hauptsächlich Linux, Server, Netzwerke und alle damit verbundenen Themen). Manchmal beiße ich mir an schwierigen Sachverhalten fast die Zähne aus. Habe ich jedoch eine Lösung gefunden, möchte ich diese mit der Welt teilen. Beruflich arbeite ich als Management Consultant in Deutschland mit Fokus auf IT und Business.

Neueste Artikel:

Artikelarchiv:

Twitter Timeline: