Authentification biométrique respectueuse de la vie privée, transfert équivoque et retrait d information privé

Transcription

1 Sébastien Gambs Protection de la vie privée : cours 4 1 Authentification biométrique respectueuse de la vie privée, transfert équivoque et retrait d information privé Sébastien Gambs sgambs@irisa.fr 24 novembre 2015

2 Sébastien Gambs Protection de la vie privée : cours 4 2 Authentification sans stocker le profil biométrique en clair Principe Protocole inconditionnellement sûr Protocoles calculatoirement sûrs

3 Sébastien Gambs Protection de la vie privée : cours 4 3 Authentification sans stocker le profil biométrique en clair

4 Sébastien Gambs Protection de la vie privée : cours 4 4 Données biométriques et identité Les données biométriques d un individu lui étant propre, elles font partie de son identité au même titre que son nom ou sa date de naissance. Nécessité d avoir un cadre législatif pour encadrer leur collecte et utilisation. Problème : comment stocker de façon sécurisé les données biométriques? Idéalement, on aimerait pouvoir faire de l authentification par biométrie sans avoir à stocker les données biométriques en clair. Défi principal : peut-on faire mieux que simplement en stocker une version chiffrée?

5 Sébastien Gambs Protection de la vie privée : cours 4 5 Biométrie Biométrie : analyse statistique des données biologiques d un individu. L authentification par biométrie consiste à utiliser un système de reconnaissance basé sur les caractéristiques physiques ou comportementales d un individu pour vérifier son identité. Exemples : empreinte digitale, iris, visage, voix. Deux phases importantes : 1. Capture des données biométriques : enregistrement de l utilisateur en capturant un modèle de ses caractéristiques biométriques (par exemple son empreinte digitale). 2. Vérification de son identité : le système capture des données et les compare au modèle. s il y a correspondance l utilisateur est authentifié Il est possible aussi de faire de la reconnaissance (identifier une personne parmi tous les enregistrements de la base).

6 Sébastien Gambs Protection de la vie privée : cours 4 6 Exemples d utilisation de l authentification par biométrie Contrôle d accès à des locaux ou bâtiment. Authentification pour utiliser un ordinateur.

7 Sébastien Gambs Protection de la vie privée : cours 4 7 Caractéristiques des données biométriques Les données biométriques peuvent naturellement varier légèrement d une fois à l autre. Exemple : empreinte de voix différente à cause d un mal de gorge ou iris dilaté différemment à cause de la prise de médicament. Il faut être capable de prendre en compte cette variabilité naturelle à l intérieur du système d authentification par biométrie.

8 Sébastien Gambs Protection de la vie privée : cours 4 8 Méthode d identification des données biométriques Capture (étape 1) : on acquiert b i le profil biométrique de l utilisateur d index i. La représentation de b i dépend de la méthode biométrique utilisée (cela peut aller d un vecteur de bits à une représentation beaucoup plus complexe). Identification (étape 2) : on mesure b, les données biométriques fraîches d un utilisateur qui souhaite s authentifier comme étant l utilisateur d index i. But : vérifier si b est suffisamment similaire de b i qu on a stocké en mémoire. Si c est le cas, on accepte l utilisateur, sinon on le rejette.

9 Sébastien Gambs Protection de la vie privée : cours 4 9 Fonctionnement de l authentification par biométrie

10 Sébastien Gambs Protection de la vie privée : cours 4 10 Distance entre profils biométriques Soit dist(b, b ) une mesure de distance entre deux profils biométriques b et b. Exemples de mesure de distance : distance de Hamming ou distance d édition. Si les deux profils correspondent parfaitement si dist(b, b ) = 0. En général on fixe un seuil θ tel que si dist(b, b ) < θ alors on considère que les profils sont suffisamment similaires, sinon on considère l authentification comme non-réussie. La valeur du seuil θ va dépendre de la méthode biométrique utilisée et de la variabilité naturelle à l intérieur de la population. Il est possible d utiliser une mesure de similarité au lieu d une mesure de distance.

11 Deux types principaux d erreurs d identification : faux négatifs et faux positifs. Faux positifs : reconnaissance à tort d un individu qui n aurait pas du être reconnu. Mesuré par le taux de fausse acceptation (FAR pour False Acceptance Rate en anglais). Faux négatifs : non-reconnaissance d un individu qui aurait du être reconnu. Mesuré par le taux de faux rejet (FFR pour False Rejection Rate en anglais). Baisser un des deux taux augmente l autre. Exemple : on rejette toute identification où la correspondance n est pas parfaite (baisse le FAR mais augmente le FFR). Une bonne méthode d identification cherche à trouver un compromis efficace pour avoir deux taux bas en pratique. Sébastien Gambs Protection de la vie privée : cours 4 11 Erreur d identification

12 Sébastien Gambs Protection de la vie privée : cours 4 12 Compromis entre FAR et FRR

13 Exemple : scan d iris et de rétine Fait une capture de l iris ou de la rétine. La probabilité de trouver deux individus avec des iris ayant des caractéristiques similaires est de 1 sur L identification peut faire jouer la lumière pour changer en temps réel l image de l iris mesurée. Avantages : méthode qui offre un des meilleurs taux d identification et considéré comme étant un des plus sûrs du fait de la difficulté de faire une capture du comportement d une iris. Même deux jumeaux possèdent un scan d iris et de rétine différent. Inconvénient : procédure de capture relativement contraignante. Sébastien Gambs Protection de la vie privée : cours 4 13

14 Sébastien Gambs Protection de la vie privée : cours 4 14 Illustration du scan d iris

15 Sébastien Gambs Protection de la vie privée : cours 4 15 Cancellable biometrics ( biométrie révocable ) Concept inventé par Ratha, Connell et Bolle en Idée principale : appliquer une distortion à un profil biométrique tel que : 1. il n est pas facile de reconstruire les données originales à partir de la version distordue, 2. la transformation préserve la distance entre deux données biométriques proches auparavant. Remarque : peut être vue comme une fonction à sens unique difficile à inverser mais qui préserve la proximité locale des profils biométriques. On peut ainsi stocker la version distordue sur le serveur ce qui joue le même rôle que le stockage de versions hachées des mots de passe.

16 Sébastien Gambs Protection de la vie privée : cours 4 16 Illustration des cancellable biometrics

17 Sébastien Gambs Protection de la vie privée : cours 4 17 Fonctionnement des cancellable biometrics

18 Sébastien Gambs Protection de la vie privée : cours 4 18 Mise en gage floue ( fuzzy commitment ) Combine l utilisation de codes correcteurs d erreur et des fonctions de hachage. Soit b le profil biométrique d un individu représenté sous la forme d un vecteur binaire, c est à dire b {0, 1} n. Remarque : en pratique cette hypothèse est relativement plausible pour des codes d iris (par exemple de 512 octets) mais la méthode peut aussi être adapté à des codes fonctionnant sur de l information géométrique (par exemple les empreintes). On choisit un code correcteur d erreurs C de taille n qui est capable de corriger jusqu à t erreurs où t est choisi empiriquement pour donner un bon compromis entre FAR et FRR. Une fonction de hachage universelle h est aussi utilisée.

19 Sébastien Gambs Protection de la vie privée : cours 4 19 Mise en gage floue (phase de capture) Le modèle biométrique b de l utilisateur est mesuré par un scanner. Un mot de code c est choisi uniformément au hasard parmi tous les mots de code possibles de C et z = c b est calculé. On calcule aussi h(c) la valeur hachée de c. h(c) et z seront gardées en mémoire par le serveur. Question : pourquoi ces valeurs sont elles sécuritaires du point de vue du profil biométrique?

20 Sébastien Gambs Protection de la vie privée : cours 4 20 Mise en gage floue (phase de vérification) Soit b le profil biométrique d un utilisateur qui vient dêtre fraîchement mesuré. Le serveur envoie la valeur z au client qui peut calculé alors z b et le décoder vers le mot de code le plus proche c. Le client calcule h(c ) et l envoie au serveur. Le serveur considère que l authentification est réussie si h(c ) = h(c) et rejette l utilisateur sinon.

21 Sébastien Gambs Protection de la vie privée : cours 4 21 Fonctionnement de la mise en gage floue

22 Sébastien Gambs Protection de la vie privée : cours 4 22 Extracteurs flous ( fuzzy extractors ) Cryptographique primitive fonctionnant sur le même principe que les fuzzy commitments. Permet d extraire une chaîne aléatoire rand uniformément distribuée de taille l à partir d un profil biométrique de taille n (pour l < n). Deux étapes : 1. Génération : prend comme entrée un profil biométrique b et produit en sortie une chaîne aléatoire rand et une chaîne d aide p. 2. Récupération : prend comme entrée un profil biométrique b proche du profil original (dist(b, b ) < t) et la chaîne d aide p et produit en sortie la chaîne aléatoire rand. Applications possibles : génération d une clé à partir des données biométriques d un individu qui peut servir pour le chiffrement ou pour l authentification.

23 Sébastien Gambs Protection de la vie privée : cours 4 23

24 Sébastien Gambs Protection de la vie privée : cours 4 24 (oblivious transfert ou OT en anglais) : primitive cryptographique par laquelle un envoyeur peut transmettre une pièce d information parmi plusieurs à un receveur tel que : le receveur apprenne seulement la pièce d information choisie et rien d autre (en particulier aucune information sur les autres pièces d information) et l envoyeur ne sache pas quelle pièce d information a été transmise. Primitive fondamentale en cryptographie car complète pour le calcul multiparti sécuritaire, c est-à-dire qu à partir d une l implémentation du transfert équivoque, il est possible de réaliser n importe quelle fonction distribuée de manière sécuritaire et sans aucune primitive additionnelle (Killian 88).

25 Sébastien Gambs Protection de la vie privée : cours 4 25 Variantes du transfert équivoque Rabin OT (81) : l envoyeur transmet un message qui est reçu par le receveur avec une probabilité de 1 2 et perdu avec la même probabilité. Peut être implémenté physiquement par un canal à perte. 1-out-of-2 OT : l envoyeur transmet deux bits au receveur qui choisit lequel des deux il apprend. Peut être généralisé à des chaînes de caractère (messages) au lieu de simplement des bits. 1-out-of-n OT : l envoyeur transmet n messages au receveur qui choisit lequel il apprend. Remarque : toutes ces variantes ont été prouvés équivalentes au 1-out-of-2 OT par Claude Crépeau. Autrement dit, étant donné une implémentation du 1-out-of-2, il est possible de construire n importe quelle autre variante.

26 Sébastien Gambs Protection de la vie privée : cours 4 26 Illustration des variantes de OT Rabin OT : 1-out-of-2 OT :

27 Sébastien Gambs Protection de la vie privée : cours out-of 2 OT Rabin OT 1. Alice a un bit b qu elle veut transmettre avec probabilité 1 2 à Bob. 2. Alice génère des bits aléatoires r et l. 3. Alice entre b l = b et b 1 l = r dans la machine 1-out-of 2 OT. 4. Bob choisit d apprendre le bit i comme entrée de la machine 1-out-of 2 OT. Il apprend donc le bit b si et seulement si i = l et rien d autre sinon. 5. Alice envoie en clair l à Bob qui apprend alors s il a appris b ou un bit totalement aléatoire r. Question : avez-vous une idée de comment implémenter la réduction inverse (Rabin OT 1-out-of 2 OT)?

28 1. Alice veut envoyer deux messages m 0 et m 1 tel que Bob en apprenne seulement un seul. 2. Alice génère une paire de clés RSA, soit un modulus N, un exposant public e et un exposant privé d. 3. Alice génère deux valeurs aléatoires x 0 et x 1 et les transmet à Bob en même temps que N et e. 4. Bob choisit b comme étant 0 ou 1 et sélectionne alors x b. 5. Bob génère une valeur aléatoire k, masque x b en calculant v = (x b + k e ) mod N et envoie v à Alice. 6. Alice calcule k 0 = (v x 0 ) d mod N et k 1 = (v x 1 ) d mod N. Une de ces deux valeurs est égale à k (mais Alice ne sait pas laquelle) alors que l autre est totalement aléatoire. 7. Alice calcule m 0 = m 0 + k 0, m 1 = m 1 + k 1 et les envoie à Bob. 8. Bob sait lequel des deux messages peut être découvert avec k et il peut ainsi calculer m b = m b k. Sébastien Gambs Protection de la vie privée : cours 4 28 Implémentation de 1-out-of-2 OT basée sur RSA

29 Exemple d application du transfert équivoque Envoyeur : un serveur possédant une base de données de n éléments. Receveur : un client qui souhaite apprendre un élément de la base mais sans divulguer sa requête explicitement au serveur. En utilisant un 1-out-of-n OT, le client peut apprendre cet élément sans que le serveur apprenne la requête qui a été faite. Propriété additionnelle : le client apprend seulement un et un seul élément de cette base. Peut être important si la base de données est confidentielle et le client doit par exemple payer pour chaque élément auquel il accède mais... pas vraiment fondamental du point de vue de la protection de la vie privée. Sébastien Gambs Protection de la vie privée : cours 4 29

30 Principe Protocole inconditionnellement sûr Protocoles calculatoirement sûrs Sébastien Gambs Protection de la vie privée : cours 4 30

31 Principe Protocole inconditionnellement sûr Protocoles calculatoirement sûrs Sébastien Gambs Protection de la vie privée : cours 4 31 (private information retrieval ou PIR en anglais) : primitive cryptographique par laquelle un client peut apprendre un élément d une base de données stocké sur un serveur mais sans que celui-ci apprenne quel élément a été appris. Contrairement au transfert équivoque, on suppose qu il n est pas fondamental de garder la base de données secrète mais... on souhaite minimiser le coût de communication du protocole (càd le nombre de bits échangés). En particulier, on souhaite faire mieux que simplement communiquer directement la base de données (coût de communication de O(n) bits). Remarque : c est le retrait qui est privé et non pas l information elle-même!

32 Principe Protocole inconditionnellement sûr Protocoles calculatoirement sûrs Sébastien Gambs Protection de la vie privée : cours 4 32 Retrait d information non-privé Retrait d information non-privé : Le client demande l élément i au serveur. Le serveur lui envoie l élément i demandé. Coût de communication de O(log n) mais aucune protection de vie privée. Retrait d information totalement privé : Le client demande toute la base de données qui lui est envoyé par le serveur. Le client retrouve localement l élément qui l intéresse. Coût de communication de O(n) mais protection totale.

33 Principe Protocole inconditionnellement sûr Protocoles calculatoirement sûrs Schéma générique : Le client génère une requête personnalisée par rapport à l élément i choisi. Le serveur calcule une réponse qui dépend de la base de données complète et l envoie au client. Le client décode la réponse pour obtenir l élément recherché. Exemples d utilisation : accès à une bibliothèque électronique où le choix du livre consulté peut révéler les opinions politiques, consultation d un annuaire géolocalisé où connaître la requête révèlerait la position, accès à un site web médical où la requête peut être sensible par rapport à une maladie particulière. Sébastien Gambs Protection de la vie privée : cours 4 33

34 Principe Protocole inconditionnellement sûr Protocoles calculatoirement sûrs Sébastien Gambs Protection de la vie privée : cours 4 34 Protocole inconditionnellement sûr Possible pour un coût de communication moins que linéaire seulement dans un contexte où la base de données est répliquée sur plusieurs serveurs qui sont supposés ne pas être en collusion. Soit une base de données de n éléments {x 1,..., x n }, chacun de l bits. Le client veut récupérer le ième élément, x i. La base de données à été répliquées sur deux serveurs D 1 et D 2.

35 Principe Protocole inconditionnellement sûr Protocoles calculatoirement sûrs Sébastien Gambs Protection de la vie privée : cours 4 35 Protocole de retrait d information privé distribué 1. Le client génère une chaîne aléatoire de n bits Q 1 = (q 1,1,..., q 1,n ) et l envoie à D Le client calcule Q 2 en partant de Q 1 et en inversant le ième bit qui correspond à l élément recherché et l envoie à D D 1 calcule le où-exclusif de tous les éléments x j tel que q 1,j = 1, c est-à-dire que R 1 = j,q1,j =1x j et envoie la réponse R 1 au client. 4. D 2 calcule R 2 = j,q2,j =1x j et envoie la réponse R 2 au client. 5. Le client fait le où-exclusif des réponses reçues et calcule x j = R 1 R 2. Remarque : ce protocole peut être répété l fois pour obtenir les l bits de x j.

36 Principe Protocole inconditionnellement sûr Protocoles calculatoirement sûrs Sébastien Gambs Protection de la vie privée : cours 4 36 Sécurité du protocole Très proche dans l esprit du masque jetable (one-time pad). Comme Q 1 a été généré aléatoirement, chaque bit de Q 1 a une probabilité de 1 2 d être égal à 0 et une probabilité de 1 2 dêtre égal à 1. Même remarque pour Q 2. À moins de coopérer D 1 et D 2 n apprennent donc aucune information sur quel élément x j intéresse le client. Remarque : il existe des généralisations à cette approche qui permettent de diminuer la communication en augmentant le nombre de serveurs et/ou de tolérer des collusions de serveurs tant que la taille de la collusion est limitée.

37 Principe Protocole inconditionnellement sûr Protocoles calculatoirement sûrs Sébastien Gambs Protection de la vie privée : cours 4 37 Performance en terme de communication Retrait non-privé : Coût de la requête : O(log n). Coût de la réponse : O(l). distribué : Coût de la requête : O(2n). Coût de la réponse : O(2l). Retrait d information totalement privé : Coût de la requête : constant. Coût de la réponse : O(nl).

38 Principe Protocole inconditionnellement sûr Protocoles calculatoirement sûrs Sébastien Gambs Protection de la vie privée : cours 4 38 Protocole calculatoirement sûr But : n avoir recours qu à un seul serveur pour stocker la base de données. Prouvé comme étant impossible si on souhaite avoir une sécurité inconditionnelle (au sens de la théorie de l information). Nécessite de baser la sécurité du protocole sur une hypothèse calculatoire.

39 Principe Protocole inconditionnellement sûr Protocoles calculatoirement sûrs Sébastien Gambs Protection de la vie privée : cours 4 39 Chiffrement homomorphe Chiffrement homomorphe: cryptosystème (asymétrique) qui permet de réaliser des opérations sur des textes chiffrés sans connaissance préalable de la clé secrète. Enc pk (a) représente le chiffrement du message a sous la clé publique pk et Dec sk (Enc pk (a)) = a est le déchiffrement du chiffré obtenu sous la clé secrète sk. Propriétés : Homomorphisme additif : il existe une opération efficace qui peut être réalisée sur deux messages chiffrés tel que Dec(Enc(a) Enc(b)) = a + b. Affine : il existe une opération efficace prenant en entrée un texte chiffré et un message en clair et tel que Dec(Enc(c) a) = c a. Exemple d un cryptosystème homomorphe additif, affine et sémantiquement sûr : Paillier 1999.

40 Principe Protocole inconditionnellement sûr Protocoles calculatoirement sûrs Sébastien Gambs Protection de la vie privée : cours 4 40 Protocole basé sur le chiffrement homomorphe 1. Le client génère une chaîne de n bits Q = {q 1,..., q n } tel que tous les bits de la chaîne valent 0, sauf q i = Le client génère une paire de clés (pk, sk) pour un chiffrement homomorphe et chiffre chaque bit de Q en utilisant la clé pk pour obtenir {Enc pk (q 1 ),..., Enc pk (q n )} puis l envoie au serveur. 3. Le serveur calcule Enc(q i ) x i = q i x i (opération affine) pour chacun des n éléments puis additionne les chiffrés obtenus Enc(q 1 x 1 )... Enc(q n x n ) = Enc( n j=1 q j x j ) = Enc(x i ) puis envoie le chiffré obtenu au client. 4. Le client peut maintenant déchiffrer Dec sk (Enc pk (x i )) = x i. Coût de la requête : O(n). Coût de la réponse : O(l).

41 Principe Protocole inconditionnellement sûr Protocoles calculatoirement sûrs Sébastien Gambs Protection de la vie privée : cours 4 41 C est la fin! Merci pour votre attention. Questions?