指纹识别:信息安全时代颠覆者

  几乎每个人都熟悉在自动柜员机(ATM)取款的动作:把卡插进去,输入6位密码,取款、转账。但是,这部ATM并不知道是谁在插卡、输密、取款——这张卡可能是偷来的,这个密码可能被暴力破解,或者已经被猜出来。

  同样,当人们的习惯转向移动支付,手机上的支付软件也不知道是谁在用这部手机进行交易——这在去年10月被颠覆,苹果公司上线Apple Pay移动支付平台,在这个支付平台上,用户的指纹才是密码。

  据苹果CEO蒂姆·库克在苹果最新财季电话会上公布的数据,目前已经大约有750家银行和信用合作社支持Apple Pay。指纹识别作为生物特征识别“家族”最典型的代表,正试图颠覆这个“信息不安全”的时代。

  如果说“指纹支付正在颠覆移动支付”言之尚早,那么“指纹加密”正成为手机领域炙手可热的新卖点恐怕无人反对。继苹果在iPhone 5S、iPhone 6等手机推出指纹识别技术之后,三星、华为、魅族等手机厂商无不大打“指纹识别牌”。手机厂商在指纹识别功能上的竞争,已经从“要不要放”升级到“该放正面还是反面”了。

  “碳粉+胶带”能破指纹加密?

  然而,人们对指纹加密安全性的质疑,几乎伴随着指纹加密技术的应用同时而来。最着名的桥段恐怕当属“钥匙忘在了锁头上”的说法了。

  质疑者指出,虽然指纹具有唯一性(尽管这种假说本身无法通过科学手段一一验证,但人们迄今为止还未找到两个一模一样的指纹),但指纹在我们的生活中太过常见——我们的手会和各种东西接触,随时随地都会留下自己的指纹。

  “这是典型的钥匙忘在了锁头上。”有网友指出,只需要一点碳粉外加一段透明胶带,就能轻松地“从喝水的杯子上获取一个人的指纹信息”。

  用获得的指纹信息“再造”出来的指纹在学术上被称作“假指纹”,假指纹一般可被做成“指模”,用以骗过各类指纹识别系统。

  臧亚丽是中国科学院自动化研究所的助理研究员,几年以来一直围绕指纹识别与指纹加密算法与技术展开研究。她告诉《中国科学报》记者,通过碳粉、胶带这种简单的技术手段,尽管可以得到一部分指纹信息,“但这部分信息通常难以对我们造成威胁”。

  “一般人通过简单的方式是做不出那么好的假指纹的。”臧亚丽说,一些犯罪现场也会残留非常多的指纹,然而即使给刑侦学专家充分的时间在现场采集、采集后再经过精细加工,“最终获得的指纹有60%的匹配度就非常不错了”。这个数字意味着,通过一般的采集加工手段,从水杯等生活用品上最终获得的假指纹与真实指纹的匹配度顶多只有60%相似。

  自动指纹识别系统中都有一个阈值来区分指纹匹配是否成功。比如,正在验证指纹信息与存储信息比对匹配超过90%就算成功。而法医学上的指纹匹配度阈值更低(低于60%)。

  “就算拥有刑侦专家水平,通过日常生活中采集残留指纹制作假指纹也难以攻破指纹安全系统,普通人如此做想要破掉指纹安全系统的难度可想而知了。”臧亚丽说。

  不过臧亚丽并不否认,的确有些黑客通过极端方式可以从人们生活中的残留痕迹提取到相对完整的指纹信息,用以攻击对应的信息安全系统,并可能获得成功。

  “不能说完全没有这方面的威胁,存在非常专业的人员,但这是非常极端的行为,对普通人的威胁约等于零。”臧亚丽说。

  值得一提的是,不久前欧洲最大的黑客联盟“Chaos计算机俱乐部”表示,该组织已经可以通过几张手指照片复制出人们的指纹——德国国防部长乌尔苏拉·范德莱恩成为被公开的第一位受害者。

  中科院自动化研究所模式识别国家重点实验室副研究员吴怀宇在接受《中国科学报》记者采访时认为,从照片中得到指纹的方式“从机理上讲难度很大”,也属于极个别现象。

  软硬兼施“狙击”假指纹

  尽管如此,科学家并没有放松对假指纹的警惕。相反,科学家在硬件、软件方面都有与假指纹针锋相对的技术措施。