9 Thesen zu Apples TouchID
Wer, um sich auszuweisen, einen Finger auf ein Fingerabdruckscanner legt, gibt seinen Fingerabdruck her. Er muss dem, was dann folgt, vertrauen, denn die Authentifizierung per Fingerabdruck ist – theoretisch – ein symmetrisches System: Wer den Fingerabdruck lesen kann, kann ihn auch verwenden, vorausgesetzt er weiss wie.
Die aktuelle Diskussion um Apples Fingerabdrucksensor im iPhone 5s (“TouchID”) hat viele Kritiker auf den Plan gerufen. Die aktuellen Enthüllungen rund um die Sammelwut der NSA machen es zudem fast unmöglich irgendein System zu etablieren, dem noch vertraut wird.
Dennoch hat die Debatte verdient, differenzierter geführt zu werden, denn wenn Apples System richtig implementiert wird, dann führt das zu einer deutlichen Verbesserung von Sicherheit und Datenschutz. Viele Dinge sprechen dafür, dass das so ist, Apple bleibt eine gute technische Beschreibung jedoch immer noch schuldig. Im Folgenden soll versucht werden, auf die einzelnen Bedenken näher einzugehen, nicht um Apple zu verteidigen, sondern um die technischen Möglichkeiten aufzuzeigen, wie den Bedenken begegnet werden kann. Ob TouchID so implementiert ist, ist weitgehend offen, es spricht jedoch mehr dafür als dagegen. Da momentan viel über Sinn und Unsinn des Fingerabdruckscanners spekuliert wird, und die Diskussion sehr komplex, spekulativ und langwierig ist, möchte ich versuchen, aus Entwicklersicht einiges zur Funktionsweise beizutragen. Es kann auch komplex, spekulativ und langwierig werden, ich hoffe jedoch, dass es die Debatte etwas versachlicht.
Wenn ich einen Fingerabdrucksensor benutze, gebe ich meinen Fingerabdruck her.
Das ist zuerst einmal richtig, allerdings ist es genauso richtig, wie man mit der Eingabe seines Passworts ein Passwort hergibt. Auf gut implementierten Systemen wird das Passwort gehasht: Aus dem Passwort wird eine Zeichenkette generiert, die keine Rückschlüsse auf das richtige Passwort zulässt, aber garantiert, dass sie mit dem Passwort erzeugt wurde. Der Fingerabdruckscanner muss ebenfalls nicht den Fingerabruck aufnehmen, sondern nur Daten, die den Fingerabdruck eindeutig zuzuordnen sind.
Im Gegensatz zu Personalausweis und amerikanischer Einreisekontrolle ist es gar nicht das Ziel, den Fingerabdruck weiterzugeben, sondern “nur” ihn wiederzuerkennen, um fortan bestätigen zu können, dass es sich um den selben Finger wie vorher handelt.
Wenn der Fingerabdruck aber doch auf dem Gerät gespeichert wird, dann kann man da doch rankommen!
Apple hat ziemlich klar gesagt, dass der Fingerabdrucksensor die Daten so speichert, dass nicht einmal das Betriebssystem es lesen kann. Das iPhone hat bereits ein ähnliches System: Der Verschlüsselungschip ausserhalb des Prozessors enthält die sogenannte UID: Niemand ausser diesem Chip kann die UID verwenden. Das einzige, was der Chip kann, ist mit der UID Daten zu ver- oder entschlüsseln.
Ok, den Fingerabdruck kann niemand lesen, und wenn ja, kann daraus auch keiner den Originalabdruck rekonstruieren. Aber falls doch: Dann kann man damit doch die Daten entschlüsseln?
Die vorhin beschriebene UID eignet sich vorzüglich, um die Daten, die der Sensor speichert, an das Gerät zu binden: Selbst wenn man sie auslesen kann, dann sind sie nur mit der UID zu verwenden. Ein anderes Gerät (oder ausgelesener Speicher) hat eine andere (oder keine) UID, damit sind die gespeicherten Daten des Sensors wertlos.
Apple schweigt sich bisher dazu aus, ob die Daten, die der Sensor speichert, an das Gerät gebunden sind, aber es ist stark anzunehmen, dass das so ist.
Wenn ich den Fingerabdruck jetzt aber woanders her habe, zum Beispiel direkt vom Glas des Telefons, kann ich den Sensor doch überlisten?
Mit den einfachen Abdrücken, die man von glatten Oberflächen bekommt, ist das unwahrscheinlich. Apple gibt an, das der Sensor per Infrarot die Strukturen unter der Haut liest, also wird das, was man auf Glasscheiben hinterlässt, zur Fälschung des Abdrucks nicht reichen. Dieses Verfahren eignet sich ausserdem prima dazu, sicherzustellen, dass der Träger des Fingers noch lebt.
Es ist nicht auszuschließen, dass sich der Sensor austricksen lässt, wenn man diese Daten dennoch hat. Und wer weiss, ob die Amerikaner diese nicht von ihren Sensoren bei der Einreise bekommen. Und wenn es nicht um die NSA & Co geht, die einem bei der Einreise eh keine Wahl lassen: Es ist wichtig, vorsichtig zu sein, wenn man seinen Finger auf einen Fingerabdruckscanner legt.
Wenn es also jemand schafft, die Strukturen unter der Haut meinen Fingers einzuscannen, und den Sensor überlistet, dann kommt er an mein iPhone ran!
Erstmal ja. Allerdings schützt der Fingerabdruck das Gerät nicht alleine: Es gibt nach wie vor einen Passcode oder ein Passwort, das zusätzlich zum Fingerabdruck eingegeben werden muss. Allerdings nicht jedes mal, sondern erst nach einer gewissen Zeit der Nicht-Benutzung oder wenn das Gerät eingeschaltet wird. Da man es deutlich seltener eingeben muss, kann man da jetzt durchaus etwas komplexeres als den einfachen 4-Zahlen-PIN nehmen, viele Benutzer werden überhaupt erst ein Passwort wählen.
Wer also das iPhone erst einschalten muss, oder nach einiger Zeit drauf zugreifen will, dem nützt auch die Überlistung des Sensors nichts. Wenn man das berücksichtigt, ist man bei der Einreisekontrolle oder der Polizei deutlich besser gestellt als jetzt.
Aber wozu der ganze Aufriss? Passwörter sind viel sicherer als Fingerabdrücke!
Das stimmt. Allerdings nur wenn das Passwort komplex genug ist. Laut Apple haben mehr als die Hälfte aller iPhone-Nutzer aus Bequemlichkeit gar kein Passwort. Beim Rest sind die einfach zu erratenden oder beobachtenden PINs und Passwörter wahrscheinlich in der Mehrzahl. Ein System, dass es diesen Benutzern ermöglicht, ein sicheres Passwort zu wählen, ohne dafür auf Bequemlichkeit verzichten zu müssen, führt zu mehr Sicherheit.
Wer den Fingerabdrucksensor überlisten kann, hat doch eh Zugriff auf das Gerät. Was soll das Ganze dann noch?
Wie bei modernen Laptops ist auf dem iPhone das gesamte Dateisystem verschlüsselt. Der Schlüssel hierzu liegt, wenn man kein Passwort hat, auf dem Gerät: Es ist die oben beschriebene UID. Die Daten sind also sicher, da sie nur auf dem Gerät entschlüsselt werden können. Das Betriebssystem auf dem Gerät hat aber beliebigen Zugriff auf die Entschlüsselung.
Grundsätzlich kann der Schutz von Daten auf einem Gerät durch Kryptographie nur funktionieren, wenn das zu schützende Gerät nicht alle Informationen enthält, die es zum Schutz der Daten braucht. Die UID alleine, selbst wenn sie nicht auslesbar ist, reicht also nicht für ein sicheres System.
Bisher hat iOS dafür folgende Lösung: Ist ein Passwort gesetzt, dient es als Teil des Schlüssels zur Entschlüsselung der Daten. Dazu werden Schlüssel aus dem Passwort und der UID generiert, die für unterschiedliche Dateien unterschiedlichen Schutz zulassen. So gibt es in der höchsten Schutzklasse einen Schlüssel, der sofort weggeschmissen wird, wenn das Gerät gesperrt wird, und der nach Eingabe des Passworts wieder generiert wird. Das Betriebssystem selbst halt also nur Zugriff auf die Daten solange das Gerät entsperrt ist.
Natürlich eignet sich das nicht für alle Arten von Daten, denn manchmal muss das Betriebssystem auch im Hintergrund auf Daten zugreifen, während es gesperrt ist. Daher gibt es unterschiedliche Schutzklassen, die sich für verschiedene Zwecke eignen. Es ist die Aufgabe eines guten App-Entwicklers, diese für sensible Daten auch zu nutzen.
Ohne Passwort findet dieser Schutz jedoch in keinem Fall statt. Leider schweigt sich Apple zu den Details (noch) aus, aber es ist stark anzunehmen, dass der Fingerabdrucksensor hier eine entscheidende Rolle spielt, da die Kombination aus UID, Passwort und Sensordaten in Zukunft den Zugriff auf die Schlüssel zum Dateisystem regelt.
Das ist ja alles schön und gut, aber die Details zu TouchID sind vage, es wird Schwachstellen geben, und niemand kann sicher sein, dass die NSA nicht doch eine Backdoor hat!
Richtig. Apple muss deutlich transparenter sein, und die Sicherheitsfeatures überprüfbar implementieren und dokumentieren. Vieles in diesem Beitrag ist spekulativ, da Apple hierzu noch keine Details veröffentlicht hat. Allerdings halte ich die Wahrscheinlichkeit für sehr hoch, dass es genau so wie hier beschrieben funktioniert, denn alle Puzzleteile sind bereits seit langen in iOS vorhanden. Es wäre sehr nachlässig von Apple, sie nicht zu nutzen.
Dennoch ist ein solches System, dann wenn die Kritiker nicht mit allen ihren Bedenken Recht haben, ein Fortschritt gegenüber dem Status Quo eines größtenteils ungeschützten Speicherns der Daten ohne Passwort.
Mit dem iPhone fängt es an. In Zukunft muss ich überall meinen Finger drauflegen um mich zu authentifizieren. Vor dieser Zukunft habe ich Angst.
Ich auch. Es ist, aus dem oben beschriebenen Gründen, gefährlich, Systemen, denen man nicht traut, seinen Fingerabdruck zu geben.
Apples System muss dieses Vertrauen auch erst gewinnen, und bei der derzeitigen Nachrichtenlage bin ich skeptisch, ob das gelingt. Dennoch muss die Debatte differenziert geführt werden. Ein Biometriesystem, welches das Vertrauen der User verdient, kann zu einem deutlichen Plus an Sicherheit führen. TouchID ist Apples Versuch ein solches System zu etablieren. Ob das gelingt, und ob es dieses Vertrauen verdient hat, muss es zeigen.