Ancora tra l'indice e la firma ...

Qualche tempo fa ho pubblicato alcune brevissime considerazioni su una vulnerabilità individuata dai ricercatori di FireEye (PDF) nella raccolta dei dati biometrici di alcuni terminali Android, in particolare nel sistema integrato di acquisizione delle impronte digitali degli apparecchi Samsung Galaxy S5.

Una notizia di ieri (23 Settembre 2015) mi consente di ritornare sull'argomento, rinforzando alcune mie affermazioni.

Tra Maggio e Giugno scorsi, l'Office of Personnel Management (OPM), l'agenzia federale statunitense che gestisce circa il 90 per cento del personale governativo, ammetteva una intrusione nei propri sistemi informatici che avrebbe compromesso i dati di qualcosa come 22 milioni di persone.

Ieri, come detto, l'OPM ha comunicato che tra i dati sottratti vi sono qualcosa come cinque milioni e seicentomila impronte digitali.

Benché l'OPM affermi che l'utilizzo delle impronte è "limitato", queste sono comunque informazioni che possono venire buone con l'aumento della pervasività delle tecnologie connesse.

L'impronta digitale ha una sua caratteristica intrinseca di interesse criminalistico, la sua unicità e permanenza nel tempo.

Permanenza significa che l'impronta non cambia con il tempo (non consideriamo interventi di modifica un po' da Spectre, ma che comunque esistono), che l'impronta è per sempre, come i diamanti De Beers e le stupidaggini mandate in rete. 

Ora abbiamo un caso in cui l'impronta di 5,6 milioni di individui è compromessa ai fini autenticativi?

La password la si può cambiare in caso di compromissione (ma sarebbe meglio prima, molto prima), ma l'impronta digitale? Analogamente nel caso si faccesse affidamento su altre biometrie, come la lettura dell'iride (su cui già esiste più d'un concept attack). Mica posso tagliarlo, il dito; l'occhio della testa, poi, lo vuole sempre la Gestione Separata dell'INPS.

Resta ancora una volta la firma, sempre intesa come biometria; seppure siano concettualmente possibili attacchi (anche relativamente semplici) al sistema, la firma bene o male la si può cambiare, anzi, la sua variabilità, la sua evoluzione nel tempo sono parte fondamentale (anche se di difficilissima modellabilità fisico-matematica) delle caratteristiche utilizzabili a fini identificativi.