Systeme und ihr Umfeld

Biometrie

Authentisierung anhand des Tippverhaltens

Von Dieter Bartmann und Christan Breu, Regensburg

Eine biometrische Authentifizierung ohne zusätzliche Hardware sowie unmittelbare digitale Signaturen, die zudem kein Darstellungsproblem kennen, weil sie bei der originären Eingabe von Daten anfallen, das verspricht die Erkennung von Tippmustern auf Computertastaturen. Neuere Verfahren der Universitäten Regensburg und München kommen dabei auch mit kurzen Schreibproben aus.

Ein handschriftlich verfasstes und unterschriebenes Dokument wird im weltweiten Rechtsgebrauch als authentische Aussage und Willenserklärung akzeptiert. Der Schwung und der Druck, mit der die Hand die Feder führt, sowie die Formgebung der Buchstaben werden als personentypisch angesehen. Ein digitales Analogon zur Unterschrift ist das Tippverhalten auf einer Computertastatur. Wenn es gelingt, hier ebenfalls personentypische Merkmale zu extrahieren, lässt sich damit ein der Handschrift gleichwertiges Verfahren gewinnen, das zur Verifizierung der Authentizität eines elektronisch verfassten Dokumentes, zur digitalen Signatur und zur Verifikation der Identität eines Benutzers einsetzbar ist (zum Beispiel beim Login).

Erste Versuche mit fest vorgegebenem Text, die bis in die siebziger Jahre zurückreichen, haben gezeigt, dass die Dynamik der Tastaturanschläge einen Benutzer durchaus charakterisiert. Leider ist die Schreibdynamik deutlichen Schwankungen unterworfen, die unter anderem von der Tagesform abhängen, sodass sie als psychometrisches Merkmal sehr wenig Trennschärfe besitzt. An der Universität Regensburg (in einem Kooperationsprojekt mit der TU München) ist es jedoch gelungen, auch gering-dynamische und damit stabilere Merkmale zu finden. Es sind dies der Gebrauch der Shift-Taste (woraus sich zum Beispiel unter anderem die Rechts- oder Linkshändigkeit einer Person schließen lässt) und die so genannten Überholungen. Hier handelt es sich um die Eigenheit, dass eine zweite Taste angeschlagen wird, ehe der Anwender die erste Taste losgelassen hat.

Insgesamt wurde eine Vielzahl von Einzelmerkmalen identifiziert, die das Tippverhalten charakterisieren. Auch das Problem des langen Eingabetextes konnte gelöst werden. Um ein personentypisches Schreibmuster zuverlässig extrahieren zu können, benötigt man circa eine Seite Text. Dies ist für ein Login zu viel. Deshalb verwendete man bisher einen fest vorgegebenen kurzen Text, bei dem es leichter fällt, einige wenige Kennzahlen der Tippdynamik zu ermitteln. Der Nachteil ist eine Anfälligkeit gegenüber Replay-Attacken. Das Regensburger Verfahren schlägt einen anderen Weg ein: Anstelle des Pattern Matching testet es einen beliebigen Eingabestring gegen das Referenz-Tippmuster. Dies geschieht mithilfe eines komplexen statistischen Modells. Ein nachgeschaltetes neuronales Netz berechnet die personentypischen "Gewichte", mit denen die Einzelmerkmale in die Acceptance/Rejection-Entscheidung eingehen. Bei der Texteingabe kommt man in der Regel mit einem String von etwas über einer Zeile aus. Kann sich das PsyLock genannte Verfahren dann noch nicht sicher entscheiden, fordert es eine weitere kurze Tippprobe an.

PsyLock (Psychometric Locking) gehört innerhalb der Biometrie zu den psychometrischen Verfahren (neben Schrifterkennung, Sprechmimik, Sprechererkennung). Bei diesen liegt das Muster nicht offen vor und kann auch nicht unmittelbar abgegriffen werden. Es besteht in der durch die Psyche beeinflussten Motorik einer Person.

Güte-Abschätzung

Entscheidend für die Qualität eines Authentifizierungsverfahrens ist zum einen die irrtümliche Bestätigung einer behaupteten Identität (False Acceptance) und zum anderen deren irrtümliche Ablehnung (False Rejection). PsyLock-Tests mit circa 20 Personen am Lehrstuhl, rund 250 Messebesuchern der CeBIT und der SYSTEMS sowie vier Mitarbeitern der zentralen Verwaltung der Uni Regensburg ergaben, dass eine False Acceptance Rate (FAR) unter einem Prozent erreichbar ist, bei langen Eingabetexten sogar deutlich weniger. Dies entspricht nach der Klasseneinteilung des TeleTrust e. V. einem sehr starken biometrischen Verfahren. Bei 120 Zeichen Eingabetext erreicht PsyLock eine False Rejection Rate (FFR) von unter 7,5 % beim ersten Versuch. Zum Vergleich hierzu wird die gemeinsame BIOIS-Studie vom IGD, BKA und BSI vom Mai 2000 angeführt: Feldtests mit 40 Personen und 10 verschiedenen Systemen mit sechs unterschiedlichen biometrischen Verfahren, ergaben FAR von 2–6 % und FRR von 4–60 %. Auch im Vergleich mit den Ergebnissen des Communications Electronics Security Group (CESG) Biometric Tests von Mai bis Dezember 2000 mit sieben biometrischen Testsystemen kann sich PsyLock behaupten. Allerdings basieren die jeweiligen Ergebnisse auf unterschiedlichen Versuchsbedingungen und sind nicht ohne Weiteres zu vergleichen.

[ab einer Textlänge von 300 Zeichen liegen FAR und FRR von PsyLock unter den Werten anderer Biometrien]
Vergleich der False Rejection Rates (FFR) und False Acceptance Rates (FAR) bei PsyLock mit verschiedenen Textlängen und anderen Biometrien.

Psychometrie-Vorteile

Alle Vorteile, die psychometrischen Verfahren zu eigen sind, treffen auch auf die Tippmustererkennung zu. Zwei wesentliche Vorzüge: Erstens liegt das Merkmal nicht offen zutage. Selbst aus dem Eingabetext lässt sich kein Muster generieren. Es ist nicht einmal der abgebenden Person selbst bekannt und kann deshalb auch nicht abgepresst oder missbräuchlich weitergegeben werden. Zweitens: Je mehr Text man eingibt, desto höher wird das Sicherheitsniveau. Man kann sich diesen Vorteil zunutze machen und das Verfahren auf die unterschiedlichen Sicherheitsbedürfnisse vom Schreibbüro bis hin zur Patentabteilung skalieren.

Hinzu kommt der Vorteil, dass die Tippmustererkennung keine zusätzliche Hardware benötigt. Bei PsyLock handelt es sich beispielsweise um eine (browserfähige) reine Softwarelösung, die auf jedem Standard-PC lauffähig ist. Deshalb sind die Inhouse-Installationsaufwendungen (auch in großen Unternehmen) und die Kosten der Systempflege sehr gering. Eine Verteilung an Endbenutzer im E-Commerce kann problemlos erfolgen. Einer Kombination mit anderen biometrischen Verfahren und auch mit dem Passwortschutz steht nichts im Wege.

Besonders geeignet ist die Tippmustererkennung für Anwendungen, in denen ohnehin Text generiert wird, zum Beispiel bei E-Mails oder der Textverarbeitung. PsyLock könnte etwa im Hintergrund neben den Tastenanschlägen ihre Zeitdaten aufzeichnen und diese Information dem Dokument als Signatur anheften.

PsyLock-Architektur

Der Kern von PsyLock ist in C programmiert und sowohl auf UNIX als auch auf Windows-Systemen lauffähig. Der modulare Aufbau und das umgesetzte Mehrschichten-Prinzip machen die für Anwendungsentwickler zur Verfügung gestellte PsyLock-API flexibel für verschiedenste Implementationen.

[Architektur von PsyLock]
PsyLock Client/Server-Architektur in Windows-Netzwerken: Der PsyClient als Ein-/Ausgabe-Schnittstelle zum Benutzer steuert die Ausgabe der Lern- und Testtexte, erfasst die Tastaturanschlagaufzeichnung (TAA) eines Benutzers über die WinHook der Win32-API und visualisiert die Testergebnisse.

Der PsyServer umfasst neben dem reinen Vergleich der Tastaturanschlagaufzeichnung (TAA) mit dem zuvor aufgezeichneten Lernmuster (Modul PsyCore und Interface PsyCoreIF) zusätzlich die Generierung eines abzutippenden Textes (PsyGen), die Verwaltung der verschiedenen registrierten PsyLock-Systembenutzer (PsyAdmin) und das Sitzungsmanagement über die Nutzung sicherheitkritischer Ressourcen (PsySession) durch einen PsyLock-Nutzer. Das Modul PsyBase ist verantwortlich für die sitzungsübergreifende Speicherung der Daten. Zu unterscheiden sind dabei die Musterdaten zu den registrierten PsyLock-Benutzern von den Konfigurationsdaten des PsyLock-Systems.

Aber auch der Einsatz im Internet bietet sich an. Dazu wurde am Regensburger Lehrstuhl bereits ein Prototyp einer javabasierten Lösung für den Browser, zum Beispiel zum Online-Banking entwickelt. Die Rolle des Clients übernimmt dabei ein signiertes Applet, das über eine verschlüsselte SSL-Verbindung mit dem PsyLock-Server kommuniziert. Der Zugriff auf die C-Bibliothek von PsyLock lässt sich in Java bequem durch die von SUN bereitgestellte JNI-Architektur realisieren.

Einsatzgebiete

Tippmustererkennunegn können als Zugriffskontrolle zu Rechnerressourcen überall dort angewendet werden, wo man bisher Passwörter verwendet – entweder als Verstärkung im Hochsicherheitsbereich oder als bequemer Passwortersatz bei geringeren Sicherheitsanforderungen. Die Zugriffskontrolle kann auch permanent im Hintergrund erfolgen. Eine weitere Anwendungsmöglichkeit ist die Signatur digitaler Textdokumente wie E-Mails oder elektronische Überweisungsformulare. Auch eine unmittelbare digitale Signatur lässt sich konstruieren: Der Benutzer tippt seinen Namen und eine kurze Freitext-Willensbekundung. Ein Trustcenter könnte beispielsweise über einen PsyLock-Server die Originalität einer solchen Unterschrift im Rahmen des definierten Sicherheitsniveaus bestätigen. Ein Vorteil wäre unter Umständen darin zu sehen, dass der Benutzer kein Signaturschlüsselpaar benötigt.

Prof. Dr. Dieter Bartmann und Dipl.-Kaufmann Christan Breu forschen am Lehrstuhl für Wirtschaftsinformatik der Universität Regensburg.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 4/2001, Seite 46