Secure and efficient biometric authentication based on advanced cryptographic primitives

Abstract

Bu tezde biyometrik kimlik doğrulama protokolleri ve parola veritabanlarının çalınmasınıengellemeye yönelik sistemleri inceledik. Parmak izi gibi biyometrik kimlik belirleyicilerkişisel olarak eşsizdir ve bu sayede kimlik doğrulamada kullanılabilirler. Ancak bir kezele geçirildiklerinde yerlerine yenileri koyulamaz. Bu nedenle, biyometrik veriyi açıkmetin halinde kullanan biyometrik sistemler güvenlik ve mahremiyet problemi oluştururlar.Bu tezde son teknoloji ürünü güvenli biyometrik kimlik doğrulama protokolleriile ilgili yaptığımız araştırmayı sunuyoruz. Biyometrik vasıf vektörleri karşılaştırmakiçin genellikle Hamming uzaklığı kullanılır. Pratik bir örnek olması için, Bringer vearkadaşlarının geliştirdiği (SHADE adındaki) kriptografik protokolü analiz ettik. Buprotokol taahhütlü habersiz transfer protokolünü kullanarak Hamming uzaklığını güvenlibir şekilde hesaplamayı amaçlar. Biz ise, SHADE protokolünün kötü niyetli kullanıcılarakarsı aslında güvenli olmadığını ispat ettik. Protokole farklı ataklar gerçekleştirdik protokolüngerçekten güvenli olması için bu ataklara karsı koyma yöntemleri geliştirdik.Bir adım ileri giderek, protokolün verimliliğini inceledik ve protokolün karmaşıklığınıniyileştirilebileceğini gösterdik.Kimlik doğrulamada bir başka önemli problem ise parola veritabanlarının çalınmasıdır.Son birkaç yılda, birçok parola veritabanı çalındı ve milyonlarca kullanıcı adı ve parolaözeti açığa çıkmıştır. Son teknolojik gelişmelerle birlikte, örn: grafik işlemci birimininhesaplamada kullanılması, parola özetlerinin kırılması daha kolay hale gelmiştir. Parolaveritabanı çalınıp parolalar ele geçirilirse, hiçbir sunucu bunu tespit edemeyecektir. Butehditlere karsı, Juels ve Rivest Honeywords sistemini geliştirmişlerdir. Bu sistemde, herkullanıcı birden fazla olası parola ile ilişkilendirilir ancak bunlardan sadece bir tanesigerçek paroladır. Bu tezde, Honeywords sistemi güvenlik ve fonksiyonellik açısından incelenecektir.Yazarlara göre Honeywords sistemi aktif saldırılara karsı koyamamaktadır,örn: sistemin kodlarının değiştirilmesi. Biz ise bu problemi çözen güçlendirilmiş Honeywordssistemini tanıtacağız. Kisi basına honeywords sayısı, yanlış yazmaya karsı güvenlihoneywords üretimi ve eski parola yönetimi konularına çözüm önereceğiz. Son olarakgüvenlik ve verimlilik analizi yapacağız.

In this thesis, we study secure biometric authentication protocols and mitigation methodsagainst password database breaches. Biometric identifiers such as fingerprint of a useris inherently unique and can be used to authenticate individuals. However, biometricidentifiers cannot be replaced with new ones, once they are compromised. Therefore,biometric authentication systems that use biometric data in plain form raises securityand privacy issues. In this thesis, we give a survey of state of the art protocols designedfor secure biometric authentication. Hamming distance is generally used to comparebiometric feature veectors. As a practical example, we analyze a cryptographic protocolof Bringer et al. (called SHADE) which aims to securely compute a Hamming distancecomputation based on Committed Oblivious Transfer protocol. We show that SHADE isin fact insecure in the malicious model. We mount different attacks to the protocol andintroduce mitigation techniques that makes the protocol indeed secure. Furthermore, wealso analyze the protocol from the efficiency perspective and show that the complexityof the protocol can be significantly improved.Another important security problem in authentication is the password database breach.In the last few years, several password databases were breached and millions of usernames and password hashes were released. With the recent technological advancementslike using graphical-processing unit (GPU) in computation, it is comparably easier toinvert password hashes. Once the password database has been breached and passwordshave been recovered, no server can detect any illegitimate user authentication. In orderto thwart these kinds of threats, Juels and Rivest developed the Honeywords system.In this system, each user is associated with multiple possible passwords but only one ofthem is genuine. This thesis will analyze the security of the Honeywords system as wellas from functionality perspective. The authors point out that the Honeyword systemcannot withstand active attacks, i.e., code modification of the system. We introduce anenhanced model which solves this open problem. We propose some improvements fordetermining the number of Honeywords per user, generating typo-safe honeywords andmanaging old passwords. Finally, the security and efficieny analysis has been discussed.