指紋認証の脆弱性に関するメモUPEK Protector Suiteなる指紋認証が、あまりにも馬鹿馬鹿しい実装だったらしいので解説しておく。 http://blog.crackpassword.com/2012/08/upek-fingerprint-readers-a-huge-security-hole/ 生体認証は ・生体データが本当に生体から得られているかチェック(例えば偽造指紋スタンプではなく生きた指かどうか) ・生体データから得られる鍵が十分な長さを持つ(他の人と一致しない) ・認証プログラム自体が保護されている(ブルートフォース対策) ことの組回せで成り立っている。 正しく実装すれば、生体データから鍵を作り、秘密データを復号することで、秘密データを安全に復元できる。 このうち生体データには、ノイズ以外にも体調・成長による変化といったゆらぎがある為、十分大きな鍵を作ることは難しい。 普及レベルに実用的な生
