Biometria Não é a Solução - Parte II

Direto de Israel, André Fucs envia uma competente resposta ao meu post anterior sobre biometria. Fucs tem muito mais experiência do que eu com biometria, e para mim só o fato de ter recebido uma cuidadosa e inteligente argumentação já seria o melhor cumprimento possível pelo post. Lendo o seu comentário acho que concordamos mais do que discordamos sobre o assunto em geral, mas quero comentar alguns pontos onde temos divergências.

O meu post original era mais um de uma série sobre segurança de transações na Internet, e este é o contexto para o título "biometria não é a solução". Nele a tese principal é que biometria somente deve ser usado para autenticação em ambientes controlados, onde seja possível se garantir a integridade da leitora e da sua comunicação com o servidor de autenticação, e a correção no procedimento de leitura. Como na Internet não temos um ambiente controlado, a biometria no máximo serve para a identificação, sendo necessária uma forma de autenticação complementar.

Respondendo a isso, Fucs levanta alguns pontos que na sua opinião poderiam tornar o uso da biometria possível mesmo em ambientes não controlados:

1)  "O algoritmo biométrico poderia ser executado apenas no leitor, evitando transferir a imagem da digital para o PC". Fucs complementa dizendo que isso funcionaria quase como um token. Quase não - é um token! Neste caso o leitor na verdade identifica o usuário e se autentica junto ao sistema de segurança usando uma chave privada dentro do leitor. O fator de autenticação no sistema na verdade é a posse pelo usuário da chave privada armazenada dentro do leitor, e não a informação biométrica.

2) Outra possibilidade levantada pelo Fucs seria o leitor somente enviar uma parte da informação biométrica solicitada aleatoriamente pelo sistema de autenticação. Isso não é a mesma coisa do ponto anterior - aqui claramente a informação biométrica também está fora do leitor - e não sei como isso protegeria contra um ataque de replay. Se um atacante tem o controle da leitora ele já capturou previamente toda a informação biométrica do indivíduo, e não teria problema nenhum em enviar para o sistema qualquer coisa que seja solicitada.

3) O ponto mais importante na minha opinião é feito quando ele diz que "o mistério seria garantir que o serviço remoto no qual você esteja se autenticando não seja enganado. Novamente entra a capacidade do leitor. O princípio é o mesmo mas você passa a precisar de um 'plugin' que repasse os pedidos de autenticação entre o leitor e o servidor de autenticação".

Em resumo, Fucs defende que haveria como garantir a integridade da controladora e da comunicação com o servidor de autenticação remota através de um plug-in rodando no PC. Só que o plug-in não resolve se o PC estiver comprometido por um software malicioso, que é exatamente a ameaça que queremos evitar. O plug-in e toda a comunicação com o leitor biométrico e com o servidor remoto precisariam ser isolados dos demais softwares rodando no PC, o que o hardware e os sistemas atuais não possibilitam.

Basicamente esse é o mesmo problema de garantir a integridade de um player digital e da comunicação entre ele e um servidor de músicas remoto, mesmo passando por um PC que pode estar rodando um software hostil. Para fazer isso é necessário o tipo de suporte de hardware e software que os PCs hoje em dia não possuem. E nem vão possuir se os inimigos do DRM prevalecerem.

Sobre a precisão das leituras de hoje, os estudo independentes mostram o quanto a taxa de erros ainda é alta em todas as tecnologias biométricas. Gostaria mesmo é de ver um estudo afirmando o contrário. Dizer que o uso de senhas - a "Geni" das formas de autenticação - também tem problemas não me parece ser um bom argumento. Os verdadeiros concorrentes da biometria são a certificação digital e as one-time passwords, que têm a taxa de precisão muitas ordens de magnitude acima dos leitores biométricos atuais.

Quem acompanha os Mythbusters sabe que eles frequentemente não conseguem desprovar os mitos, e são bem abertos quanto a isso. Dizer que "fica no ar aquela coisa de quem garante que os produtos não foram escolhidos justamente por serem vulneráveis" não resiste então à Navalha de Occam. Por que eles fariam isso? Se você acha que eles não tem integridade, seria mais simples eles receberem dinheiro para não conseguir quebrar a segurança de uma leitora e ajudar as vendas da mesma.

Fucs termina dizendo que, em condições (in)adequadas, mesmo um BMW se comportaria como um Gurgel BR800. É exatamente isso! Em um ambiente sem controle como a Internet, a biometria é o Gurgel das formas de autenticação.