De kranten staan er bol van: grootschalige fraude door ‘skimmers’, criminelen die de magneetstrip van een pinpas kopiëren en tegelijk de pincode van de gebruiker afkijken (31 miljoen euro schade in Nederland vorig jaar). En dat is niet het enige nadeel van de pinpas als legitimatie; zelfs zonder skimmers loop je het risico je pas kwijt te raken of de pincode te vergeten, zodat je niet meer bij je geld kunt.
Biometrische identificatie, op basis van vingerafdrukken of een irisscan, heeft als voordeel dat je je vingers en ogen altijd bij je hebt. Bovendien worden deze technieken steeds sneller en betrouwbaarder. Ze worden dan ook steeds vaker toegepast.

Zo bevat het Nederlandse paspoort sinds 2006 een chip met hierop een gelaatsscan en vanaf 28 juni van dit jaar worden hieraan twee vingerafdrukken toegevoegd. In Amerika gaan ze al een stap verder: in Disneyworld nemen ze zelfs vingerafdrukken af om te controleren of de persoonsgebonden toegangskaartjes, die meerdere dagen geldig zijn, dagelijks door dezelfde mensen worden gebruikt.

Onvervangbaar
Toch herbergt biometrie een groot potentieel probleem: als biometrische gegevens (zoals een irisscan) uit een database openbaar worden, kun je de bewuste data nooit meer gebruiken. Een pasje of wachtwoord kun je vervangen, maar voor een iris of vinger is dat op zijn minst ongemakkelijk. In theorie kleeft er nog een nadeel aan biometrie: je lichaam is betrekkelijk openbaar. Onverlaten zouden in principe stiekem je vingerafdruk kunnen afnemen, of je iris kunnen fotograferen. “Daar valt helaas niet zoveel aan te doen”, zegt Tanya Ignatenko. Maar volgens haar moet je dat probleem niet overschatten: “Het is echt niet zo makkelijk om biometrische gegevens op die manier te verkrijgen en ze ook nog toe te passen. Het grootste gevaar is dat databases met onvervangbare biometrische gegevens op straat komen te liggen.”

Biometrische identificatie is dus in principe een vooruitgang, mits zorgvuldig wordt omgegaan met de gegevens. In het ideale geval wordt er überhaupt geen informatie over de biometrische gegevens in een database opgeslagen: uit de irisscan bijvoorbeeld wordt tijdens de ‘enrollment’ -de eerste keer dat gevraagd wordt je te identificeren- een sleutelcode geconstrueerd die wordt opgeslagen. Elke volgende keer dat je toegang wilt tot je werkplek of bankrekening, kijk je even in de camera en wordt met hetzelfde algoritme een nieuwe sleutel opgebouwd, die wordt vergeleken met de referentiesleutel in de database. Alleen als de sleutels identiek blijken, word je toegelaten.

Ruis
Er bestaan algoritmen die een sleutel construeren uit een afbeelding van de iris, zonder dat deze sleutel omgekeerd iets prijsgeeft over de afbeelding: precies wat je nodig hebt om diefstal van de biometrische gegevens te voorkomen. Niet elke afbeelding is echter exact hetzelfde. Dat is een bekend probleem van biometrische data: er zit relatief veel ‘ruis’ op. Daardoor zal dezelfde iris vaak een andere sleutel opleveren: uiteraard een ongewenste situatie.

Ignatenko heeft de afgelopen vier jaar onderzocht hoe biometrische data het best kunnen worden toegepast voor authentificatie (‘ben ik wie ik beweer te zijn?’). Ze hield zich vooral bezig met de vraag hoe het probleem van de verruiste metingen kan worden opgelost, zonder dat dit leidt tot de opslag van gegevens waaruit de biometrische eigenschappen van personen kunnen worden afgeleid.

“Het ruisprobleem kun je verhelpen door gebruik te maken van zogeheten helper-data: gegevens die een betrouwbare reconstructie mogelijk maken van de sleutel, ondanks de ruis”, vertelt Ignatenko. Omdat de helper-data in principe openbaar zijn, mogen ze geen informatie bevatten over de geheime sleutel: er mag geen secrecy-leakage zijn. Wel moet de helper-data eigenschappen van de iris bevatten waarmee de nadelige effecten van de ruis kunnen worden gecompenseerd: je ontkomt er niet aan om wat informatie over de biometrische data in de ‘publieke’ helper-data te stoppen. Toch wil je dat een buitenstaander uit de helper-data zo weinig mogelijk informatie kan halen over de biometrische afbeelding: je wilt de privacy-leakage minimaliseren, zegt de Wit-Russische.

“Een belangrijke conclusie van mijn onderzoek is dat er een fundamentele trade-off is tussen de lengte van de geheime sleutel ‘en daarmee de moeite die het kost om die te kraken’ en de privacy-leakage door de helper-data.” Met andere woorden: hoe kleiner de kans dat iemand zonder kennis van de biometrische data toch de sleutel weet te raden, hoe groter het gevaar dat die persoon op basis van de helper-data teveel te weten komt over de biometrische data.

Ignatenko is van huis uit wiskundige. Na haar studie toegepaste wiskunde in de Wit-Russische hoofdstad Minsk kwam ze naar Eindhoven om de ontwerpersopleiding ‘Mathematics for Industry’ te volgen. Ze mag dus al de titels MSc en PDEng voeren, en vanaf volgende week komt daar een PhD bij. Haar promotie vloeide voort uit het eindproject voor de ontwerperopleiding dat ze uitvoerde bij Philips Research. Dit onderzoek, naar privacybescherming bij biometrische authentificatie, wekte Ignatenkos interesse voor de theorie die hierachter schuilgaat.

Optimale balans
In de capaciteitsgroep Signal Processing Systems (SPS) van Elektrotechniek kreeg ze de kans om op basis van informatietheorie nu eens grondig uit te zoeken, voor een aantal biometrische situaties, waar de optimale balans tussen privacybescherming en kraakbestendigheid precies ligt. “Zulk theoretisch onderzoek verwacht je misschien eerder bij wiskunde, maar dit vakgebied bevat elementen van zowel wiskunde als elektrotechniek. Al had ik ook niet verwacht dat ik bij Elektrotechniek zou eindigen”, zegt Ignatenko lachend. Toch bevalt het niet slecht; de komende twee jaar blijft ze als postdoc bij SPS werken. “Dan zal ik wat praktischer aan de slag gaan: ik ga mijn bevindingen toepassen in computersimulaties. In eerste instantie gebruik ik input in de vorm van speciale levenloze objecten, een soort kunstmatige biometrie. Uiteindelijk hoop ik echte irisscans te kunnen invoeren.”/.