ES2911039T3

ES2911039T3 - Método y sistema de autenticación

Info

Publication number: ES2911039T3
Application number: ES17790776T
Authority: ES
Inventors: Rua Enrique Argones; Aysajan Abidin
Original assignee: Katholieke Universiteit Leuven
Current assignee: Katholieke Universiteit Leuven
Priority date: 2016-10-31
Filing date: 2017-10-26
Publication date: 2022-05-17
Anticipated expiration: 2037-10-26
Also published as: US20200076604A1; WO2018078003A1; EP3532972B1; EP3532972A1; US11171785B2

Abstract

Un método de autenticación implementado por ordenador que comprende un paso de inscripción que comprende: o recibir datos difusos de un factor de autenticación ruidoso y datos de autenticación fijos, o generar una cadena secreta independientemente de dichos datos difusos recibidos y dichos datos de autenticación fijos recibidos, usando un generador de números aleatorios, o derivar metadatos de dichos datos difusos y dicha cadena secreta y datos de ayuda de una comprobación aleatoria de dicha cadena secreta, un descriptor de comprobación aleatoria y dichos metadatos, o cifrar dichos datos de ayuda usando dichos datos de autenticación fijos como clave de cifrado; o emitir dichos datos de ayuda cifrados como datos públicos, y un paso de autenticación que comprende o recibir dicha salida de datos públicos durante dicho paso de inscripción, datos difusos adicionales y dichos datos de autenticación fijos, o descifrar dichos datos públicos recibidos usando dichos datos de autenticación fijos como clave de descifrado, o recuperar dichos datos de ayuda de dichos datos públicos descifrados, o reproducir dicha cadena secreta usando dichos datos difusos adicionales y metadatos recuperados obtenidos a través de dichos datos de ayuda recuperados, o validar dicha cadena secreta reproducida usando dichos datos de ayuda recuperados, o liberar dicha cadena secreta reproducida si dicha validación produce un resultado positivo.

Description

DESCRIPCIÓN

Método y sistema de autenticación

Campo de la invención

La presente invención se relaciona de manera general con el campo de los sistemas y métodos de autenticación de usuarios. En particular, se relaciona con un método de autenticación biométrica.

Antecedentes de la invención

La criptografía tradicional se basa en claves, que se eligen uniformemente al azar y luego permanecen fijas. Esto significa que, con el fin de usar factores de identificación ruidosos, tales como biometría o Funciones que No se pueden Clonar Físicamente (PUF), tales como claves para primitivas criptográficas, uno primero necesita transformar estas fuentes inherentemente ruidosas en una cadena estable que es indistinguible de una cadena aleatoria.

Esto se ha logrado parcialmente mediante la construcción de extractor difuso, formalmente introducido por Dodis et al. en “Fuzzy extractors: How to generate strong keys from biometrics and other noisy data” (SIAM J. Comput ., vol.

38, n° 1, páginas 97-139, 2008). No obstante, las salidas producidas por esta construcción filtran información acerca de la fuente ruidosa, lo que se puede usar para realizar un ataque de capacidad de vinculación

El documento WO2015/153559 presenta un servidor de seguridad biométrica y un dispositivo seguro. Un usuario se inscribe en el servidor de seguridad recopilando una muestra biométrica del usuario y transformando la muestra biométrica para crear y almacenar una biometría de inscripción transformada. Una solicitud de intercambio de información cifrada en base a una muestra biométrica del usuario se recibe desde el dispositivo seguro y se genera una salida de boceto seguro a partir de la biometría de inscripción transformada y se transmite al dispositivo seguro. La salida de boceto seguro tiene una parte de codificación de diferencia de medición y una parte de codificación de corrección de errores. El dispositivo seguro recopila una muestra biométrica local y decodifica la muestra biométrica local usando la salida de boceto seguro recibida. En el módulo generador de cadena de ayuda, no obstante, los datos de ayuda públicos generados no están protegidos. Como tal, tiene vulnerabilidades tanto de seguridad como de privacidad. El boceto seguro que es parte de la cadena de ayuda permanece en este planteamiento enlazable a un mismo usuario.

El documento WO2015/200196 describe soluciones para vincular metadatos, tales como información derivada de la salida de un sensor biométrico, a propiedades intrínsecas del hardware mediante la obtención de metadatos relacionados con la autenticación y combinándolos con información perteneciente a una raíz de confianza, como una PUF. Los metadatos se pueden derivar de un sensor tal como un sensor biométrico, la raíz de confianza puede ser una PUF, la combinación de los metadatos y la raíz de la información de confianza puede emplear una función de comprobación aleatoria, y la salida de tal proceso de comprobación aleatoria se puede usar como entrada a la raíz de confianza.

La patente US8869923 se refiere a la autenticación de múltiples factores. Una unidad de huella digital criptográfica dentro de un dispositivo de hardware para autenticar a un usuario del dispositivo de hardware. La unidad de huella digital criptográfica incluye un circuito de PUF interno dispuesto en o sobre el dispositivo de hardware, que genera un valor de PUF. La lógica de combinación está acoplada para recibir el valor de PUF, combina el valor de PUF con uno o más de otros factores de autenticación para generar un valor de autenticación de múltiples factores.

El documento WO2016/058793 se refiere a un dispositivo criptográfico electrónico para una fase de inscripción y una fase de uso posterior. El dispositivo genera unos primeros datos de PUF durante la fase de inscripción, derivados de una primera cadena de bits ruidosa de la PUF. Los primeros datos de PUF tanto identifican de manera única la función que no se puede clonar físicamente como comprenden los primeros datos de ayuda, que más tarde se pueden usar para corregir el ruido en la salida ruidosa de la PUF. Unos segundos datos de PUF se derivan a partir de una segunda cadena de bits ruidosa generada por la PUF. Los segundos datos de PUF pueden comprender parte de la cadena de bits ruidosa para identificar la PUF.

En el documento “Using Biometric Key Commitments to Prevent Unauthorized Lending of Cryptographic Credentials” (Bissessar D. et al, 12a Conf. Anual sobre Privacidad, Seguridad y Confianza, julio de 2014, páginas 75-83) se describe un método de autenticación que comprende extractores difusos para derivar claves criptográficas de la biometría. La identidad biométrica de un individuo se asegura encerrando una clave derivada biométricamente en un compromiso de Pedersen y cifrando los datos públicos, de modo que se superen las vulnerabilidades del extractor difuso en diversos escenarios de uso.

En “Multi-Biometric Template Protection: Issues and Challenges” (C. Rathgeb et al, Nuevas Tendencias y Desarrollos en Biometría, lntech, 28 de noviembre de 2012) se resumen diferentes sistemas de protección de plantillas que incorporan múltiples rasgos biométricos. Se identifican y discuten diversos temas relacionados con los esquemas de protección de plantillas biométricas múltiples.

Por lo tanto, hay una necesidad de sistemas y métodos novedosos para autenticación de usuario segura y que preserve la privacidad.

Compendio de la invención

Es un objeto de las realizaciones de la presente invención proporcionar métodos y sistemas de autenticación con propiedades de privacidad y seguridad mejoradas.

El objetivo anterior se consigue mediante la solución según la presente invención.

En un primer aspecto, la invención se refiere a un método de autenticación implementado por ordenador que comprende un paso de inscripción que comprende:

^orecibir datos difusos de un factor de autenticación ruidoso y datos de autenticación fijos,

^ogenerar una cadena secreta independientemente de los datos difusos recibidos y dichos datos de autenticación fijos recibidos, usando un generador de números aleatorios,

^oderivar metadatos de los datos difusos y la cadena secreta y los datos de ayuda de una comprobación aleatoria de dicha cadena secreta, un descriptor de comprobación aleatoria y dichos metadatos,

^ocifrar los datos de ayuda usando dichos datos de autenticación fijos como clave de cifrado,

^oemitir los datos de ayuda cifrados como datos públicos, y un paso de autenticación que comprende

^orecibir la salida de datos públicos durante el paso de inscripción, datos difusos adicionales y dichos datos de autenticación fijos,

^odescifrar dichos datos públicos recibidos usando dichos datos de autenticación fijos como clave de descifrado,

^orecuperar dichos datos de ayuda de dichos datos públicos descifrados,

^oreproducir dicha cadena secreta usando dichos datos difusos adicionales y metadatos recuperados obtenidos a través de dichos datos de ayuda recuperados,

^ovalidar la cadena secreta reproducida usando los datos de ayuda recuperados,

^oliberar la cadena secreta reproducida si dicha validación produce un resultado positivo.

De hecho, la solución propuesta permite reforzar y desacoplar las salidas de la fuente ruidosa, al tiempo que se preserva la seguridad y la privacidad. El rasgo clave para lograr esto es la incorporación de los datos de autenticación fijos como un segundo factor de autenticación, en la parte superior del factor de autenticación ruidoso usado para obtener los datos difusos en la entrada del método propuesto. Como la cadena secreta se genera independientemente de los datos difusos recibidos y los datos de autenticación fijos recibidos, hay un desacoplamiento completo entre la cadena secreta y los datos difusos recibidos y los datos de autenticación fijos. En las realizaciones preferidas, la entropía de los datos difusos dados los metadatos es mayor o igual que la longitud de la cadena secreta.

Preferiblemente, no se puede derivar información acerca de los datos difusos a partir de la información de datos públicos mediante cálculo. En una realización, la información mutua entre los datos difusos y los datos públicos es cero.

En las realizaciones de la invención, los datos públicos de salida se almacenan en un dispositivo personal.

En las realizaciones adicionales, los datos públicos de salida se almacenan en un servidor.

Alternativamente, o en combinación con las realizaciones descritas anteriormente, los datos públicos de salida se almacenan en un testigo.

En las realizaciones preferidas, los datos difusos se proporcionan por una fuente biométrica.

En las realizaciones, los datos difusos se proporcionan por una fuente de función que no se puede clonar físicamente, PUF. La PUF puede ser una PUF fuerte dotada con un desafío fijo o una PUF débil.

En las realizaciones también dicha cadena secreta se emite en el paso de inscripción.

Ventajosamente, los datos difusos y/o dichos datos difusos adicionales se adquieren o bien de manera simultánea o bien de manera consecutiva. Los datos difusos y/o dichos datos difusos adicionales se pueden proporcionar por una combinación de fuentes biométricas y/o fuentes de PUF.

En las realizaciones preferidas, los datos de autenticación fijos se almacenan en un archivo o en un testigo de autenticación, o se derivan de una contraseña o una frase de paso. En una realización, los datos de autenticación fijos son una combinación de una pluralidad de datos de autenticación fijos, adquiridos o bien de manera simultánea o bien de manera consecutiva.

La cadena secreta se genera usando un generador aleatorio.

En otro aspecto, la invención se relaciona con un sistema de autenticación según la reivindicación 14.

Con los propósitos de resumir la invención y las ventajas logradas sobre la técnica anterior, ciertos objetos y ventajas de la invención se han descrito anteriormente en la presente memoria. Por supuesto, se ha de entender que no necesariamente todos de tales objetos o ventajas se pueden lograr de acuerdo con cualquier realización particular de la invención, sino solamente mediante el alcance de las reivindicaciones adjuntas.

Los aspectos anteriores y otros de la invención serán evidentes y se dilucidarán con referencia a la realización o realizaciones descritas en lo sucesivo.

Breve descripción de los dibujos

La invención se describirá ahora con más detalle, a modo de ejemplo, con referencia a los dibujos que se acompañan, en donde los mismos números de referencia se refieren a elementos similares en las diversas figuras. La Fig. 1 representa un esquema de alto nivel de una realización del sistema de autenticación de la invención. La Fig. 1A ilustra el procedimiento de generación (al que se hace referencia como “Procedimiento Gen”) y la Fig. 1B el procedimiento de reproducción (al que se hace referencia como “Procedimiento Rep”).

La Fig. 2 ilustra el cifrado de datos de ayuda con una clave criptográfica.

La Fig. 3 ilustra el cifrado de los datos de ayuda con una contraseña o frase de paso.

La Fig. 4 ilustra el descifrado correspondiente al cifrado de la Fig. 2.

La Fig. 5 ilustra el descifrado correspondiente al cifrado de la Fig. 3.

La Fig. 6 ilustra la cadena pública producida en el procedimiento de generación que se transmite a través de una red pública, almacenada en un almacenamiento de servidor de datos público y recibida por el procedimiento de reproducción.

La Fig. 7 ilustra la cadena pública almacenada en un dispositivo personal y recibida por el procedimiento de reproducción.

La Fig. 8 ilustra la cadena pública almacenada en un testigo de autenticación y recibida por el procedimiento de reproducción.

Las Fig. 9A y 9B ilustran los datos difusos que se proporcionan por una fuente biométrica al procedimiento de generación y al procedimiento de reproducción, respectivamente.

La Fig. 10 ilustra una fuente de PUF que proporciona los datos difusos al procedimiento de generación.

La Fig. 11 ilustra una combinación de varias fuentes biométricas y fuentes de PUF para el procedimiento de generación.

La Fig. 12 ilustra con más detalle la generación (a la que se hace referencia como “Gen”) y la reproducción (a la que se hace referencia como “Rep”).

La Fig. 13 ilustra una realización del protocolo de inscripción.

La Fig. 14 ilustra una realización del protocolo de autenticación.

Descripción detallada de las realizaciones ilustrativas

La presente invención se describirá con respecto a realizaciones particulares y con referencia a ciertos dibujos, pero la invención no está limitada a los mismos sino solamente por las reivindicaciones.

Además, los términos primero, segundo y similares en la descripción y en las reivindicaciones se usan para distinguir entre elementos similares y no necesariamente para describir una secuencia, o bien temporal, espacial, en clasificación o bien de cualquier otra manera. Se ha de entender que los términos así usados son intercambiables bajo las circunstancias apropiadas y que las realizaciones de la invención descritas en la presente memoria son capaces de operar en otras secuencias distintas de las descritas o ilustradas en la presente memoria.

Se ha de señalar que el término “que comprende”, usado en las reivindicaciones, no se debería interpretar como que está restringido a los medios enumerados a partir de entonces; no excluye otros elementos o pasos. De este modo, se ha de interpretar como que especifica la presencia de los rasgos establecidos, números enteros, pasos o componentes a los que se hace referencia, pero no excluye la presencia o adición de una o más de otros rasgos, números enteros, pasos o componentes, o grupos de los mismos. De este modo, el alcance de la expresión “un dispositivo que comprende los medios A y B” no se debería limitar a los dispositivos que consisten solamente en los componentes A y B. Ello significa que, con respecto a la presente invención, los únicos componentes relevantes del dispositivo son A y B.

La referencia a lo largo de esta especificación a “una realización” significa que un rasgo, estructura o característica particular descrito en conexión con la realización está incluida en al menos una realización de la presente invención. De este modo, las apariciones de la frase “en una realización” en diversos lugares a lo largo de esta especificación no se refieren necesariamente todos a la misma realización, pero pueden. Además, los rasgos, estructuras o características particulares se pueden combinar de cualquier manera adecuada, como sería evidente para un experto en la técnica a partir de esta descripción, en una o más realizaciones.

De manera similar, se debería apreciar que en la descripción de las realizaciones ejemplares de la invención, diversos rasgos de la invención algunas veces se agrupan juntos en una única realización, figura o descripción de la misma con el propósito de racionalizar la descripción y ayudar en la comprensión de uno o más de los diversos aspectos inventivos. Este método de descripción, no obstante, no se ha de interpretar como que refleja la intención de que la invención reivindicada requiera más rasgos que los que se mencionan expresamente en cada reivindicación. Más bien, como reflejan las siguientes reivindicaciones, los aspectos inventivos se encuentran en menos que todos los rasgos de una única realización descrita anteriormente. De este modo, las reivindicaciones que siguen a la descripción detallada se incorporan expresamente por este medio en esta descripción detallada, con cada reivindicación que se encuentra por su cuenta como una realización separada de esta invención.

Además, aunque algunas realizaciones descritas en la presente memoria incluyen algunos pero no otros rasgos incluidos en otras realizaciones, las combinaciones de rasgos de diferentes realizaciones están destinadas a estar dentro del alcance de la invención y forman diferentes realizaciones, como se entendería por los en la técnica. Por ejemplo, en las siguientes reivindicaciones, cualquiera de las realizaciones reivindicadas se puede usar en cualquier combinación.

Se debería señalar que el uso de una terminología particular cuando se describen ciertos rasgos o aspectos de la invención no se deberían tomar como que implican que la terminología se está redefiniendo en la presente memoria para ser restringida a incluir cualquier característica específica de los rasgos o aspectos de la invención con la que está asociada esa terminología.

En la descripción proporcionada en la presente memoria, se exponen numerosos detalles específicos. No obstante, se entiende que las realizaciones de la invención se pueden poner en práctica sin estos detalles específicos. En otros casos, métodos, estructuras y técnicas bien conocidos no se han mostrado en detalle con el fin de no oscurecer la comprensión de esta descripción.

La presente invención propone una construcción para reforzar y desacoplar las salidas de la construcción de la fuente ruidosa incorporando un segundo factor de autenticación fijo.

En la Fig. 1 se proporciona una descripción general del planteamiento propuesto. El primer factor de autenticación son los datos biométricos usados para construir un modelo de un individuo. Los datos difusos que representan una estimación de ese modelo se reciben como primera entrada. Una cadena secreta se genera usando un generador aleatorio. Los metadatos se derivan de los datos difusos recibidos y una representación de la cadena secreta. Tanto los metadatos como la cadena secreta se usan luego para derivar los datos de ayuda. Con más precisión, los datos de ayuda contienen los metadatos, una comprobación aleatoria de la cadena secreta y un descriptor de comprobación aleatoria. Los datos de ayuda se cifran a continuación usando la segunda entrada requerida en el procedimiento de generación, es decir, unos datos secretos fijos. Los datos resultantes son la cadena de datos públicos que está disponible como salida. La segunda salida del procedimiento de generación es la cadena secreta generada.

La Fig. 1B ilustra lo que sucede en la etapa de reproducción. Las salidas de la fase de generación se reciben, es decir, la cadena secreta fija y la cadena de datos públicos. También los datos difusos se reciben como entrada adicional al procedimiento de reproducción. Los datos públicos se descifran usando la misma clave de autenticación secreta fija que se usó en el procedimiento de generación. De esta forma, se recuperan los datos de ayuda que comprenden los metadatos, el descriptor de comprobación aleatoria y la comprobación aleatoria de la cadena secreta. Estos metadatos se usan junto con los datos difusos recibidos para determinar una cadena secreta estimada que posteriormente se comprueba para su validez. Si esto produce un resultado positivo, se emite la cadena secreta estimada.

Las principales ventajas del planteamiento propuesto con respecto a la tecnología de vanguardia se pueden resumir de la siguiente manera: (1) los mismos datos difusos se pueden utilizar entre diferentes sistemas produciendo cadenas secretas completamente independientes y cadenas públicas no enlazables; (2) la divulgación de la fuente de datos difusos no supone una amenaza para la seguridad si no se describe el factor de autenticación fijo; (3) la divulgación del factor de autenticación fijo no supone una amenaza para la seguridad si la fuente de datos difusos no se divulga; (4) la divulgación de la cadena secreta no revela información acerca de los datos difusos o el factor de autenticación fijo.

En la Fig. 2 se usa una clave criptográfica fija como datos de autenticación fijos. Una vez que se han derivado los datos de ayuda, se cifran usando la clave criptográfica fija.

Los datos de autenticación fijos se pueden obtener en otra realización a través de una contraseña o frase de paso. La Fig. 3 ilustra el cifrado de los datos de ayuda usando una contraseña o frase de paso como datos secretos fijos en la etapa de generación. En la realización mostrada en la Fig. 3, se genera una sal única para derivar la clave simétrica K (y también la clave de firma). De esta forma se garantiza que haya suficiente aleatoriedad como entrada para la función de derivación de claves. Los datos de ayuda cifrados forman la cadena pública de salida, junto con la sal generada.

La Fig. 4 y Fig. 5 ilustran el descifrado en la etapa de reproducción correspondiente a la Fig. 2 y 3, respectivamente. En la Fig. 4, los datos públicos recibidos se descifran usando la clave criptográfica fija, que también es una de las entradas del procedimiento de reproducción. En la realización de la Fig. 5, la cadena pública recibida no solamente contiene la cadena cifrada de datos de ayuda, sino también la sal necesaria en la función de derivación de claves. En una realización, los datos públicos se transmiten a través de una red pública y se almacenan en un servidor de almacenamiento de datos públicos como se ilustra en la Fig. 6. En la Fig. 7 se muestra una alternativa, donde la cadena pública se almacena en un dispositivo personal. Esto se denomina planteamiento basado en posesión. Otro ejemplo de una solución basada en posesión se ilustra en la Fig. 8, donde la cadena pública de salida se almacena en un testigo de autenticación.

Los datos difusos a ser usados en el procedimiento de generación se pueden proporcionar por una fuente biométrica como se ilustra en la Fig. 9A. También los datos difusos para la reproducción puede provenir de una fuente biométrica (Fig. 9B). En la realización mostrada en la Fig. 10, es una fuente de función que no se puede clonar físicamente (PUF) de la que se reciben los datos difusos. La PUF puede ser una denominada PUF débil. Alternativamente, se puede usar una PUF fuerte, dotada con un desafío fijo. Obviamente, también los datos difusos usados en el procedimiento de reproducción se pueden suministrar a través de una fuente de PUF. En la Fig. 11 se combinan una serie de fuentes biométricas y fuentes de PUF. Evidentemente, este también puede ser el caso en el lado de la reproducción.

Una PUF débil, también conocida como claves físicamente ofuscadas, se puede entender como una función que no se puede clonar físicamente que emite una clave ruidosa, también conocida como huella digital, de un circuito físico. Esta salida es fija, ignorando el ruido, y se puede usar con propósitos criptográficos.

Una PUF fuerte se diferencia de las PUF débiles en el sentido de que la clave ruidosa de salida depende de una señal de entrada, comúnmente conocida como desafío, que puede tomar una amplia gama de valores. Esto hace a las PUF fuertes capaces de emitir una amplia gama de claves ruidosas.

El método propuesto permite proteger parte de la entropía proporcionada por los datos difusos. Esto se logra usando una función de mapeo parametrizado que deriva metadatos de los datos difusos y una representación de destino, que se puede elegir aleatoriamente. Los metadatos derivados pueden revelar información a partir de los datos difusos, pero al menos una cantidad de información equivalente a la entropía de la representación de destino permanece sin divulgar. En otras palabras, la entropía de los datos difusos dados los metadatos producidos es mayor o igual que la longitud de la representación de destino.

Ahora se describe de manera formal un extractor desacoplado reforzado basado en el uso de cifrado simétrico, funciones de comprobación aleatoria y códigos de corrección de errores.

Definición 1: Códigos de corrección de errores

Un código de corrección de errores ( ^ j

consta de dos funciones:

(1) ECCenc: C k Cn . Esta función toma como entrada un mensaje m

y devuelve una palabra de código w = ECCenc(m) ^

(2) ECCdec: Cn Ck. Esta función toma como entrada W E C y devuelve un mensaje m E C 1' si ( Íq { \V ,W ) < t y ECCenc(m) = w, donde

una distancia en C ” .

Definición 2: Código de corrección de errores binario

Un código de corrección de errores binario (n, k, f) es un código de corrección de errores ({0,1}, n, k, t). En este caso ^ fo ,i les la distancia de Hamming.

Definición 3: Esquema de cifrado simétrico

Un esquema de cifrado simétrico C%^j “P , £ , /O se define mediante una tupia de 3 (KeyGen, ENC, DEC) de funciones. La función de generación de claves es un procedimiento probabilístico KeyGen: A ^ H genera la clave de cifrado y descifrado ^ ^ ^ usando un parámetro de seguridad ^ ^ ^ como entrada, es decir, K = KeyGen(A). La función de cifrado ENC: K x P - > £ toma como entrada un texto sin formato V ^ P y una clave ^ ^ y emite un texto cifrado £ £, es decir, e = ENC(K, p). La función de descifrado DEC: 3 C x £ —> P toma como entrada un texto cifrado e E £ y una clave ^ y emite un texto sin formato P ^ ^ , es decir, p = DEC(Ar,e)

Definición 4: Seguridad perfecta

Un esquema de cifrado (KeyGen, ENC, DEC) sobre un espacio de texto sin formato ’P se denomina perfectamente seguro si cada distribución de probabilidad sobre P , cada mensaje P ^ ^ y cada texto encriptado o texto cifrado e £ £ en el que Pr{£= e} > 0

Definición 5: Función despreciable

Una función negl: N —> [0,1] se denomina despreciable si para todos los polinomios positivos poli y todos suficientemente grandes A E N,, uno tiene negl(A) < 1/poly(A).

Definición 6: Funciones de comprobación aleatoria unidireccionales universales

_{Permitamos que {m} y {no} sean dos sucesiones crecientes de manera que} n _u o _¿ ^ _— n ^ _V V i , _JD _pee_rr_oo 3 q _{4 un polinomio}de manera que — n i i . , Permitamos que Hk sea una colección de funciones de manera que V / l E f/ ; fJ f l .C 11 C Il!y permitamos que ^ — Ufe Hk. Permitamos que <A sea un adversario de tiempo

polinomial probabilístico (PPT), que en la entrada /remite un valor inicialX £= C n ' k . Entonces, dado un ^ ^ ^ k aleatorio, <A intenta encontrar y ^ ^ de manera que h(y) = h(x), pero x y. 11 se denomina familia de funciones unidireccionales universales si para todo cA :

1) Si X £= C n 'lh es el valor inicial de <A . entonces:

Pr{A(h,x) = y, h(x) = h(y),x ± y} < negl(nlfe). (2)

2) ^ Hk hay una descripción de h de longitud polinomial en rim de manera que dada la descripción de h y x, h(x) es calculable en tiempo polinomial.

3) Hk es accesible: existe un algoritmo G de manera que en la entrada k, G genera uniformemente al azar una descripción de ^ ^ .

Definición 7: Población

Una población ® { Q l > > ®p} es un conjunto de un número variable de individuos (personas u objetos) que comparten algunas características medibles comunes.

Definición 8: Caracterización aleatoria de un individuo

_{Dada una población de A, la función}ver ^e _Q _" O _~ ^{e x}O _~ ^v ₁fO _'11 _{Jque mapea un vector de E muestras distribuidas}idénticamente {l x \tfx> > Qx ] ~ Qx donde Qx ~ Qx de una caracterización aleatoria Qxde un individuo Ox _{y un vector de muestras distribuidas idénticamente} qy - [qy, — ,qy] ~ Qy donde q ly ~ Qy de una caracterización aleatoria de un individuo Oy para una decisión sobre si las identidades de dos individuos son la misma, se denomina verificador basado en muestras {■Q, E, V, FAR, FAR) caracterizado por las siguientes probabilidades de error: individuos O, una caracterización aleatoria de un individuo e ® es una variable aleatoria obtenida como una medición ruidosa de algunas características del individuo que son comunes entre los individuos de la población: Qx = measure(Ox) ^ Q. El resultado de una medición específica de Ox es una muestra de esta variable aleatoria y se indica como qx ~ Qx.

Definición 9: Modelo

Un modelo

e -W de un individuo

e ® es una descripción paramétrica del individuo en el espacio de medición ~Q.

Definición 10: Función de estimación de modelo

Un modelo de función: Q ^ ^e~* J MVL que mapea un vector de muestras ' t x í í^ x ‘
donde Qx *■' Qx de una caracterización aleatoria de un individuo Ox a una estimación del modelo Mx del individuo m x — model(q_t.) E JVC se denom¡na función de estimación de modelo. Se ha de señalar que m x es una realización de la variable aleatoria ^ x = modeK(?£) es decir, mx~Mx

Definición 11: Verificador basado en muestras

ypr C)^ ^ f Q 1 I

Una función Q ' * * 1 J que mapea un vector de E muestras distribuidas idénticamente qx = ^{la '1 ■■■} ^{c7/: 1}i ^{~ 0} vx ^Et donde ^âx ^{1 ~ O} v r de una caracterización aleatoria Qx de un individuo Ox y un vector de muestras distribuidas idénticamente ^ y ~ ‘ ^ y 1 Qy , donde ^ y ~ Qy de una caracterización aleatoria de un individuo Oy para una decisión sobre si las identidades de los dos individuos son la misma, se denomina verificador basado en muestras (-6, E, V, FAR, FAR) caracterizado por las siguientes probabilidades de error: Pr{verQf ^qv (Q e , Qy) = 0 | Ox = Oy} = FRR

Pr{verQfi Qv(<?!, <%) = 1 | Ox * 0:v) = FAR

donde FRR denota Tasa de Falso Rechazo y FAR Tasa de Falsa Aceptación

Definición 12: Verificador basado en modelo

de muestras distribuidas idénticamente Qy ~ [Qy< • Qy 1 Qy donde ~ Qy de una caracterización aleatoria de un individuo Oy, a una decisión sobre si las identidades de Ox y Oy son la misma, se denomina verificador basado en modelo ( Q M . V, FAR, FRR), caracterizado por las siguientes probabilidades de error:

Un verificador basado en muestra se puede derivar de un verificador basado en modelo y su función de estimación del modelo correspondiente como: ' " X q ' A M y ) = v e r jc . v fm o d e K , , ) , , , , ) Las siguiemes definiciones se dan solamente en su forma basada en modelo, pero las formas basadas en muestras se pueden derivar trivialmente usando la función de estimación del modelo correspondiente.

Definición 13: Construcción de desacoplamiento basada en modelo

Una construcción {ME, PM} que comprende:

(i) una función de extractor de metadatos ME:

P ^,t y

q V y p p*n

(ii) una función de mapeo parametrizada PM: * ,

es unai < construcción de desacoplamiento basada en modelo 74., 'P¡ C, V, Ti) s¡^ dada |a variable aleatoria ^ x = measurefQO una representación de destino aleatoria C ~ C 6 C en independiente de ^ x y la variable aleatoria ^^.or ~ MEfM*, ^), cumplen las siguientes; i ecuaciones:

_donde ^{J |e |(v )} _{es la información mutua y} H\c C0 _{la entropía.}

La salida de la función de extractor de metadatos ME se denota a continuación simplemente como metadatos, mientras que la salida de la función de mapeo parametrizado PM se denota representación de destino.

Definición 14: Verificador basado en modelo desacoplado

Una función verME,PM= M x Q v {0,1} definida como:

í ~ x f l si d c (c ,c ) < t

v e rME>pM(m y ,<jx J = | /_{’ v * ' MJ de otro modo}

donde m >' My E 74 es una esí¡mac¡5n de un modelo de un individuo 2y e 2 , qx [qx, ... ,q x ] ~ Qx donde Q* ~ es un vector de muestras distribuidas idénticamente de una caracterización aleatoria Qx Ox G O, c E Cn es una cadena aleatoria independiente de m y , {ME, PM} es una construcción de desacoplamiento basada en modelo ( 2 , 7 4 , C , V ,n ) Vmytc ME(??!y ,c } ^ c PM^qx,Piny,c) se denomina verificador basado en modelo desacoplado (Q >74 , J-1 ,C ,V , fl, t ^ PAR, FRR) caracterizado por las siguientes probabilidades de error:

P r{ve rME,PM(M y , Qvx ) = 0 | Ox = Oy } = FRR (7)

P r{ve rME PM(Myi Qx) = 1 I Ox ^ ^ y ] = FAR (8)

Definición 15: Extractor desacoplado reforzado

Los procedimientos (Gen, Rep) constituyen un extractor desacoplado {7C, Q>74, E, C, V, n, fe> FAR, FRR) cuando se cumplen las siguientes condiciones:

1) Gen es un procedimiento de generación probabilística Gen: 7 C x34 > £ x C k que, al introducir (K ,m y) (donde H E 7Í es un secreto fijo y m y My E M es una est¡mac¡ón del modelo ^ y E 74 de un individuo Oy E em¡íe una cadena pública e ~ E E £ y una cadena secreta s $ E C de manera que la información mutua entre las entradas y la salida es nula, es decir:

En el caso de que se use un algoritmo de cifrado computacionalmente seguro en lugar de una seguridad teórica de información, las condiciones (i) y (ii) se sustituyen por:

(i) Es computacionalmente inviable para un adversario de PPT recuperar cualquier cadena relacionada con los datos difusos de la cadena pública.

(ii) Es computacionalmente inviable para un adversario de PPT recuperar cualquier cadena relacionada con los datos difusos de la cadena secreta.

2) Rep es una función definida como Rep: X £ XQ »C U { 0 ) qUe a |a entrada (K, e, qx), y dado que (e, s) = Gen(K, my), donde m y ^ es la estimación del modelo My de un individuo Oy £ O, entonces se cumplen las siguientes declaraciones:

₃₎ Pr{Rep(K',e',Q%) = .s] < negl(fc) si K' * K oe' * e .

Teorema 1: Extractor desacoplado reforzado de una construcción de desacoplamiento basada en modelo, un código de corrección de errores, una función de comprobación aleatoria unidireccional universal y un esquema de cifrado simétrico

Permitamos que

• ^ sea una familia de funciones de comprobación aleatoria unidireccionales universales. Permitamos que / / c T/ sea |a colección de funciones en ^ de a ,

• (KeyGen, ENC, DEC) sea un esquema de cifrado simétrico perfectamente seguro PxO-Cx. U, £ )

• (ECCenc, ECCdec) sea un código de corrección de errores (^>n - O,

• y (ME, PM) sea una construcción de desacoplamiento basada en modelo (Q< M ^ ^ <n , FAR, FRR) con un verificador basado en modelo desacoplado v e r ME,PM (2. -W. P,C,V, n, t, FAR, FRR) asoc¡ac|0

Entonces, los procedimientos:

Gen: ^ X M > E x C k^ qUe toma como entrada un secreto fijo K F !K n m >r de un modelo

e ^ de un individuo Ov E muestrea una cadena secreta descriptor de comprobación aleatoria ^ ^H , y calcula la comprobación aleatoria de la 6 = h (s), la _{representación de destino c = ECCenc(s), y los metadatos}p _t ™ _{my c} — M E f _v

_{construye los}datos de ayuda P™yc ^ ^ ® donde II representa concatenación, cal pública e = l'.NCjf (Piñy.c II $ II h) y emite la cadena pública ey la cadena secreta s; y

Rep:

> C U {0 } qUe toma como entrada el secreto fijo K ^ .K , |a cadena pública c ^ £, y un vector

~ [?*»■■■'9x1 Qx ^ Q de muestras distribuidas idénticamente de una caracterización aleatoria Qxde un individuo OxE calcula los datos de ayuda de la cadena pública como Pm _‘y v,c ₁ I _■I <$ I _"I h _"= DEC/cCe) _{extrae de tales datos de ayuda los metadatos} P _{r i}m_{r ‘y}, _c} _{|a comprobación}aleatoria de la cadena secreta 5 y el descriptor de comprobación aleatoria h, y luego calcula la cadena = ECCdec

secreta estimada V " ‘yiL ¡ ! , y la comprobación aleatoria de la cadena secreta estimada S = y emite la cadena secreta estimada S si la comprobación aleatoria de la cadena secreta estimada la comprobación aleatoria de la cadena secreta 5 extraídas de los datos de ayuda son las mismas, o 0 de otro modo;

Prueba: La prueba de este teorema resulta de las definiciones de las construcciones usadas. Se comprueba que la construcción obtenida proporciona todas las propiedades mencionadas en la Definición 15.

1) En cuanto a la información mutua entre las entradas y las salidas del procedimiento Gen uno tiene lo siguiente: (i) Dado que el esquema de cifrado simétrico es perfectamente seguro, el texto cifrado es independiente del texto sin formato, y por lo tanto es independiente de cualquier variable que genera el texto sin formato, es decir

Por lo tanto,

lo que implica

l\C\(E,My ) = Hle\(My ) - H lc\(My \E) = 0

(¡i) I|C| ^{( S , M y )} = 0. Esto es consecuencia de la independencia entre 1,1y y la variable aleatoria S, que se muestrea uniformemente a partir de Ck.

(iii) Si se da la clave de cifrado K, entonces es posible descifrar el texto cifrado, es decir

La última igualdad resulta de la independencia entre la variable aleatoria de comprobación aleatoria A = h(S) y y. Por lo tanto ^{I | e |} , |íj ( V M y y X K ‘ .E ) ) J < C|x y^ - n resulta directamente de (6).

2) Con respecto a las propiedades del procedimiento Rep tenemos lo siguiente:

Teniendo en cuenta (7) y definiendo

y c _ ECCenc(s), uno tiene:

De manera similar, uno tiene

Pr{Rep(tf, e, Qvx) = s|0* = Oy] = 1 - FRR (10)

+Pr{h(s) = h(s) ,S =é s|Ox = Oy],

Por lo tanto:

FRR' = FRR - Pr{h(§) = h(s),S * S\Ox - Oy] (11)

y teniendo en cuenta (2):

FRR - negl(fc) < FRR' < FRR (12)

En el caso de FAR, uno puede proceder de la misma forma, obteniendo:

FAR < FAR' < FAR + negl(fc). (15)

3) Finalmente, con respecto a la probabilidad de una reproducción de clave exitosa cuando se usa una clave diferente K\ Ko una cadena pública diferente e’ e, primero permítanos definir ^ ® ^ II / l — D E C ^ ’ ( c ) (e1) y — ECCdec(í M (t¡x,p ) ) uno considerar que la clave s no se conoce. Por lo tanto, pr{.s = vj = l/|C |fc. Además, 5 'y h’ son independientes, lo cual es el caso para un esquema de cifrado perfectamente seguro.

En el caso práctico donde |C| es primo y la familia comprobación aleatoria unidireccional H se construye a partir de:

• una función unidireccional 1 a 1 (como la exponenciación discreta y = f (x) = ax, con x, y £ ( ^ n), donde til ' (Cr‘) es un campo finito donde el logaritmo discreto es firme, y a un generador de ^F )),

• una permutación de comprobación aleatoria universal z = p(y) = hy, con h E ^F ” ) - {0},

entonces la descripción de la función de comprobación aleatoria

Pr{h\s) = <T} = l / ie ^ L Py r íR e p C K',e ' ,Qvx ) = s) = l / | C n |

El extractor desacoplado reforzado de una construcción de desacoplamiento basada en modelo, un código de corrección de errores, una función de comprobación aleatoria unidireccional universal y un esquema de cifrado simétrico, como se describe en el Teorema 1, se representa en la Fig. 12.

La Fig. 12 (izquierda) muestra el procedimiento Gen. Las entradas a este procedimiento son el secreto fijo K y la estimación del modelo de un individuo m *. Primero, se usa un generador de números aleatorios (el bloque RNG) para generar la cadena secreta s. El procedimiento G de la Definición 6 se usa para obtener el descriptor de comprobación aleatoria h. La representación de destino se calcula como c = ECCenc(s). Los metadatos P,ñy t: se yy ^ -- AA f? f vyj f* A

calculan como y ' . La comprobación aleatoria de la cadena secreta se calcula como 5 = h(s). Los datos de ayuda se construyen concatenando los metadatos, la comprobación aleatoria de la cadena secreta y el

_{descriptor de comprobación aleatoria, es decir,} V,r,vx ^II S\\h = ^concat(pjfj _{Estos datos de ayuda se}

cifran para obtener los datos públicos e = ENCk^ 171^ ' ® ^ ^ Finalmente, tanto los datos públicos como la cadena secreta se ponen a disposición como salidas.

La Fig. 12 (derecha) muestra el procedimiento Rep. Sus entradas son los datos públicos e, el secreto fijo K y un vector de V muestras de una caracterización aleatoria de un individuo q = w ...... Los datos de ayuda se obtienen descifrando los datos públicos usando el secreto fijo como clave de descifrado, es decir,

Vniy.i. II ó' II h, DECjeCe) ^ metadatos la comprobación aleatoria de la cadena secreta 5 y el descriptor de comprobación aleatoria h se obtienen dividiendo los datos de ayuda, es decir, (pváy.c S, h ) = sp lit(

Entonces, la representación de destino estimada se calcula como c = PM( jy,..- - secreta estimada S se calcula a partir de la representación de destino estimada

C como ^ — E C

comprobación aleatoria de la cadena secreta estimada 5 se calcula como ó = h ( s ) y se compara con la comprobación aleatoria de la cadena secreta 5. Si ambas comprobaciones aleatorias coinciden, se devuelve la cadena secreta estimada, de otro modo se devuelve 0.

La construcción presentada anteriormente se puede entender como una adaptación del extractor difuso destinado a introducir un segundo factor de autenticación, es decir, una cadena secreta fija (no variable) K £ OC. Esta clave puede ser, por ejemplo, un factor de autenticación basado en conocimiento o posesión, y su papel en la construcción es proteger los metadatos ymy c que accionan el mapeo de rasgos del factor de autenticación ruidoso (Qy, modelado por My) en la construcción de desacoplamiento basada en modelo. Estos metadatos divulgan alguna información del factor de autenticación ruidoso, que se puede usar para enlazar el factor de autenticación ruidoso a través de diferentes servicios y, por lo tanto, tiene que ser protegido. En la construcción mostrada en el Teorema 1, esta protección se logra usando un esquema de cifrado simétrico, permitiendo divulgar la cadena pública e sin divulgar ninguna información del modelo de factor de autenticación ruidoso My.

Se debería señalar que la descripción de los metadatos ymy c no supondría una amenaza a la seguridad, dado que la representación de destino c y los metadatos Kmr c no están relacionados completamente. Más importante, las cadenas públicas y secretas (e y s, respectivamente) producidas por esta construcción están perfectamente desacopladas de ambos factores de autenticación implicados (la información mutua entre ellos es 0) y, por lo tanto, es trivial producir cadenas públicas y secretas no enlazables simplemente cambiando la clave.

No es sencillo obtener verificadores basados en modelo desacoplados prácticos, dado que los factores de autenticación ruidosos normalmente están en dominios completamente no relacionados con los espacios de codificación binaria práctica, es decir, ^ = 1} a continuación, se presenta una estrategia casi óptima para construir construcciones desacopladas basadas en modelo y sus verificadores asociados para una amplia familia de factores de autenticación ruidosos, esto es, los factores de autenticación gaussiana ruidosos.

Una representación de rasgos ampliamente usada se basa en la proyección de la representación original en un espacio propio. Este tipo de representación proporciona varias ventajas, incluyendo la reducción de la dimensionalidad de los rasgos, la eliminación de ruido y la descorrelación de los rasgos proyectados. Este planteamiento se ha usado en diferentes modalidades biométricas. En el caso de la biometría facial, algunos ejemplos son el planteamiento de cara propia, donde las imágenes de la cara se proyectan directamente en el espacio de cara propia, o planteamientos en los que los rasgos de Gabor piramidales intermedios se extraen primero de la imagen de la cara y luego estos rasgos de Gabor piramidales se proyectan en un espacio propio. En el caso del reconocimiento de hablantes, su uso es incluso más frecuente y planteamientos tales como las voces propias, el análisis factorial conjunto o los i-vectores, que también se basan en una transformación del espacio propio, son los métodos centrales de la tecnología de vanguardia. También se ha explorado un planteamiento similar para caracterizar las plantillas de firma en línea. Estas técnicas de espacio propio son especialmente útiles para caracterizar mediciones biométricas, que son secuencias temporales de longitud variable por naturaleza, como en el caso del habla y las firmas en línea, mediante una representación de longitud fija. Aquí, la atención se centra en la binarización de la biometría gaussiana, donde cada medición biométrica está representada por un gran número fijo de rasgos gaussianos. Se debe señalar que todos los planteamientos basados en el espacio propio pertenecen a esta categoría.

Las representaciones de espacio propio son rasgos de valor real que tienen que ser mapeados a una representación binaria con el fin de ser protegidos usando esquemas de protección de plantillas tales como compromiso difuso. En la construcción de extractor desacoplado reforzado presentado en el Teorema 1, esta parametrización se hace mediante la función de PM en la construcción de desacoplamiento basada en modelo. El número F de rasgos de valor real depende de la naturaleza del proceso de extracción de rasgos y, normalmente, esto es independiente del número de bits que constituyen la representación binaria de destino. En este caso, la representación binaria de destino se protege usando un esquema de compromiso difuso y la práctica común es usar la misma longitud para la representación binaria de destino que la longitud del código empleado, esto es, n por lo tanto. Cada rasgo se podría binarizar solo estableciendo un umbral con la mediana de toda la distribución de población. No obstante, dado que el número de rasgos biométricos y el número de rasgos binarios requeridos son diferentes, se puede usar una estrategia de selección o combinación de rasgos. La selección de rasgos supone que cada uno de los rasgos biométricos proporciona suficiente robustez para ser convertidos en un bit para corrección de errores. Además, cuando se seleccionan rasgos, algunos de ellos no se usan, para el detrimento del rendimiento. A continuación, se explican primero las suposiciones sobre los rasgos biométricos y, a continuación, se presenta la estrategia de combinación de rasgos biométricos propuesta.

A. Rasgos gaussianos

Esta invención se ocupa de los rasgos ruidosos gaussianos, que están representados por un vector de F rasgos de valor real, donde cada rasgo q¡ tiene una distribución gaussiana entre toda la población y los rasgos son independientes. Esta es una suposición natural, teniendo en cuenta que los rasgos basados en el espacio propio ya no están correlacionados y se usan ampliamente en diferentes representaciones biométricas. Sin pérdida de generalidad, se puede considerar que estos rasgos tienen media 0 y varianza unitaria. Por lo tanto, la función de densidad de probabilidad de los rasgos de la población se puede escribir como:

pdfq = nf=i pdfqi (V ) = nf=i -Ar(x¡; 0,1), (17)

donde ^ ( * ; (*•a representa la distribución normal con media p y desviación estándar o.

Antes de proceder, se remarca que la formulación no hace uso de la capacidad gaussiana de la distribución de los rasgos según la población. Más bien, solamente se supone que los rasgos de diferentes individuos no están correlacionados y su distribución tiene una media cero.

Por otro lado, cuando los rasgos se proporcionan por un objeto O dado en la población (este podría ser un usuario humano en el caso de biometría), siguen una distribución específica del objeto. Aunque esta distribución podría ser en general muy compleja, en la medida que pueden existir dependencias cruzadas entre los diferentes rasgos, aquí se supone que estos rasgos son independientes y siguen una distribución gaussiana. Esta es una suposición aceptable cuando los rasgos se ven afectados por factores de ruido gaussiano. En ese caso, las funciones de densidad de probabilidad específicas del objeto para los rasgos se pueden escribir como:

pdfq = nf=i pdfqk (x l) = nf=i M x': Po< 0¿)- (18 )

B. Mapeo parametrizado a través de la agregación de rasgos

Se define el proceso que combina F rasgos gaussianos medidos a partir de un objeto O, (es decir, ⁿHo ^{- \}LⁿH^"Oⁱ’ ^■■■ >h ⁿo ^F] J ^T ) en un vector ^h ⁼ ^-L ^I ^T u ^V ^fU o> ^■■■ >uo J ^{1 T} que contiene n < F rasgos binarios, como un mapeo entre qro y bo a través de agregación. En el caso lineal, se puede parametrizar esta agregación de rasgos mediante una matriz de proyección específica del objeto ~Anxh ;

donde sign(x) = - x , V i * 0 , 1 de otro modo. Observe la diferencia entre esta función de signo y la función de signo estándar. Dado que los bits en la representación binaria no deberían estar correlacionados para evitar una pérdida innecesaria de entropía, una solución fácil es asegurar que cualquier rasgo de valor real solamente esté implicado en el cálculo de un rasgo binario. Por lo tanto, las columnas de la matriz de proyección deben contener como máximo un elemento distinto de cero. Esta escasez en la matriz permite codificar la función de mapeo de manera más eficiente. De manera más general, este proceso puede estar precedido por una proyección ortogonal, es decir, 9o — í l( f , í2 E 1 es una matr¡z ortogonal. Observe que una matriz Q se denomina ortogonal si , donde I^fxf es la matriz identidad FxF. No obstante, este paso no se requiere para construir el mapeo parametrizado, por lo que no se incluye aquí.

Permitamos que x O íx o> 1" > x o1 sea el vector de índices de bits para el usuario U, donde xo
>n) es el índice del bit al que contribuye el rasgo de valor real . Permitamos que w ° ~ \w° ’ 1 wo \ sea el vector de S]) — f i f i j U — l l

ponderación de rasgo para el usuario U y definamos i } 0 1 Lk JJ y el vector de rasgos de valor real añadido 9 o = l g l . - . g o V @o = ^ / wXkc[Xl{

con . Entonces, el mapeo parametrizado se puede reescribir como:

Con el fin de derivar el algoritmo de agregación de rasgos múltiples, primero se muestra cómo agregar dos rasgos gaussianos, minimizando la probabilidad de cambio de signo del rasgo agregado.

son 9g = 9 f i «H f 2 y

respectivamente. La probabilidad de que una muestra q~M ^{( l lg . O g )} de este rasgo agregado tenga un signo diferente que su media ¡jg se puede definir como una función del factor de mezcla como:

donde denota valor absoluto. La ponderación óptima aopt se define como que minimiza

Esto se puede escribir como:

Es sencillo obtener la solución cerrada de este problema de optimización. La fiabilidad de un rasgo gaussinano /

con función de densidad de probabilidad p d f> ^ (.x > P f ’ >a r ' ) se define como ^ . Entonces el factor de mezcla óptimo se puede escribir como:

y la fiabilidad cuadrática @3 del rasgo agregado resultante 9 t + f fopt f se puede obtener fácilmente como:

P g = p j i P 2f 2- (24)

f i : — i ... i; 2} Algoritmo de agregación de rasgos múltiples: Dados F rasgos gaussianos independientes J 1 ’ > , con

función de densidad de probabilidad P ^ / ' ^ ^ ^ x ’ P f1' af i ) . |a meta es agregarlos en n rasgos gaussianos

9 } >J ~ con función de densidad de probabilidad P ^ g - ^ ^ N ( x , ' , de manera que el número medio de errores sea mínimo. Este número medio de errores se define como:

Para cada uno de los rasgos gaussianos agregados gi, a partir de la Ec. 21 uno puede escribir la probabilidad de

_error ^P _*e ^s _{como una función de la fiabilidad cuadrática} ^P _& ^{2¡ = P 2} _a ^j1 ^{/ °} _{9 a} ^2} _J

Esta minimización es un problema complejo, en la familia de la partición de números de múltiples vías. En la literatura se han propuesto una serie de soluciones aproximadas y exactas a este problema. En este caso específico, se puede suponer que existe una proporción de rasgos gaussianos con baja fiabilidad específica del usuario. El planteamiento heurístico voraz proporciona una solución con una distancia a la solución óptima con un orden igual a la fiabilidad mínima. Es un algoritmo muy simple con convergencia temporal lineal determinista. El algoritmo 1 genera la función de Extractor de Metadatos (ME) para la Construcción de Desacoplamiento basada en Modelo usando el planteamiento heurístico voraz propuesto. El algoritmo 2 formula su función de Mapeo Parametrizado (PM) correspondiente para la Construcción de Desacoplamiento basada en Modelo.

Algoritmo 1: Algoritmo de Extractor de Metadatos (ME) que usa la heurística voraz

Algoritmo 2: Algoritmo de Mapeo Parametrizado (PM) asociado al Extractor de Metadatos (Algoritmo 1)

Ahora se presentan primero las primitivas criptográficas necesarias para construir el protocolo. Luego se define el modelo de adversario y a continuación se muestra un protocolo de autenticación usando la Construcción Reforzada Desacoplada explicada anteriormente. Finalmente, se realiza un análisis de seguridad y privacidad con el fin de mostrar las propiedades del protocolo con respecto a la seguridad y privacidad.

A. Primitivas criptográficas usadas

Para el protocolo propuesto se hace uso de una función de derivación de clave (KDF) segura para derivar claves para aplicaciones criptográficas usando datos de entrada secretos, tales como una contraseña. Se usa una KDF para generar claves para un cifrado simétrico IND-CPA y un esquema de firma digital fuertemente infalsificable. Formalmente, para A que es el parámetro de seguridad:

Definición 16: Se dice que una función de derivación de clave (KDF) es segura con respecto a una fuente de entrada con una entropía mínima (H«) mayor o igual que A si ningún atacante A de tiempo polinomial probabilístico (PPT) puede distinguir su salida de una salida aleatoria de igual longitud, excepto con una probabilidad despreciable g(A). Un esquema de firma digital se define mediante una tupla de 3 DS = (KeyGen, SIGN, VER) de funciones. La función de generación de claves KeyGen genera la cadena secreta sk usando un parámetro de seguridad como entrada, es decir, K ^ KeyGen(A). A partir de la cadena secreta, uno deriva la clave pública p k como gen - pk(sk). La función de firma SIGN toma como entrada un mensaje x y la cadena secreta sk y emite una firma, es decir, o ^ SIGNsk(m). La función de verificación VER toma como entrada una firma o, un mensaje m y una clave pública pk y emite si la firma se verifica o no, es decir, {verdadero, falso} ^ VERpk(o, m).

Definición 17: Permitamos que DS = (KeyGen, SIGN, VER) sea un esquema de firma digital. Consideremos el siguiente juego jugado entre un adversario A de PPT y un retador:

y definamos la ventaja del adversario en este juego como

AdvDs.A(A) = Pr Expds,a(A) = 1

Entonces DS se denomina fuertemente infalsificabie si A cIvds.aM S negl(A) para todos los adversarios A de PPT.

Observe que en el juego anterior m, m¡, ^ = 0, ..., q - 1.

B. Modelo de adversario

Se consideran dos tipos de adversarios: adversarios que pretenden quebrar la seguridad y los que pretenden quebrar la privacidad. Se supone que el adversario tiene el control total de todas las comunicaciones entre los Proveedores de Servicios (SP) y los dispositivos de usuario (D) y, por lo tanto, puede espiar, modificar, reordenar, reproducir, inyectar y dejar caer mensajes a voluntad. Se supone que el usuario y el dispositivo del usuario son de plena confianza.

El adversario de la seguridad intentará hacerse pasar por un usuario no comprometido a SP que potencialmente tenga acceso, además de todas las transcripciones de protocolo, a todas las entradas disponibles de las partes implicadas con la excepción de al menos uno de los factores de autenticación del usuario legítimo por el que está tratando de hacerse pasar. El adversario de la seguridad también incluye proveedores de servicios maliciosos que podrían intentar comprometer o bien una contraseña/testigo de usuario legítimo o bien datos biométricos (representación binaria).

Definición 18 (Seguridad). n = (Inscribir, Autenticar) es un sistema de autenticación de múltiples factores seguro si ningún adversario A de PPT puede autenticarse con éxito a sí mismo ante el verificador como el usuario legítimo por el que se hace pasar, incluso cuando se le dan todas las transcripciones de protocolo y todas las entradas del verificador y todos los probadores con la excepción de al menos un factor de autenticación del usuario por el que intenta hacerse pasar.

El adversario de la privacidad intentará vincular a los usuarios a través de inscripciones (posiblemente en diferentes proveedores de servicios en colusión) para las que la vinculación de la información solamente se considera que se deriva de la plantilla biométrica del usuario Q, en la medida que esto no se puede cambiar (fácilmente) (a diferencia de otros factores de autenticación basados en conocimiento y basados en posesión). El adversario proporciona dos plantillas biométricas, Q0 y Q1, de las cuales una se inscribirá como usuario U, después de lo cual el adversario puede autenticar poli-muchas veces como este usuario usando cualquier entrada como el otro factor o factores de autenticación. La primera asegura que el adversario no puede aprender nada acerca de la plantilla biométrica del Inscribir, mientras que la última asegura que el adversario tampoco aprenda nada del Autenticar. No se considera la privacidad en el sentido de que se podrían vincular múltiples intentos de autenticación por el mismo usuario (para la misma inscripción).

Definición 19 (Privacidad). n = (Inscribir, Autenticar) como antes, consideremos el siguiente juego jugado entre un adversario A del PPT y un retador:

La ventaja del adversario en este juego se define como

Entonces n se denomina preservación de la privacidad

para todos los adversarios A de PPT.

C. Protocolo

Ahora se presenta el sistema de autenticación de usuario seguro de dos factores y que preserva la privacidad propuesto, que comprende una inscripción y un protocolo de autenticación.

El primer factor de autenticación usado dentro del protocolo propuesto son los datos biométricos, que se usan para construir un modelo, que será la primera entrada para el procedimiento Gen de Construcción Desacoplada Reforzada durante la inscripción. El segundo factor de autenticación es en este caso una contraseña, que se usa para derivar los datos de autenticación fijos, constituyendo la segunda entrada al procedimiento Gen de Construcción Desacoplada Reforzada durante la inscripción. La cadena secreta emitida por el procedimiento Gen se usa para generar un par de claves pública y privada y la clave pública se almacena para la verificación de firma durante la autenticación.

Durante la autenticación, el usuario necesita proporcionar datos de ayuda nuevos y la misma clave. Como durante la inscripción, los datos de autenticación fijos se derivan de la contraseña. Tanto los datos biométricos nuevos como los datos de autenticación fijos se alimentan a la Construcción Desacoplada Reforzada, que emite la cadena secreta. Esta cadena secreta se usa para generar la clave privada para firmar un desafío del verificador. Intuitivamente, el sistema de autenticación es seguro porque con el fin de hacerse pasar por un usuario legítimo, un atacante necesita firmar correctamente el desafío y la probabilidad de éxito sin el conocimiento de ambos factores de autenticación del usuario es despreciable.

La autenticación tiene lugar entre un usuario a través de su dispositivo y un proveedor de servicios. El dispositivo actúa principalmente como un intermediario para el usuario, siendo capaz de hacer los cálculos necesarios y establecer la comunicación con el proveedor de servicios. Los protocolos están diseñados de manera que no se requiera almacenamiento en el dispositivo. Esto tiene dos beneficios principales: (i) los usuarios pueden usar cualquier dispositivo de confianza para autenticarse con el proveedor de servicios y (ii) perder el dispositivo no conduce a problemas de seguridad o privacidad en la medida que no hay información secreta almacenada. Generalmente se reconoce que los usuarios tienden a elegir contraseñas con entropía mínima baja (es decir, entropía en el peor de los casos). Esto tiene un impacto en la seguridad y privacidad máximas alcanzables, donde la seguridad se puede mantener al mismo nivel siempre que el adversario no tenga acceso a los datos biométricos del usuario, las propiedades de preservación de privacidad del sistema se reducen a la entropía mínima de la contraseña. Otra razón para optar por un segundo factor basado en la posesión en lugar del basado en el conocimiento es la conveniencia del usuario, en la medida que este no está obligado a escribir su contraseña cada vez que quiera autenticarse. Por esta razón, ambas opciones quedan abiertas sobre qué segundo factor de autenticación usar en el protocolo de inscripción y autenticación, que ahora se describirá en detalle.

1) Protocolo de inscripción:

El protocolo de inscripción se ilustra en la Fig. 13 e implica las siguientes interacciones:

• El dispositivo solicita al usuario que proporcione un nombre de usuario (único) para el proveedor de servicios y, en una segunda fase, un conjunto de muestras biométricas qi junto con datos de autenticación fijos. En caso de que estos datos de autenticación fijos sean de un factor de autenticación fijo basado en posesión, estos se podrían generar por el dispositivo en sí mismo.

• El proveedor de servicios suministra al dispositivo una sal única s¡ (es decir, un desafío aleatorio) para el nombre de usuario dado. Esta sal se usará para derivar tanto la clave simétrica K (cuando se tiene un segundo factor de autenticación basado en conocimiento) como la clave de firma s. Esta sal asegura que, para ambas de estas claves, haya suficiente aleatoriedad como entrada para la función de derivación de claves. También asegura que si la base de datos del servidor se ve comprometida, uno no pueda calcular previamente de manera eficiente las claves simétricas derivadas de las contraseñas usadas más frecuentemente.

• El dispositivo genera un mensaje aleatorio que sirve como entrada a la KDF para la generación de la clave de firma sk, de la cual también se deriva una clave de verificación pública pk. Para asegurar que uno pueda recuperar más tarde este mensaje de la representación binaria aleatorizada, primero se codifica con un código de corrección de errores.

• Los metadatos de binarización se generan y protegen mediante un cifrado de clave simétrica para asegurar la privacidad del usuario.

• El dispositivo envía la clave pública y los metadatos de binarización cifrados de vuelta al proveedor de servicios, junto con una firma sobre estos datos y el nombre de usuario. Con esta firma, el dispositivo prueba el conocimiento de la cadena secreta correspondiente a la clave pública. La firma también une de manera efectiva toda la transcripción del protocolo, asegurando conversaciones coincidentes entre el dispositivo y el proveedor de servicios. La sal que es un identificador único, también se usa como identificador de sesión por el proveedor de servicios para enlazar los mensajes.

2) Protocolo de autenticación

El protocolo de verificación se ilustra en la Fig. 14 e implica las siguientes interacciones:

• El dispositivo solicita al usuario que proporcione su nombre de usuario para el proveedor de servicios y, en una segunda fase, una nueva muestra biométrica junto con datos de autenticación fijos. En caso de que estos datos de autenticación fijos sean de un factor de autenticación fijo basado en posesión, solamente se le pide al usuario una muestra biométrica.

• El proveedor de servicios suministra el dispositivo la sal, los metadatos de binarización cifrados para el nombre de usuario dado. Además, el proveedor de servicios también suministra un desafío al dispositivo para asegurar la actualización del protocolo de autenticación.

• El dispositivo reconstruye el mensaje que se eligió al azar durante el protocolo de inscripción a partir de las entradas recibidas. Gracias al código de corrección de errores, uno puede decodificar errores debido a que la muestra biométrica es ligeramente diferente de las suministradas durante el protocolo de inscripción. A partir del mensaje decodificado se deriva la clave de firma como en el protocolo de inscripción.

• El dispositivo firma el desafío del proveedor de servicios y envía la firma de vuelta al proveedor de servicios. De nuevo, la sal se usa como identificador de sesión.

• Si la firma se verifica con la clave pública almacenada, el usuario se autentica.

Ahora se analizan las propiedades de seguridad y privacidad del protocolo. Se muestra que el protocolo es seguro y que preserva la privacidad contra un adversario malicioso, en lugar de uno honesto pero curioso.

Específicamente en el caso en que usamos un segundo factor de autenticación basado en conocimiento, siempre que la contraseña tenga una entropía mínima de al menos ^ , la clave de cifrado simétrica derivada de la contraseña es indistinguible de una clave aleatoria de igual longitud, excepto con una probabilidad despreciable negl(^). De manera similar, la clave de firma digital es indistinguible de una clave aleatoria de igual longitud, excepto con una probabilidad despreciable negl(A), dado que m se elige al azar de {0, 1 } \

Seguridad:

Teorema 2 (Seguridad). El esquema de autenticación de usuario propuesto es seguro según la Definición 18, bajo las suposiciones de que la KDF es segura (compárese con la Definición 16), el cifrado simétrico es IND-CPA seguro (compárese con la Definición 17) y el esquema de firma digital es infalsificable (compárese con la Definición 17). Prueba: la prueba se divide en dos casos. En el primer caso, se supone que se da al adversario A una contraseña válida, por ejemplo, pwdi del usuario Ui. En el segundo caso, se supone que a A se le da una biometría válida, digamos, un vector de rasgos biométricos Qv del usuario Ui. En ambos casos, también se supone que A tiene acceso a la base de datos del proveedor de servicios, que contiene (^u¡, ^s¡, pki, EBMi) de todos los usuarios inscritos. La meta del atacante es tener éxito al hacerse pasar por un usuario. Esto ocurre si el atacante puede producir una firma en el desafío del SP, que pasará la comprobación de verificación usando la clave pública del usuario de destino. Por lo tanto, se supone, por el bien de la simplicidad, que a A se le presenta un desafío e y que A tiene éxito en su ataque si puede producir una firma a de manera que verdadero ^ VERpki (e, o), donde pk¡ es la clave pública del usuario por el que A está haciéndose pasar.

• Caso 1: Supongamos que el atacante puede hacerse pasar con éxito por un usuario con una probabilidad no despreciable (por ejemplo, con una probabilidad > negl(A)). Esto significa que A puede producir una firma a para el desafío e de manera que verdadero ^ VERpki (e, o) con una probabilidad no despreciable. Esto significa además que A puede adivinar la clave de firma ski con una probabilidad no despreciable. Recordar ski ^ KDF(m, Si), donde m es una cadena de bits elegida aleatoriamente de longitud A y si es una sal. El mensaje m se puede recuperar usando los metadatos de binarización BMi y un dato biométrico válido Qv por medio de la función g y el código de corrección de errores. Usando la contraseña dada pwdi, A puede descifrar EBMi para obtener los metadatos de binarización BMi. No obstante, m no se puede recuperar solo usando BMi; el atacante también necesita Qv. Sin un Qv válido, no es posible obtener m de ECCdecodificar(g(BMi, •)). Por lo tanto, ser capaz de adivinar ski con una probabilidad no despreciable significa que la salida de KDF se puede distinguir de una clave aleatoria, que según la Definición 16 no es posible. En consecuencia, entonces debe darse el caso de que A pueda ganar el juego de seguridad contra el esquema de firma empleado, lo que de nuevo contradice la suposición de que el esquema de firma es seguro (compárese con la Definición 17). Por lo tanto, en este caso, el protocolo es seguro, excepto con negl(A).

• Caso 2: Supongamos de nuevo que el atacante puede hacerse pasar con éxito por un usuario con una probabilidad no despreciable. Como en el Caso 1, esto significa que A puede adivinar la clave de firma ski con una probabilidad no despreciable. En este caso, a A se le da Qv, por lo que esta vez A necesita BMi recuperar m con el fin de ser capaz de recuperar ski. No obstante, el atacante tiene los metadatos de binarización cifrados EBMi. Para ser capaz de descifrarlos para obtener el BMi correcto, A necesita la contraseña correcta con la que recuperar la clave de cifrado simétrica K ^ KDF(pwdi, s¡). Por un razonamiento similar al del Caso 1, el atacante puede o bien distinguir la salida de KDF de una salida aleatoria o bien simplemente falsificar una firma. Ambas contradicen las suposiciones de seguridad en la KDF y el esquema de firma. Por lo tanto, en este caso, siempre que la contraseña tenga una entropía de bit ' el protocolo es seguro, excepto con negl(').

Señalar que el uso de sal evita que el adversario construya una tabla de claves para contraseñas comunes. El adversario puede en principio hacer eso para cada sal al precio de un aumento significativo de memoria. Por tanto, el parámetro de seguridad importante en este segundo caso es la entropía de la contraseña.

Privacidad:

Teorema 3: El esquema de autenticación de usuario propuesto es preservar la privacidad según la Definición 19, bajo la suposición de que la KDF es segura (compárese con la Definición 16), el cifrado simétrico es IND-CPA seguro (compárese con la Definición 17).

Este teorema se mostrará específicamente para el segundo factor de autenticación basado en conocimiento, con el parámetro de seguridad para la contraseña, es decir, la entropía mínima de la contraseña. Si uno va a usar un planteamiento basado en testigo, donde este testigo se genera en el parámetro de seguridad A, el adversario tiene solamente una probabilidad despreciable en ese parámetro de seguridad.

Prueba. La prueba se basa en una serie de juegos híbridos.

Juego0: Este es el juego de privacidad original

Permitamos que Xo sea el evento que b' == b en este juego.

• Juegos Es el mismo que el Juego0, excepto que ahora la clave de cifrado simétrica generada a partir de KDF(pwd, sb) se sustituye por una clave aleatoria distribuida uniformemente de igual longitud. Permitamos que Xi sea el evento en que b0 = b en este juego.

• Juego2: Es el mismo que Juego0, excepto que la clave de firma secreta generada a partir de KDF (m, Sb) se sustituye por una clave aleatoria distribuida uniformemente de igual longitud. Permitamos que X2 sea el evento en que b0 = b en este juego.

Afirmación 1: | Pr{X0} - Pr{X1} | es despreciable.

Prueba: Esto resulta de la suposición de que la salida de la función de derivación clave KDF es indistinguible de la aleatoria, excepto con una probabilidad despreciable. De lo contrario, el adversario se puede usar como una caja negra para quebrar la seguridad de la KDF (es decir, A se puede usar para distinguir la salida de la KDF de la aleatoria).

Afirmación 2: | Pr{X1} - Pr{X2} | es despreciable.

Prueba: Esto también resulta de la suposición de que la función de derivación de clave es segura.

Afirmación 3: l 2Pr{X2} - 1| es despreciable.

Prueba: En el Juego2, tanto la clave de cifrado simétrica como la clave de firma se sustituyen por claves uniformemente aleatorias. Por lo tanto, la reivindicación resulta de la suposición de que el esquema de cifrado simétrico es IND-CPA seguro (en el parámetro de seguridad A » t).

Resumiendo, siempre que la contraseña tenga una entropía mínima £, uno tiene que ^dv n.A( í') í negl( í')

Desvinculación e irreversibilidad

Un problema común con los protocolos de autenticación biométrica tradicionales es que si los datos de plantilla biométrica se roban o comprometen debido a, digamos, piratería, entonces los usuarios no pueden volver a emitir o revocar sus plantillas biométricas. Este inconveniente particular de la biometría es a menudo la razón principal de las críticas. Por lo tanto, es vital para la seguridad, especialmente en el caso del robo de datos, permitir la renovación y diversidad de biometría, es decir, desvinculación biométrica. En este protocolo, esto se logra usando una técnica de separación, esto es, se emplea una representación binaria aleatoria para la biometría de cada usuario y se usa en las fases de inscripción y autenticación. Así, si los datos de representación binaria c y c están comprometidos, entonces se generará la representación de usuario. En particular, cuando el usuario se reinscribe a sí mismo con la misma biometría, se genera una representación binaria completamente nueva y aleatoria independientemente de las plantillas biométricas y se usa para autenticar al usuario. Dado que la representación binaria aleatoria es independiente de los rasgos biométricos, una representación binaria comprometida no se puede vincular a la biometría de un usuario. Por lo tanto, el protocolo ofrece desvinculación.

Con respecto a la irreversibilidad, los metadatos de binarización proporcionan alguna información acerca de los rasgos biométricos originales en el caso de que estos metadatos estén diseñados para aumentar la fiabilidad de los rasgos binarios. No obstante, la información contenida en la representación binaria protegida está oculta e impide la recuperación de los rasgos biométricos originales. Solamente teniendo acceso tanto a la representación binaria biométrica protegida como a los metadatos de binarización, un atacante podría obtener suficiente información acerca de las mediciones biométricas originales. Como el protocolo protege tanto los metadatos de binarización como la representación biométrica binaria, no se divulga información acerca de la plantilla biométrica original a los adversarios considerados.

Aunque la invención se ha ilustrado y descrito en detalle en los dibujos y la descripción anterior, tal ilustración y descripción se han de considerar ilustrativas o ejemplares y no restrictivas. La descripción anterior detalla ciertas realizaciones de la invención. Se apreciará, no obstante, que no importa cuán detallado aparezca lo anterior en el texto, la invención se limita por el alcance de las reivindicaciones.

Otras variaciones de las realizaciones descritas se pueden entender y efectuar por los expertos en la técnica en la práctica de la invención reivindicada, a partir de un estudio de los dibujos, la descripción y las reivindicaciones adjuntas. En las reivindicaciones, las palabras “que comprende” no excluyen otros elementos o pasos, y el artículo indefinido “un”, “uno” o “una” no excluyen una pluralidad. Un único procesador u otra unidad puede cumplir las funciones de varios elementos mencionados en las reivindicaciones. El mero hecho de que ciertas medidas se mencionen en reivindicaciones dependientes mutuamente diferentes no indica que una combinación de estas medidas no se pueda usar con ventaja. Un programa de ordenador se puede almacenar/distribuir en un medio adecuado, tal como un medio de almacenamiento óptico o un medio de estado sólido suministrado junto con o como parte de otro hardware, pero también se puede distribuir de otras formas, tales como a través de Internet u otros sistemas de telecomunicaciones cableados o inalámbricos. Cualquier signo de referencia en las reivindicaciones no se debería interpretar como que limita el alcance.

Claims

REIVINDICACIONES

1. Un método de autenticación implementado por ordenador que comprende un paso de inscripción que comprende:

^ogenerar una cadena secreta independientemente de dichos datos difusos recibidos y dichos datos de autenticación fijos recibidos, usando un generador de números aleatorios,

^oderivar metadatos de dichos datos difusos y dicha cadena secreta y datos de ayuda de una comprobación aleatoria de dicha cadena secreta, un descriptor de comprobación aleatoria y dichos metadatos,

^ocifrar dichos datos de ayuda usando dichos datos de autenticación fijos como clave de cifrado;

^oemitir dichos datos de ayuda cifrados como datos públicos,

y un paso de autenticación que comprende

^orecibir dicha salida de datos públicos durante dicho paso de inscripción, datos difusos adicionales y dichos datos de autenticación fijos,

^orecuperar dichos datos de ayuda de dichos datos públicos descifrados,

^ovalidar dicha cadena secreta reproducida usando dichos datos de ayuda recuperados,

^oliberar dicha cadena secreta reproducida si dicha validación produce un resultado positivo.

2. El método de autenticación según la reivindicación 1, donde la entropía de dichos datos difusos dados dichos metadatos es mayor o igual que la longitud de dicha cadena secreta.

3. El método de autenticación de cualquiera de las reivindicaciones anteriores, en donde es al menos computacionalmente inviable derivar de dichos datos públicos información acerca de dichos datos difusos.

4. El método de autenticación de la reivindicación 3, en donde la información mutua entre dichos datos difusos y dichos datos públicos es sustancialmente cero.

5. El método de autenticación de cualquiera de las reivindicaciones 1 a 4, en donde dichos datos públicos de salida se almacenan en un dispositivo personal y/o en un servidor y/o en un testigo.

6. El método de autenticación de cualquiera de las reivindicaciones anteriores, en donde dichos datos difusos se proporcionan por una fuente biométrica.

7. El método de autenticación de cualquiera de las reivindicaciones anteriores, en donde dichos datos difusos se proporcionan por una fuente de función que no se puede clonar físicamente, PUF.

8. El método de autenticación de la reivindicación 7, en donde dicha PUF está dotada con un desafío fijo.

9. El método de autenticación de cualquiera de las reivindicaciones anteriores, en donde dichos datos difusos y/o dichos datos difusos adicionales se adquieren o bien de manera simultánea o bien de manera consecutiva.

10. El método de autenticación de la reivindicación 9, en donde dichos datos difusos y/o dichos datos difusos adicionales se proporcionan por una combinación de fuentes biométricas y/o fuentes de PUF.

11. El método de autenticación de cualquiera de las reivindicaciones anteriores, en donde dichos datos de autenticación fijos se almacenan en un archivo o en un testigo de autenticación, o se derivan a partir de una contraseña o frase de paso.

12. El método de autenticación de la reivindicación 11, en donde dichos datos de autenticación fijos son una combinación de una pluralidad de datos de autenticación fijos, adquiridos o bien de manera simultánea o bien de manera consecutiva.

13. El método de autenticación de cualquiera de las reivindicaciones anteriores, donde en dicho paso de inscripción también se emite dicha cadena secreta.

14. Un sistema de autenticación que comprenda:

- medios de inscripción adaptados para:

^oderivar metadatos de dichos datos difusos y dicha cadena secreta y datos de ayuda de una comprobación aleatoria de dicha cadena secreta, un descriptor de comprobación aleatoria y dichos metadatos, ^ocifrar dichos datos de ayuda usando dichos datos de autenticación fijos como clave de cifrado,

^oemitir dichos datos de ayuda cifrados como los datos públicos,

- medios de autenticación adaptados para:

^orecibir dicha salida de datos públicos, datos difusos adicionales y dichos datos de autenticación fijos, ^odescifrar dichos datos públicos recibidos usando dichos datos de autenticación fijos como clave de descifrado,

^orecuperar dichos datos de ayuda y dichos metadatos de dichos datos públicos descifrados,

^oreproducir dicha cadena secreta usando dichos datos difusos adicionales y dichos metadatos recuperados, ^ovalidar dicha cadena secreta reproducida usando dichos datos de ayuda recuperados,