보안 생체 인식에 대한 센서 요구 사항
Microsoft는 TPM(신뢰할 수 있는 플랫폼 모듈) 2.0을 활용하여 적절한 하드웨어에서 소프트웨어(커널 수준 맬웨어 포함)가 인증 시 사용자의 생체 인식이 제공되지 않은 경우 유효한 생체 인식 인증을 생성할 수 없도록 합니다.
이를 위해 TPM 2.0 세션 기반 권한 부여 및 신뢰할 수 있는 실행 환경에서 기능 추출 및 일치를 수행하는 센서를 사용합니다. Windows 생체 인식 프레임워크가 보안 센서(보안 센서 기능에 의해 보고된 대로)를 처음 볼 때 보안 생체 인식 센서와 TPM 간에 공유되는 비밀을 프로비전합니다. 해당 비밀은 OS에 다시 노출되지 않으며 각 센서에 고유합니다.
인증을 수행하기 위해 Windows 생체 인식 프레임워크는 TPM과 세션을 열고 nonce를 가져옵니다. nonce는 보안 일치 작업의 일부로 보안 센서에 전달됩니다. 센서는 신뢰할 수 있는 실행 환경에서 일치를 수행하고 성공하면 해당 nonce에 대한 HMAC와 식별된 사용자의 ID를 계산합니다.
이 HMAC는 Windows 생체 인식 프레임워크에서 식별된 사용자에 대해 TPM에서 암호화 작업을 수행하는 데 사용할 수 있습니다. HMAC는 수명이 짧고 몇 초 후에 만료됩니다.
이 프로토콜을 사용하여 초기 프로비저닝 후에는 OS에 중요한 데이터가 포함되지 않습니다. 비밀은 TPM 및 보안 센서에 의해 유지되며 인증 중에 노출되는 유일한 것은 수명이 짧은 HMAC입니다.
센서 기능 보호
엔진 어댑터 인터페이스의 v 4.0에서 새 엔진 어댑터 메서드를 지원하는 경우 센서에서 WINBIO_CAPABILITY_SECURE_SENSOR 기능을 보고해야 합니다.
센서가 보안 센서라고 주장하려면 다음 요구 사항을 충족해야 합니다.
- 센서의 일치 엔진은 일반 OS(예: 신뢰할 수 있는 실행 환경 사용)에서 격리되어야 합니다.
- 센서는 격리된 일치 엔진에 대한 샘플의 안전한 입력을 지원해야 합니다. 샘플의 콘텐츠는 일반 OS에 노출되어서는 안 됩니다.
- 일치하는 엔진은 아래에 설명된 새 v4 메서드를 구현하여 보안 자격 증명 릴리스를 지원해야 합니다.
- 센서는 프레젠테이션 공격 감지를 지원해야 합니다.
WINBIO_CAPABILITY_SECURE_SENSOR 값은 WINBIO_CAPABILITIES 구조체에 포함됩니다. 정의 방법의 예는 다음과 같습니다.
#define WINBIO_CAPABILITY_SECURE_SENSOR ((WINBIO_CAPABILITIES)0x00000100)
오류 코드
//
// MessageId: WINBIO_E_INVALID_KEY_IDENTIFIER
//
// MessageText:
//
// The key identifier is invalid.
//
#define WINBIO_E_INVALID_KEY_IDENTIFIER ((HRESULT)0x80098052L)
//
// MessageId: WINBIO_E_KEY_CREATION_FAILED
//
// MessageText:
//
// The key cannot be created.
//
#define WINBIO_E_KEY_CREATION_FAILED ((HRESULT)0x80098053L)
//
// MessageId: WINBIO_E_KEY_IDENTIFIER_BUFFER_TOO_SMALL
//
// MessageText:
//
// The key identifier buffer is too small.
//
#define WINBIO_E_KEY_IDENTIFIER_BUFFER_TOO_SMALL ((HRESULT)0x80098054L)
엔진 어댑터 인터페이스 v 4.0
엔진 어댑터 인터페이스 버전이 4.0으로 증가했습니다. 새 인터페이스의 추가 함수를 사용하면 센서가 TPM 2.0에 참여할 수 있습니다. 관련 토폴로지는 다음과 같습니다.
//
// Additional methods available in V4.0 and later
//
typedef HRESULT
(WINAPI *PIBIO_ENGINE_CREATE_KEY_FN)(
_Inout_ PWINBIO_PIPELINE Pipeline,
_In_reads_(KeySize) const UCHAR* Key,
_In_ SIZE_T KeySize,
_Out_writes_bytes_to_(KeyIdentifierSize, *ResultSize) PUCHAR KeyIdentifier,
_In_ SIZE_T KeyIdentifierSize,
_Out_ PSIZE_T ResultSize
);
typedef HRESULT
(WINAPI *PIBIO_ENGINE_IDENTIFY_FEATURE_SET_SECURE_FN)(
_Inout_ PWINBIO_PIPELINE Pipeline,
_In_reads_(NonceSize) const UCHAR* Nonce,
_In_ SIZE_T NonceSize,
_In_reads_(KeyIdentifierSize) const UCHAR* KeyIdentifier,
_In_ SIZE_T KeyIdentifierSize,
_Out_ PWINBIO_IDENTITY Identity,
_Out_ PWINBIO_BIOMETRIC_SUBTYPE SubFactor,
_Out_ PWINBIO_REJECT_DETAIL RejectDetail,
_Outptr_result_bytebuffer_(*AuthorizationSize) PUCHAR *Authorization,
_Out_ PSIZE_T AuthorizationSize
);
#define WINBIO_ENGINE_INTERFACE_VERSION_4 WINBIO_MAKE_INTERFACE_VERSION(4,0)
typedef struct _WINBIO_ENGINE_INTERFACE {
WINBIO_ADAPTER_INTERFACE_VERSION Version;
WINBIO_ADAPTER_TYPE Type;
SIZE_T Size;
GUID AdapterId;
PIBIO_ENGINE_ATTACH_FN Attach;
PIBIO_ENGINE_DETACH_FN Detach;
PIBIO_ENGINE_CLEAR_CONTEXT_FN ClearContext;
PIBIO_ENGINE_QUERY_PREFERRED_FORMAT_FN QueryPreferredFormat;
PIBIO_ENGINE_QUERY_INDEX_VECTOR_SIZE_FN QueryIndexVectorSize;
PIBIO_ENGINE_QUERY_HASH_ALGORITHMS_FN QueryHashAlgorithms;
PIBIO_ENGINE_SET_HASH_ALGORITHM_FN SetHashAlgorithm;
PIBIO_ENGINE_QUERY_SAMPLE_HINT_FN QuerySampleHint;
PIBIO_ENGINE_ACCEPT_SAMPLE_DATA_FN AcceptSampleData; // PROCESSES CURRENT BUFFER FROM PIPELINE AND GENERATES A FEATURE SET IN THE PIPELINE
PIBIO_ENGINE_EXPORT_ENGINE_DATA_FN ExportEngineData; // EXPORTS FEATURE SET OR TEMPLATE
PIBIO_ENGINE_VERIFY_FEATURE_SET_FN VerifyFeatureSet;
PIBIO_ENGINE_IDENTIFY_FEATURE_SET_FN IdentifyFeatureSet;
PIBIO_ENGINE_CREATE_ENROLLMENT_FN CreateEnrollment; // ATTACHES AN EMPTY ENROLLMENT TEMPLATE TO THE PIPELINE
PIBIO_ENGINE_UPDATE_ENROLLMENT_FN UpdateEnrollment; // CONVERTS CURRENT PIPELINE FEATURE SET INTO SOMETHING THAT CAN BE ADDED TO A TEMPLATE
PIBIO_ENGINE_GET_ENROLLMENT_STATUS_FN GetEnrollmentStatus; // QUERIES TEMPLATE ATTACHED TO THE PIPELINE TO SEE IF IT IS READY TO COMMIT
PIBIO_ENGINE_GET_ENROLLMENT_HASH_FN GetEnrollmentHash;
PIBIO_ENGINE_CHECK_FOR_DUPLICATE_FN CheckForDuplicate; // DETERMINES WHETHER TEMPLATE IS ALREADY ENROLLED
PIBIO_ENGINE_COMMIT_ENROLLMENT_FN CommitEnrollment;
PIBIO_ENGINE_DISCARD_ENROLLMENT_FN DiscardEnrollment;
PIBIO_ENGINE_CONTROL_UNIT_FN ControlUnit;
PIBIO_ENGINE_CONTROL_UNIT_PRIVILEGED_FN ControlUnitPrivileged;
#if (NTDDI_VERSION >= NTDDI_WIN8)
//
// V2.0 methods begin here...
//
PIBIO_ENGINE_NOTIFY_POWER_CHANGE_FN NotifyPowerChange;
PIBIO_ENGINE_RESERVED_1_FN Reserved_1;
#endif
#if (NTDDI_VERSION >= NTDDI_WINTHRESHOLD)
//
// V3.0 methods begin here...
//
PIBIO_ENGINE_PIPELINE_INIT_FN PipelineInit;
PIBIO_ENGINE_PIPELINE_CLEANUP_FN PipelineCleanup;
PIBIO_ENGINE_ACTIVATE_FN Activate;
PIBIO_ENGINE_DEACTIVATE_FN Deactivate;
PIBIO_ENGINE_QUERY_EXTENDED_INFO_FN QueryExtendedInfo;
PIBIO_ENGINE_IDENTIFY_ALL_FN IdentifyAll;
PIBIO_ENGINE_SET_ENROLLMENT_SELECTOR_FN SetEnrollmentSelector;
PIBIO_ENGINE_SET_ENROLLMENT_PARAMETERS_FN SetEnrollmentParameters;
PIBIO_ENGINE_QUERY_EXTENDED_ENROLLMENT_STATUS_FN QueryExtendedEnrollmentStatus;
PIBIO_ENGINE_REFRESH_CACHE_FN RefreshCache;
PIBIO_ENGINE_SELECT_CALIBRATION_FORMAT_FN SelectCalibrationFormat;
PIBIO_ENGINE_QUERY_CALIBRATION_DATA_FN QueryCalibrationData;
PIBIO_ENGINE_SET_ACCOUNT_POLICY_FN SetAccountPolicy;
#endif
#if (NTDDI_VERSION >= NTDDI_WIN10_RS1)
//
// V4.0 methods begin here...
//
PIBIO_ENGINE_CREATE_KEY_FN CreateKey;
PIBIO_ENGINE_IDENTIFY_FEATURE_SET_SECURE_FN IdentifyFeatureSetSecure;
#endif
} WINBIO_ENGINE_INTERFACE, *PWINBIO_ENGINE_INTERFACE;
요구 사항
Windows 10