Facial authentication service with a privacy-preserving focus
Abstract
Mobai ønsket å utnytte sine biometriske tjenester til å bygge en OpenID Connect-leverandør med vedvarende lagring av biometriske data som både er sikkert og overholder prinsipper for personvern. Gjennom hele prosjektet ble Datatilsynets prinsipper for innebygd personvern og Microsoft Security Development Lifecycle benyttet for å gi et helhetlig personvernfokus gjennom alle utviklingstrinn. Systemet bruker en mikrotjeneste-arkitektur og bruker Kubernetes for å orkestrere containerne. For å sikre og beskytte brukernes biometriske data, ble en biometrisk malbeskyttelsesalgoritme basert på bloomfiltre implementert. Til slutt ble det foretatt en risikovurdering av systemet, som identifiserte aktuelle risikoer og potensielle tiltak for reduksjon av risikoen. Resultatet er en prototype som demonstrerer mulighetene av å bruke et autentiseringssystem som benytter biometri som autentiseringsfaktor, i tillegg til å oppfylle de strenge personvernforskriftene som er pålagt av General Data Protection Regulation (GDPR). Mobai wanted to leverage their biometric services to build a OpenID Connect Provider with persisted storage of biometric data which is both secure and adheres to privacy by design principles. Throughout the project, the Norwegian Data Protection Authority privacy by design guide and Microsoft Security Development Lifecycle were utilized to provide a holistic privacy focus throughout all development stages. The system uses a microservice architecture and utilizes Kubernetes for orchestrating the containers. In order to secure and protect the users biometric data, a biometric template protection algorithm based on bloom filters was implemented. Finally, a risk assessment of the system was conducted, which identified current risks and potential mitigation. The result is a prototype which demonstrates the opportunities of using an authentication system which leverages biometrics as the method of authentication, in addition to fulfilling the strict privacy regulations imposed by General Data Protection Regulation (GDPR).