Supongamos que existe un algoritmo bio-métrico para la autenticación de usuarios que compara las huellas digitales con la firma de un usuario guardada en una base de datos (la función de comparación no es importante aquí). A continuación, hay un dispositivo con un sensor de huellas dactilares y una memoria para guardar la firma del usuario. Ahora tenemos dos opciones:
- Coloque el algoritmo y la firma en el dispositivo: el dispositivo computa y envía información a la PC sobre la coincidencia de la huella digital capturada con la firma
- Coloque la firma solo en el dispositivo: el dispositivo envía la huella dactilar y la firma a la PC que ejecutará el algoritmo de autenticación
En cada caso, los datos están cifrados y hay algún protocolo de seguridad utilizado en la comunicación.
La pregunta es, ¿qué método es más seguro?
No estoy familiarizado con la seguridad de TI, pero veo un riesgo con ambos métodos. En el caso 2, alguien puede interceptar la firma y descifrar su cifrado. En el caso 1, veo un problema con un mensaje enviado a la PC. ¿Qué información se necesita para confirmar que este mensaje fue de nuestro dispositivo y que contiene una respuesta de coincidencia verdadera? ¿El cifrado de conexión proporciona esa información?