<div dir="ltr">Thank you for replying. <div><br></div><div>Your point would be: biometrics are good to generate secrets, but not good to serve as secrets. Is that correct?</div><div><br></div><div>I definitely understand your point, and today's limitations, but what I'm trying to get at here is the possibility of completely removing the need of physical, or digital, secrets (thus the whole "biometrical PKI"). By the end, this is the main point of failure. If someone gets to my secret, I'm compromised.</div><div> </div><div>It seems that this is impossible with current technology. Am I being utopian, or could this possible happen?</div><div><br></div><div>Regards,</div><div>Guilherme<br><br><div class="gmail_quote"><div dir="ltr">Jonathan Thornburg <<a href="mailto:jthorn4242@gmail.com">jthorn4242@gmail.com</a>> escreveu no dia segunda, 25/09/2017 às 02:08:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Sun, Sep 24, 2017 at 04:41:07PM +0000, Guilherme Campos wrote:<br>
>    - If compromise of biometric details occurs, how would one go around to<br>
>    solve this, since it's not possible to, for example, create a new<br>
>    fingerprint for a person?<br>
<br>
The only safe solutions are<br>
(1) don't use biometrics, or<br>
(2) assume as part of the basic system design that all biometrics are<br>
    non-secret, i.e.,<br>
    (2a) the biometric will sooner or later be leaked/stolen/compromised<br>
         (with, as you noted, "biometric rollover" usually impossible),<br>
         and/or<br>
    (2b) the biometric is inherently broadcast to the owner's immediate<br>
         surroundings and can be surreptitiously recorded without the<br>
         owner's knowledge (e.g., facial appearence, iris patterns,<br>
         voiceprints, fingerprints).<br>
<br>
This implies that biometrics can at most prove identity, or more<br>
precisely continuity-of-identity from time-of-enrollment to time-of-use.<br>
<br>
--<br>
-- "Jonathan Thornburg [remove -animal to reply]" <<a href="mailto:jthorn@astro.indiana-zebra.edu" target="_blank">jthorn@astro.indiana-zebra.edu</a>><br>
   "There was of course no way of knowing whether you were being watched<br>
    at any given moment.  How often, or on what system, the Thought Police<br>
    plugged in on any individual wire was guesswork.  It was even conceivable<br>
    that they watched everybody all the time."  -- George Orwell, "1984"<br>
</blockquote></div></div></div>