algorithm - 指纹扫描仪的输出是什么？是否有任何确定性的识别信息？

Question

我计划从一个人的确定性识别信息中生成一组公钥/私钥，并计划使用指纹。

因此，我的问题是:指纹扫描仪的输出是什么？是否有任何我可以使用的确定性输出，或者它是否总是一个“置信度”的问题？即我是否总是得到一个“数字”，如果与数据库完全匹配，将允许访问，或者我宁愿得到一个数字，如果“足够接近”数据库中的存储值，则允许访问，基于高度置信度，而不是完全匹配？

我很确定第二个选项是答案，但只是想仔细检查一下。有没有办法获得某种确定性输出？我希望每次都重新生成 key ，而不是实际存储指纹数据。这样一来，错误的指纹只会生成一个新的无用 key 。

有什么建议吗？

提前致谢。

Answer 1

出于几个原因，我不建议这样做。

• 指纹不是完全确定的。正如@ImSimplyAnna 回答中所建议的那样，您可能会“四舍五入”结果，以便有更多机会获得确定性结果。但这会显着减少可能/似是而非的指纹数量，因此不符合密码算法的搜索空间大小要求。最重要的是，与始终基于高质量随机数的现代算法的要求相比，我怀疑这种结果的熵在某种程度上较低。
• 指纹不是 secret ，我们一直将它们暴露给每个人，它们可以随时暴露给攻击者，并使用简单的相机存储在照片中。 key 必须是 secret ，我们唯一知道可以存储 secret 而不暴露它们的地方是我们的大脑(这就是我们使用密码的原因)。
• 加密 key 的一项重要功能是，如果有理由相信当前的 key 可能被泄露，则可以生成新的 key 。指纹无法做到这一点。

这就是我反对它的原因。在全局范围内，我不鼓励任何人(包括我自己)编写他/她自己的密码算法，因为很容易搞砸他们。在您可以编写的所有内容中，这可能是最容易搞砸的事情，因为攻击者太恶毒了!
唯一的好方法，如果你不是一个熟练的专家，就是使用被广泛使用的库，因为它们是由专家编写的，并且它们已经受到许多攻击和破坏它们的尝试，所以那些仍然存在的将提供比非专家可以写的任何东西(或者基本上是一个人可以写的任何东西)更好的保护级别。
你也可以看看at this question ，在加密堆栈交换上。他们还不鼓励 OP 使用经过严格考验的算法或协议(protocol)以外的任何其他东西。

编辑:

I am planning on generating a set of public/private keys from a deterministic identifying piece of information

实际上，一开始它并没有打动我(它应该打动我)，但是 key 不能从任何非随机的东西中生成。从来没有。
你必须随机生成它们。如果你不这样做，你已经向攻击者提供了比他/她想要的更多的信息。作为一名程序员并不能使你成为一名密码学家。您的用户信息处于危险之中，请不要冒险(如果您不是密码学家，您实际上是受不了的)。