Informazioni sulla sicurezza delle impronte

• La registrazione e il riconoscimento delle impronte devono avvenire in una parte sicura dell'hardware, un ambiente di esecuzione affidabile noto come Trusted Execution Environment (TEE).
• Nel caso dell'hardware, l'accesso alle impronte deve essere limitato al TEE e protetto da norme SELinux.
• I dati relativi alle impronte devono essere protetti all'interno dell'hardware del sensore o in una memoria sicura in modo che le immagini delle impronte non siano accessibili.

• I dati relativi alle impronte possono essere memorizzati nel file system solo in forma criptata, anche se il file system stesso è criptato.
• I dati delle impronte digitali devono essere rimossi dal dispositivo nel momento in cui viene eliminato un utente.
• Il rooting del dispositivo non deve compromettere i dati delle impronte.

Le linee guida di Google richiedono l'autenticazione crittografica dei modelli di impronte, ossia delle versioni elaborate delle immagini raw delle impronte.

I modelli di impronte devono essere firmati con una chiave privata specifica del dispositivo, ad esempio utilizzando la modalità HMAC, cioè un codice di autenticazione tramite messaggio con hash con chiave, contenente almeno il percorso assoluto del file system, il gruppo e l'ID delle impronte, in modo tale che i file modello siano inutilizzabili su un altro dispositivo o da qualsiasi soggetto diverso dalla persona che li ha registrati sullo stesso dispositivo. Ad esempio, non deve essere possibile copiare i dati delle impronte di un utente diverso sullo stesso dispositivo o di un altro dispositivo.

Per i dati relativi alle impronte deve essere utilizzata una chiave crittografica specifica del dispositivo, come l'algoritmo Advanced Encryption Standard (AES), in modo tale che l'immagine raw o il modello di impronte non sia leggibile da un altro dispositivo.