Биометрия теоретическая и прикладная

Одна из самых популярных тем последних лет в области информационной безопасности — биометрическая идентификация. Между тем, как все чаще выясняется, очень и очень многие люди (даже из числа специалистов) имеют о биометрии достаточно туманное представление.

Что это такое


В классическом понимании биометрия — это наука, которая изучает методы идентификации (опознания, попросту говоря) конкретной личности на основе ее персональных физиологических или поведенческих характеристик. Причем количество биометрических методик на самом деле очень велико и вовсе не исчерпывается столь любимыми Голливудом проверкой радужной оболочки глаза или отпечатка пальца. Автору этих строк приходилось встречать "воплощенную в железе" даже такую экзотику, как определение личности по стилю работы на клавиатуре! А есть еще идентификация по форме ушной раковины (позволяет различать близнецов!), форме кисти руки, строению волоса, особенностям строения лица, тембру голоса, а также комплексу этих и прочих признаков. Главная сложность по определению состоит в том, что многие биометрические характеристики имеют тенденцию изменяться — со временем или под воздействием каких-либо внешних факторов. Конечно, рано или поздно появится и 100-процентно точная методика — экспресс-анализ ДНК. Однако пока это чистой воды фантастика. К тому же, стоит учитывать, что все те, кому по каким-то причинам приходится обманывать биометрические системы, также непрерывно совершенствуют свои методики.

До недавних пор основными потребителями биометрических методов идентификации были всевозможные правоохранительные структуры и спецслужбы. Однако в последние десятка полтора лет активнее всех других биометрическими методами идентификации стали интересоваться владельцы самых различных информационных систем. Связано это прежде всего с активным проникновением компьютерных и телекоммуникационных технологий в бизнес и (как следствие) стремительным ростом ценности информации как таковой. Плюс, конечно, появление колоссальных объемов информации, доступ к которой должен быть ограничен.

Проблема доступа

Там, где есть замок, почти наверняка будет ошиваться кто-нибудь с отмычкой. Вот, к примеру, статистика российских правоохранительных органов: количество преступлений в сфере информационной безопасности в России начиная с 1994 ежегодно удваивалось до 2004 года, когда их рост благодаря внедрению новых технологий замедлился до 24%. Из общего количества ставших известными правонарушений две трети связаны с несанкционированным доступом к информационным ресурсам. Причем, хотя число этих самых "несанкционированных доступов" стало меньше, финансовые потери от них продолжают возрастать. Информация дорожает! Любой, кто интересовался проблемами информбезопасности, знает: самое слабое звено в любой защитной системе — человек. Ничего странного: по статистике 80% корпоративных сотрудников сталкиваются с необходимостью использовать в работе больше двух паролей. Соответственно, порядка 60% используют один и тот же пароль для доступа к корпоративной сети, электронной почте и другим защищенным ресурсам. Простые пароли или пин-коды легко подобрать, а сложные трудно запомнить. Электронный ключ или смарт-карту легко потерять, ее могут украсть или скопировать с нее данные. Биометрические же параметры человека потерять как-то сложновато. Специалисты по защитным системам и владельцы ценной информации это хорошо понимают: по предварительным прогнозам аналитиков, к 2008 году объем мирового рынка биометрических систем достигнет $4,6 млрд. Причем главная тенденция последних лет двух такова: очень активно биометрические системы идентификации портируются на мобильные платформы: ноутбуки, КПК, сотовые телефоны и прочие гаджеты. Однако на сегодняшний день есть и препятствия на пути к массовому распространению биометрических технологий. Традиционно к таким сдерживающим развитие факторам относятся цена, проблема сложности и надежности систем на их базе, а также некоторая несогласованность действий в стане производителей. Впрочем, на ускорение разработки единых стандартов и их внедрения могут оказать положительное влияние программы по введению идентификационных документов с биометрическими составляющими на государственном уровне. Однако вокруг этой темы в последнее время бушуют нешуточные страсти.

Будет ли биометрический паспорт?

Разговоры о необходимости использования в паспортах биометрических данных их владельцев ведутся уже очень давно. По большому счету, фотография в паспорте — тоже биометрический идентификатор, только уж очень несовершенный. Однако в конце концов после долгих споров основой международного биометрического паспорта было все же избрано человеческое лицо. В соответствии с решением собрания ответственных лиц "Большой восьмерки" новые документы должны будут оснащаться специальным встроенным микрочипом, содержащим точную идентификационную информацию о его владельце. Согласно методике проверки, при предъявлении паспорта эта информация должна сравниваться с живым "оригиналом" при помощи специального аппаратно- программного комплекса для выявления определенного процента совпадения, которое и является основанием для подтверждения идентификации личности. Так почему же все-таки было выбрано лицо? Во-первых, это обусловлено наличием технологий, позволяющих оперативно осуществлять бесконтактную проверку подлинности паспорта (посредством специальных видеокамер и датчиков). При использовании в качестве биометрической составляющей отпечатков пальцев избежать прямого контакта с системой контроля невозможно. Во-вторых, существует возможность вмешательства в процесс осуществления такого биометрического контроля. В случае неуверенности в результате автоматизированного сопоставления персонал может сравнить лицо с фотографией привычным визуальным способом. Понятно, что с такими составляющими, как радужка глаза или отпечатки пальцев, это было бы невозможным. Наконец, третьей причиной оказалось нежелание нарушать традицию: так уж сложилось, что фотография человеческого лица фигурирует во всех официальных документах.

Решение о повсеместном внедрении гражданских паспортов с использованием биометрических технологий было принято на встрече министров внутренних дел стран "Восьмерки" еще в мае 2003 г. Согласно договоренности запуск новых паспортов в массовое обращение должен был начаться осенью 2004 г., но впоследствии неоднократно переносился. Основанием стали разногласия в отношении избранной методики. Специалисты в области автоматизированной идентификации признали, что распознавание по фотографии осложняется большой вероятностью ошибки результата сравнения. Двумерное изображение может очень сильно изменяться под воздействием таких факторов, как освещение, ракурс, расстояние до лица, макияж, очки и многое другое. В результате погрешность автоматической идентификации по фотографии может достигать 50%. В итоге договорились о том, что каждая страна вправе усилить контроль, добавив дополнительные биометрические параметры (но не более двух), которые станут уточняющими, но не обязательными. А вместо привычной двумерной фотографии было решено использовать трехмерное изображение лица. Для ускорения темпов подготовки технологии и вывода ее на рынок был создан консорциум компаний ID Technology Partners, Logitech, Motorola, Oracle и Unisys. В новый стандарт вошел набор инструкций для хранения трехмерного изображения лица с высоким разрешением в небольшом файле. Первые тесты продемонстрировали существенное повышение точности автоматизированного сравнения трехмерных изображений по сравнению с использованием обычной фотографии. При этом вероятность успешной подделки такого идентификатора ничтожна. Кроме того, объединение всей ключевой информации в один файл, а также структурированность представления антропометрических данных сделало возможным создание глобальных баз данных, оснащенных системой фильтрации, поиска и формирования выборок по указанным параметрам лица. Новый стандарт был оптимизирован для внедрения технологии трехмерного распознавания в микрочипы, которые могут встраиваться в любые бумажные документы.

В начале 2006 года в Киото (Япония) проходило заседание международного подкомитета по стандартизации в области биометрии при ISO (The International Organisation for Standardisation), который утвердил проект поправки к международному стандарту ISO/IEC 19794-5. В группу разработчиков окончательной версии стандарта вошли три эксперта, представляющие Россию, США и Германию. В результате новый стандарт, включающий трехмерную фотографию в формат данных цифрового изображения лица, может быть принят уже в 2007 году. Сроки его принятия согласованы с планом поэтапного внедрения биометрических паспортов нового поколения во многих странах. Новые документы будут содержать специальные микрочипы, которые с технической точки зрения идентичны смарт-картам. Они будут оснащены памятью EEPROM с записанными в ней защищенными данными: оцифрованной фотографией владельца, отпечатками пальцев, электронной подписью, служебной информацией и операционной системой микрочипа. При этом все данные будут записываться в память микросхемы без компрессии. Место крепления чипа пока строго не регламентировано: в США для этой цели избрали обложку, а в Голландии завели отдельную страницу. Но, что интересно, в некоторых странах Европы новые паспорта уже выдаются, однако на начальном этапе внедрения содержат лишь отсканированную фотографию, отправленную заявителем по почте. К концу 2007 года европейские страны предполагают перейти к следующему этапу, когда заявитель будет лично подавать документы на паспорт и проходить процедуру регистрации биометрических характеристик. К примеру, в Германии документ на основе микрочипа, выступающего в качестве носителя оцифрованной биометрической информации о владельце, получил название ePass. Контракт на поставку электронных компонентов для новых паспортов в Германии выиграла компания Philips Electronics, которая наряду с тремя крупнейшими немецкими предприятиями осуществляет производство новых документов. Компании Sokymat и T-Systems разрабатывают программное обеспечение для осуществления идентификации. Планируется, что переход на биометрические документы в Германии пройдет постепенно и к 2008 году будет полностью завершен. Обыкновенные же паспорта будут действительны еще на протяжении ближайших 10 лет.

Где еще?

Ну ладно, паспорта паспортами, а где еще могут применяться системы биометрической идентификации (кроме систем контроля доступа)? Первая очевидная область применения — финансовая сфера. В последние годы неоднократно предпринимались попытки выпустить на рынок аналог кредитных смарт- карт, но только с чипами, содержащими некие биометрические данные о владельце — например, отпечаток его пальца. Использование такой карточки выглядело бы следующим образом: человек подходит к банкомату, вставляет карту, а затем прикладывает большой палец к считывателю отпечатков. И все, никаких PIN-кодов. То же — с платежным терминалом в магазине. Некоторые сети супермаркетов в США проводили эксперименты с похожей схемой. Предполагалось, что постоянный покупатель магазинов этой сети откроет у них специальный денежный счет вроде банковского. А расплачиваться сможет так: нагрузил тележку товарами, подошел к кассе, прижал палец к терминалу. Кассир сразу видит, сколько на счету у покупателя денег, и просто снимает со счета стоимость покупки. Все, никаких кошельков, никаких карточек. Однако обе системы не прижились. Сказался психологический фактор: люди чувствовали себя очень некомфортно, оставляя кому-то неизвестному столь интимную вещь, как собственные биометрические данные. Сыграли свою роль и раздутые прессой многочисленные истории с пропажами и кражами баз данных с приватной информацией о клиентах различных банков и страховых компаний.

Совсем фантастика

Современная биолого-медицинская наука позволяет поменять практически любые биометрические параметры человека — это лишь вопрос цены. Невозможно поменять только одно — его мысли. Но реально ли использовать "чистую мысль" в качестве параметра идентификации личности? Оказывается, возможно. Исследователи из Карлтонского университета (Оттава, Канада) разрабатывают биометрическую систему, которая сможет идентифицировать пользователя, основываясь на его мыслях. Идея аутентификационного устройства заключается в использовании т.н. мозговых волн в качестве паролей. Чтобы удачно пройти идентификацию, человеку нужно будет всего лишь проговорить некое слово или число в уме либо как вариант представить картинку или просто подумать о каком-либо событии. Словом, в качестве идентификатора может выступить любая мысль. Причем, как говорят ученые, подобрать или даже повторить такой пароль невозможно в принципе: даже если два человека подумают об одном и том же, их мозговые импульсы будут значительно отличаться друг от друга. На первый взгляд — идеальная система аутентификации. Однако на практике пока дела обстоят не так радужно. Многие скептики утверждают (и вполне справедливо), что при всей перспективности и оригинальности идеи ее воплощение в реальный продукт почти невозможно. Причина проста: человеческие мысли слишком сложны даже на клеточном уровне, и какое-то одно воспоминание может, хоть и незначительно, но все же видоизменяться со временем. То есть систему придется как минимум научить адекватно различать эти изменения и учитывать их при идентификации пользователя. Однако ученые из Карлтонского университета продолжают работать над реализацией своего амбициозного проекта. Каких-либо революционных результатов пока нет, однако первые шаги уже сделаны. Исследователям удалось наладить систему, реагирующую на элементарное мысленное "да": человеку одна за другой показываются цифры, часть из которых выбирается буквально силой мысли, вследствие чего складывается некая последовательность, которая и может быть тем самым паролем.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 22 за 2006 год в рубрике технологии

©1997-2024 Компьютерная газета