Кен Филлипс
(PC Week Labs)
ТЕМАТИЧЕСКИЕ ОБЗОРЫ
Почему стандарты - это не всегда хорошо
Когда разрабатывается новая технология, стандарты обычно приносят несомненную пользу. В случае биометрии API-стандарты помогли бы разработчикам создавать взаимозаменяемые модули, чтобы пользователи могли, например, приобретать системы распознавания голоса у одной компании, а системы распознавания отпечатков пальцев у другой.
Но стандарты приветствуются далеко не всеми в этой юной отрасли индустрии. На самом деле некоторые первопроходцы данной технологии специально прилагают усилия, чтобы гарантировать для своих систем невозможность обмена данными с другими системами.
В департаменте социального обеспечения города Торонто не хотят, чтобы сканированные образцы отпечатков пальцев их клиентов стали доступными другим правительственным учреждениям, особенно правоохранительным органам. “Биометрические технологии предлагают потрясающие выгоды для усиления надежности социальной защиты, но мы сможем реализовать их только в том случае, если будет обеспечена абсолютная конфиденциальность информации”, считает Рита Рейнольдс, директор отдела корпоративного доступа и защиты информации муниципалитета города Торонто.
Муниципалитет убеждает, что персональная информация особенно уязвима в компьютеризованном обществе. Конфиденциальная информация обычно хранится в базе данных, чтобы выполнять законные информационные требования организации. Проблема состоит в том, как гарантировать каждому возможность сохранения некоторого контроля над своей персональной информацией так, чтобы она не могла быть использована во вред или несанкционированно раскрыта.
Торговля, продажа или кража персональных данных, таких, как номера кредитных карточек или потребительские привычки, уже представляют собой проблему. Только вообразите себе последствия от вторжения в вашу личную жизнь в результате утечки биометрической информации, помещаемой в файл без строгих гарантий защиты в месте ее хранения.
Чтобы гарантировать конфиденциальность, система социальной защиты города Торонто хранит не копию изображения отпечатка чьего-либо пальца, а только ее зашифрованную версию, которая не может быть расшифрована и преобразована в формат изображения.
Когда человек прикладывает свой палец к одному из сканеров департамента, биометрическое изображение автоматически шифруется и сравнивается с содержимым базы данных. В сущности палец человека выполняет роль секретного ключа.
Хранитель в обязательном порядке стирает в базе данных устаревшие отпечатки, но не имеет права делать никаких других изменений. Кроме того, официальные лица, следящие за соблюдением законов, в настоящее время не имеют способа восстановления отпечатков.
Как объяснила г-жа Рейнольдс: “Сейчас для нас нет смысла устанавливать систему, совместимую с AFIS (Automatic Fingerprint Identification System автоматическая система идентификации отпечатков пальцев), применяемой в правоохранительных органах. Это не означает, что мы не сотрудничаем с полицией мы с ней сотрудничаем, но наши интересы не обязательно должны пересекаться”.
SVAPI
Несмотря на потенциальные проблемы безопасности, поставщики знают, что большинство заказчиков хочет иметь взаимозаменяемые системы. Клиенты могут пожелать приобрести системы сканирования лица, отпечатка пальца или голоса (или все три сразу), либо установить оборудование более надежного производителя, меняя модули внутри и снаружи системы и не волнуясь, как они взаимодействуют и каким образом хранятся данные.
На сегодняшний день единственной успешной работой в области биометрических стандартов является система SVAPI (Speaker Verification API интерфейс проверки голоса), разработанная консорциумом промышленных разработчиков и консультантов, а также сторонних исследователей и разработчиков приложений, заинтересованных в технологии распознавания “отпечатков голоса” и личности говорящего. Версия 1.0 интерфейса была выпущена 15 сентября как комплект разработчика ПО (SDK), ее можно загрузить бесплатно по адресу www.srapi.com.
Пакет выпущен в двух версиях: на Cи++ и на Java. Каждая имеет библиотеку классов функций для разработки приложений, поддерживающих идентификацию говорящего и родственные биометрические методы на основе распознавания голоса. Они работают под управлением ОС Windows 95 или Windows NT и поддерживают различные системы, использующие пароли, заставляющие пользователей повторять наборы слов или цифр или обрабатывающие свободную речь.
В состав комитета SVAPI входят представители компаний Citicorp, IBM, ITT Industries, Motorola, T-Netix, SRI/Nuance, Массачусетского института технологии и лаборатории Линкольна, а также консультанты и представители службы национального бюджета, Министерства обороны США, Службы иммиграции и натурализации и некоторых других компаний. Фирма Novell председательствует и играет видную роль в разработке API.
Джудит Маркович, промышленный консультант и член комитета, рассматривает SVAPI как одну из составных частей “метастандарта”, который в результате развития мог бы включить в себя другие биометрические методы, отличные от анализа записи голоса. По ее мнению, “стандарты API получают от разработчиков приложений прекрасные отзывы, поскольку уменьшают риск использования новой технологии”.
Когда разработчики приложений сталкиваются с поставщиками, чье оборудование не поддерживает никаких стандартов API (например, SVAPI), им приходится изучать весь новый набор инструментальных средств программирования и переделывать все свои приложения каждый раз, когда они меняют поставщика. Это, считает г-жа Маркович, не прибавляет развивающейся технологии привлекательности.
“По этим причинам, сказала она, в дискуссию были включены разработчики голосовых приложений, работающие вне этой области индустрии, например компания Citibank; таким образом мы постарались не допустить превращения стандартов в детище исключительно промышленных разработчиков”.
“Разработчики технологий по-разному отзываются о стандартах, утверждает она. Некоторым они нравятся, потому что расширяют рынок и делают эту отрасль промышленности более привлекательной для инвесторов”. Но многие поставщики придерживаются идеи крепкого удерживания своих заказчиков, сохраняя собственные патентованные технологии в своих изделиях. Некоторые из них выражают сожаление, что специальные функции их изделий не будут использоваться, если их продукцию придется привести в соответствие стандарту.
Поэтому стандарт SVAPI создан объектно-ориентированным, чтобы при необходимости он мог быть расширен. Кроме того, хотя он был разработан для голосовых приложений, технология идентификации голоса во многих отношениях подобна другим биометрическим методам, и метастандарт, который объединит в себе другие биометрические стандарты, в том числе и SVAPI, находится в процессе разработки.
Тестирование стандартов
По мнению Джима Уэймана, директора Национального биометрического тестового центра, отдельным направлением, находящимся в стадии разработки, является определение методологии тестирования, имеющей целью сравнение различных биометрических методов. “Наша задача создание методологии сравнения биометрических методов, а не стандартов для их взаимодействия. Наша работа позволит потребителям оценить возможности технологии, так что они смогут делать точные сравнения перед покупкой”.
Эрик Боумен, аналитик в фирме Personal Identification News (Роквилл, шт. Мэриленд), согласен, что необходимы стандарты тестирования. “В конкурентной борьбе стандартизованные методологии тестирования вынуждают поставщиков представлять свои изделия в истинном свете. Самостоятельные исследования поставщиков вызывали проблемы из-за различных размеров выборки и т. п. Заказчики нуждаются в стандартах тестирования, чтобы определить для себя наиболее надежную и рентабельную технологию”.
В этой области Национальная ассоциация компьютерной безопасности анонсировала программу сертификации биометрических продуктов, проведение которой началось в октябре. Программа предполагает тестирование оборудования, использующего любые способы сканирования, а также системы целиком. Ее цель определить величину основной ошибки идентификации для каждого продукта. Ищите первые результаты проведения этой программы в начале 1998 года.
С Кеном Филлипсом можно связаться по адресу: kenp@alpinet.net.
