Идентификация: биометрические системы и реальная жизнь

     ТЕХНОЛОГИИ В ДЕЙСТВИИ

Представления о биометрии у рядового гражданина - это в лучшем случае калейдоскоп из обрывков разрозненных сведений, а между тем биометрические технологии находят все большее применение в повседневной жизни. Вот лишь некоторые примеры.

Американские компании Pay By Touch и Opticard объединили усилия, направленные на предоставление розничным сетям и ресторанным холдингам инновационных решений для автоматизации торговых операций, о чем было объявлено в марте нынешнего года. В результате такого сотрудничества биометрические системы Pay By Touch дополнят платформу управления платежными и дисконтными картами, разрабатываемую Opticard.

Пентагон создает крупнейшую биометрическую систему, которая включит в себя все хранилища биометрических данных, ранее разрозненно формировавшиеся отдельными структурами министерства обороны США.

Японская авиакомпания Japan Airlines в I квартале протестировала в аэропорту Нарита систему биометрической идентификации пассажиров, оценивая возможность ее применения для повышения эффективности процедур иммиграционного контроля, регистрации авиапассажиров, оформления и выдачи посадочных талонов.

Национальный банк Омана ввел идентификацию по отпечаткам пальцев при обслуживании своих клиентов, а Эстония подписала с IBM и ее субподрядчиками контракт на поставку системы биометрической идентификации для регулирования миграционных потоков. И это далеко не все.

Электронные паспорта

Сейчас проще перечислить те страны, что еще не озаботились введением паспортов с электронными чипами (либо электронных идентификационных карточек, выполняющих ту же роль), чем те, которые уже ввели или вводят эти документы. Такие удостоверения личности иногда также называют биометрическими, но это не вполне верно. В соответствии с рекомендациями США и Евросоюза государства с более или менее развитыми информационными технологиями действительно помещают в них и биометрическую информацию. Другие по возможности стараются не отставать. Даже Нигерия внесла отпечатки пальцев своих граждан в национальный документ. А вот новый российский паспорт биометрическим назвать пока нельзя. Электронный чип содержит лишь цифровую фотографию, обычные персональные данные - и никакой биометрии. Это выглядит даже несколько странно на фоне известного (и вполне законного) стремления российских правоохранительных органов максимально упорядочить и проконтролировать жизнь подведомственных граждан. Можно предположить, что определенную роль здесь сыграли финансовые факторы.

О российских компаниях и информационных ресурсах

Биометрические технологии - область, где, в принципе, российским компаниям есть чем гордиться. Разработки фирм, ориентированных прежде всего на поставку соответствующего программно-аппаратного обеспечения правоохранительным структурам, представляют довольно ограниченный интерес, так что на них останавливаться не будем. С точки зрения ИТ-специалистов, да и всего населения, гораздо любопытнее продукция более широкого спектра применения. Здесь можно отметить, скажем, компанию "Лазерные системы" (http://biocode.ru), которая вывела не только на российский, но и на международный рынок торговую марку Biocode и добилась значительных успехов в продвижении автомобильных противоугонных систем, основанных на идентификации по отпечатку пальца. Фирма "Биолинк" (http://biolink.ru) распространяет целую линейку программно-аппаратных разработок на основе биометрии (оптических сканеров отпечатков пальцев, систем учета рабочего времени, систем контроля доступа в помещения и к ресурсам корпоративной сети и т. д.) и успела осуществить не только в России, но и за рубежом ряд крупномасштабных проектов (в том числе по созданию системы регистрации жителей Сан-Франциско, получающих пособия и социальные льготы, а также системы регистрации избирателей в Нигерии).

Что касается информационных сайтов по рассматриваемой тематике, то их намного меньше на русском языке, нежели на английском. Тем не менее можно отметить полномасштабный российский портал www.biometrics.ru.

Нормативная база и здравый смысл

С технической точки зрения российская нормативная база в отношении биометрических технологий оставляет желать лучшего. Уж слишком специфическая это сфера. Во всяком случае процедура сертификации в Федеральной службе по техническому и экспортному контролю (ФСТЭК России) программно-аппаратных продуктов, базирующихся на биометрии, явно не для слабонервных.

Логическая нестыковка лежит в самoм общепринятом отношении к биометрическим методам. Пользователи воспринимают, а фирмы-производители позиционируют биометрию как способ надежной, усиленной идентификации и аутентификации, т. е. как средство защиты. Это совершенно верно, если речь идет об идентификации (т. е. об определении объекта), но далеко не так, когда мы говорим об аутентификации (т. е. о подтверждении подлинности объекта).

Например, отпечаток пальца - прекрасная, уникальная вещь для опознания (неважно, кого - преступника или пользователя корпоративной системы). Но степень надежности аутентификации является разной, когда банковский клиент прикладывает палец к оптическому сканеру под бдительным оком клерка или когда осуществляется процедура дистанционного входа в сеть. Стоит упомянуть, что для некоторых систем может пройти удовлетворительное опознание даже по изготовленному муляжу пальца (хотя при использовании биометрии для учета рабочего времени сотрудников компании вряд ли кому-либо придет в голову использовать подобный прием с целью ввести работодателя в заблуждение). В любом случае стандартная процедура состоит в том, что отпечаток пальца со сканера сначала преобразуется в графический файл, а затем - в некоторый файл специального шаблона, форма которого зависит от конкретной методики. Подобный подход нельзя сравнить даже с ситуацией многократного применения криптографического ключа симметричного алгоритма, перехватив который злоумышленник еще должен суметь его вскрыть. Фактически мы получаем ситуацию, схожую с использованием многоразового пароля, пусть и состоящего из сотен разрядов, но так же легко перехватываемого, как и пароль из нескольких букв. Пароль - это, конечно, средство аутентификации, но, вообще говоря, довольно слабое. И как же сертифицировать пароль в качестве надежного средства защиты? А ведь именно таких сертификатов почему-то ждут клиенты от фирм, продающих соответствующее программно-аппаратное обеспечение.

Польза биометрии определяется главным образом усиленной идентификацией. Применяя ее в чистом виде для аутентификации, не следует забывать, что в этом смысле она не намного лучше (зато существенно дороже) обычного пароля. Конечно, отпечатки пальцев в отличие от пароля нельзя забыть или потерять. Но их невозможно и заменить. В начале прошлого века были случаи, когда технологически подкованные преступники пытались вытравить свои отпечатки соляной кислотой. Можно представить, каково было их разочарование, когда через некоторое время после перенесенных физических мук рисунок восстанавливался в прежнем виде! Так что в целях защиты действительно ценной информации биометрию лучше использовать в комбинации с другими средствами в качестве катализатора для резкого усиления их эффективности.

Например, весьма удачным техническим решением оказались устройства двухфакторной аутентификации пользователя, служащие одновременно и оптическим сканером отпечатков пальцев, и карт-ридером для смарт-карты, которая в защищенном и заверенном криптографически виде содержит тот же отпечаток для сравнения.

Биометрия и законодательство

В отличие от технической нормативной базы российское законодательство в рассматриваемой области радует детализацией технологических подходов. Может быть, предыдущие законодательные акты сколько-нибудь заметного внимания биометрии и не уделяли, но закон "О персональных данных", принятый в июле 2006 г. и с начала 2007-го вступивший в силу, полностью исправил это упущение. Он прямо оговаривает, в частности, работу с биометрическими данными (ст. 11) и бережное обращение с персональными данными вообще. Подразумевается защита соответствующих баз данных оператором (т. е. применять криптографические методы уже надо обязательно), письменное согласие субъектов этих данных на их обработку и т. д. Так что в организациях, закупивших автоматизированные системы учета рабочего времени на основе сканеров отпечатков пальцев, их использование без согласия на то каждого сотрудника теперь противозаконно. Самое забавное, что в подавляющем большинстве случаев работодатель даже не подозревает, что в этом случае обиженный сотрудник (субъект) может обратиться в прокуратуру с жалобой на него. Интересно, как на такое обращение отреагируют соответствующие бюрократические структуры.

В целом же закон оставляет благоприятное впечатление. Права граждан здесь действительно поставлены во главу угла. То есть если гражданин не захочет, то отпечатков своих пальцев никому не оставит. Ну, за исключением разве что обязательного предоставления "в целях защиты конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства".

Выводы

Биометрические методы если и не являются магистральным путем развития информационных технологий, то уж точно - одним из главных проспектов. Взять, к примеру, коммерческий сектор. Проектам в нем пока не хватает масштабности, но они быстро развиваются. Сама жизнь недвусмысленно подталкивает к новым технологическим решениям. С учетом постоянных утечек баз данных, характеризующих финансовое положение граждан, явно напрашиваются на внедрение биометрии бюро кредитных историй. Банки могли бы принимать решения о выдаче кредитов просто по отпечаткам пальцев, а отсутствие в базах данных фамилий и адресов сделало бы бесполезной их кражу. Вообще, многие организации, озаботившиеся сейчас выполнением закона "О персональных данных" в части защиты баз, неизбежно должны заинтересоваться биометрическими методами, которые дают возможность либо вести базу данных в обезличенном виде, либо разделить ее на две составляющие, одна из которых (постоянно находящаяся в работе) будет функционировать лишь с применением отпечатков пальцев, а вторая (используемая эпизодически и лучше защищенная) - ставить в соответствие отпечаткам фамилии и адреса.

Можно сказать, что мы находимся в точке перегиба, когда темпы распространения биометрических технологий уже начали резко ускоряться. Самым сообразительным и умелым хакерам, интересующимся доступом к финансовым системам, пора под видом коллекционирования автографов собирать отпечатки пальцев наиболее известных и состоятельных людей. А тем - лучше постоянно ходить в перчатках.

С автором статьи, кандидатом технических наук, можно связаться по адресу: critmind@mail.ru.