поиск по сайту
Новая биометрия. Можно ли в новой экономике применять старые методы

Новая биометрия. Можно ли в новой экономике применять старые методы

Конявский В.А. д.т.н.

Получив предложение редакции подготовить статью на тему преимуществ и недостатков биометрических методов идентификации, я довольно скоро обратил внимание на абсолютную, в чистом виде, антинаучность деятельности в этой сфере. Видимо, это результат современного образования. Это меня заботит даже больше, чем провоцирование финансовых потерь (а именно так и можно описать современное состояние с плохим применением хороших, в целом, биометрических методов). Я даже подумал попросить редакцию поручить мне высказать свое мнение о современном образовании в целом, так как действия, которые довольно часто мы видим в последнее время, заставляют усомниться, что их авторам известны хотя бы базовые приемы научного метода. Ярким примером является применение произвольных инструментов в любых процессах, хотя каждый мало-мальски образованный человек понимает, что метод, предназначенный для решения одной задачи, совершенно не обязательно подойдет для другой задачи. Нефть очень удобно перевозить в цистернах. А пиломатериалы – нет. И трубопроводы не годятся для этого. Кажется, это интуитивно понимают все. Но при этом изо всех сил стремятся биометрические методы, разработанные для криминалистики, использовать в цифровой экономике. Нас всех считают преступниками? Интересненько.

Связаны ли деятельность и инструменты?

Ниже я попытаюсь убедить читателя в том, для разных задач нужны разные методы и инструменты.

Начну с рассказа о том, как в юности, чтобы получить доступ к ЭВМ, мы с моими товарищами подрядились на работу по совместительству в один из важных НИИ, изучавший предложение (!) и спрос (!) на рынке (!) СССР. Машинное время для собственных исследований нам было нужно так сильно, что мы согласились разработать программу краткосрочного прогнозирования для Брянской области.

В целом мы с задачей справились, и эта область жила не хуже других.

Однако (люди моего поколения помнят) через несколько лет в СССР исчезла посуда (появились шутки в КВН о летающих тарелках) и все магазины затоварились черно-белыми телевизорами. Мучаясь подозрениями, мы стали задавать осторожные вопросы, в результате которых выяснилось, что систему краткосрочного прогнозирования маленькой области применили для среднесрочного прогноза огромной страны. Просто руководству института надо было отчитаться в срок – вот и воспользовались не тогда и не тем инструментом, провели опыты на людях.

Наверное, тогда я хорошо понял, что для решения любой задачи нужны адекватные инструменты, иначе быть беде.

Теперь я снова живу в ожидании беды – видя попытки применить биометрию, предназначенную для криминалистики, в решении задач цифровой экономики.

Сначала рассмотрим среду, в которой выполняется идентификация.

Все исследования в области технической защиты информации до последнего времени проводились с учетом того, что мы работаем с корпоративными системами, границы которых точно известны. В этих границах всегда можно обеспечить достаточный уровень защищенности, базирующийся на доверенности СВТ, включенных в состав системы. В открытых же системах ставить вопрос об обеспечении доверенности всех средств вычислительной техники просто невозможно. Так, мобильные средства доступа пользователей ни при каких условиях нельзя сделать доверенными.

В рамках корпоративных систем нет проблемы обеспечить всех участников сертифицированными идентификаторами и выполнять операции по аутентификации в доверенной среде. В открытой же системе этого добиться невозможно. Обращаясь за госуслугами, телемедицинскими консультациями, услугами банков, услугами в секторе B2C граждане всегда будут пользоваться смартфонами, о доверенности которых говорить не приходится. Такой доступ всегда будет самой «легкой добычей» для всех видов атак с использованием вредоносного ПО.

Недоверенные СВТ – важнейшая характеристика среды идентификации в цифровой экономике.

Сравним задачи, средства и данные, необходимые для решения задачи идентификации в криминалистике и в цифровой экономике.

Идентификация в рассматриваемом контексте может упрощенно трактоваться как установление личности. Это так и для криминалистики, и для процессов цифровой экономики. Видимо, такая упрощенная трактовка и привела к имеющейся путанице. Рассмотрим теперь понятия более глубоко.

Нулевая гипотеза идентификации может быть сформулирована субъектом так: «Идентифицируемый объект – тот, за кого он себя выдает (за кого его принимает субъект)».

Криминалистика, как правило, имеет дело с людьми, не ориентированными на сотрудничество. Ее обычный объект – это труп, подозреваемый или преступник. Цель анализа – доказать факт совершившегося доступа объекта – к орудию и/или месту преступления, установление личности потерпевшего и так далее. И, конечно, объект обычно совсем не заинтересован в правильной идентификации.

Активное противодействие здесь, как правило, либо отсутствует, либо направлено на нарушение идентификации – доказать, что там не был, не участвовал, не нарушал.

Используемые технические средства при этом – доверенные. Они специально разрабатываются, защищаются сертифицированными средствами, проходят регламентные процедуры контроля и так далее.

Цель противодействия (бездействия) – отклонить нулевую гипотезу при том, что она верна.

Противодействие (со стороны субъекта, или сообщников, или трудности, связанные с недостатком данных) направлено для достижения ошибки «false positive» - ошибки первого рода.

В цифровой экономике – объект идентификации вполне живой и добропорядочный участник экономической деятельности. Пример его потребности – получить доступ к некоторым ресурсам. Он готов к сотрудничеству, готов выполнить некоторые действия, чтобы после успешной идентификации получить нужную ему услугу. Он заинтересован в правильной идентификации.

Активное противодействие системе может осуществлять хакер (или просто злоумышленник), добиваясь в свою пользу ложной идентификации.

Технические средства – произвольные. Это обычные планшеты и смартфоны, ничем не защищенные от внедрения вредоносного ПО.

Цель противодействия – выдать себя за другого. Вынудить субъекта принять нулевую гипотезу при том, что она ложна.

Противодействие (со стороны хакеров) направлено на достижение ошибки «false negative» – ошибки второго рода.

Для наглядности сведем в таблицу характеристики и позиции объекта процесса идентификации (табл.1). Вырожденные случаи (труп) не рассматриваем.

 

Таблица 1. Субъект идентифицирует объект. Сравнительные характеристики целей объекта.

Сфера применения

Объект идентификации

Заинтересованность объекта в подтверждении гипотезы

Желательный результат

Криминалистика

Добропорядочный гражданин (подозреваемый)

Нет

Верный

Преступник

Нет

Ошибка 1 рода

Цифровая экономика

Добропорядочный гражданин

Да

Верный

Преступник

Да

Ошибка 2 рода

 

 

Мы видим полностью противоположные характеристики.

Не менее наглядны и отличия в позициях субъекта идентификации (табл.2).

 

Таблица 2. Субъект идентифицирует объект. Сравнительные характеристики процесса с точки зрения субъекта

Характеристики процесса для субъекта

Криминалистика

Цифровая экономика

Гипотеза

Объект – тот, за кого его принимает субъект

Доверенность среды идентификации и контролируемость инструмента

Да

Нет

Значимость того, жив ли объект

Нет

Да

Значимость согласия объекта на идентификацию

Нет

Да

Значимость согласия объекта с результатами

Нет

Да

 

Таким образом, процессы идентификации в криминалистике и цифровой экономике при заданной гипотезе полностью различны.

Не совпадают:

  • объекты идентификации
  • их одушевленность/неодушевленность
  • заинтересованность объекта идентификации в ошибке
  • желательный для объекта идентификации результат
  • характер участия объекта в процессе идентификации

При этом противоположными являются:

  • контролируемость инструмента субъектом
  • доверенность среды идентификации
  • значимость того, жив ли объект идентификации
  • значимость согласия объекта идентификации с результатом идентификации
  • заинтересованность объекта идентификации в подтверждении гипотезы субъекта

Успешный опыт применения биометрии связан только с криминалистической идентификацией – предполагается, что в базах данных никто отпечатки не подменит, гражданин не наденет при регистрации перчатку и не передаст ее потом злоумышленнику, а средства идентификации, используемые полицией – доверенные.

При таком глубоком различии процессов представляется странным использование одинаковых инструментов. Отметим, что инструмент лишь обрабатывает данные, он их не порождает. И для каждой цели нужно выбирать те данные, которые содержат необходимую информацию. В нашем случае – нужно рассмотреть особенности идентификационных признаков – достаточно ли в них информации для решения поставленных задач.

Заметим, что в силу простоты и статичности применяемые модальности (папиллярный узор, радужная оболочка и сетчатка глаза, сосудистое русло и другие) легко воспроизводятся и моделируются, что не только не снижает риски ошибочной идентификации, но и позволяет непосредственно влиять на ее результаты. Традиционные (инвариантные) биометрические модальности не обеспечивают и не могут обеспечить достаточный уровень доверенности идентификации на недоверенном устройстве.

Таким образом:

  • статичные биометрические характеристики применяются в криминалистике для идентификации и аутентификации в силу своей инвариантности к внешним факторам, полной или частичной;
  • исследования по применению биометрических механизмов явно или неявно основываются на предположении о доверенности технических средств обработки.

В нашем случае (цифровая экономика) это предположение явно неверно, и именно поэтому необходимо изменить подход к биометрическим характеристикам как к инвариантам.

Простота подделки статических биометрических модальностей сегодня осознана.

Платить по фото? А как быть с волеизъявлением?

Наши статические биометрические параметры давно накоплены, проанализированы и систематизированы. На каждой ручке двери остаются отпечатки пальцев, исполняя «закон Яровой» операторы фиксируют наш голос, камеры «Безопасного города» непрерывно снимают наши лица. Что стоит подставить эти данные в поток, передаваемый недоверенным смартфоном?! Бесконечный массив неизменяемых биометрических данных опасен и сам по себе, но тем более опасен в связи с появляющимися «инновациями», «упрощающими» финансовые операции, как нам говорят. Чего только стоит одно из недавних предложений осуществлять платеж на основании анализа изображения лица, полученного из видеокамеры!

Как нетрудно заметить, для выполнения платежа мало иметь деньги, но еще нужно и хотеть заплатить. Для инициирования любого действия нужно волеизъявление субъекта. Волеизъявление субъекта подтверждается его подписью, или набором пин-кода, или еще каким-то действием, которое никто, кроме него, выполнить не может. Можно ли таким действием считать взгляд в видеокамеру?

Я боюсь, что после внедрения такой «инновации» на улицах появиться множество «папарацци», встреча с которыми вполне способна будет ощутимо облегчить состояние Вашего счета в банке, внедрившем такое новшество.

Новая биометрия. Замысел защиты.

Для устранения уязвимостей, связанных с простотой подмены измерений на недоверенных устройствах, необходимо от статических показателей перейти к динамическим типа «стимул-реакция» со сложной динамикой связи. Динамическим звеном, чрезвычайно сложным на сегодняшний день для моделирования, являются нервная и вегетативная системы человека и связанные с этим особенности физиологии движений. В частности, индивидуальными оказываются непроизвольные реакции на внешние стимулы (в частности, аудио и видео раздражители).

Реакция на стимулы может быть зафиксирована датчиками клиентского устройства, обработана с помощью методов искусственного интеллекта, например, искусственных нейронных сетей, что позволит определить источник потоков данных и повысить достоверность идентификации.

Исходя из возможностей современных технических средств (смартфонов), из динамических биометрических характеристик человека надежно можно зафиксировать, по крайней мере, характеристики пульсовой волны, динамику изменения диаметра зрачка, динамику слежения взглядом за стимулом на экране. Для этого достаточно на смартфоне иметь камеру и вспышку (фонарик), а также сенсорный экран.

Перспективным является изучение движения глаз. Достаточно отметить, что движениями глаз управляют 7 мышц (!), и мышцы, ответственные за саккадические движения, являются самыми быстрыми. Многообещающим представляется изучение рефлекторной составляющей саккад, а также (а может, и в первую очередь) процессы фиксации и регрессии при чтении.

Почему это работает?

Реакции человека на внешние стимулы существенно зависят от когнитивных и кинезиологических особенностей человека, носят динамический характер и отражаются в измерениях в достаточной для анализа степени.

Принципиальными особенностями предложенной системы стимул-реакция является:

  • наличие нервной системы человека как связующего звена между стимулом и реакцией;
  • случайные, не повторяющиеся стимулы;
  • обработка пары стимул-реакция может производиться на удалённом доверенном устройстве.

В этом случае:

  1. Недоверенность клиентского терминала не влияет на результаты, так как генерация стимула и анализ реакции выполняется на отчужденных доверенных ресурсах, а искажение реакции не даст возможности злоумышленнику получить нужный для него результат
  2. Перехватывать стимул нет смысла, так как зная стимул, невозможно сгенерировать реакцию в силу отсутствия модели человека
  3. Извлечь параметры нейронной сети путем ее тестирования невозможно
  4. Акты идентификации уточняют параметры нейронной сети, и поэтому даже тотальное наблюдение не позволит в полной мере воспроизвести сеть.