Биометрические данные
Идея проста: вы сами подтверждаете свою подлинность. Ваш «отпечаток голоса» отопрет дверь в вашем доме. Сканирование сетчатки глаза пустит вас в офис. Отпечаток большого пальца зарегистрирует вас в вашем компьютере. Это использовалось даже в фильме «Звездный путь»: капитан Пикард «подписывает» электронный бортовой журнал отпечатком своего большого пальца.
Биометрические данные – самые старая из форм опознавания. Физическое узнавание является биометрикой; наши предки использовали его задолго до того, как они эволюционировали в людей. Коты метят свою территорию. Дельфины издают индивидуальные, как подпись человека, звуки.
Биометрические данные также используются для опознавания в системах связи. Если вы разговариваете по телефону, человек на другом конце провода идентифицирует вас по голосу. Ваша подпись в контракте идентифицирует вас как лицо, подписавшее его. Ваша фотография идентифицирует вас как лицо, на имя которого выдан именно этот паспорт.
Для большинства методов биометрические данные нужно сохранять в базе данных, как и пароли. Голос Алисы будет служить биометрическим опознавательным знаком в разговоре по телефону, если вы Алису уже знаете. Если она незнакомка, то вам это не поможет. Точно так же и с почерком Алисы – вы можете узнать его, только если уже видели. Для разрешения этой проблемы карточки с подписями хранятся в банках в картотеке. Алиса пишет свое имя на карточке, когда открывает свой счет; эта карточка хранится в банке. Когда Алиса подписывает чек, банк сопоставляет ее подпись с той, что хранится в картотеке, для того чтобы убедиться, что чек имеет силу. (На практике это случается редко. Проверить письменную подпись так долго, что банк не побеспокоится сделать это за сумму, меньшую 1000 долларов. Он предполагает, что если возникнут проблемы, то кто-нибудь пожалуется. И разобраться с редкой проблемой дешевле, чем платить кому-либо за постоянную проверку.) Вы можете точно так же поступить и с Алисиным голосом – сравнив его с аналогичным образцом, хранящимся в центральной базе данных.
Исключения составляют ситуации, где биометрические данные подтверждаются как часть запутанного и необычного протокола. Когда Алиса подписывает контракт, например, у Боба еще нет копии ее подписи. Однако протокол работает – так как Боб знает, что он сможет проверить подпись впоследствии, если возникнет такая необходимость.
Существует много различных типов биометрических данных. Я уже упомянул почерк, звучание голоса, узнавание лица, отпечатки пальцев. К биометрикам также относятся линии на руке, сканирование сетчатки, сканирование радужной оболочки глаза, динамические характеристики подписи (не только то, как она выглядит, но и с каким нажимом, с какой скоростью она была начертана и т. д.) и другие. Одни технологии надежнее других – отпечатки пальцев намного надежней распознавания лица – но ситуация может измениться, поскольку технологии совершенствуются. Некоторые навязчивы – одна несостоявшаяся технология базировалась на образце отпечатка губ и требовала от пользователя поцеловать компьютер. В целом, биометрические данные будут считываться все лучше и лучше.
«Лучше и лучше» имеет два разных смысла. Во-первых, это значит, что самозванец не будет неправильно опознаваться в качестве Алисы. В целом, роль биометрических данных заключается в том, чтобы доказать, что Алиса-претендент и есть настоящая Алиса. Таким образом, если самозванец может успешно одурачить систему, то она работает не очень хорошо. Это называется ложной уверенностью. Во-вторых, это значит, что система не будет пытаться представить Алису как самозванца. Вернемся к началу: если роль биометрических данных – доказать, что Алиса – это Алиса, и если она не может убедить систему, что она – это она «не поддельная», тогда система также работает плохо. Это называется ложным отрицанием.
С течением времени биометрические опознавательные системы стали работать лучше в плане как ложной уверенности, так и ложного отрицания. Например, они устанавливают проверку отпечатков, так что ни пластиковый палец, ни чей-либо настоящий, но чужой палец не одурачат устройство, считывающее его отпечаток. Они лучше делают работу по отслеживанию ежедневных изменений в индивидуальных биометрических данных. Они более легки для использования.
Вообще, вы можете настроить биометрическую систему как в сторону допущения ошибки ложной уверенности, так и в сторону ложного отрицания. Здесь весьма нечеткие границы: если система получает отпечаток пальца, который, похоже, принадлежит Алисе, впустит ли она ее внутрь? Это зависит от того, склонна она в большей степени допустить ложную уверенность, или ложное отрицание. Если Алиса уполномочена взять карандаш со склада, то лучше допустить ошибку ложной уверенности; здесь больше неприятностей с отказом законному пользователю, чем если бы несколько карандашей просто потерялись. Если система защищает большие суммы денег, то ложное отрицание предпочтительней: оставить неправомочных пользователей снаружи более важно, чем иногда отказать в доступе законному пользователю. Если система приступает к выполнению ряда последовательных операций для запуска ядерных ракет, страшны оба варианта.
Биометрические данные значат очень много, так как на самом деле их сложно подделать: очень трудно нанести ложный отпечаток на свой палец или сделать сетчатку своего глаза похожей на чужую. Некоторые люди могут говорить голосами других (например, эстрадные имитаторы), а Голливуд способен сделать лица людей похожими на других. Но вообще подделать биометрические данные очень тяжело.
С другой стороны, биометрические данные даже слишком легки для подделки: не проблема украсть биометрики после того, как были сделаны начальные измерения. Во всех случаях, которые мы обсуждали, проверяющему необходимо было бы удостовериться не только в том, что биометрические данные верны, но и в том, что они были введены правильно. Вообразим удаленную систему, которая использует узнавание лица как биометрику. «Для получения разрешения возьмите свою фотографию, сделанную „Полароидом", и отправьте ее нам. Мы сравним картинку с той, что хранится у нас в файле». Как здесь осуществить нападение?
Легко. Чтобы выдать себя за Алису, возьмите ее фотографию, сделанную «Поляроидом», так, чтобы владелица об этом не знала. Потом, несколькими днями позже, используйте ее, чтобы обмануть систему. Это нападение работает потому, что получить фотографию Алисы просто, это совсем не то, что сделать свое лицо таким, как у нее. И так как система не проверяет, что это изображение вашего лица, а только то, что оно соответствует Алисиному лицу в картотеке, мы в состоянии обмануть ее.
Подобным образом мы можем подделать биометрику подписи, используя фотокопировальную машину или факсимильный аппарат. Тяжело подделать президентскую подпись на официальном документе, дающем вам продвижение по службе, но легко вырезать его подпись с другого документа, поместить на письмо, дающее вам повышение, и отправить его по факсу в департамент трудовой занятости населения. Они не смогут установить, что подпись была вырезана с другого документа.
Мораль в том, что биометрические данные будут работать прекрасно только в случае, если проверяющий станет удостоверяться в двух вещах: во-первых, что они действительно поступили именно от лица, которое подлежит проверке, и во-вторых, что они соответствуют образцу в картотеке. Если система не в силах одновременно поддержать два эти условия, она ненадежна.
Еще один пример: отпечатки больших пальцев для получения разрешения на вход в систему с удаленным доступом. Алиса помещает отпечаток своего большого пальца в считывающее устройство, находящееся на клавиатуре. (Не смейтесь, большое количество компаний хотят, чтобы так и было, а технология уже существует.) Компьютер посылает цифровой отпечаток хосту. Хост проверяет его, и если он соответствует отпечатку, хранящемуся в файле, дает Алисе доступ. Это не будет работать потому, что легко украсть цифровой отпечаток Алисиного большого пальца, и когда он у вас будет, то обманывать хост снова будет легко.
Защищенные от несанкционированного вмешательства аппаратные средства помогают до тех пор (в пределах ограничений главы 14), пока они включают и устройство, считывающее биометрические данные, и механизм подтверждения.
Это не сработает, если защищенное от несанкционированного доступа считывающее устройство посылает данные об отпечатке пальца через ненадежную сеть.
Мы подошли ко второй главной проблеме с биометрическими данными: эта система плохо справляется с отказами. Представим, что Алиса пользуется отпечатком своего большого пальца как биометрикой, и кому-нибудь вздумается украсть его. Что теперь? Он не является цифровым сертификатом (мы вернемся к этому в главе 15), который некая доверенная третья сторона может ей заменить. Это ее большой палец. У нее их всего два. Как только кто-нибудь украдет ваши биометрические данные, они останутся таковыми на всю жизнь; и их нельзя будет вернуть обратно.
Это та причина, по которой биометрические данные не могут выступать в роли шифровальных ключей (даже в том случае, если вам удастся разрешить противостояние между неясной логикой биометрических данных и безусловной математической логикой проблемы). Время от времени я вижу системы, которые используют шифровальные ключи, порожденные биометрическими данными. Это прекрасно работает до тех пор, пока данные не украдены. И я не думаю, что у кого-нибудь физически отрежут палец или нужный отпечаток пальца будет сымитирован на чьем-либо чужом пальце; я думаю, что кто-нибудь украдет цифровой отпечаток пальца. Однажды, когда это случится, система перестанет работать. (Ну, может быть, до тех пор, пока не будут украдены все 10 отпечатков пальцев…)
Биометрические данные могут быть хорошим механизмом, подтверждающим подлинность, но использовать их надо должным образом.