Авторский вариант. Оригинал материала находится по адресу www.computerra.ru/business/55816/v-chelovecheskom-izmerenii/
10.04.2013
Не всем новым технологиям везёт одинаково. Человечество, например, уже страдает от нехватки питьевой воды, так что изобретение дешёвого, простого опреснителя может принести миллиарды — но сама эта тема кажется настолько скучной, что популярные журналы про неё почти не пишут. Больше везёт технологиям, скрывающим в себе что-нибудь таинственное, желательно пугающее. С атомной энергией дело обстоит именно так — и хоть ей сто лет в обед, разговоры вокруг всё не утихают. Точно так же повезло и совсем ещё юной области на стыке математики, информатики и биологии. Помните как в «Особом мнении» герой Тома Круза, чтобы пройти в закрытую лабораторию, демонстрируем электронному замку свой вырезанный глаз? Добро пожаловать в увлекательным мир биометрии!
Задача биометрических технологий — дать чёткий ответ на вопрос: кто? Кто открывает дверь? Кто обращается к базе данных? Кто снимает деньги в банкомате, кому предоставляют доступ к почтовому ящику или торговому счёту? Тот ли это человек, который имеет право на данную операцию? Вопрос «кто?» был актуален во все времена — и первые попытки решить его за счёт присущих каждому homo sapiens особенностей относят ещё к каменному веку, когда авторы наскальной живописи «подписывали» свои произведения отпечатками ладоней. Нынче же, в век Интернета и умной электроники, он звучит особенно часто. К счастью, в основе биометрии лежат такие же простые принципы, как и породивший её вопрос.
Все биометрические технологии выросли на единственном предположении: каждое живое существо, каждая особь наделена некоторыми уникальными особенностями, присущими ей и только ей. Такую особенность называют биометрическим идентификатором (БИ, для краткости). Науке сегодня известны два типа таких идентификаторов: физиологические, то есть относящиеся к форме тела и его устройству, и поведенческие, связанные, очевидно, с более сложными проявлениями жизни. Исторически так сложилось — благодарите криминалистику, проработавшую вопросы идентификации личности по отпечаткам пальцев и форме лица ещё в начале прошлого века — что физиологический тип изучен лучше и распространён на рынке больше.
В самом деле, в мире нет двух людей с идентичным узором папиллярных линий. А значит, научившись работать с отпечатком пальца быстро, можно использовать его в качестве своеобразного паспорта, предъявление которого открывает доступ к тем или иным ресурсам. За последние тридцать лет разработано множество способов считывания папиллярного узора — начиная от электрических (палец прикладывается к матрице из сотен тончайших электродов) до оптических (узор фотографируется особой фотокамерой) и даже ультразвуковых. На считывание картинки, как правило, уходят доли секунды, после чего в дело вступает математика: узор подвергают обработке статистическими методами, вычленяют из него несколько десятков ключевых точек, которые и сличают с хранящимися в памяти компьютера. Сегодня больше половины устройств, доступных на биометрическом рынке, используют этот метод с теми или иными вариациями.
Но мир биометрии не сводится к одним только отпечаткам пальцев. Зацепиться можно, например, и за особенности строения глаза: сетчатка и радужная оболочка тоже уникальны для каждого человека и даже содержат больше неповторимых элементов (можно выделить несколько сотен ключевых точек вместо десятков на пальце). А черты лица? Расстояние между глазами, длина промежутка от губ до носа и другие отрезки и пропорции (сосредоточенные главным образом в «золотом треугольнике» между висками и ртом) тоже строго индивидуальны. Они не меняются даже после пластических операций, остаются прежними в случае набора человеком веса или похудания, неизменны с возрастом. Измерять лицо можно как по простой фотографии (2D), так и в объёме (3D), достигая таким образом ещё большей точности. Но что лицо! Неповторим узор вен на ладонях, пропорции руки, содержимое ДНК, наконец!
Всё это физиологические БИ. Параллельно им существует необъятный класс поведенческих идентификаторов. Наука занялась ими сравнительно недавно, значительная часть работ в этой области датирована XXI столетием, но посмотреть уже есть на что. Скажем, выяснилось, что манера печати на компьютерной клавиатуре — темп, задержки между буквами и словами, предпочтения к некоторым клавишам (какой Shift используете вы?), число задействованных пальцев, степень равномерности набора и многое, многое другое — сугубо индивидуальна и может служить в качестве своеобразной подписи, однозначно идентифицирующей человека. Точно так же в качестве поведенческого БИ могут быть использованы манера движения руки при письме или управлении «мышью», походка, особенности вождения автомобиля, хват рукой мобильного телефона, да вообще всё, что предполагает мускульные усилия и незаметную для сознания работу нервной системы.
Квантование (измерение и перевод в цифровую форму) поведенческих БИ — задача нетривиальная: подумайте, например, как можно пронаблюдать и выявить характерные особенности движений человеческого тела при ходьбе, сколько здесь возникает вариантов, возможностей и сложностей. Зато появляется надежда, что в результате можно достичь большей точности опознания, нежели при использовании идентификаторов физиологических. А вопрос точности в биометрии — чуть ли не самый важный из всех.
Точность легко гарантировать в математике. Но когда уравнения приходится разбавлять биологией, всплывает ряд специфических требований, дать гарантию соблюдения которых не всегда возможно: природа! Биометрические идентификаторы должны быть уникальными, но ещё и не изменяться с течением времени и не быть подвержены насильственной модификации (папиллярный узор, к примеру, с возрастом не меняется, но может быть испорчен порезами, ожогами; сетчатка и радужка глаза — поменять форму под действием медикаментов или болезней). Их должно быть легко, без боли, но и без искажений измерить (сканеры отпечатков пальцев порой очень чувствительны к грязи на руках), и в то же время на измерения не должно уходить слишком много времени (сканировать компоненты глаза приходится дольше, чем папиллярный узор). Кроме того, очень желательно, чтобы БИ было невозможно подделать (к этому вопросу мы вернёмся чуть позже).
Выбрать сегодня есть из чего. Готовые комплексы биометрической идентификации выпускаются десятками производителей, среди которых присутствуют и пионеры, с толстыми портфелями патентов, и совсем ещё новички, и западные, и российские имена: Iridian Tech и Neurotechnology, Sarnoff и Cyber Sign, Ringdale, Keytronic, Artemis, Artec и многие другие. Подходы, естественно, у каждого свои (ведь только алгоритмов обработки радужки около сотни), качества продуктов рекламируются разные, в спецификациях порой не разберётся даже специалист. Так что, на первый взгляд, обмерять это пёстрое многообразие одной линейкой нереально. Но приятный нюанс в том, что исчерпывающе оценить любой биометрический продукт можно всего по трём параметрам — и параметры эти вообще говоря не требуют осведомлённости о физике конкретного биометрического процесса.
Итак, параметр номер один: процент ложноположительных срабатываний (False Acceptance Rate, FAR). Попросту, это вероятность того, что при проверке биометрический сканер ошибочно примет одного человека за другого (спутает их отпечатки, например). Родственный ему параметр номер два: процент неоправданных отказов (False Rejectance Rate, FRR) — он показывает, какова вероятность, что сканер не узнает человека в ходе проверки. И, наконец, параметр три — скорость сканирования — объяснений не требует. С помощью этой троицы легко сравнить между собой биометрические системы любого класса и типа, какими бы разными они ни были.
Несколько упрощая, можно сказать, что первые два параметра связаны между собой обратно-пропорциональной зависимостью: они словно бы усажены по разные стороны качелей — и чем лучше оказывается один, тем хуже чувствует себя другой. Скажем, чувствительность сканера для съёма отпечатков пальцев можно настроить таким образом, что он будет путать только одного человека из каждых ста тысяч, прошедших через него (хороший FAR). Но при этом каждого сотого он будет «отшивать» неоправданно — потому что чрезмерно выкрученная чувствительность заставит его быть подозрительным даже на мельчайших повреждениях папиллярного узора, пугаться сухой кожи или грязи (FRR плох). Что ж, если выкрутить «ручку чувствительности» в обратную сторону, улучшив FRR, сканер будет неоправданно блокировать, например, только каждого тысячного посетителя — зато и путать их будет примерно каждую тысячу раз.
Очевидно, необходимо найти компромисс, удовлетворяющий вашим запросам (хорошей идеей будет оттолкнуться от размеров штата сотрудников и частоты проверок). Но может получиться и так, что выбранный биометрический метод не сможет обеспечить нужного соотношения FAR и FRR. Вот папиллярная биометрия, к сожалению, хоть и популярна, но не особенно точна. Тогда придётся переключиться на другой продукт и/или метод биометрической идентификации, возможно, дающий лучшее соотношение.
Уравновешивая эту парочку, нельзя забывать и о третьем параметре. Например, идентификация по отпечатку пальца занимает доли секунды, но обладает сравнительно слабыми FAR/FRR. Тогда как анализ сетчатки даёт намного меньше ошибок, но может требовать нескольких секунд для фокусировки оптики на открытом глазу, так что, откровенно говоря, процедура сканирования может быть неприятной.
Всё это в значительной степени и определило рыночную популярность различных биометрических методов. Папиллярная биометрия хорошо работает на малых и средних предприятиях, где цена ошибки при распознавании личности невелика: она, как уже говорилось, занимает больше половины рынка. Около трети имеющихся на массовом рынке решений используют сканирование лица. Глаз, рисунок вен и прочие физиологические БИ сравнительно малопопулярны, но основанные на них продукты по крайней мере можно приобрести. А вот поведенческая биометрия фактически ещё не вышла из стен лабораторий и пока сильно уступает в скорости и качестве физиологической. А жаль. Потому что именно она (по крайней мере в теории) сможет эффективно противостоять главной угрозе биометрических технологий: мошенникам.
Когда эта статья готовилась к печати, в Бразилии разразился грандиозный скандал. Крупная клиника в Сан-Паулу отправила в вынужденный отпуск нескольких своих врачей, заподозрив их в высокотехнологическом мошенничестве. Детали продолжают поступать, но в общем картина рисуется примерно следующая. Года три назад кто-то из докторов наловчился отливать из кремнийорганического желе (в простонародье именуемого «силиконом») слепки пальцев — и первое время использовал свою находку, чтобы прикрывать прогулы друзей.
На проходной клиники стоит биоидентификационный сканер: прикладываете пальчик — и он автоматически отмечает время прибытия на работу. Что ж, как быстро выяснилось, глупый автомат не отличал живой палец от силиконового слепка. Но предприимчивые бразильские врачи пошли дальше. Надавив на отдел кадров, они стали принимать на работу вовсе несуществующих сотрудников. Вскрылась афера случайно, когда проверка выявила, что одного из работников — три года исправно получавшего зарплату — никто никогда в глаза не видел. Всего же, подозревается, таким образом могло быть заведено аж три сотни мёртвых душ.
Что ж, в теории папиллярный узор — а равно и любой другой биометрический идентификатор — способен заменить любые ключи и пароли, паспорта и идентификационные документы. Такой «пропуск» не потерять и не украсть, он всегда с вами и всегда готов к предъявлению. Лучше того, переход с паролей, токенов (электронных ключей), бумажек на биометрические методы идентификации обещает огромные экономические преимущества. Представьте, как много времени и сил тратится на придумывание, заучивание, ввод, перевыпуск паролей, на всю эту волокиту с пропусками! И хорошо ещё, если речь о простом офисе. А если дело происходит в больнице, в дилинговом центре? Внедрив везде биометрическую идентификацию, можно сэкономить время, освободить головы сотрудников и клиентов от лишних забот (и поднять производительность), понизить риски проникновения в закрытый периметр чужаков. В кинотеатрах и парках развлечений биометрия означает отказ от билетов, в больницах — спасённую жизнь, в офисах — пойманную возможность, вовремя остановленного высокочастотного торгового робота, и так далее, и так далее.
Проблема только в том, что компьютер — не человек. Он не знает, предъявили ему настоящий палец или слепок из воска или силикона, а может быть даже облизнутую фотографию отпечатка (говорят, с некоторыми сканерами проходит и такой трюк). Как не может и посмотреть в ваши честные глаза и пропустить вас, если вы имеете право на вход, но ваш палец порезан или испачкан. Что за сканеры использовались в Сан-Паулу не сообщается, но, очевидно, они были лишены защитных механизмов.
А с мошенничеством, конечно, пытаются бороться. Например, параллельно со съёмкой папиллярного узора можно попробовать проверить температуру пальца: подделка, естественно, будет холодной. Но каждый биометрический метод требует уникальных контрмер. Скажем, 2D-сканеру лица вместо своей головы можно подставить чужую фотографию (если у вас есть смартфон под управлением Android 4, можете попробовать сами выступить в роли «мошенника»: ваш смартфон умеет распознавать пользователя по лицу, соответствующая функция включается в настройках безопасности). Идентификация по глазу намного надёжней — но и она не даёт стопроцентных гарантий. В прошлом году на security-конференции Black Hat была обнародована научная работа, посвящённая воссозданию чужой радужки в виде картинки или контактной линзы.
Даже алгоритм подделки ДНК-отпечатка уже предложен — хоть систем реалтаймовой идентификации по ДНК ещё не существует, а специалисты и вообще сомневаются, что эта технология когда-либо выйдет за пределы судебной медицины. Так что не питайте ложных надежд: абсолютно стойкого к обману биометрического метода не было, нет и вряд ли когда-нибудь таковой появится.
Теперь вы понимаете и почему биометрия всё ещё не заменила пароли и электронные ключи — хоть те и доставляют массу неудобств. Да, есть исследования, утверждающие, что каждый третий звонок в службы техподдержки западных компаний так или иначе связан с паролями. Да, базы данных с паролями регулярно крадут (помните, как совсем недавно Evernote попросила 50 миллионов своих пользователей придумать новые пароли?). Но ни один биометрический метод заменить пароль пока не в состоянии.
Ключиком к светлому будущему может стать так называемая многофакторная или (что то же самое) мультимодальная биометрия. Идея простая: проверять не один, а сразу несколько разнотипных биоидентификаторов. Скажем, сличать одновременно радужку, отпечатки пальцев и фото. Именно так построена, в частности, самая масштабная в истории человечества программа биометризации населения, проводимая сейчас в Индии: больше миллиарда человек должны пройти процедуру снятия указанных параметров, что позволит государству знать каждого своего гражданина буквально в лицо.
Но большие надежды возлагаются и на поведенческую биометрию. Которая — в перспективе и воображении своих сторонников — способна не только значительно повысить надёжность идентификации, но и избавить от лишних технических сложностей.
Во времена Второй мировой войны, радиоразведчики, подслушивая морзянку противника, распознавали операторов по индивидуальному стилю работы на ключе. То, что каждый человек, отбивающий «точки-тире», делает это в своей неповторимой манере, было известно ещё телеграфистам XIX века. Но на войне это качество вдруг оказалось чрезвычайно ценным: даже не зная, о чём идёт речь в конкретном сообщении (передачи, естественно, шифровались), было возможно следить за перемещениями противника на местности — пеленгуя местоположение «знакомого» радиста.
Тот же принцип в полной мере применим и сегодня, для мирных задач. Навыки, предпочтения, стиль поведения человека во время выполнения им повседневных дел, служат основой для поведенческой биометрии. Как уже говорилось выше, каждый из нас печатает на клавиатуре, ведёт машину, поднимается по лестнице с присущими ему и только ему характерными особенностями. Однако только теперь, когда вы знаете всё о физиологической биометрии, вы сможете в полной мере оценить преимущества поведенческой.
Во-первых, для сбора поведенческих БИ не требуется применение каких-то специализированных устройств. Если отпечаток пальца снимается особым сенсором, а радужка глаза в идеале должна быть подсвечена инфракрасным светом, то манеру печати на клавиатуре или управления мышкой можно анализировать непосредственно на компьютере, к которым они подключены — без всякого дополнительного «железа». А значит и стоить такая система идентификации — теоретически — может дешевле.
Во-вторых, если методы физиологической биометрии требуют осознанного участия пользователя (приложить палец к сенсору, не моргая смотреть в камеру и т.п.), биометрия поведенческая способна работать вообще без ведома человека, совершенно его не беспокоя. Чтобы собрать необходимую информацию, достаточно пронаблюдать за индивидом, когда он занят привычным делом: скажем, за его походкой во время появления в офисе, движениями мышки после включения компьютера и т.п.. Что, в свою очередь, позволяет ещё сильней минимизировать неудобства, отнять у человека минимум времени.
В-третьих, по крайней мере теоретически, поведенческая биометрия способна обеспечить качество идентификации недостижимое для физиологических методов. Обусловлено это тем, что моторные навыки человека зависят от огромного множества индивидуальных свойств (как врождённых, так и приобретённых), а потому хорошо дифференцируются от персоны к персоне и в то же время трудно поддаются воспроизведению: попробуйте-ка точно воспроизвести чужую походку!
Плохая новость в том, что исследования поведенческой биометрии пока находятся на ранней стадии. А потому представленные на рынке продукты (от Purilock Security Solutions, DynaSig, Nuance и др.) чаще всего используют поведенческие БИ лишь как дополнение к физиологическим.
Кроме того, одержит ли верх поведенческая биометрия, победит ли физиологическая, или они продолжат взаимовыгодное сосуществование, важно понимать, что технологии биометрической идентификации обладают парой общих недостатков, устранить которые ещё только предстоит.
Прежде всего, это проблема кражи баз данных. Биометрические идентификаторы (например, отпечатки пальцев), как и пароли, необходимо где-то хранить. И если такая база попадёт в чужие руки, злоумышленники смогут причинить записанным в ней людям вред. К счастью, биоидентификатор — это не пароль: даже если его удалось украсть, это ещё не значит, что вор сможет выдать себя за другого человека (нужно, к примеру, ещё суметь воссоздать слепок пальца по украденному отпечатку, а потом заставить сканер его принять). Зато похититель, теоретически, сможет узнать многое о владельце такого идентификатора: пол, возраст, национальность и т.д. А ещё использовать украденную информацию для слежки за людьми: зная, к примеру, параметры лица нужного человека, можно автоматически находить его на фотографиях, видеозаписях.
Решить эту проблему можно, если хранить в базе данных не сами биоидентификаторы, а их обработанные версии. Скажем, информацию об отпечатке пальца можно обработать любым необратимым стойким шифралгоритмом — так, что восстановить из результата исходную картинку будет практически невозможно (шифрование быстрое, дешифрование очень долгое). Использовать такую базу для проверки по-прежнему просто: после сканирования пальца, отпечаток обрабатывают тем же алгоритмом и сличают с записями в базе. А вот красть её смысла нет: похититель не сможет расшифровать записи.
Но есть ещё и совершенно уникальная проблема кражи персональных физиологических свойств. Представьте, например, что некий злоумышленник сумел каким-то образом снять ваши отпечатки пальцев (например, отсканировал их со стакана в офисе), после чего изготовил по ним силиконовый слепок. Укради он у вас пароль — вы могли бы просто поменять его на новый и проблема была бы решена. Но как поменять отпечатки пальцев? Радужку или сетчатку глаза? Теперь вор сможет выдавать себя за вас всегда, до конца ваших дней!
Теоретическое решение этой проблемы, впрочем, тоже уже предложено (т.н. отменяемая биометрия, суть её сводится к тому, чтобы, если кража произошла, переключиться на проверку новых контрольных точек), но фактически идея всё ещё пребывает в лабораторной стадии.
Но давайте остановимся и немного помечтаем. Над биометрией сегодня работают тысячи стартапов и все без исключения крупные ИТ-вендоры (Apple, Microsoft, Google). Стенды на февральской выставке Mobile World Congress ломились от биометрических гаджетов. Естественно предположить, что через несколько лет каждая персоналка, каждое мобильное устройство обзаведутся тем или иным биометрическим сканером, встроенным, либо подключаемым извне. И пользователей будут заботить не столько спецификации конкретного продукта, сколько его совместимость с другими решениями.
Остро встанет вопрос унификации, стандартизации биометрических продуктов. И работа в этом направлении уже тоже идёт. Этим заняты, в частности, участники промышленного консорциума FIDO Alliance (за ним стоят Lenovo, PayPal, Infineon). В их видении каждое биометрическое устройство и программы должны понимать друг друга, разговаривая на общих протоколах, а биоидентификаторы храниться в зашифрованном виде в общем «облаке».
Пользователь, которому на очередном веб-сайта задали вечный вопрос «кто?», просто подключит к своей персоналке любой FIDO-совместимый биосканер (а может быть обойдётся и без лишних устройств вовсе, запустив программу FIDO-совместимой поведенческой биоидентификации), пройдёт проверку и двинется дальше, забыв про пароли как про страшный сон. И это будущее, право, стоит того, чтобы ради него работать.
P.S. В статье использованы иллюстрации Kurtis Garbutt, Toshiyuki IMAI, The U.S. Army, Swxxii, NEC.
биометрия,папиллярный_узор,отпечаток_пальца,радужка,биоидентификатор,криптография