В человеческом измерении
10.06.2013 14:00
..., развившееся на стыке математики, статистики, информатики и биологии. И притом весьма симпатичное. Во-первых, бизнес разработчиков основан здесь на нерушимой вере в уникальность каждого индивидуума, которую нужно замерить и зафиксировать. А во-вторых, тут только и жди, что технологических прорывов, поскольку уникальных параметров у человека (помимо отпечатков пальцев, радужной оболочки глаз и геометрии лица) — сколько угодно. Так что стартаперы на фоне старожилов рынка биометрических технологий тушеваться не привыкли.

Задача биометрических технологий — дать четкий ответ на вопрос: кто? Кто открывает дверь? Кто обращается к базе данных? Кто снимает деньги в банкомате? Кому предоставляют доступ к почтовому ящику или расчетному счету? Тот ли это человек, который имеет право на данную операцию? Вопрос «Кто?» был актуален во все времена — и первые попытки решить его за счет присущих каждому homo sapiens особенностей относят еще к каменному веку, когда авторы наскальной живописи «подписывали» свои произведения отпечатками ладоней. Нынче же, в эпоху Интернета и умной электроники, он звучит особенно часто. К счастью, в основе биометрии лежат такие же простые принципы, как и породивший ее вопрос.

Все биометрические технологии выросли на единственном предположении: каждое живое существо наделено некоторыми уникальными особенностями, присущими только ему. Эту особенность называют биометрическим идентификатором. Науке сегодня известны два типа таковых — физиологические, то есть относящиеся к форме тела и его устройству, и поведенческие. Благодаря криминалистике, проработавшей вопросы идентификации личности по отпечаткам пальцев и форме лица еще в конце XIX века, физиологический тип изучен лучше и распространен на рынке больше.

В самом деле: в мире нет двух людей с идентичным узором папиллярных линий. А значит, научившись работать с отпечатком пальца быстро, можно использовать его в качестве своеобразного паспорта, предъявление которого открывает доступ к тем или иным ресурсам. За последние тридцать лет разработано множество способов считывания папиллярного узора — от электрических (палец прикладывается к матрице из сотен тончайших электродов) до оптических (узор фотографируется особой фотокамерой) и даже ультразвуковых. На считывание картинки, как правило, уходят доли секунды, после чего в дело вступает математическая статистика: узор анализируется, из него вычленяется несколько десятков ключевых точек, которые и сличают с хранящимися в памяти компьютера. Сегодня больше половины устройств, доступных на биометрическом рынке, используют этот метод с теми или иными вариациями.


Но мир биометрии не сводится к одним только отпечаткам пальцев. Зацепиться можно, например, и за особенности строения глаза. Сетчатка и радужная оболочка у каждого человека также уникальны и даже содержат больше неповторимых элементов: можно выделить несколько сотен ключевых точек вместо десятков на пальце. А черты лица? Расстояние между глазами, от губ до носа и другие отрезки и пропорции, сосредоточенные главным образом в «золотом треугольнике» между висками и ртом, тоже строго индивидуальны. Они сохраняются неизменными, даже если человек сильно набрал вес или, наоборот, похудел, — причем независимо от возраста. Эти пропорции не способна изменить даже пластическая операция. Измерять лицо можно как по простой фотографии (2D), так и в объеме (3D), достигая таким образом еще большей точности. Но что там лицо! Неповторимы узор вен на ладонях, пропорции руки, содержимое ДНК, наконец!

Параллельно с этим существует необъятный класс поведенческих идентификаторов. Наука занялась ими сравнительно недавно, и значительная часть работ в этой области датирована нынешним веком, но посмотреть уже есть на что. Скажем, выяснилось, что манера печати на компьютерной клавиатуре сугубо индивидуальна: темп, задержки между буквами и словами, предпочтения некоторых клавиш (какой Shift, например, используете вы?), число задействованных пальцев, степень равномерности набора и многое другое. А значит, все это может служить своеобразной «подписью», однозначно идентифицирующей человека. Точно так же в качестве поведенческого идентификатора могут быть использованы манера движения руки при письме или управлении «мышью», походка, особенности вождения автомобиля, хват рукой мобильного телефона — да вообще все, что предполагает мускульные усилия и незаметную для сознания работу нервной системы и моторики. Создание алгоритмов идентификации на основе поведенческих параметров — задача нетривиальная, но весьма перспективная. Полагаю, что именно здесь нас ждут наиболее интересные прорывы в ближайшее время.

На биометрических качелях

Точность легко гарантировать в математике. Но когда уравнения приходится разбавлять биологией, всплывает ряд специфических требований, дать гарантию соблюдения которых не всегда возможно: природа! Одной уникальности мало. Взятый за основу биологический идентификатор не должен меняться у человека с течением времени и в зависимости от обстоятельств. (Вот тут уже возможны «отклонения»: папиллярный узор, к примеру, может быть испорчен порезами или ожогами; сетчатка и радужка глаза — поменять форму из‑за приема медикаментов или болезни.) Кроме того, идентификатор должен считываться легко, без искажений и по возможности быстро. В этом, например, заключается недостаток систем идентификации по радужной оболочке глаза: на ее сканирование уходит больше времени, чем в случае с папиллярным узором.



Выбрать сегодня есть из чего. Готовые комплексы биометрической идентификации выпускаются десятками производителей, среди которых присутствуют и пионеры с толстыми портфелями патентов, и совсем еще новички, и западные, и российские имена: Iridian Tech и Neurotechnology, Sarnoff, Cyber Sign, Ringdale, Keytronic, Artemis, Artec и многие другие. Подходы, естественно, у каждого свои (ведь только алгоритмов обработки радужки — около сотни), технические характеристики рекламируются разные, в спецификациях порой не разберется даже специалист. Так что, на первый взгляд, обмерять это пестрое многообразие одной линейкой нереально. Но приятный нюанс в том, что исчерпывающе оценить любой биометрический продукт можно всего по трем параметрам — и они, вообще говоря, не требуют осведомленности о физике конкретного биометрического процесса.


Итак, параметр номер один — процент так называемых ложноположительных срабатываний (False Acceptance Rate, FAR). Это попросту вероятность того, что биометрический сканер ошибочно примет одного человека за другого (спутает их отпечатки, например). Родственный ему параметр номер два — процент неоправданных отказов (False Rejectance Rate, FRR): он показывает, какова вероятность, что сканер не узнает человека в ходе проверки. Наконец, параметр три — скорость сканирования. С помощью этой троицы легко сравнить между собой биометрические системы любого класса и типа, какими бы разными они ни были.

Несколько упрощая, можно сказать, что первые два параметра связаны между собой обратно пропорциональной зависимостью: они словно бы усажены по разные стороны качелей — и чем лучше оказывается один, тем хуже чувствует себя другой. Скажем, чувствительность сканера для считывания отпечатков пальцев можно настроить таким образом, что он будет путать только одного человека из каждых ста тысяч, прошедших через него (хороший FAR). Однако при этом каждого сотого он будет «отшивать» неоправданно — потому что чрезмерно чувствительная настройка заставит его быть «подозрительным» по отношению к мельчайшим повреждениям папиллярного узора, пугаться сухой кожи или грязи (FRR плох).

Уравновешивая эту парочку, нельзя забывать и о третьем параметре. Например, идентификация по отпечатку пальца занимает доли секунды, но обладает сравнительно слабыми FAR/FRR. Анализ же сетчатки дает намного меньше ошибок, но может требовать нескольких секунд для фокусировки оптики на открытом глазе, так что, откровенно говоря, процедура сканирования может быть неприятной.

Все это и определило в значительной степени рыночную популярность различных биометрических методов. Папиллярная биометрия хорошо работает на малых и средних предприятиях, где цена ошибки при распознавании личности невелика: она, как уже говорилось, занимает больше половины сегмента. Гораздо меньше на массовом рынке решений, использующих сканирование лица. Радужка, рисунок вен и прочие физиологические биологические идентификаторы распространены еще меньше, но основанные на них продукты по крайней мере можно приобрести. А вот поведенческая биометрия фактически еще не вышла из стен лабораторий и пока сильно уступает в скорости и качестве физиологической. А жаль. Потому что именно она (по меньшей мере в теории) сможет эффективно противостоять главной угрозе биометрических технологий — мошенникам.

Соврет, и дорого возьмет!

Свежий скандал, непосредственно связанный с темой биометрии, разразился в одной из крупных клиник Сан-Паулу (Бразилия), которая использует систему биометрической идентификации по отпечатку пальца — в том числе для того, чтобы фиксировать время прихода и ухода сотрудников. Детали мошенничества пока расследуются, но картина у бразильского следствия складывается такая. Около трех лет назад кто-то из врачей наловчился отливать из кремнийорганического желе (в простонародье именуемого «силиконом») слепки пальцев — и в первое время использовал свою находку, чтобы прикрывать прогулы друзей, поскольку глупый автомат, как выяснилось, не может отличить живой палец от силиконового. Дальше — больше: группа мошенников, сложившаяся в клинике, стала принимать на работу несуществующих сотрудников, которые исправно «ходили» на службу, что подтверждали отметки о приходе и уходе. Вскрылась афера случайно, когда проверка выявила, что одного из работников, три года регулярно получавшего зарплату, никто никогда в глаза не видел. У следователей есть подозрение, что таких «мертвых душ» в клинике «работало» чуть ли не три сотни.


Что ж, в теории папиллярный узор — а равно и любой другой биометрический идентификатор — способен заменить какие угодно ключи и пароли, паспорта и идентификационные документы. Такой «пропуск» не потерять и не украсть: он всегда с вами и всегда готов к предъявлению. Более того, переход с паролей, электронных ключей и бумажных удостоверений личности на биометрические методы идентификации обещает огромные экономические преимущества. Представьте, как много времени и сил тратится на придумывание, заучивание, ввод, перевыпуск паролей, на всю эту волокиту с пропусками!
Проблема только в том, что компьютер — не человек. Он не знает, настоящий палец ему предъявили — или слепок либо послюнявленную фотографию отпечатка (говорят, с некоторыми сканерами проходит и такой трюк).

Что за сканеры использовались в Сан-Паулу, не сообщается, но очевидно, что они были лишены защитных механизмов.
Идентификация по глазу намного надежней — но и она не дает стопроцентных гарантий. В прошлом году на конференции по безопасности Black Hat была обнародована научная работа, посвященная воссозданию чужой радужки в виде картинки или контактной линзы.

Даже алгоритм подделки ДНК-отпечатка уже предложен, хотя систем идентификации по ДНК, работающих в режиме реального времени, еще не существует, а большинство специалистов вообще уверено, что эта технология вряд ли когда-нибудь выйдет за пределы судебной медицины. Так что не питайте ложных надежд: абсолютно стойкого к обману биометрического метода не было, нет, и вряд ли когда-нибудь таковой появится.



Теперь вы понимаете и то, почему биометрия все еще не заменила пароли и электронные ключи — хоть те и доставляют массу неудобств. Да, существуют исследования, утверждающие, что каждый третий звонок в службы техподдержки западных ИТ-компаний так или иначе связан с паролями. Да, соответствующие базы данных регулярно крадут
(совсем недавно Evernote, например, попросила 50 миллионов своих пользователей придумать новые пароли). Но ни один биометрический метод пока не в состоянии заменить пароль.

Ключиком к светлому будущему может стать так называемая многофакторная (или мультимодальная) биометрия. Идея простая — проверять не один, а сразу несколько разнотипных биоидентификаторов. Скажем, сличать одновременно радужку, отпечатки пальцев и фото. Именно так построена, в частности, самая масштабная в истории человечества программа биометризации населения, проводимая сейчас в Индии: больше миллиарда человек должны пройти процедуру снятия указанных параметров, что позволит государству знать каждого своего гражданина буквально в лицо.
Но большие надежды возлагаются и на поведенческую биометрию. Теоретически она способна не только значительно повысить надежность идентификации, но и избавить пользователей от лишних технических сложностей.

Как вести себя будете!

Еще телеграфисты XIX века заметили, что даже «точки-тире» каждый человек отбивает в своей неповторимой манере. Во время Второй мировой радиоразведчики, слушавшие морзянку в эфире, умело пользовались возможностью распознавать радистов противника по индивидуальному стилю работы на ключе. Даже если расшифровать само сообщение не удавалось, с помощью пеленгаторов можно было определить положение «знакомого» радиста на местности по ту линию фронта — а значит, и получить сведения о перемещении его части.


Тот же принцип в полной мере применим и сегодня, для решения мирных задач. Навыки, предпочтения, стиль поведения человека во время выполнения им повседневных дел служат основой для поведенческой биометрии. Как уже говорилось выше, каждый из нас печатает на клавиатуре, ведет машину, поднимается по лестнице с присущими ему, и только ему характерными особенностями. Однако лишь теперь, зная все о физиологической биометрии, вы сможете в полной мере оценить преимущества поведенческой.

Во-первых, для сбора поведенческих данных чаще всего не требуется каких-либо специализированных устройств. Если отпечаток пальца считывается особым сенсором, а радужка глаза в идеале должна быть подсвечена инфракрасным светом, то манеру печати на клавиатуре или управления мышкой можно анализировать непосредственно на компьютере, к которому они подключены — без всякого дополнительного «железа». А значит, и стоить такая система идентификации может меньше.

Во-вторых, если методы физиологической биометрии требуют осознанного участия пользователя (нужно приложить палец к сенсору, не моргая смотреть в камеру и т. п.), то биометрия поведенческая способна работать вообще без ведома человека, совершенно его не беспокоя. Чтобы собрать необходимую информацию, достаточно пронаблюдать за индивидом, когда он занят привычным делом: скажем, за его походкой, движениями мышки и так далее.

В-третьих, по крайней мере теоретически поведенческая биометрия способна обеспечить качество идентификации, недостижимое для физиологических методов. Обусловлено это тем, что моторные навыки человека зависят от огромного множества индивидуальных свойств (как врожденных, так и приобретенных), а потому хорошо дифференцируются от персоны к персоне и в то же время трудно поддаются воспроизведению: попробуйте-ка точно повторить чужую походку!
Плохая новость в том, что исследования поведенческой биометрии пока находятся на ранней стадии. А потому представленные на рынке продукты (от Purilock Security Solutions, DynaSig, Nuance и др.) чаще всего используют поведенческие идентификаторы лишь как дополнение к физиологическим.

К тому же вне зависимости от того, одержит ли верх поведенческая биометрия, победит ли физиологическая или они продолжат взаимовыгодное сосуществование, важно понимать, что технологии биометрической идентификации обладают парой общих недостатков, устранить которые еще только предстоит.

Прежде всего это проблема кражи баз данных. Биометрические идентификаторы (например, отпечатки пальцев), как и пароли, необходимо где-то хранить. И если такая база попадет в чужие руки, злоумышленники смогут причинить записанным в ней людям вред. К счастью, биоидентификатор — это не пароль: даже если его удалось украсть, это еще не значит, что вор сможет выдать себя за другого человека (нужно, к примеру, еще суметь воссоздать слепок пальца по украденному отпечатку, а потом заставить сканер его принять). Зато похититель теоретически сможет узнать многое о владельце такого идентификатора: пол, возраст, национальность… А еще — использовать украденную информацию для слежки за людьми: зная, к примеру, параметры лица нужного человека, можно автоматически находить его на фотографиях, видеозаписях.

Решить эту проблему можно, если хранить в базе данных не сами биоидентификаторы, а их обработанные версии. Скажем, информацию об отпечатке пальца можно обработать любым необратимым стойким шифралгоритмом — так, что восстановить из результата исходную картинку будет практически невозможно (шифрование быстрое, дешифрование очень долгое). Использовать такую базу для проверки по-прежнему просто: после сканирования пальца отпечаток обрабатывают тем же алгоритмом и сличают с записями в базе. А вот красть ее смысла нет: похититель не сможет расшифровать записи.


Но есть еще и совершенно уникальная проблема кражи персональных физиологических свойств. Представьте, например, что некий злоумышленник сумел каким-то образом снять ваши отпечатки пальцев (например, отсканировал их со стакана в офисе), после чего изготовил по ним силиконовый слепок. Укради он у вас пароль — вы могли бы просто поменять его на новый — и проблема была бы решена. Но как поменять отпечатки пальцев? Радужку или сетчатку глаза? Теперь вор сможет выдавать себя за вас всегда, до конца ваших дней!

Теоретическое решение этой проблемы, впрочем, тоже уже предложено (так называемая отменяемая биометрия, суть которой сводится к тому, чтобы, если кража произошла, переключиться на проверку новых контрольных точек), но фактически идея все еще пребывает в лабораторной стадии.

Но давайте остановимся и немного помечтаем. Над биометрией сегодня работают тысячи стартапов и все без исключения крупные ИТ-вендоры — Apple, Microsoft, Google. Стенды на выставке Mobile World Congress ломились от биометрических гаджетов. Естественно предположить, что через несколько лет каждая «персоналка», каждое мобильное устройство обзаведутся тем или иным биометрическим сканером, встроенным либо подключаемым извне. И пользователей будут заботить не столько спецификации конкретного продукта, сколько его совместимость с другими решениями.

Остро встанет вопрос унификации, стандартизации биометрических продуктов. И работа в этом направлении тоже уже идет. Этим заняты, в частности, участники промышленного консорциума FIDO Alliance (за ним стоят Lenovo, PayPal, Infineon). В их видении каждое биометрическое устройство и программы должны понимать друг друга, разговаривая на общих протоколах, а биоидентификаторы — храниться в зашифрованном виде в общем «облаке».

Пользователь, которому на очередном веб-сайте задали извечный вопрос «Вы кто?» (то есть попросили зарегистрироваться), просто подключит к своей персоналке любой FIDO-совместимый биосканер (а может быть, обойдется и без лишних устройств вовсе, запустив программу FIDO-совместимой поведенческой биоидентификации), пройдет проверку и двинется дальше, забыв про пароли как про страшный сон. И это будущее, право, стоит того, чтобы ради него работать.
Евгений Золотов
computerra.ru