Биометрия: правда или вымысел
АрхивБиометрия соблазнительна: вы сами и являетесь ключом. Ваш голос открывает дверь в вашем доме. Рисунок радужной оболочки вашего глаза позволяет пройти в офис компании.
Пер. с англ. Сергея Леонова и Максима Отставнова
Биометрия соблазнительна: вы сами и являетесь ключом. Ваш голос открывает дверь в вашем доме. Рисунок радужной оболочки вашего глаза позволяет пройти в офис компании.
Брюс Шнайер (Bruce Schneier) - президент криптографической компании Counterpane Systems (Миннеаполис, шт. Миннесота, www.counterpane.com). Имеет степень магистра по математике (Американский университет) и бакалавра по физике (Университет Рочестера). Известен как автор пяти книг и десятков статей по криптографии. Член совета директоров Международной ассоциации криптологических исследований (IACR) и член консультативного совета Информационного центра электронной приватности (EPIC). Вместе со своими сотрудниками Шнайер успешно атаковал многие алгоритмы, протоколы и конкретные криптографические решения. Последнее достижение - комплексный анализ уязвимых мест Microsoft PPTP, предпринятый весной прошлого года. Шнайер - разработчик симметричного шифра Blowfish, выдержавшего многолетние атаки коллег, и шифра Twofish, представленного на конкурс NIST в качестве кандидата на новый национальный стандарт.
Отпечаток пальца позволяет вам зарегистрироваться в компьютерной системе. К сожалению, на самом деле биометрия не столь проста.
Биометрия - древнейший способ идентификации. Собаки различают друг друга по лаю. Кошки - по запаху. Люди узнают друг друга по лицам. В телефонном разговоре собеседник идентифицирует вас по голосу, то есть узнает вас в человеке, говорящем по телефону. По вашей подписи деловые партнеры идентифицируют вас как лицо, подписавшее тот ли иной контракт. По фотографии вас идентифицируют как владельца конкретного паспорта.
Биометрии открыто множество подобных применений постольку, поскольку данные биометрических измерений могут быть сохранены в базах данных. Голос Элис может использоваться в качестве биометрического идентификатора в телефонном разговоре только в том случае, если вы уже знаете, кто она такая; если же вы с ней не знакомы, ее голос не имеет никакого значения. То же самое - с почерком: его можно узнать, только если вы его уже видели. Для решения этой проблемы в банках хранятся карточки с подписями. Элис расписывается на карточке, а карточка сохраняется в картотеке (ко всему прочему, чтобы это работало, в банке должна существовать система физической охраны картотеки). Когда Элис подписывает чек, банк сверяет ее подпись с подписью на карточке, чтобы убедиться в действительности этого чека.
Существует масса возможных биометрических характеристик. Я упомянул подпись, голос, черты лица, рисунок радужной оболочки глаза. А еще есть геометрия ладони, отпечатки пальцев, структура ДНК, характеристики клавиатурного набора, геометрия подписи (не просто ее рисунок, а давление пера, скорость его движения и т. д.) и много других. Технологии обработки одних из них более надежны, других - менее, и все они совершенствуются.
"Совершенствование" означает две разные вещи. Во-первых, это исключение возможности того, что система ошибочно примет постороннего человека за Элис. Весь смысл биометрии состоит в том, чтобы доказать, что Элис - это Элис, и если посторонний может выдать себя за Элис - система никуда не годится. Такой исход называется ошибочной позитивной идентификацией.
Во-вторых, "совершенствование" означает исключение и той возможности, что система ошибочно примет Элис за другого человека. Опять же, биометрия должна доказать, что Элис - это Элис, а не кто-то другой, и если Элис не сможет убедить в этом систему, значит, система опять-таки не слишком хороша. Такой вариант называется ошибочной негативной идентификацией.
В общем случае биометрическую систему можно оптимизировать по критерию уменьшения как позитивных, так и негативных ошибок.
Биометрические характеристики хороши тем, что подделать их довольно трудно: трудно оставить фальшивый отпечаток пальца при помощи своего собственного или сделать свою радужную оболочку похожей на чью-то еще. Некоторые люди умеют имитировать голоса, а в Голливуде умеют гримировать людей так, что они становятся похожи на других, - но это требует особых навыков и дорого стоит. Когда вы видите, как человек ставит свою подпись, вы обычно уверены в том, что он ставит именно свою подпись, а не чью-либо другую.
Слабость биометрии в том, что биометрические данные можно похитить после того, как они получены. Во всех обсуждавшихся выше ситуациях проверяющему необходимо не только сверить биометрические характеристики с образцом, но и проверить корректность их получения. Представьте, что удаленная система использует образ лица в качестве биометрической характеристики: "Чтобы получить доступ, пришлите сделанный "Поляроидом" снимок, а мы сравним его с имеющимся образцом". Как атаковать такую систему? Просто. Для того чтобы прикинуться Элис, незаметно сфотографируйте ее. Затем используйте снимок, чтобы обмануть систему. Эта атака сработает, потому что, хотя и трудно сделать свое лицо похожим на личико Элис, получить фотографию ее лица можно элементарно. Поскольку система не может проверить, что сфотографированное лицо является именно вашим, ее можно обмануть.
Точно так же можно подменить подпись, используя копировальный аппарат или факс. Подделать подпись вице-президента на рекомендательном письме трудно, но взять его подпись с другого документа, вырезать, наклеить на рекомендательное письмо, сделать копию и послать ее в отдел кадров легко (а еще легче просто отправить это факсом). Отдел кадров не сможет определить, что подпись была вырезана из другого документа.
Мораль заключается в том, что биометрические характеристики хорошо работают только тогда, когда проверяющий может проверить две вещи: во-первых, что биометрические данные получены от конкретного лица именно во время проверки, а во-вторых, что эти данные совпадают с образцом, хранящимся в картотеке. Если система не в состоянии этого сделать, она не будет работать. Биометрические характеристики являются уникальными идентификаторами, но их нельзя сохранить в тайне. (Повторяйте эту фразу, пока она не запомнится крепко-накрепко.)
Вот другая возможная биометрическая система: проверка отпечатков пальцев для получения удаленного доступа к серверу. Элис кладет палец на считыватель, встроенный в клавиатуру (не надо смеяться, масса компаний хотела бы, чтобы так и было), а компьютер посылает оцифрованный отпечаток пальца на сервер. Сервер сравнивает его с хранящимся образцом и при совпадении разрешает Элис доступ. Но эта схема не работает - просто потому, что "украсть" оцифрованный отпечаток пальца не составляет труда, и как только вам это удастся, вы можете обманывать сервер снова и снова. Биометрические характеристики являются уникальными идентификаторами, но их нельзя сохранить в тайне.
Это приводит нас ко второй основной проблеме с биометрией: она не очень надежна. Представьте, что Элис использует свой палец для идентификации, а кто-то украл его оцифрованный отпечаток. Что теперь? Палец - это не цифровой сертификат, который может быть повторно выдан некоей третьей доверенной стороной. Это ее палец, и запасного у нее просто нет. Если у вас крадут биометрические данные, они остаются украденными на всю жизнь, вернуться к прежней безопасной ситуации уже нельзя. (Еще одна проблема возникает, когда отпечаток пальца Элис не может быть снят по техническим причинам: или слишком холодно, или палец влажный, или даже она потеряла его в результате какой-нибудь травмы. Ключи не должны иметь возможности пропадать безвозвратно.)
Третья, не столь, впрочем, важная проблема заключается в том, что одни и те же биометрические данные приходится использовать в разных системах идентификации. Так же как нельзя использовать один и тот же пароль для регистрации в двух разных системах, один и тот же криптографический ключ не должен применяться в двух различных приложениях. И если мой отпечаток пальца будет использоваться для того, чтобы открыть автомобиль, для доступа к медицинской карте и для чтения электронной почты, нетрудно представить некоторые очень тяжелые последствия такой унификации.
Биометрические характеристики полезны и функциональны, но они не являются ключами. Они могут использоваться тогда, когда существует надежный и защищенный путь от считывателя до системы проверки, все что нужно в таких случаях - это уникальный идентификатор. Но он неприменим, если нужны такие характерные для ключей свойства, как секретность, случайность кода, возможность восстановления или уничтожения. Биометрические характеристики являются уникальными идентификаторами, но их нельзя сохранить в тайне.