Немного истории. Еще в древности люди обратили внимание на уникальность каждого человеческого организма. Строителей египетских пирамид различали не только по именам, но и по комплекции, форме и цвету лица, шрамам на теле. Обратить внимание на отпечатки пальцев людей заставили сохранившиеся следы на изделиях гончаров. Очень долго в качестве подписи неграмотного человека признавался его отпечаток пальца или ладони. В конце XIX века получил распространение метод бертильонаж (по имени создателя – А. Бертильона) для идентификации осужденных по параметрам человеческого тела. Этот метод использовался до тех пор, пока не стало понятно, что могут найтись пары людей, у которых не только один, но и несколько параметров совпадут. В 1897т. была впервые применена Система Классификации Генри, использующая отпечатки пальцев для идентификации человека. В стройную научную дисциплину биометрию по отпечаткам пальцев превратил английский математик Карл Пирсон в 1903-1905 годы. С тех пор развитие биометрии шло на научной основе, а технологии биометрии существенно продвинулись от единственного метода (идентификации по отпечаткам пальцев) к десяткам методов, которые продолжают развиваться и совершенствоваться.
Цели применения
Рассмотрим основные области применения биометрии.
- Криминалистика. Биометрические идентификаторы используются для распознавания жертв (неопознанных трупов) и защиты детей от киднеппинга.
- Маркетинг. Используются методы биометрии для идентификации владельцев карт лояльности.
- Системы учета времени на работе, в образовательных учреждениях и т.п.
- Системы безопасности. Применяются для контроля доступа в помещение и контроля доступа к информационным ресурсам
- Системы голосования. При функционировании автоматизированной системы голосования требуется надежная идентификация/аутентификация граждан, участвующих в голосовании
- Согласно действующим международным требованиям, например стандарту ICAO, паспорта должны содержать биометрический раздел. Кроме того, с недавнего времени страны Шенгенской зоны начали выдавать биометрические визы.
- Биометрические идентификаторы применяются для учета мигрантов и иностранных работников, что позволяет идентифицировать людей даже при отсутствии документов.
- Для организации справедливого распределения социальной помощи населению (Индия, Пакистан), медицинского обслуживания применяются системы биометрической идентификации граждан.
Типы биометрии
Существуют разные виды биометрических систем. Их можно классифицировать по типу данных, которые они анализируют:
- Поведение человека (например, походка, анализ нажатий на клавиши, речь),
- Физические свойства человека (отпечаток пальца, геометрия руки, сетчатка глаза, форма лица, геометрия кровеносной системы руки, геометрия кровеносной системы лица, ДНК, форма мочки уха).
Другими критериями могут быть, например, контактный либо бесконтактный способ измерения биометрического параметра, динамический или статический анализ (т.е. рассмотрение одного значения параметра или целой серии значений, которые показывают изменение параметра во времени), константность анализируемого свойства. Константность свойства подразумевает возможность возрастных изменений физиологии человека. Например, форма лица меняется с возрастом, формула ДНК остается неизменной, походка зависит от состояния человека (его самочувствия и настроения, выбранной одежды, возраста). Так пьяный человек, скорее всего не сможет успешно пройти биометрический тест, хотя явно, что это одно и то же лицо. Другой пример – походка одной и той же женщины в туфлях на высоком каблуке и надевшей кроссовки будет отличаться.
Существует и понятие мультимодальной биометрии – подразумевается измерение нескольких биометрических параметров. Подобные системы действуют на ряде военных, секретных объектов США.
Указанные выше критерии влияют на выбор технологии, так как к системе могут применяться некоторые ограничения. Перед выбором конкретного типа биометрических устройств нужно анализировать условия, в которых они будут применяться, и категории людей которых нужно будет сканировать. Исходя из этого, можно составить список нештатных ситуаций, с которыми будет сталкиваться система, а так же рассчитать насколько удобной она будет в период эксплуатации. Рассмотрим примеры. В метро, использование системы анализа походки может быть оптимальным, поскольку она не требует того, чтобы человек остановился для проверки, ведь систему интересует именно движение. А в медицинском учреждении, где персонал часто носит перчатки, сканер отпечатков пальцев вряд ли будет удобен для сотрудников. .
Критерии производительности
Скорость обработки получаемых биометрических данных
Данный параметр показывает, как быстро система выдает результат анализа. Рассматриваются два сценария:
- «1:N» - дает ответ на вопрос «кто это?»,
- «1:1» - определит «он\она ли это?»
Идентификация по сценарию «1:N» предусматривает наличие следующих компонент:
- База данных с биометрическими шаблонами, в которой каждому шаблону присваивается уникальный идентификатор,
- База данных с персональной информацией о людях, например имя, пол, год рождения. Также в этой базе есть атрибут, который позволяет связать конкретного человека с уникальным идентификатором из биометрической базы данных,
- Сканнер, который считывает данные конкретного человека, в виде биометрического образца.
Биометрический образец сравнивается со всеми биометрическими шаблонами, если найдено совпадение, система может ответить на следующие вопросы:
- Есть ли этот человек в списке тех, кто регистрировался?
- Кто этот человек?
Следует обратить внимание на тот факт, что это два разных вопроса, которые требуют разных входных данных. В первом случае нет нужды в базе с персональными данными, так как требуется только база с биометрическими шаблонами. Этот вопрос будет рассматриваться далее, в контексте рекомендаций по внедрению биометрических систем, и при рассмотрении причин по которым биометрия потерпела крушение в некоторых странах мира.
Верификация по сценарию «1:1» предусматривает наличие следующих компонент:
- Сканнер, который считывает данные конкретного человека в виде биометрического образца,
- Конкретный биометрический шаблон, с которым будет сравниваться образец. Этот шаблон обычно хранится на смарт-карте, или на другом носителе информации с высоким уровнем безопасности
Биометрический образец сравнивается с одним биометрическим шаблоном. Если они совпадают, система может ответить на вопрос: «Является ли этот человек тем, с чьим шаблоном его сравнивали?».
Важно подчеркнуть, что в этой ситуации отсутствует некая централизованная база данных, в которой содержатся биометрические шаблоны всех зарегистрированных людей. Биометрический шаблон хранится на карте, которая всегда под контролем владельца, следовательно, каждый может быть уверен в том, что никто не получит доступ к его биометрическим данным1.
Метрики
Скорость обработки 1:1 запросов превышает скорость обработки 1:N запросов, так как система анализирует меньший объем информации.
Также время обработки 1:N запросов зависит от размера базы – чем больше людей, тем больше сравнений нужно провести для того, чтобы ответить на вопрос «кто это?». Данный аспект является очень важным, так как если не учитывать рост количества пользователей, система не будет масштабируемой – что может привести к задержкам, финансовым потерям, и т.д.
Анализ и сравнение биометрических шаблонов
Кроме скоростных метрик существуют и качественные метрики. Они определяют уровень уверенности системы в своём ответе на вопросы «кто это?» и «он/она ли это?».
Любая биометрическая система не может дать точного ответа на эти вопросы. Вместо этого она выдает вероятность, с которой сравниваемые величины совпадают. Данная вероятность сравнивается с пороговым значением, в результате чего определяется, следует ли считать ответ положительным или отрицательным.
Биометрические системы можно сравнивать по следующим параметрам:
- FRR (False Rejection Rate) – система не распознает зарегистрированный отпечаток,
- FAR (False Aceptance Rate) – система ошибочно распознает незарегистрированный отпечаток,
- EEF (Equal Error Rate) – вероятность того, что FRR = FAR,
- FER (Failure to Enroll Rate) – вероятность того, что система не сможет зарегистрировать человека,
- ATV (Ability To Verify) – вероятность, с которой система может успешно проверить человека; математически это выражается как (1-FRR)*(1-FAR).
Вот несколько примеров, которые иллюстрируют поведение биометрической системы контроля доступа сотрудников в здание одной организации:
- Высокий FRR – иногда «свой человек» не сможет попасть на работу,
- Высокий FAR – иногда «чужой» сможет проникнуть на территорию предприятия.
Человеческий фактор, восприятие биометрических технологий
Исходя их того, что пользователем подобных систем является человек, один из самых важных факторов, влияющими на успех применения биометрии - восприятие технологии людьми, которые ее применяют. В этом контексте следует анализировать следующие аспекты:
- Легкость и удобство эксплуатации
- Время реакции – как быстро система сообщает, что она успешно приняла данные и теперь обрабатывает их2,
- Скорость обработки - как быстро система дает ответ на вопрос «кто это?» или «он\она ли это?»,
- Комфорт – например, требование снимать перчатки для сканирования пальца окажется неприятным для жителей северных регионов,
- Возможность работы в нештатных ситуациях3:
- технические – отсутствие питания, разрыв соединения с сервером, и т.д.
- биологические – полидактилия4, отсутствие одной или обеих рук, временное отсутствие отпечатка по причине пореза, химического воздействия, и т.д.
- культурно-моральные – требование сфотографировать лицо окажется проблематичным для женщин с исламским вероисповеданием..
- Психологическая реакция людей зависит от таких факторов, как:
- Опасение, что биометрические данные будут применяться в других целях кроме тех, о которых официально говорится,
- Религия, которая предсказывает «метки» и «число дьявола» которое присваивается каждому человеку.
- Рациональные сомнения
- Недоверие государству – «Что будет делать следующая администрация с биометрическим данными?», «Кто будет иметь доступ к данным (иностранные государства, коммерческие организации, и т.д.)?»
- Цена решения – "зачем инвестировать в биометрию, если в стране нет достаточно школ?"
Статистика использования биометрических методов идентификации сегодня выглядит примерно так (по данным В.В.Сидорова, Коммерческого директора ООО "Передовые охранные системы):
- отпечатки пальцев – 59%;
- геометрия лица – 17%;
- радужная оболочка – 7%;
- геометрия руки – 7%;
- рисунок вен – 7%;
- голос – 5%;
- почерк – 1%;
- все остальное – 1%.
Рассмотрим наиболее часто используемые биометрические системы – работающие с отпечатками пальцев и сканирующие геометрию лица – и факторы, ограничивающие их использование.
Отпечатки пальцев
Данные системы являются самыми распространенными. Проблемы, возникающие при эксплуатации дактилоскопических систем, можно разделить на две группы:
- физиологические, или проблемы «плохих» пальцев - излишне сухих, с низким рельефом папиллярного узора, со стертым папиллярных узором, с различными повреждениями кожи, т.н. «пальцев домохозяйки» и т.д. Автор этих строк в полной мере ощутил на себе дискомфорт от того, что система отказывается признать его;
- психологические – поскольку большинство дактилоскопических систем идентификации действуют в автоматическом режиме, то довольно часто возникают ситуации, когда пользователь преждевременно отбирает руку от сканера, что приводит к необходимости повторного сканирования.
Черты лица
Биометрия лица также является распространенным методом, так как много учреждений уже имеют в своем распоряжении архивы с фотографиями. Таким образом, можно получить некоторый эффект без вложения новых ресурсов в процесс сбора биометрических данных.
Вот ограничения, которые влияют на работоспособность и эффективность такой системы:
- условия при сканировании (например, освещение, угол наклона),
- вариация лица (головные уборы, косметика, очки, усы или борода, старение).
В то время как обеспечить оптимальные условия сканирования достаточно просто, второй фактор не поддается контролю. Невозможно заставить людей не забывать очки, или вставать рано — чтобы успеть побриться. Данное свойство человека превращается в очередное требование к биометрической системе: толерантность к вариациям. Если она отсутствует, система обречена.
Методы манипуляции биометрических систем
Рассмотрим существующие методы манипуляции, которыми злоумышленник может воспользоваться на разных этапах функционирования дактилоскопической системы.
Этап регистрации
- Предъявить отпечатки другого человека – при создании паспорта для лица Х, отпечатки предъявляет лицо Y,
- Предъявить искусственный отпечаток, созданный программным методом (т.е. отпечаток который не принадлежит никому),
- Предъявить отпечатки разных людей (т.е. при просьбе приложить следующий палец, приложить палец другого человека) – в результате каждый их них пройдет идентификацию от имени одного лица.
Этап проверки
- Поменять отпечатки местами,
- Временно изменить или повредить отпечаток (например, химическим воздействием).
А теперь рассмотрим подходы, которые могут заставить систему решить, что представленный палец является аутентичным. Для этого можно предъявить:
- аутентичный палец,
- незарегистрированный палец злоумышленника – иногда система может его пропустить за счет установки высокого значения параметра FAR (False Acceptance Rate),
- атака на сканер – некоторые системы могут подвергаться внешним факторам, которые влияют на параметры FAR и FRR; например, если повысить температуру или влажность среды в которой находится сканер,
- отрезанный палец – даже если он был получен с мертвого тела, которое прошло через несколько фаз разложения, отпечаток можно обработать и повысить его качество,
- генетический клон – отпечатки близнецов отличаются, так как отпечаток является не только продуктом ДНК, но и результатом воздействия внешних факторов. Тем не менее, отпечатки близнецов отличаются не существенно,
- искусственный клон – получен методом сканирования отпечатка или создания его слепка
Последний метод исследуется в статье “Impact of artificial gummy fingers on fingerprint systems”5.
Создание искусственного отпечатка можно осуществить двумя общими методами:
- с согласием обладателя оригинала, т.е. субъект добровольно участвует в процессе,
- без его согласия – отпечаток получается косвенным методом, например, после обработки предмета, который трогал субъект. Источником оригинала может быть и поверхность сканера, на которой сохраняется отпечаток после сканирования.
Процесс создания копии отпечатка подробно описывается в вышеупомянутой статье, а так же в работе “Don’t get your fingers burned”6 .
На первый взгляд эти действия кажутся маловероятными, или бесполезными, но они допускают разные схемы мошенничества. Например, предъявив искусственный отпечаток, человек может создать фиктивную личность, что может позволить получить новый кредит в банке, не оплачивая предыдущий. Предъявив отпечатки (либо искусственно созданные реплики, либо регистрировать пальцы разных людей) нескольких людей, можно дать доступ к определенным секретным объектам более чем одному лицу. Такой инцидент уже произошел в 2009 году. Гражданка Китая проникла на территорию Японии нелегально, заплатив 15000 долларов США за трансплантацию отпечатков7. Она прошла успешно таможенный контроль, но была задержана по другой причине. При тщательном анализе ситуации выявилось, что ее отпечатки поменялись местами – что позволило ей пройти контроль без того чтобы создать ассоциацию со своей личностью.
Исходя из методов, описанных выше, можно составить список рекомендаций для этапа регистрации и проверки отпечатков.
Рекомендации
- Регистрация:
- Должна производится в присутствии оператора,
- В момент регистрации не должен присутствовать никто другой, кроме оператора и субъекта,
- Случаи, в которых субъект нуждается в помощи (например, по состоянию здоровья) должны документироваться.
- Проверка:
- Обращать внимание на следы, которые остаются после трансплантации,
- Предоставить альтернативный метод проверки, если нет возможности получить качественный отпечаток,
- Обеспечить исчезновение следа отпечатка с поверхности сканера (например, применяя swipe сенсоры – палец проходит по поверхности, смазывая отпечаток).
Следует подчеркнуть, что результаты экспериментов показывают, что в 2000 и 2002 годах, биометрические сканеры не могли отличить живой палец от искусственного, даже если производители сканеров утверждают обратное. Это касается любых сенсоров, доступных на тот момент: оптические, ультразвуковые, термические, емкостные и др. Поэтому процессы, которые требуют повышенного уровня безопасности, следует проводить в присутствии оператора, который сможет выявить попытку мошенничества.
Стандарты
«Прелесть стандартов состоит в том, что их ассортимент широкий»
A. Tanenbaum
Системы, которые базируются на стандартах, являются более надежными и безопасными, они масштабируются лучше, они более экономичны и у них лучше совместимость с другими системами, их легче эксплуатировать.
Исходя из этого, любая биометрическая система, которая будет внедряться в масштабах государства должна проектироваться с учетом существующих стандартов в данной индустрии. Привязка к модулям (алгоритмы, форматы данных, устройства), построенным на закрытых технологиях - является ошибкой. Несмотря на то, что такого рода привязка может создать временные выгоды – например, сократить время разработки, в итоге это сказывается отрицательно на стоимости поддержки, эксплуатации и расширения системы.
Следует не только избегать попыток создавать собственные стандарты (в техническом жаргоне это называется синдром «не изобретено здесь»), но и, наоборот, нужно стремиться к интеграции уже существующих решений. Это позволит экономить ресурсы на разработку, отладку и поддержку.
В настоящее время существуют несколько типов стандартов
- Коммерческий – применяется компанией или группой компаний. Такой стандарт может базироваться на опыте предприятий, и не обязательно разрабатываться комитетом; но если он решает задачу, и его внедрила критическая масса предприятий – такой стандарт может существенно влиять на всю индустрию. Пример – формат PDF, изначально разработан компанией Adobe, сегодня это стандарт ISO8.
- Национальный – разработан и применяется внутри страны.
- Международный – согласован с большим количеством заинтересованных сторон (компании, учреждения, эксперты), поддерживается специальным комитетом.
Практика показывает, что много международных стандартов эволюционировали из национальных. Они, в свою очередь, могут родиться в одной компании или министерстве.
Ниже приведены стандарты Российской Федерации:
- ГОСТ Р ИСО/МЭК 19794-2-2005 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 2. Данные изображения отпечатка пальца
- ГОСТ Р ИСО/МЭК 19794-4-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальцев»
- ГОСТ Р ИСО/МЭК 19794-5-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица».
- ГОСТ Р ИСО/МЭК 19794-6-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза».
Государственный орган, занимающийся техническим регулированием в области биометрии, - Федеральное Агентство по техническому регулированию и метрологии. Технический комитет 355 - Технологии автоматической идентификации и сбора данных и биометрия , подкомитет 7 – Биометрия.
Наиболее известны следующие Международные стандарты:
- ANSI/NIST-ITL 1-20079 - разработан для облегчения обмена данными между силовыми структурами США. В этом стандарте рассматривается метод кодирования информации о татуировках, шрамах, лицах и отпечатках.
- NISTIR 6529-A10 - определяет формат контейнера биометрических данных (CBEFF - Common Biometric Exchange Formats Framework), но не формат самих данных. Этот стандарт написан с учетом того, чтобы он мог применяться для любого типа биометрии. В данный момент идентификатор этого документа ANSI INCITS 398. Следует заметить, что СBEFF описывает метод хранения гетерогенных типов биометрии, что позволяет внедрять системы, которые базируются на несколько типах биометрических признаков (multimodal biometrics).
- ANSI INCITS 377-2009 – метод трансформации сырых данных отпечатка в области (клетки), с последующим расчетом математических функций, которые описывают кривые в каждой области.
- ANSI INCITS 381 – формат хранения изображения отпечатка пальца и ладони. Данный формат используется Microsoft в Windows Biometric Framework11. Следует подчеркнуть, что ОС Windows доминирует на рынке операционных систем, выбор этого формата заставляет других игроков рассмотреть добавление поддержки этого формата, особенно если существует требование взаимодействовать с Windows-системами.
- ANSI INCITS 378 – декларирует формат хранения данных о минуциях отпечатка, а так же дает точное определение термина «минуция». Формат предусматривает возможность паковать в едином блоке информацию о разных пальцах, или разные виды одного пальца. Это компактный формат - общий размер данных о двух пальцах (по 27 и 22 минуции) – 342 байта.
- ANSI INCITS 379 – определяет формат хранения данных об ирисе. Определяет метод хранения изображения в декартовой и в полярной системе координат, методы сжатия, количество цветов в палитре изображения, и т.д.
- ANSI INCITS 396 – определяет формат хранения данных о геометрии руки. Данный стандарт является базой стандарта ISO/IEC NP 19794-10, который находится в стадии разработки.
- ANSI INCITS 385 – определяет формат хранения данных о геометрии лица. В нем определяются типы фотографий лица, метрики качества фотографий, способы анализа изображения человеком и компьютером.
- ANSI INCITS 442-2010 – определяет примитивы для удаленного доступа к биометрическим данным.
- ANSI INCITS 429 – определяет методику тестирования для проверки на совместимость со стандартом ANSI/INCITS 358-2002.
Стандарты ANSI являются результатом работы ряда структур из США. Тем не менее, многие из них стали международными, и теперь поддерживаются ISO.
Помимо стандартов следует отметить наличие на сегодняшний день биометрических программных интерфейсов (API), которые де-факто стали «практическими» стандартами:
- BioAPI – реализует взаимодействие с биометрическими сканерами разных типов посредством унифицированного API. Существуют две версии стандарта:
- ANSI/INCITS 358-2002 – BioAPI 1.1,
- ANSI/INCITS 434-2007, ISO/IEC 19784-1:2005 – BioAPI 2.0,
- WBF – Windows Biometric Framework. Данный API предоставляется компанией Microsoft начиная с ОС Windows 7 и Windows Server 2008 (для серверных версий). На данном этапе поддерживается только работа со сканерами отпечатков пальцев,
- BSAPI – собственный API компании UPEK (теперь это часть компании Authentec), который является кросс-платформенным, поддерживая Windows, OS X, Linux.
Мнения экспертов
Напоследок приведем мнение экспертов по поводу эффективности применения биометрических систем.
Брюс Шнайер
«Допустим что карта на 100% успешна. Теперь не один террорист не может фальсифицировать личность. Понижает ли это вероятность атаки? Нет. Они просто найдут другой путь.
Биометрия не остановит меня, если я захочу получить карту на ваше имя. Фотографии тоже являются биометрией, мы применяем фотографии на картах в США, несмотря на это, мошенничество продолжает существовать. Что нового в том, что биометрию проверяет компьютер вместо человека? Вы доверяете своему компьютеру? Я своему – нет.
Люди, которые управляют компьютерами, могут быть коррумпированы. Насколько сложно заплатить кому-то за то, чтобы они поменяли отпечаток в базе данных?»13
Г.В. Бауман, Генеральный директор компании YUM
«Наиболее распространенная технология идентификации – по рисунку на пальце, хотя есть еще довольно большое количество представленных подходов (радужка глаза, венозный рисунок, 3D-модель лица, голос). Возможно, идентификация по пальцу не самая прогрессивная, но она наиболее понятна потребителю и не вызывает большого отторжения. Сегодняшняя биометрия останется нишевым продуктом из-за ряда существенных недостатков (влияние внешних факторов на объект идентификации, большой объем обрабатываемой информации, медленность идентификации, влияние позиционирования объекта на результат, необходимость физического контакта).
В России для практического применения наиболее известны и востребованы системы по отпечатку пальца, геометрии лица, геометрии руки и радужной оболочке глаза.»
Исходя из вышеизложенного можно сделать вывод – при надлежащем использовании биометрические идентификаторы и биометрические системы могут рассматриваться в качестве дополнительного фактора, существенно повышающего уровень безопасности различных систем (идентификации личности, контроля доступа и т.п.).