Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире

Исключения составляют ситуации, где биометрические данные подтверждаются как часть запутанного и необычного протокола. Когда Алиса подписывает контракт, например, у Боба еще нет копии ее подписи. Однако протокол работает – так как Боб знает, что он сможет проверить подпись впоследствии, если возникнет такая необходимость.

Существует много различных типов биометрических данных. Я уже упомянул почерк, звучание голоса, узнавание лица, отпечатки пальцев. К биометрикам также относятся линии на руке, сканирование сетчатки, сканирование радужной оболочки глаза, динамические характеристики подписи (не только то, как она выглядит, но и с каким нажимом, с какой скоростью она была начертана и т. д.) и другие. Одни технологии надежнее других – отпечатки пальцев намного надежней распознавания лица – но ситуация может измениться, поскольку технологии совершенствуются. Некоторые навязчивы – одна несостоявшаяся технология базировалась на образце отпечатка губ и требовала от пользователя поцеловать компьютер. В целом, биометрические данные будут считываться все лучше и лучше.

«Лучше и лучше» имеет два разных смысла. Во-первых, это значит, что самозванец не будет неправильно опознаваться в качестве Алисы. В целом, роль биометрических данных заключается в том, чтобы доказать, что Алиса-претендент и есть настоящая Алиса. Таким образом, если самозванец может успешно одурачить систему, то она работает не очень хорошо. Это называется ложной уверенностью. Во-вторых, это значит, что система не будет пытаться представить Алису как самозванца. Вернемся к началу: если роль биометрических данных – доказать, что Алиса – это Алиса, и если она не может убедить систему, что она – это она «не поддельная», тогда система также работает плохо. Это называется ложным отрицанием.

С течением времени биометрические опознавательные системы стали работать лучше в плане как ложной уверенности, так и ложного отрицания. Например, они устанавливают проверку отпечатков, так что ни пластиковый палец, ни чей-либо настоящий, но чужой палец не одурачат устройство, считывающее его отпечаток. Они лучше делают работу по отслеживанию ежедневных изменений в индивидуальных биометрических данных. Они более легки для использования.

Вообще, вы можете настроить биометрическую систему как в сторону допущения ошибки ложной уверенности, так и в сторону ложного отрицания. Здесь весьма нечеткие границы: если система получает отпечаток пальца, который, похоже, принадлежит Алисе, впустит ли она ее внутрь? Это зависит от того, склонна она в большей степени допустить ложную уверенность, или ложное отрицание. Если Алиса уполномочена взять карандаш со склада, то лучше допустить ошибку ложной уверенности; здесь больше неприятностей с отказом законному пользователю, чем если бы несколько карандашей просто потерялись. Если система защищает большие суммы денег, то ложное отрицание предпочтительней: оставить неправомочных пользователей снаружи более важно, чем иногда отказать в доступе законному пользователю. Если система приступает к выполнению ряда последовательных операций для запуска ядерных ракет, страшны оба варианта.

Биометрические данные значат очень много, так как на самом деле их сложно подделать: очень трудно нанести ложный отпечаток на свой палец или сделать сетчатку своего глаза похожей на чужую. Некоторые люди могут говорить голосами других (например, эстрадные имитаторы), а Голливуд способен сделать лица людей похожими на других. Но вообще подделать биометрические данные очень тяжело.

С другой стороны, биометрические данные даже слишком легки для подделки: не проблема украсть биометрики после того, как были сделаны начальные измерения. Во всех случаях, которые мы обсуждали, проверяющему необходимо было бы удостовериться не только в том, что биометрические данные верны, но и в том, что они были введены правильно. Вообразим удаленную систему, которая использует узнавание лица как биометрику. «Для получения разрешения возьмите свою фотографию, сделанную „Полароидом", и отправьте ее нам. Мы сравним картинку с той, что хранится у нас в файле». Как здесь осуществить нападение?

Легко. Чтобы выдать себя за Алису, возьмите ее фотографию, сделанную «Поляроидом», так, чтобы владелица об этом не знала. Потом, несколькими днями позже, используйте ее, чтобы обмануть систему. Это нападение работает потому, что получить фотографию Алисы просто, это совсем не то, что сделать свое лицо таким, как у нее. И так как система не проверяет, что это изображение вашего лица, а только то, что оно соответствует Алисиному лицу в картотеке, мы в состоянии обмануть ее.