Источник: Все о вашей безопасности, № 4, 2002 год
Идентификация человека по отпечаткам пальцев — одно из практических применений биометрических технологий. Понятие биометрии появилось в конце XIX века и подразумевает раздел науки, занимающейся количественными биологическими экспериментами с привлечением методов математической статистики. В 1864г доктор Нейман Гроу опубликовал первые работы с предложением идентификации личности по отпечаткам пальцев, а в конце прошлого века ФБР предприняло первые шаги в этом направлении. В 1905 г в Лондонском суде был создан юридический прецедент, когда подсудимый был приговорен к смертной казни на основании идентификации отпечатков его пальцев. С тех пор биометрия шагнула очень далеко: от отпечатков пальцев к базам данных ДНК.
В конце ХХ века интерес к биометрии получил новый стимул, в связи с использованием так называемых биометрических систем безопасности, суть которых состоит в использовании электронных систем распознавания личности по уникальным биологическим признакам и в определении, таким образом, прав доступа этой личности к той или иной системе. Биометрия в основном занимается двумя вопросами: получение данных и их верификация (идентификация личности) — сравнение только что полученных данных с данными, полученными ранее и хранящимися в памяти. Идентификация человека по отпечаткам пальцев на сегодняшний день — самая распространенная из биотехнологий. Сканерами отпечатков пальцев оборудуют компьютеры, в том числе ноутбуки, сотовые телефоны, даже компьютерные «мыши». И, уж конечно, в последние годы появилось множество устройств доступа, использующих в качестве ключа рисунок на пальце.
Если попытаться проанализировать периодику по рассматриваемой теме, то создается впечатление, что биометрические технологии — панацея от всех бед, связанных с забыванием паролей, кражей ключей (пусть даже электронных, в виде пластиковой карточки), подсматриванием ПИН-кодов и так далее. Названия рекламных статей наподобие «Ключ, который всегда с тобой» и усиление терроризма в мировом масштабе только «подливают масла в огонь». Не будем указывать на конкретные статьи — реклама на то и есть, чтобы убедить пользователя в том, что это ему «ну просто необходимо». Давайте попробуем во всем разобраться...
Микропроцессор в роли криминалиста
Дактилоскопия, как наука — вещь непревзойденная при идентификации личности. Именно дактилоскопия доказала, что людей с одинаковыми отпечатками пальцев в природе не существует. А дальше за дело взялись инженеры. Если что-то может делать человек, то почему бы не научить этому компьютер? Ведь умеют же программы читать текст, создавать мультфильмы — да мало ли что еще! И появились устройства, которых научили распознавать отпечатки пальцев.
Простейшая система
Основа любой биометрической системы контроля доступа — сенсор, который «снимает» некие физические характеристики человека. Выходной сигнал сенсора переводится в цифровую форму, производится извлечение только полезной информации с помощью математических алгоритмов (цифровой процессор сигналов) и сохранение полученной информации в памяти. Управляющий микроконтроллер обеспечивает необходимую последовательность действий системы, управление потоками данных и взаимодействием с внешним миром (например, открывает дверь при положительной идентификации).
Черно-белый рисунок отпечатка пальца при 256 градациях серого занимает примерно 80 килобайт памяти. Современные алгоритмы преобразуют такую картинку в шаблон объемом около 256 байт, что позволяет хранить в реальных системах сотни и тысячи таких шаблонов.
При идентификации человека производится повторное снятие отпечатка, преобразование его в шаблон с использованием тех же алгоритмов, что и при занесении шаблона в память и сравнение двух полученных шаблонов между собой для принятия решения об их идентичности.
Главное, что надо иметь в виду — это то, что шаблон, получаемый с одного и того же пальца несколько раз подряд, каждый раз будет разным! Таким образом, простое сравнение двух 256-байтовых массивов для определения их идентичности никогда не даст желаемого результата — такая система никогда не впустит вас в помещение. Понять, почему так происходит, поможет краткое рассмотрение алгоритмов идентификации.
Алгоритмы идентификации
Никто никогда не задумывался, почему человек узнает своего знакомого в любой одежде, в очках или без них, глядя спереди, справа или слева? Почему отличит кошку любого цвета и размера от любой собаки? И не ломайте голову — на сегодня с точки зрения точных наук это остается загадкой. А если так, то и реализация устройств биометрической идентификации, работающих не хуже человеческого мозга, невозможна. Да что там говорить — даже компьютерные системы распознавания текста работают не на все 100%, при том что задача намного проще. Но современный математический аппарат и микроэлектроника позволяют хоть как-то реализовать распознавание образов.
В системах, работающих с отпечатками пальцев, используются два основных метода: корреляционный и метод миниатюр. Первый из них является достаточно универсальным, и может использоваться практически во всех биометрических технологиях. Второй является основным методом именно в дактилоскопии, поэтому на нем мы и остановимся поподробнее.
Итак, как производится идентификация по методу миниатюр. Сначала объясним, что такое миниатюры. Папилярные линии могут обрываться, сливаться, образовывать дуги и завитки. Именно такие характерные точки называют миниатюрами.
Со сканера мы получаем монохромный рисунок папилярных линий пальца. Для повышения достоверности идентификации следующим шагом, как правило, является предварительная обработка рисунка, способствующая повышению его четкости и контрастности. Затем в рисунке определяются миниатюры. Полученные таким образом данные — описание типа и взаимного положения характерных точек рисунка — и составляют шаблон, который сохраняется в памяти для последующего сравнения.
Сравнение сохраненного в памяти и вновь полученного шаблона осложняется тем, что невозможно дважды одинаково приложить палец к сканеру. При этом происходит не только сдвиг и поворот рисунков, но и деформация, потеря части миниатюр. Добавьте к этому такие проблемы, как порезы и ожоги — и вы поймете, что все это сильно усложняет задачу математиков, разрабатывающих алгоритмы идентификации.
Реализация
Не будем приводить примеры законченных систем контроля доступа — их достаточно в рекламных материалах по безопасности. Отметим только, что при всем разнообразии конструкций и дизайна, «начинка», в основном, похожа. Дело в том, что большинство производителей конечных продуктов используют готовые решения, производимые всего несколькими фирмами в мире, много лет и сил вложившими в разработку этой технологии. Пример такого решения производства компании ST Microelectronics — одного из лидеров в области производства сенсоров и процессоров для обработки отпечатков пальцев.
Такой комплект оснащается микроконтроллером для реализации общей логики работы устройства, клавиатурой, дисплеем — и конечный продукт готов. С учетом того, что стоимость комплекта на сегодня уже не более 100 долларов, следует в ближайшем времени ожидать снижения цен на системы идентификации по отпечаткам пальцев.
Ситуация на рынке
Наибольший прогресс в этой области достигнут в США, чуть позади — Азия. Разработчики Тайваня занимаются этим наиболее плотно, хотя они постоянно преодолевают трудности с обеспечением финансирования разработок в этой рискованной, с точки зрения изученности спроса, области.
Глобальный терроризм ускорил рост активности на рынке биотехнологий. При этом технология «пальцев» занимает около 80% рынка за счет простоты, удобства и относительной дешевизны (если около 1000 долларов за законченный считыватель считать умеренной платой).
В ближайшие 2...3 года прогнозируется примерно 40% ежегодный прирост в этой сфере. Желание окупить вложения в разработки, оборачивающееся мощной рекламой, заставляют людей платить огромные деньги. Естественно, рост сбыта однозначно приведет к падению цен, и классическая цепная реакция обеспечит возможность купить считыватель отпечатков пальцев любому желающему.
Россия, как всегда, несколько отстает в этом от Запада, но уже давно многие компании предлагают биометрические считыватели для комплектования систем безопасности при повышенных требованиях к секретности и защищенности от вторжения.
Не всё так просто
А теперь обратимся к отрицательным моментам. Начнем с того, что время, требуемое для сканирования и сравнения одного отпечатка в современных автономных системах идентификации по пальцам, составляет от 0,1 до 1 секунды. Мощные системы для авторизации в компьютерных сетях, где выделенный сервер на базе процессора Pentium с тактовой частотой 1,5 ГГц обрабатывает в секунду 4000 отпечатков, в расчет не берем. Это означает, что при установке чисто дактилоскопической системы на проходной, через которую проходит более тысячи человек, каждый будет ждать принятия решения о допуске более минуты.
Проблема скорости реакции системы решается на сегодняшний день следующим способом: идентификацию, то есть сравнение полученного шаблона со всей базой данных ранее запомненных эталонных шаблонов, заменяется верификацией, то есть сравнение вновь полученного при сканировании отпечатка с единственным образцом. Этот единственный образец выбирается из базы данных за счет того, что пользователь предварительно идентифицирует себя вводом кода с клавиатуры, предъявлением proximity карты или иным аналогичным способом. Один из оригинальных способов сокращения аппаратных затрат и сокращения времени идентификации состоит в том, что образцовый шаблон хранится не в памяти системы, а в идентификаторе, который предъявляет пользователь, то есть в карте или брелке. Система в этом случае сканирует палец, извлекая из отпечатка текущий шаблон, а образцовый шаблон считывает из идентификатора и сравнивает их для принятия решения. Из серийно производимых идентификаторов для этих целей на сегодняшний день подходят только карты Mifare® (Philips Semicondactors) и ключи типа Touch memory фирмы Dallas.
Но проблема скорости идентификации временная — постоянный рост производительности микроконтроллеров решит эту проблему очень скоро. Есть более печальные обстоятельства, для рассмотрения которых сначала предлагаю ознакомиться с материалом, приведенным на врезке «История из жизни».
FAR и FRR
Поскольку дактилоскопические системы заведомо не дают гарантии правильной идентификации, для их характеристики специалисты ввели два очень важных параметра: уровень ложного допуска (False Acceptance Rate) и уровень ложного отказа (False Rejection Rate). Первый определяет вероятность допуска к защищаемому объекту постороннего, когда система принимает его за «своего». Второй параметр, напротив, определяет вероятность того, что человек, отпечаток которого имеется в базе данных, не будет допущен (с первого раза — со второго или третьего он, может быть, и пройдет).
Будучи и так не слишком высокими, эти два параметра еще к тому же сильно связаны между собой, так что разработчику системы приходится балансировать между двух крайностей, выбирая внешне наиболее привлекательный вариант. Типичные значения первой ошибки — от 0,1% до 0,001%, второй ошибки — от 1% до 0,01%. Хотя некоторые компании и заявляют уровень обоих ошибок не хуже 0,0001%, эти данные некорректны, поскольку не существует даже единой объективной методики измерения ошибок.
Люди...
Еще один печальный факт... Люди все разные, и не только потому, что имеют разные отпечатки, но и потому, что одни их имеют, а другие — нет! И если вход на фирму защищен дактилоскопическим считывателем, а у вас с отпечатками между плохо и очень плохо, то как вы попадете на работу? Такая статистика есть (в разных источниках данные немного отличаются): около 5...8% людей имеют «плохие» с точки зрения распознавания отпечатки, а от 2 до 3% — не имеют их вообще.
По поводу ошибок и качества отпечатков. Автор данной статьи тестировал одну из систем. Занес отпечатки восьми пальцев (по 4 на каждой руке — мизинцы имеют маленькую площадь и малопригодны для использования). Проверил — все более или менее работает. На следующий день из восьми «годился» только один палец. Тонкими настройками и статистической обработкой снятых шаблонов удалось несколько улучшить ситуацию, но не до конца.
От подделки ничего не защитить
И, наконец, самое грустное... Все заявления о том, что подделать или украсть биометрические признаки человека невозможно — это попытка выдать желаемое за действительное. Нельзя прочитать или подделать внутренний мир человека, его мысли. Все внешние проявления копируются, и артисты — пародисты — лучшее тому подтверждение (они копируют так называемые динамические признаки — голос, походку, мимику). Статические признаки — форму лица, ладонь руки, отпечаток пальца также копируются, да еще, к сожалению, и простейшими подручными средствами. Помнится, в фильме «6-й день» главный герой в лице Шварцнегера, проникший в суперсекретную лабораторию клонирования, вместо того, чтобы просто всех перестрелять, как в стандартном боевике, носил в кармане отрубленный палец злодейки, который и прикладывал в нужные моменты к «считывателям» отпечатков пальцев в местах «контролируемого прохода».
Несколько месяцев назад стал широко известным, но не сильно афишируемым следующий прецедент. Японский криптограф Цутому Мацумото (Tsutomu Matsumoto) наглядно продемонстрировал, что с помощью подручного инвентаря и недорогих материалов можно обмануть практически любую из современных биометрических систем, идентифицирующих людей по отпечатку пальца. Подробнее об этом можно прочитать на вставке «Сплошной обман».
Резюме
К сожалению, все недостатки систем идентификации по отпечаткам пальцев в большей или меньшей степени присущи всем биометрическим системам. Мы не пытаемся «осквернить» биотехнологии и отговорить всех пользоваться чудесами прогресса. Биометрические устройства продолжат улучшаться, становясь более точными и надежными, а главное — более дешевыми. Цель статьи — аргументировано показать всем пользователям, что к каждому техническому решению надо подходить разумно и взвешенно, особенно если это связано с вложением денег и обеспечением безопасности предприятия. По крайней мере, последняя точка еще не поставлена, и биотехнологии, пройдя все трудности роста, займут свое место в повседневной жизни.
Врезка: «История из жизни»
Один мой приятель прислал результаты неформального тестирования ноутбука ASUS B1 со встроенным сенсором отпечатков пальцев. Последний представляет собой маленькое окошечко в правой части клавиатуры. Аутентификация по отпечатку по умолчанию выключена, включается из BIOS, после чего на первом же этапе запуска просит ввести имя пользователя и приложить палец к устройству. Вот сама история:
«...Брешью в надежности систем сканирования отпечатков пальцев, на мой взгляд, является ситуация, когда человек, скажем, порежет палец. Создатели ноутбука решили эту проблему своеобразно — допускается сканирование до трех отпечатков разных пальцев. Можно даже приложить палец ноги, на тот случай, если вы вдруг сильно обожжете пальцы всех рук. Так что ноутбук можно использовать даже в Японии, где, как известно нам из фильмов, просить прощения без приложения своего отрубленного пальца считается дурным тоном.
Кстати, увидев в меню пункт «Add user», я вполне логично решил, что на ноутбуке вполне допускается работа нескольких пользователей, и для каждого из них можно задать три отпечатка. Оказывается нет — у системы хватает памяти всего на три отпечатка пальца, так что альтернатива такая: либо вы задаете одному пользователю три отпечатка, либо трем пользователям — по одному. Причем администратором системы аутентификации может быть только один пользователь. Так что, получается, если он порежет палец — добавление новых пользователей и удаление старых станет невозможным.
На прилагаемом диске имеются две программы для работы со сканером отпечатков уже из-под Windows — одна призвана не пустить вас в систему, если вы не обладаете нужным отпечатком, а вторая позволяет защищать файлы своеобразным «паролем» из отпечатка пальца.
Итак, самое главное. Как работает сканер? Честно говоря, работает он весьма странно. Задав для себя три отпечатка, я тут же предложил всей редакции попробовать войти в систему. Но, какие бы люди какие пальцы в сканер не совали, толку не было никакого — система говорила, что, мол, не знает этого пальца. Обрадовавшись, я решил показать «класс», войдя в ноутбук с первого раза, и... не тут то было.
Система наотрез отказывалась признавать средний палец моей правой руки. И только раза с десятого (попав, наконец, в систему), я уяснил, что при пользовании сканером важно прикладывать палец если не идентично, то, по крайней мере, с такой же силой и под тем же углом, что и при сканировании. Лучше всех, кстати, опознавался указательный палец левой руки, порезанный мной еще в шесть лет и имеющий с тех пор небольшой шрам на подушечке — углядев порез, сканер радостно предлагал войти в систему. Я было думал, что он на порез так реагирует, однако ничего подобного — другой палец другого человека, но с похожим порезом, был с гордостью сканером отвергнут.
Порадовавшись такой разборчивости сканера, я засунул ноутбук в сумку и пошел в дружественное интернет-кафе «покрасоваться» своим ПК перед администраторами этого заведения. Гордо разложив ноутбук на столе, я небрежно предложил всем взломать защиту, и отвернулся. Через минуту раздался звук, сообщающий, что Windows заработал...
У первого же администратора подошел четвертый по счету палец. Второй администратор, подошедший за ним, еще даже палец не успел приложить, как ноутбук доверчиво назвал его мной и предложил заходить. Удивленный, я стер старые отпечатки и снова отсканировал те же самые пальцы. После этого войти не смог никто из присутствующих.
Таким образом, оценить надежность системы не представляется возможным. Слишком многое зависит от случая. Конечно, пока защита далека от совершенства, и до 100% ее надежность явно не дотягивает, тем не менее, это еще один достаточно серьезный барьер на пути любителя чужой почты. В сочетании со стандартной парольной защитой такой способ может дать неплохой эффект. И опять-таки, по сравнению с обычным паролем у системы идентификации по отпечатку есть два неоспоримых достоинства.
Первое — вам не нужно помнить многокилометровые пароли: ваш пароль вы всегда носите с собой. И второе — подсмотреть его невозможно (только воссоздать отпечаток с тех же клавиш — прим. ред.). Вернее, подсмотреть-то как раз возможно, сканируемый отпечаток крупным планом отображается на экране, только толку от этого подглядывания... Помнится, не так давно мой коллега писал о войне с женой, с завидным постоянством подбирающей пароли ко все новым возводимым им системам защиты. Так вот, от такой жены эта система вполне спасет."
Врезка: «Сплошной обман»
Профессор Мацумото и группа его студентов в Университете Иокогамы — не профессионалы в области тестирования биометрических систем, они занимаются математическими аспектами защиты информации. Однако из чисто любительского энтузиазма исследователей хватило, чтобы создать две очень эффективные технологии для изготовления фальшивых дактилоскопических отпечатков.
В первом (тривиальном) методе японцы делали непосредственный слепок с пальца «жертвы», для чего использовался пищевой желатин и формовочный пластик, применяемый авиа- и судомоделистами. Желатиновую полоску-отпечаток можно незаметно прилепить к собственному пальцу и обмануть компьютерную систему доступа даже в присутствии охранника. Эта нехитрая технология сработала в 80 процентах случаев при тестировании более десятка коммерческих приборов биометрической защиты.
Но еще более эффективен оказался второй («высокотехнологичный») метод, разработанный воодушевившейся от первого успеха группой Мацумото. Здесь уже не требуется палец «жертвы», а обрабатывается один из оставленных им отпечатков (согласно исследованиям экспертов, человек ежедневно оставляет на различных предметах в среднем около 25 отчетливых «пальцев»). Сняв отпечаток пальца со стекла, исследователи улучшили его качество с помощью циан-акрилатного адгезива (паров супер-клея) и сфотографировали результат цифровой камерой. Затем контрастность снимка была оптимизирована с помощью графического редактора, после чего картинку распечатали на прозрачной пленке. Для изготовления же объемного отпечатка Мацумото воспользовался методом фотолитографии: в магазине для радиолюбителей студенты купили светочувствительную печатную плату-заготовку, спроецировали на нее «палец» с пленки и вытравили отпечаток на меди. Эта плата стала формой для желатинового «фальшивого пальца», который оказался настолько хорош, что обманывал практически все из опробованных биометрических систем, как с оптическими, так и емкостными сенсорами.
После некоторой тренировки желатиновый слепок позволил исследователям-любителям обманывать и более продвинутые системы, оборудованные «детекторами живого пальца», реагирующими на влажность или электрическое сопротивление. Нет сомнения, что профессионалам в этой области удается проделывать гораздо более впечатляющие трюки. Таким образом, пользуясь комментарием известного крипто-гуру Брюса Шнайера, полученных результатов вполне достаточно для полной компрометации подобных систем и для того, чтобы многочисленным компаниям дактилоскопической биометрии пришлось завершить свою деятельность.
Самое же неприятное, что настоящим специалистам в области биометрии все эти факты известны давным-давно. Публикация результатов группы Мацумото позволила привлечь внимание к исследованию голландцев Тона ван дер Путте и Йероэна Койнинга (Ton van der Putte, Jeroen Keuning), уже давно разработавших собственную технологию, обманывающую 100 процентов имеющихся на рынке биометрических систем распознавания отпечатка пальца. Все попытки этих ученых достучаться до компаний, изготовляющих биометрическое оборудование, закончились ничем, а полученные специалистами результаты просто замалчивались.