Паспорт и биометрическая идентификация

Flickr, Ken_MayerНаблюдение над комментариями к записям про паспортизацию Рунета (“домены по паспорту”) и наблюдение за вопросами на профильных семинарах показывают, что пользователи (да и не только они) не в курсе основной особенности такого документа как паспорт. А ведь паспорт, – самый традиционный бумажный, – это типичный пример средства биометрической идентификации человека. Биометрические данные сохраняет и демонстрирует фотография.

Как известно, надёжное, с точки зрения безопасности, использование биометрических систем идентификации возможно только при непосредственном присутствии самого носителя исходных биометрических данных, потому что идентификация состоит в “сличении записанных характеристик” с, как говорится, оригиналом-носителем. Это, кстати, касается не только традиционных паспортов, но и новомодных сканеров отпечатков пальцев, детекторов капилляров ладони и прочей подобной чудо-техники.

Всякая добротно спроектированная система “биометрической аутентификации” должна включать специальное звено, задача которого удостоверить систему в том, что “носитель данных” лично присутствовал в момент идентификации. Это важнейшее доверенное звено. Для “бумажного паспорта” – реализация включает доверенного сотрудника, который “запрашивает паспорт” и проверяет по фотографии, что перед ним именно тот человек. (Сейчас, например в банках, такую схему вполне разумно улучшают, добавляя видеозапись, фиксирующую идентифицируемого человека.)

Злоумышленник может приклеить усы и стать похожим на фото в чужом паспорте. Это известно. Если вы думаете, что в случае со “сканерами пальцев” или “сканерами глаза” такой фокус не пройдёт, то вы заблуждаетесь. Сканеры можно эффективно обмануть. (Нет, похищать для этого глаза или пальцы – не нужно, обойдёмся без кинофильмов-ужастиков.) Обман возможен с помощью технических имитаторов фиксируемых сканерами параметров: сканеры часто устроены довольно примитивно, срабатывают на всякие полимерные штуки с тонкими нагреваемыми нитями и даже на более простые решения с ИК-лазерами и световыми проекторами.

Трудность тут лишь в том, чтобы заполучить копию “биометрии” нужного человека. Но, как не очень трудно сообразить, для этого не нужно выслеживать “объект” и с шумом принудительно снимать его отпечатки пальцев. Получить нужную копию можно разными более тонкими способами: либо имитируя процесс идентификации (подставляем ложный сканер), либо перехватив сеанс идентификации (вторжение в канал связи), либо заполучив базу данных, по которой происходит проверка. (Базу, конечно, не обязательно похищать именно в том “сервисе”, который планируется атаковать “фиктивной идентификацией” – биометрические данные у человека практически неизменны, можно использовать любую базу.)

При ближайшем рассмотрении все описанные высокотехнологичнные методы (которые мы, вероятно, встретим в практике, как только биометрические системы станут повсеместными) перекликаются с их прародителем – с теми самыми “сканами паспортов”.

В пользу злого умысла “сканы” работают именно тогда, когда либо не используется доверенное звено контроля личного присутствия человека, чья личность удостоверяется паспортом, либо это звено оказывается испорченным. Пример последнего случая: давно известный в практике служб безопасности банков и операторов связи подлог ксерокопий паспортов клиентов, осуществляемый недобросовестным сотрудником, уполномоченным заключать договора. Заметьте, однажды “вброшенный в систему” на начальном этапе ложный “скан” очень сложно выявить другим сотрудникам, так как они лишены контакта с клиентом (или “клиентом”), чьи данные использованы. Ну а первый случай – это как раз та самая регистрация каких-то прав (например, управления доменом) по присланному кем-то из Интернета (или по почте) “скану паспорта”.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

1 комментарий от читателей

  • 1. 4th November 2009, 10:44 // Читатель Шурик написал:

    Ну наконец-то хоть кто-то это произнёс вслух!