Полная версия

Главная arrow Информатика arrow Биометрические технологии идентификации личности

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

Безопасность биометрических систем

Э.О. Р

Биометрические системы помогают справиться с проблемами, характерными для существующих методов аутентификации. Биометрические параметры могут улучшить удобство или безопасность системы, а в идеальном случае и то и другое. Тем не менее в биометрической системе, как и в любой другой, существуют уязвимости, которые могут быть использованы злоумышленниками для компрометации системы. В отличие от аутентификационных систем на основе паролей, которые подвергаются грубым атакам путем подбора пароля, биометрические системы удачно атаковать гораздо труднее. Для защиты биометрических систем можно использовать стандартные техники кодирования, однако в них существуют и некоторые специфические точки атак. Например, биометрические системы, в отличие от других, могут подвергаться атакам воспроизведения.

При разработке и эксплуатации биометрической системы, прежде всего, следует изучить ее уязвимости с точки зрения безопасности. Понимание этой проблемы позволит оптимальным образом использовать взаимосвязи между удобством и безопасностью.

Представим биометрические системы аутентификации в обобщенном виде, как показано на рис. 4.16.

Устройство ввода А измеряет биометрический образец человека. Этот образец экстрактором свойств В преобразуется в машинную репрезентацию. Мэтчер С сопоставляет эту машинную репрезентацию с эталоном, предварительно сохраненным в ББД F во время регистрации Е. Разные способы использования такой модели были ранее описаны. Биометрическая аутентификационная система защищает некоторое приложение D.

Биометрическая система может быть представлена как система распознавания паттернов. Фазы работы системы распознавания паттернов на рис.4.16 обозначены как А, В, С, D; регистрация представлена двумя этапами - Е и F.

Точки атак на биометрическую аутентификационную систему

Рис. 4.16. Точки атак на биометрическую аутентификационную систему

Любую биометрическую систему можно описать как четырехступенчатую (рис. 4.16). Рассмотрим эти ступени:

А. На первом этапе происходит получение биометрического образца. Этот процесс может быть простым, как запись речи по телефону, или более трудоемким, как получение образцов сетчатки глаза. Сам процесс получения образца и его логистика являются важными факторами, оказывающими влияние на удобство использования определенной биометрической системы. С другой стороны, контроль получения сигнала оказывает большое влияние на качество образца и, следовательно, на точность системы. Часто трудность заключается в том, чтобы контролировать получение сигнала, не причиняя больших неудобств пользователю.

B. Вторая ступень - это обработка биометрического образца для получения цифровой машинной репрезентации, которую затем можно будет сопоставлять с другими репрезентациями. Этот процесс может быть и очень простым (сводиться только к сохранению биометрического образца), а может быть и очень сложным (вычисление голосовых отпечатков речи или получение рукописных эталонов в виде ортогональных функционалов). Проблема конструирования репрезентации является сложной задачей, которая решается различными методами, определяемыми спецификой биометрического параметра.

C. На этой ступени происходит вычисление величины сходства между двумя или более репрезентациями: между одной репрезентацией вводимого образца и одной или более сохраненными (зарегистрированными) репрезентациями в ББД F). Есть несколько факторов, которые определяют, насколько точно будет вычислена эта величина для определенного вводимого образца. К ним относятся качество образца, точность, с которой может быть получена репрезентация из биометрического образца, и эффективность работы мэтчера при сопоставлении двух репрезентаций. Еще один фактор - это качество обучающих данных, которые используются для оптимизации процесса сопоставления. На этой стадии также происходит принятие решения о сходстве или различии. Вид решения должен быть увязан с особенностями защищаемого приложения.

D. Последняя ступень - приложение, которое защищается биометрической аутентификационной системой. Это может быть совокупность учетных записей компьютера, банкомат, система доступа в помещение и др.

На этой стадии разработки биометрической системы желаемая достоверность решения выбирается как рабочая точка, т. е. как приемлемый уровень коэффициента ложного доступа (КЛД), от которого зависит и коэффициент ложного отказа доступа (КЛОД). Это компромисс между безопасностью и удобством, основанный на статической или динамической стратегии поведения объектов аутентификации.

Регистрация и организация базы данных биометрических образцов являются столь же важными аспектами приложения, как и повседневная работа аутентификационной системы. Биометрическая регистрация Е - более сложный процесс, чем, например, в парольных системах, тем не менее ББД F можно считать аналогом базы с сохраненными паролями.

E. Процедура регистрации в биометрической системе и логистика биометрической системы требует особого внимания. В отличие от системы паролей, в ней не так просто сделать перерегистрацию личности с новым образцом.

F. ББД бывает либо распределенной (например, запись информации на личных смарт-картах), либо централизованной.

На рис. 4.16 показаны 11 основных точек атак на биометрические аутентификационные системы. Эти точки атак удобно разделить на несколько классов.

Атаки на биометрические идентификаторы. Многие атаки на биометрические приложения основаны на том, что биометрические данные, которые обрабатывает система, на самом деле не принадлежат атакующему. То есть он либо подражает другой личности, либо изменяет данные, сохраненные в системе.

1. Угроза 1 возникает тогда, когда злоумышленник предоставляет биометрические данные сенсору А. Атака может быть принудительной, когда системе незаконно представляется настоящий биометрический параметр; бывают имитационные атаки, когда злоумышленник изменяет свои биометрические параметры (особенно голос или лицо) для того, чтобы выглядеть как подлинный пользователь; есть также атаки воспроизведения, когда сенсору предоставляются записанные биометрические параметры подлинного пользователя.

Принудительные атаки - это предоставление биометрических данных законного пользователя на незаконных основаниях. Наиболее распространенный случай - это когда злоумышленник принуждает подлинного пользователя пройти идентификацию в системе. Средства аутентификации получаются насильственным путем от истинного пользователя с целью получения доступа в систему со всеми сопутствующими привилегиями, например, пользователь банкомата может быть вынужден отдать свою пластиковую карту и сообщить ПИН-код. Желательно выявлять такие атаки, не подвергая опасности жизнь пользователя. Выявление можно производить при помощи анализа уровня стресса пользователя, или же система может иметь собственную службу контроля безопасности. Такие атаки можно предотвратить при помощи аудио- и видеозаписи всех транзакций.

В фильмах в стиле «экшен» часто встречаются сценарии, когда правильные биометрические параметры предоставляются системе после извлечения их у истинных владельцев. Это приводит к распространению опасений, что злоумышленники могут нанести физический вред пользователям, например, отрезать палец. Реально таких атак не наблюдалось, но потенциально они возможны, поэтому разработчики биометрических систем используют способы противостоять этим атакам путем определения «живости» параметра - измерения движения радужной оболочки; электрической активности, температуры и пульса в пальце; наблюдения за изменением выражения лица или методом «вызова - ответа» в системах распознавания сетчатки глаза. С ростом возможностей вычислительной техники совершенствуются технологии определения подделок, однако и методы преступников, используя все более совершенные технологии, тоже становятся более изощренными.

Если человек изменяет свою внешность, чтобы выглядеть как авторизованный пользователь, это называется имитационной атакой (сходство может быть не признано истинным при сценарии сортировки). Лицо и голос являются основными объектами имитации, так как многие люди умеют очень хорошо подражать чужим голосам и изменять свою внешность, что может заставить систему дать им (ложный) доступ. Но есть люди, чьи параметры невозможно хорошо имитировать. При сценарии сортировки (отрицательной аутентификации) можно достаточно легко изменить внешность с помощью грима или пластической операции, чтобы система не опознала человека. В этом случае атакующий становится причиной ошибки ложного отрицания. Другие биометрические параметры имитировать гораздо сложнее, - хотя уже известны удачные атаки на систему, распознающую отпечатки пальцев, с помощью резиновых имитаций. Сейчас также появилась возможность сделать пластическую операцию для уничтожения папиллярных узоров на пальцах.

Комбинация разных биометрических параметров снижает возможность удачных атак имитации, так как возникает необходимость имитировать большее количество характерных свойств легитимного пользователя. Особенно это относится к одновременному распознаванию лица, речи и движений губ: получить (или синхронизировать) все три параметра в таком виде, чтобы их можно было воспроизвести, будет гораздо сложнее, чем если бы они использовались в отдельности, особенно если система проверяет взаимодействие (и синхронизацию) между ними.

Теоретически все биометрические параметры могут стать объектами имитации. Однако стоимость полученных злоумышленником результатов атаки должна при этом превышать или быть, хотя бы, соразмерной с затратами на ее осуществление.

Атаки воспроизведения - это предоставление предварительно записанной биометрической информации. Чаще всего такие атаки представляют собой запись голоса человека, говорящего фиксированный текст- пароль. Такие простые атаки можно предотвратить при помощи текстов- подсказок. Для того чтобы обмануть старые системы распознавания лица, было достаточно предоставить им фотографию пользователя. В современных системах используется трехмерное изображение, и они чувствительны к изменению выражения лица, что требует более изощренных способов имитации, например, держать перед камерой жидкокристаллический экран.

Фронтальные атаки. Внешняя часть системы - это то место, где происходит большая часть действий во время аутентификации. Эта часть системы отвечает за преобразование считываемого биометрического сигнала в определенный вид инвариантной репрезентации и сопоставление ее с соответствующим эталоном. Этот процесс предоставляет несколько возможностей для атак:

  • 2. Угроза № 2 направлена на канал связи между сенсором и биометрической системой. Здесь снова могут иметь место атаки воспроизведения
  • - предоставление предварительно сохраненных биометрических сигналов
  • - или их электронная имитация. Можно обмануть сенсор, воспроизводя видеоизображение отпечатка пальца или, подавая аудиосигнал на выход микрофона. Если есть физическая возможность добраться до точки № 2, то атаковать ее проще, чем атаковать сенсор, - сымитированный сигнал может быть получен и воспроизведен в этой точке. Однако современные технологии цифрового кодирования и временные метки способны защитить систему от такого рода атак. Более того, система может определить лучшую степень сходства по сравнению со старыми данными. Электронные имитации на этой стадии могут представлять собой внедрение изображения отпечатка пальца, которое было искусственно создано на основе информации о расположении деталей, записанной на смарт-карте.
  • 3. Угроза № 3 - это «троянский конь», направленный в экстрактор свойств В, который в результате атаки будет генерировать заранее определенный набор свойств в определенное время и в особых условиях. То есть после того, как свойства были выделены из входящего сигнала, их заменяют другим синтезированным набором свойств (при условии, что репрезентация известна).
  • 4. Угроза № 4 - это канал связи между экстрактором свойств В и мэт- чером С. В случае с отпечатками пальцев, если детали передаются на удаленный мэтчер (например, при использовании смарт-карт для сохранения эталонов), угроза атаки в этой точке становится реальной.
  • 5. Угроза 5 - это снова «троянский конь»: мэтчер С атакуется для генерации искусственно завышенной или заниженной величины совпадения, т. е. здесь происходит манипуляция решением мэтчера. Например, злоумышленник может заменить биометрические данные на компьютере данными, которые всегда будут давать истинное сходство (для определенного пользователя).
  • 6. Угроза № 6 - подмена исходящей информации из мэтчера С (точка №6). Решением модуля сопоставления может быть вывод о сходстве или различии или только вероятность сходства, когда окончательное решение принимается приложением. Точка атаки № 6 будет одной и той же в обоих случаях.

Некоторые проблемы, с которыми сталкиваются все идентификационные системы (основанные на собственности, знаниях или биометрии), очень похожи. Подделки в аутентификационной системе могут принимать разные формы. Некоторые из них - это просто лазейки в системе - возможности нелегитимного доступа, которые не заметили разработчики установки. Другой вариант - это использование намеренно объединенных механизмов, чтобы превзойти все методы аутентификации, использующиеся в системе, и, таким образом, не получить отказ доступа при любой стратегии, внедренной в систему. Виды мошенничества можно классифицировать следующим образом:

? Тайное соглашение. В любом приложении определенный оператор системы имеет статус суперпользователя, который позволяет ему обойти аутентификационный компонент обработки и отменить решение, принятое системой. Эта возможность представлена в системе для обработки исключительных случаев, например для аутентификации людей, у которых нет пальцев.

? Скрытое получение образцов. Это возможно, если средства идентификации могут быть получены без участия законного пользователя и использованы не по назначению. Существует множество примеров скрытого получения ПИН-кода в банкоматах.

Это можно назвать атакой имитации, но в этом случае используются только параметрические данные, а биометрические параметры не имитируются.

? Отказ. Может случиться, что истинный пользователь, проходя идентификацию при помощи легитимных средств, например смарт-карты, чтобы получить доступ к ресурсам, может получить отказ в доступе, т. е. будет иметь случай ложного отказа доступа из-за того, что биометрические аутентификационные эталоны были скомпрометированы. Поскольку в данном случае к защищаемым ресурсам неавторизованный доступ не был предоставлен, - это нарушает только функционирование системы, не разрушая ни один из ее компонентов.

Внутренние атаки. ББД зарегистрированных пользователей могут быть локальными или удаленными, т. е. распределенными на нескольких серверах. Незаконные модификации одной или более машинных репрезентаций в ББД могут привести к авторизации злоумышленника или, по крайней мере, к отказу в доступе человеку, связанному с искаженным эталоном (при условии, что репрезентация является известной).

7. Угроза 7 - это атака, направленная на канал связи между центральной или распределенной ББД и аутентификационной системой. Атака направлена на канал, по которому из ББД F (биометрические) репрезентации посылаются мэтчеру. Атака имеет целью изменить репрезентацию перед тем, как она попадет в мэтчер.

Процессы в блоках Е и F представляют собой очень важную для биометрической аутентификационной системы функцию - регистрацию подходящих субъектов или список контроля доступа. «Чистота» ББД F крайне важна, так как сама аутентификационная система настолько безопасна, насколько безопасна ББД. Здесь можно выделить три точки атак:

8. Угроза 8 - это центр регистрации или приложение (элемент Е на рис. 4.16). Процессы регистрации и аутентификации схожи в том смысле, что они оба исполняют аутентификационный протокол. При регистрации, как и при аутентификации, используются блоки А и В и поэтому регистрация тоже подвержена атакам в точках 1-4.

  • 9. Угроза 9 - это атака, направленная на канал связи между блоком регистрации Е и ББД эталонов F. Контролирование этого канала позволяет атакующему аннулировать или подменить биометрическую репрезентацию, которая была получена при регистрации и отправлена в ББД F. По результату атака 9 аналогична атаке 7, поскольку позволяет подменить биометрическую репрезентацию, направляемую на мэтчер С в процессе аутентификации.
  • 10. Угроза 10 - это атака на саму ББД F. ББД зарегистрированных (биометрических) репрезентаций доступна локально или удаленно и может быть распределена на нескольких серверах. В этой точке атаки возможна незаконная модификация одной или нескольких репрезентаций. Это может привести к авторизации злоумышленника, к отказу в доступе человеку, связанному с искаженным эталоном (опять же при условии, что формат репрезентации известен), или к удалению известного «разыскиваемого» лица из списка сортировки.

В этой точке также существует возможность атак на конфиденциальную информацию - на секретные данные биометрической аутентификационной системы, т. е. на список контроля доступа или на ББД пользователей. Эти атаки нацелены не на само приложение, а на ББД биометрической аутентификационной системы. Уязвимости в системе защиты конфиденциальности биометрической установки предоставляют возможность для таких атак.

В случае сговора между злоумышленником и супервизором регистрационного центра могут быть легко зарегистрированы новые созданные или украденные личности, что может привести к серьезным последствиям. Процесс регистрации должен быть более безопасным, чем процесс аутентификации, он должен проводиться под наблюдением компетентного и доверенного лица.

11. Угроза №11. Приложение D также является точкой атак. Это означает, что для биометрической аутентификационной системы должны применяться те же методы защиты, что и для традиционных аутентификационных систем.

В дополнение к вышеперечисленным типам атак на биометрическую систему возможны и многие другие атаки.

Самой большой угрозой для биометрической аутентификационной системы является представление, физическое или в электронном виде, подделанного или предварительно полученного биометрического параметра. Это угроза, на которую необходимо обратить внимание, особенно в процессе регистрации, т. е. необходимо определить, насколько легко может быть зарегистрирована новая созданная личность. В частности, особое внимание нужно уделить угрозам № 1 и № 2, которые представляют собой воздействие на устройство ввода или на канал связи. Электронная имитация становится более вероятной, однако ее можно предотвратить с помощью системы «вызова-ответа», а также посредством скрытия данных.

Тот факт, что биометрические эталоны системы хранятся либо в централизованной, либо в распределенной ББД (на смарт-картах), не обязательно оказывает влияние на безопасность биометрической системы, так как эту часть системы можно защитить, используя традиционные технологии. Хотя смарт-карты обеспечивают дополнительную секретность информации благодаря распределению ББД F, злоумышленник в этом случае может получить достаточно времени для подделки смарт-карты. Часто биометрические данные хранятся одновременно на смарт-картах и на центральном сервере (например, для перевыпуска смарт-карт в случае потери), что открывает новые возможности для атак.

Проблема безопасности биометрических данных должна быть решена путем разработки специальных технологий «кодирования личностей». Закодированные таким способом эталоны могут сопоставляться в зашифрованном домене, тогда не будет возможности проследить подлинную личность. Определение подделок среди биометрических параметров тоже является темой для серьезного исследования, которая пока еще недостаточно изучена.

Другие атаки. Парольные системы могут подвергаться атакам грубой силы. В них количество знаков в пароле пропорционально его силе, которая выражает количество попыток, в среднем необходимых, чтобы взломать аутентификационную систему. Так как люди обычно выбирают простые пароли, атака методом подбора обычно проще, чем предполагает теоретическая сила пароля. Для биометрических параметров существует понятие, «эквивалентное» понятию силы пароля, которое называется коэффициентом внутренних ошибок (ошибок, связанных с получением машинной репрезентации биометрического параметра). Атаки с расчетом на коэффициент внутренних ошибок могут быть направлены на точки 2 или 4, но, как правило, в биометрических аутентификационных системах количество попыток, даваемых пользователю для предоставления биометрического параметра, бывает ограничено.

Ниже приведены еще несколько типов атак:

  • ? Восхождение на холм - это ситуация, когда биометрические данные предоставляются снова и снова с небольшими изменениями, эти изменения подготавливаются заранее, что улучшает результат. Более сложная версия - это попытка моделирования возвратных величин для получения более быстрых результатов. В конце концов, величина сходства достигает пороговой. Этот метод подходит для взлома электронных систем, когда злоумышленник не имеет сведений о биометрических данных легитимного пользователя. Такие атаки можно предотвратить при помощи запрета повторных попыток. Также есть и другие способы: система может выдавать на вопрос о сходстве только ответ «Да/Нет», или же можно квантовать величины сходства или добавлять в них небольшое количество шума.
  • ? Заглушающая атака похожа на атаку с применением грубой силы, направленной на слабые места алгоритмов, чтобы получить сходство для неверных данных. Например, при атаке на систему распознавания отпечатков пальцев злоумышленник может представить отпечаток с сотнями деталей в надежде, что по крайней мере пороговое число N из них будет признано схожим с сохраненным шаблоном (при условии, что мэтчер не признает негодными такие репрезентации).
  • ? Комбинированная атака - это атака, когда неавторизованный пользователь пытается получить доступ в защищенную зону путем одновременного входа в систему с законным пользователем. Эта атака может быть связана с физической угрозой, или же это может быть простое «следование по пятам». Данный вид атак определенным образом связан с насилием, как атаки в точке 1.
  • ? Незаконная регистрация - опасность, актуальная для всех систем безопасности, - это разрешение регистрации (или предоставление прав доступа) злоумышленнику. Если злоумышленник один раз предоставит удостоверяющие данные, позволяющие ему зарегистрироваться, система безопасности не будет впоследствии препятствовать его доступу.

Комбинация смарт-карт и биометрических параметров. В аутентификационных системах, которые должны гарантировать высокий уровень безопасности, можно использовать одновременно биометрические параметры и смарт-карты, объединяя таким образом преимущества обеих технологий. Смарт-карты могут хранить как биометрические данные, так и другие сопутствующие сведения, осуществлять свои функции и безопасно взаимодействовать со считывающими устройствами.

Смарт-карты бывают двух основных типов - контактные и бесконтактные. Контактные карты должны иметь физический контакт со считывающим устройством. Для считывания информации с бесконтактной смарт- карты достаточно провести ее рядом со считывающим устройством. Гибридные карты могут иметь оба интерфейса.

Носителем информации в смарт-картах является специальная бескор- пусная микросхема, включающая в себя или только память (простые смарт- карты) или память с микропроцессором и криптографическим сопроцессором (интеллектуальные смарт-карты), обеспечивающими шифрование данных и генерацию цифровых подписей (рис. 4.17).

Архитектура смат-карты

Рис. 4.17. Архитектура смат-карты

Смарт-карты предполагают использование специального считывающего устройства, что не всегда удобно (например, в сочетании с ПК). Поэтому устройства с аналогичной архитектурой выпускаются также с другим форм-фактором, - это маркеры eToken (USB-брелоки, USB-токены), подключаемое к USB-порту компьютера.

Благодаря комбинации в смарт-карте программных и аппаратных способов защиты, обеспечивается высокая безопасность данных. С помощью встроенной электроники смарт-карта защищает данные от нежелательных изменений во время считывания или записи информации. Химические и электронные повреждения памяти определяются аппаратными средствами, путем проверки целостности памяти, и программными средствами, при помощи вычисления контрольных сумм. Защита информации на карте от незаконного считывания также обеспечивается аппаратными и программными механизмами. Все это делает смарт-карту надежным средством для хранения и обработки информации и обеспечения ее надежной защиты.

Комбинация смарт-карт и биометрических параметров приводит к двухфакторной аутентификационной системе. Такие системы всегда более безопасны, чем однофакторные. Если пользователь теряет карту, доступ запрещается до того момента, пока он не получит новую карту. Потерянная карта, даже если она попадает в чужие руки, не представляет угрозы для системы, так как, для того чтобы ее использовать, необходимо предоставить и биометрический параметр.

Во время регистрации субъекта биометрический эталон будет зашифрован и сохранен на смарт-карте вместе с другой информацией. Для аутентификации пользователя системе должны быть предоставлены смарт-карта и реальный биометрический параметр. На основе реального биометрического параметра система формирует соответствующую ему машинную репрезентацию, расшифровывает эталон, хранящийся на смарт-карте, и проверяет сходство между ними. Если все данные находятся в одном месте, это заметно снижает количество взаимодействий с сервером базы данных.

Хранение биометрической информации на смарт-картах имеет дополнительные преимущества в области конфиденциальности. Как было отмечено выше, при централизованном хранении биометрических образцов существует вероятность злоупотребления ими с целью, неизвестной владельцу биометрического параметра (точка атаки № 10). Большие ББД могут быть проданы или отданы неизвестным лицам, которые будут использовать их в собственных целях. Смарт-карты дают возможность распределить данные, тогда контролировать их будут сами владельцы карт.

Если есть возможность безопасного хранения информации, можно записать много другой информации, которая будет оказывать поддержку биометрическому приложению. Например, в аутентификационной системе, распознающей отпечатки пальцев, на смарт-карте могут быть сохранены свойства отпечатков пальцев вместе с пороговой величиной, которая использовалась во время сопоставления. То же самое и в системе распознавания лица: можно сохранить шаблон лица и ожидаемые изменения его параметров. Для систем распознавания голоса этот метод предоставляет дополнительное преимущество. Кроме репрезентации записи голоса, можно сохранить и общую голосовую модель. Эти параметры могут быть извлечены устройством обслуживания и использоваться для голосовых команд.

Увеличение объема памяти и производительности интеллектуальных смарт-карт со временем позволит проводить обработку входящих биометрических сигналов. Можно разработать и мэтчеры, которые будут работать непосредственно на смарт-картах. Приложения, работающие на смарт- картах, будут фактически полностью защищены от атак. Когда мэтчер работает на смарт-карте, зарегистрированный эталон не передается за пределы карты, и поэтому безопасность операции возрастает. Для считывания решения, вычисленного мэтчером на смарт-карте, может быть использован безопасный протокол.

Протокол «Вызов-ответ». Одной из разновидностей угроз, существующих для биометрических аутентификационных систем, являются атаки воспроизведения в точках 2 и 4. Возможным методом защиты от этих атак является использование протокола «вызов-ответ». По этому протоколу для авторизации пользователь должен правильно ответить на вызов системы. Система может запросить секретные данные, что защищает ее от атак воспроизведения.

Например, верификация голоса с помощью свободного текста поможет избежать простых атак воспроизведения. Вместе с тем, использование обучаемых синтезированных (с аудио- и видеоматериалами) алгоритмов предоставляют возможность для атак даже на такие сложные системы.

Протокол «вызов-ответ» может применяться и для других биометрических параметров. Системы интерактивной аутентификации отпечатков пальцев могут использовать потоковое видеоизображение отпечатков. Конечно, даже такие системы могут подвергнуться атакам. Очень сложно предсказать, окажется атака удачной или нет. Тем не менее, когда имитация становится сложной, это, по крайней мере, устраняет случайные атаки. Например, Хилл [R. Hill] описывает протокол «вызов-ответ», используемый при аутентификации по сетчатке глаза, который выдает определенную информацию, например, число, которое должно быть опознано и напечатано пользователем. Это предотвращает использование «украденных» глаз и означает, что любая механическая подделка будет довольно сложной.

Другой тип протокола «вызов-ответ» для определения атак воспроизведения основывается на вызовах, посылаемых сенсору, который должен обладать достаточными возможностями, чтобы дать ответ. Этот метод можно применять для большинства кремниевых сканеров отпечатков пальцев, так как защищенный локальный процессор может быть интегрирован без особых усилий.

Взаимодействие «вызов-ответ» между человеком и компьютером либо между двумя компьютерами является частью аутентификационного протокола Ап(Р, К, В) и попадает в категорию динамических аутентификационных протоколов.

Проблема компрометации биометрических идентификаторов.

Проблема компрометации биометрических идентификаторов присуща, в первую очередь, статическим параметрам личности. Заключается она в том, что если статический биометрический идентификатор каким-то образом был однажды скомпрометирован, то он скомпрометирован уже навсегда. То есть, с точки зрения безопасности, применение такого идентификатора становится невозможным. Эта проблема усугубляются тем, что статические биометрические параметры не могут быть изменены. Неизменность во времени - одно из свойств, делающих статические биометрические параметры привлекательными для аутентификации. Однако в ракурсе данной проблемы это преимущество оборачивается недостатком. Конечно, для различных параметров острота проблемы может быть разной. У здорового человека 10 пальцев рук, пара кистей рук и пара глаз, но одно лицо.

Частично проблему компрометации статических биометрических параметров решают методы их трансформации, описанные ниже.

Для используемых в настоящее время динамических биометрических параметров - голоса, рукописи и клавиатурного почерка аналогичная проблема возникает при использовании текстонезависимых методов идентификации. Если динамическая биометрическая система осуществляет идентификацию личности по короткому фиксированному тексту (в том числе секретному), то в случае его компрометации, текст может быть легко заменен на другой, с последующей перерегистрацией скомпрометированной личности по новому параметру.

Проблема конфиденциальности. Проблемы конфиденциальности данных (секретности в терминах безопасности), возникающие в процессе биометрической аутентификации личности относятся к сфере информационной безопасности.

Развитие биометрии постоянно сопровождается социальными проблемами, связанными со столкновениями сторонников и противников биометрии. Сторонники считают, что применение биометрических технологий повышает удобство вынужденной идентификации личности и, как следствие, способствует борьбе с терроризмом, кибертерроризмом, уголовными и административными преступлениями, мошенничеством. Противники во главу угла ставят то обстоятельство, что биометрия нарушает конституционные права личности, связанные с анонимностью и конфиденциальностью частной жизни.

Любая биометрическая технология действительно может представлять угрозу для конфиденциальности. Несмотря на то, что биометрические технологии становятся все более безопасными, сам процесс прохождения аутентификации уже предполагает предоставление различной частной информации. В случае биометрической аутентификации эта проблема становится еще серьезней, потому что биометрические свойства могут предоставить дополнительную информацию о состоянии здоровья человека, расовой принадлежности, чувствительности к тем или иным раздражителям и др. Например, по состоянию сосудов сетчатки можно узнать о наличии у человека диабета или повышенного артериального давления. Все более широкое применение биометрических систем идентификации личности сопровождается появлением обширных верификационных ББД, которые могут, например, сопоставляться с базами данных преступников (рис. 4.18).

Проблемы конфиденциальности при перекрестном сопоставлении больших ББД

Рис. 4.18. Проблемы конфиденциальности при перекрестном сопоставлении больших ББД

Компромиссное решение состоит в том, что применение биометрических технологий должно сопровождаться, во-первых, гарантией их исключительно целевого (позитивного) использования, а во-вторых, надежной защитой самих биометрических систем, данные и результаты работы которых могут быть использованы в злонамеренных целях.

Дополнительным средством исключения нецелевого использования биометрических данных является использования таких сенсоров и экстракторов свойств, которые ориентированы исключительно на задачу верификации личности. Например, в дактилоскопических биометрических аутентификационных системах машинные репрезентации папиллярных узоров формируются на основе только локальных признаков - минуций, что исключает возможность восстановления всего папиллярного узора и нецелевого его использования. Аналогичные способы применяются для формирования машинных репрезентаций лиц методом «отличительных черт», не позволяющие восстановить внешний вид лица. Биометрические системы идентификации личности по радужке глаз используют только черно-белые видеокамеры, что исключает возможность установления диагнозов различных заболеваний (иридодиагностика).

Намеренные повторяющиеся трансформации. Существует метод обеспечения безопасности биометрических параметров, который формулируется как «сокращение биометрических параметров». Это намеренное повторяющееся искажение биометрического сигнала, основанное на выбранном способе трансформации. Биометрический сигнал искажается одним и тем же способом при каждом предъявлении, т. е. во время регистрации и при каждой последующей аутентификации. В этом случае в каждой регистрации может использоваться разная трансформация, поэтому выполнение перекрестного сопоставления биометрических данных становится невозможным. Более того, если один из вариантов биометрического параметра дискредитирован, можно изменить тип его трансформации для создания нового варианта (измененной репрезентации), чтобы заново зарегистрировать по существу новую личность. Такие трансформации являются необратимыми. Для этого используются специальные методы, аналогичные использованию криптографической хеш-функции. Поэтому даже если известно точное изменение и полученный результат, первоначальный (неискаженный) биометрический параметр восстановить невозможно. (Просматривается аналогия с криптографической хеш-функцией.)

Сокращаемые изменения можно применять для трансформации непосредственно биометрических сигналов, а также свойств, которые используются в машинных репрезентациях биометрических параметров. То есть биометрический сигнал должен быть трансформирован сразу после получения, либо сигнал может быть обработан обычным способом, а уже выделенные свойства могут подвергнуться трансформации. Ниже описаны два вида трансформаций.

Искажение сигнала. Эта категория относится к искажениям (предпочтительно необратимым) необработанных биометрических признаков поеле того, как они получены сенсором, например оригинала записи голоса, изображения отпечатков пальцев или лица.

Искаженные биометрические признаки затем регистрируются в аутентификационной системе. Изменения признаков можно произвести разными способами. Например, на изображение могут быть наложены монотонно повторяющиеся точки. Измененное изображение получается путем случайного перемещения этих точек по определенной схеме.

После процедуры изменения субъект может вновь зарегистрироваться в прежней аутентификационной системе (хранившей признаки субъекта до изменения). Прежняя аутентификационная система, не имея информации о том, что признаки были изменены, будет воспринимать их как новые. При сопоставлении измененных биометрических признаков с любой другой существующей базой данных личность владельца измененных признаков не будет идентифицирована.

Пример трансформированных отпечатков пальцев приведен на рис. 4.19.

Два отпечатка пальца

Рис. 4.19. Два отпечатка пальца: (а), (Ъ) исходные, (с) и (d) искаженные одним и

тем же способом

Следует отметить, что для изменения изображения с целью аутентификации это изображение перед тем, как подвергнуться искажению, должно быть вначале преобразовано в некоторый канонический вид на основе основных опорных точек (например, на лице - это расстояние между глазами).

При идентификации и аутентификации пользователя по радужной оболочке глаза (радужке) последняя представляется обычно в радиальной системе координат с помощью бинарного кода (рис. 4.20). При таком кодировании идентификация может осуществляться очень быстро даже в больших базах данных зарегистрированных пользователей, поскольку сравнивать бинарные коды можно очень просто по расстоянию Хэмминга.

Кодирование оригинала радужки и ее искаженной версии

Рис. 4.20. Кодирование оригинала радужки и ее искаженной версии

Если радужка человека дискредитирована, она дискредитирована навсегда. Поэтому желательно иметь измененную версию изображения кода радужки. Рис. 4.20 показывает пример, где изображение радужки справа является намеренно искаженной версией изображения слева.

Подобные техники трансформации можно применять и для сигналов, которые не являются изображениями. Например, запись голоса, произносящего фиксированный текст, можно разделить на временные отрезки (в общем случае разной ширины) и затем переставлять эти отрезки в разном порядке. Кроме того, воспроизведение сигнала внутри отрезков может осуществляться в прямом или обратном порядке. Более того, эти манипуляции можно производить как во временном представлении сигнала, так и частотном (спектрограмма). Для речевых сигналов такие техники называются скремблированием.

На рис. 4.21 показан двухмерный оригинал биометрического голосового сигнала D(f, t). В каждой точке времени to сигнал D(f, t) показывает частоту голосового сигнала, как на спектрограмме.

Запись голоса, произносящего фиксированный текст, на рис. 4.21 разделена на временные отрезки А, В, С, D соответственно последовательности времени (А, В, С. D). На рис. 4.21 временные отрезки имеют равную длину, что не обязательно. Зашифрованный голосовой сигнал представляет собой последовательность (А, С, D, В), в которой отрезки с подчеркнутыми буквами воспроизводятся в обратном порядке.

Скремблирование двухмерного биометрического голосового сигнала

Рис. 4.21. Скремблирование двухмерного биометрического голосового сигнала

Искажение свойств. Обработанные биометрические сигналы (шаблоны) также могут быть преднамеренно искажены. Ниже представлен пример необратимого искажения точечного паттерна.

Пусть, например, машинная репрезентация отпечатка пальца представлена множеством деталей:

Необратимая трансформация преобразует множество S в новое множество S ’ так, чтобы первоначальное множество S не могло быть восстановлено из S т. е.

На рис. 4.22 показано, как х-координаты множества точек S могут быть трансформированы путем преобразования х —> X, или X = F (х) с помощью полинома третьего порядка. Такие же многочленные необратимые трансформации могут быть использованы и для остальных координат множества точек S и S :

Преобразование одной координаты многомерного множества точек с помощью полинома третьего порядка

Рис. 4.22. Преобразование одной координаты многомерного множества точек с помощью полинома третьего порядка

Отношение к сжатию и шифрованию. Сокращение биометрических параметров значительно отличается от сжатия сигнала с использованием стандартных техник обработки сигнала. При сжатии сигнал временно теряет свои пространственные характеристики. То есть две точки в первоначальном несжатом сигнале не останутся на сопоставимом расстояние в сжатой области. Тем не менее после декомпрессии оригинала они восстановятся до первоначального вида или восстановятся приблизительно, если сжатие было низкого качества (с потерей информации). В случае сокращения биометрического параметра большая часть геометрии сохраняется.

Сокращение биометрических параметров также сильно отличается от технологий шифрования. При шифровании преследуется цель восстановить первоначальный сигнал на другом конце защищенной сети. Тогда как при необратимом искажении, которое используется в биометрии, первоначальный сигнал не восстанавливается, и на самом деле сделать это должно быть невозможно.

Более того, существующие биометрические системы не могут сразу аутентифицировать сжатый или зашифрованный сигнал, в то время как сокращенные сигналы могут обрабатываться с помощью существующих программ, как будто они представлены в обычном виде.

 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>