Удаленная идентификация/аутентификация с использованием биометрии

Валерий Конявский, 26/09/19

Мир внезапно изменился – и все прежние наработки в области технической защиты информации резко, более чем наполовину, потеряли свою актуальность. Корпоративные системы, конечно, остались, но появились новые, открытые компьютерные системы цифровой экономики. И они немедленно стали важнейшими, а методов защиты их нет. “Здесь и сейчас” – вот лозунг цифровой экономики. Но как понять, где и когда, если на пути к этому стоит полное отсутствие методов идентификации в открытой среде? А ведь нужно знать, кому мы оказываем услугу. Как применять криптографию, если пользовательские устройства недоверенные? На какую нормативную базу опираться, если для открытых систем ее нет совсем?

Валерий Конявский
Зав. кафедрой “Защита информации” МФТИ, д.т.н.

Все меры по защите информационных систем до настоящего времени неявно формулировались для корпоративных, замкнутых систем. Состав такой системы известен: какие компьютеры в нее входят, как они защищены, где расположены и т.д. Понятны связи между узлами и характеристики передаваемых данных, что позволяет принять решение о криптографической защите данных. Легальные участники системы также известны, а это дает возможность эффективно их идентифицировать с использованием доверенных средств вычислительной техники (СВТ). И в это время все радикально изменилось.

Новый мир

В компьютерах появились неотчуждаемые средства реинжиниринга (например, IME), которые позволяют перехватить управление компьютером в любой момент и в любой момент получить любые данные, размещенные на его технических средствах. И эти угрозы не блокируются ни одним из известных средств защиты.

Системы преимущественно становятся открытыми, а сделать все СВТ в открытой системе защищенными невозможно.

Если мы и понимаем, как идентифицировать участников информационного взаимодействия в закрытых системах, то в открытых системах доверенных методов пока нет. И так как смартфоны всегда будут недоверенными, то методы идентификации должны стать совершенно другими. Мы предложим новый метод биометрической идентификации, основанный на рефлекторных реакциях человека и интерактивности процедур.

Приемы идентификации существенно зависят от целей, которые могут характеризоваться как криминалистические и технологические.
Криминалистическая идентификация выполняется, как правило, на доверенном оборудовании, без сотрудничества с идентифицируемым объектом. Идентификация в технической защите информации выполняется в предположении, что субъект готов к сотрудничеству.
Все исследования в области технической защиты информации до последнего времени проводились с учетом того, что мы работаем с корпоративными системами, границы которых точно известны. В этих границах всегда можно обеспечить достаточный уровень защищенности, базирующийся на доверенности СВТ, включенных в состав системы.

Приемы идентификации существенно зависят от целей, которые могут характеризоваться как криминалистические и технологические.

Криминалистическая идентификация выполняется, как правило, на доверенном оборудовании, без сотрудничества с идентифицируемым объектом. Идентификация в технической защите информации выполняется в предположении, что субъект готов к сотрудничеству.

Все исследования в области технической защиты информации до последнего времени проводились с учетом того, что мы работаем с корпоративными системами, границы которых точно известны. В этих границах всегда можно обеспечить достаточный уровень защищенности, базирующийся на доверенности СВТ, включенных в состав системы.

В открытой же системе этого добиться невозможно. Обращаясь за госуслугами, телемедицинскими консультациями, услугами банков, услугами в секторе B2C, граждане всегда будут пользоваться смартфонами, о доверенности которых говорить не приходится. Такой доступ неизменно будет самой легкой добычей для всех видов атак с использованием вредоносного ПО.

В этих условиях можно развивать систему в двух направлениях: перенести всю тяжесть защиты на центр и отказаться от использования надежной криптографической защиты при доступе к сервисам (например, банка) с мобильных устройств пользователей или/и строить распределенную, "иммунную" систему защиты, обеспечивающую приемлемый уровень защищенности клиентских транзакций даже при недоверенном оборудовании.

Первое направление очевидно, и многие идут по этому пути, полагая, что риски пока невелики и такими же останутся в дальнейшем. Очевидно, что это не так. Брешь в защите всегда находится и эксплуатируется преступниками. Брешей в защите следует избегать.

Второе направление еще ждет своих исследователей. Основой эффективных решений могут стать системы мультимодальной биометрической идентификации с использованием динамики рефлекторных реакций. Статья посвящена последним ¹.

Естественность и простота

Биометрическая идентификация представляется естественным механизмом идентификации (аутентификации) для открытых систем. Биометрические параметры неотъемлемы от человека, и поэтому соблазн использовать их объясним.

Об эффективности биометрии свидетельствует огромный опыт применения для идентификации самых разных модальностей: радужной оболочки глаза, папиллярного узора, рисунка сосудистого русла, формы лица, ладони, голоса, состав генома и др. Эти биометрические модальности хотя и избыточны, но предельно просты: они или статичны, или условно статичны. Более того, если снимаемые приборами характеристики не инвариантны ^2, то исследователи зачастую пытаются свести их к инвариантам ³ в попытке упростить последующий анализ.

Успешный же опыт применения биометрии связан не с визуальной и/или приборной идентификацией, а только с криминалистической, где в базах данных никто отпечатки не подменит, гражданин не наденет при регистрации отпечатков перчатку и не передаст ее потом злоумышленнику, а средства идентификации, используемые полицией, – доверенные.
Любые результаты идентификации, если они будут получены на недоверенных (обычных) устройствах (смартфонах, планшетах), легко подделать (подменить), что дискредитирует саму идею применения биометрии в юридически значимом информационном взаимодействии.

В силу простоты и статичности эти модальности легко воспроизводятся и моделируются, что не только не снижает риски ошибочной идентификации, но и позволяет влиять на ее результаты. Традиционные (инвариантные) биометрические модальности не обеспечивают и не могут обеспечить достаточный уровень доверия к результатам идентификации на недоверенном устройстве.

Любые результаты идентификации, если они будут получены на недоверенных (обычных) устройствах (смартфонах, планшетах), легко подделать (подменить), что дискредитирует саму идею применения биометрии в юридически значимом информационном взаимодействии.

Простота подделки статических биометрических модальностей сегодня осознана, и операторов идентификации на основе биометрических данных начинает интересовать вопрос "А нельзя ли повысить ее достоверность за счет использования не одной, а нескольких биометрических характеристик?", т.е. за счет мультимодальности на этапе принятия решения.

Для независимых модальностей вероятности ошибок (как первого, так и второго рода) перемножаются, что объясняет целесообразность многофакторных (мультимодальных) решений и позволяет обеспечить достаточный уровень доверенности. Независимость при этом понимается как независимость характеристик и независимость каналов.

Почему улучшения не помогают

Предположительно, биометрические характеристики человека нельзя считать независимыми уже хотя бы потому, что они принадлежат одному человеку. Во всяком случае, независимость не доказана и, скорее всего, не изучалась. Уже в связи с этим гипотеза о повышении уровня доверия при использовании мультимодальностей не очевидна и требует серьезного изучения.

Еще более наглядной является необходимость в независимости каналов, а в нашем случае канал один, он формируется клиентским терминалом (смартфоном) и Интернетом. Конечно, ни о какой независимости здесь даже не может идти речь.

Таким образом, использование статических параметров для повышения достоверности идентификации с использованием недоверенного устройства практически нецелесообразно.

Одним из решений проблемы подделки (подмены) статических (инвариантных) биометрических параметров является проверка активности и разумности субъекта в дополнение к проверке биометрических показателей. Однако на недоверенном устройстве злоумышленник-человек может пройти тесты, контролирующие интеллект, а биометрические характеристики подменить.

В одной из статей в этом журнале [2] мы уже приводили сравнение задач, средств и данных, необходимых для решения задачи идентификации в криминалистике и в цифровой экономике.

Основой нового подхода является гипотеза о том, что зависимость реакций человека на внешние стимулы существенно зависит от когнитивных и кинезиологических особенностей человека, носит динамический характер и отражается в измерениях в достаточной для анализа степени.

Вышло, что эти процессы полностью различны.

Не совпадают:

объекты идентификации;
их одушевленность/неодушевленность;
заинтересованность объекта идентификации в ошибке;
желательный для объекта идентификации результат;
характер участия объекта в процессе идентификации.

При этом противоположными являются:

контролируемость инструмента субъектом;
доверенность среды идентификации;
значимость того, жив ли объект идентификации;
значимость согласия объекта идентификации с результатом идентификации;
заинтересованность объекта идентификации в подтверждении гипотезы субъекта.

Физиология движений

Для устранения уязвимостей, связанных с простотой подмены измерений на недоверенных устройствах, необходимо от статических показателей перейти к динамическим типа "стимул – реакция" со сложной динамикой связи. Динамическим звеном, чрезвычайно сложным на сегодняшний день для моделирования, являются нервная и вегетативная системы человека и связанные с этим особенности физиологии движений. В частности, индивидуальными оказываются непроизвольные реакции на внешние стимулы (в частности, аудио- и видеораздражители).

Предположительно реакция на стимулы может быть зафиксирована датчиками клиентского устройства, обработана с помощью методов искусственного интеллекта, например искусственных нейронных сетей, что позволит определить источник потоков данных и повысить достоверность идентификации. Совокупность нескольких биометрических модальностей нужно дополнить анализом хотя бы одной физиологической (рефлекторной) реакции, что повысит достоверность биометрической идентификации и обеспечит решение задачи виталентности.

Основная особенность, обеспечивающая безопасность идентификации на недоверенном устройстве, состоит в интерактивности: ни клиентский терминал, ни центр сами по себе не выполнят идентификацию. Процедура существенно интерактивна, что и позволяет генерацию стимула и принятие решения отнести к доверенному центру, а съем информации осуществлять на принадлежащем клиенту персональном устройстве.

На недоверенном клиентском терминале несложно подделать голос, лицо, подменить отпечатки пальцев и рисунок сосудистого русла, сымитировать движение глаз. Но если в качестве биометрического признака использовать реакцию на раздражитель, то изменения этих модальностей при реальном источнике должны быть согласованными, и поэтому подделать потоки данных будет почти невозможно, т.к. для согласования поддельных данных нужна модель реакций конкретного человека, что нереально ввиду высокой сложности такой модели.

На сегодняшний день психомоторные реакции человека исследуются, как правило, на сложном лабораторном медицинском оборудовании в контролируемых условиях. Однако, исходя из параметров современных и перспективных технических средств (смартфонов), с их помощью среди динамических биометрических характеристик человека представляется возможным зафиксировать по крайней мере характеристики пульсовой волны, динамику изменения диаметра зрачка, динамику слежения взглядом за стимулом на экране. Для этого достаточно на смартфоне иметь камеру и вспышку (фонарик), а также сенсорный экран.

Движения глаз

Перспективным является изучение движения глаз. Глаз не может быть неподвижным, клетки рецепторов "утомляются" и "подменяются" в процессе саккадических движений. Эти движения характеризуются высокой сложностью. Достаточно отметить, что движениями глаз управляют семь мышц (!) и мышцы, ответственные за саккадические движения, являются самыми быстрыми. Многообещающим представляется изучение рефлекторной составляющей саккад, а также (может, и в первую очередь) процессы фиксации и регрессии при чтении.

Пульсовая волна

Изучение пульсовой волны предположительно позволит выделить реакцию сердца – изучить вариабельность сердечного ритма. Это тем более важно, что для жизнедеятельности организма сердце важнее зрения и регулирование осуществляется более "старыми" (и, таким образом, более стабильными) механизмами, в том числе ЦНС и вегетативной системой. При этом уровни регулирования могут меняться в зависимости от многих факторов, что позволяет считать механизм достаточно сложным для моделирования.

В качестве внешних раздражителей можно использовать имеющиеся у смартфона возможности: звук, цвет, свет, вибрацию, отображение текста (в том числе со случайным изменением числа пробелов).

Принципиальные особенности системы "стимул – реакция"

Нервная система человека как связующее звено между стимулом и реакцией. Если к симуляции интеллекта уже достаточно много подходов, то работ по симуляции деятельности нервной системы практически нет. Нервные системы людей крайне сильно отличаются друг от друга и сложны для моделирования. В отличие от интеллектуальных задач у нервной системы нет "правильного ответа", которому бы можно было научить машину.
Случайные, неповторяющиеся стимулы. Такой подход позволит принципиально исключить возможность воспроизведения ранее записанных реакций пользователя, т.е. подлога первичных данных.
Обработка пары "стимул – реакция" может производиться на удаленном доверенном устройстве.

При этом:

недоверенность клиентского терминала не влияет на результаты, т.к. генерация стимула и анализ реакции выполняются на отчужденных доверенных ресурсах. Искажение реакции не даст возможности злоумышленнику получить нужный для него результат;
перехватывать стимул нет смысла, т.к., зная стимул, невозможно сгенерировать реакцию в силу отсутствия модели человека;
извлечь параметры нейронной сети путем ее тестирования в заданных условиях невозможно, а акты идентификации постоянно уточняют параметры нейронной сети, и поэтому даже тотальное наблюдение не позволит в полной мере воспроизвести сеть.

Нетрудно видеть, что основная особенность, обеспечивающая безопасность идентификации на недоверенном устройстве, состоит в интерактивности: ни клиентский терминал, ни центр сами по себе не выполнят идентификацию. Процедура существенно интерактивна, что и позволяет генерацию стимула и принятие решения отнести к доверенному центру, а съем информации осуществлять на принадлежащем клиенту персональном устройстве.

Литература

Бродский А.В., Горбачев В.А., Карпов О.Э., Конявский В.А., Кузнецов Н. А., Райгородский А.М., Тренин С.А. Идентификация в компьютерных системах цифровой экономики // Информационные процессы. Том 18. – № 4. – 2018. – С. 376–385.
Конявский В.А. Новая биометрия. Можно ли в новой экономике применять старые методы? // Information Security/Информационная безопасность. – 2018. – № 4. – С. 34–36.

___________________________________________
¹ Из соображений краткости в тексте минимизированы ссылки на литературу, развернутый обзор и ссылки можно увидеть в [1].
² Например, голос существенно зависит от состояния мягких тканей, т.е. при насморке может сильно измениться.
³ Например, к зависимости только от твердых тканей – добиваясь инвариантности, но уменьшая информативность (сложность).

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2019