Автоматическая идентификация и сбор данных

Первый научный метод биометрической идентификации был разработан во Франции в лабораториях тюрьмы Парижа Альфонсом Бертильоном (фр. Alphonse Bertillon, 23 апреля 1853 — 13 февраля 1914). Бертильон, происходивший из семьи статистиков, был назначен фотографом службы при префектуре Парижа в 1870 году. Он стал систематически фиксировать физические характеристики заключённых и тем самым основал первую лабораторию судебной полиции для идентификации преступников. Бертильон разработал так называемую «судебную антропологию» — систему Бертильона (фр. Bertillonage), которая была быстро внедрена по всей континентальной Европе, а затем и в Лондоне. Метод основывался на замерах физических параметров заключённых, поскольку предполагается, что кости человека после 20 лет практически не меняются и что анатомия скелета индивидуальна для каждого.

В идентификационных карточках фиксировались имя заключённого, его описание, антропометрические данные (например, череп, длина конечностей, пальцев и стоп, длина носа, особенности ушной раковины), а также фотография анфас и в профиль.

Архив этих карточек быстро увеличивался, что позволяло выявлять повторно арестованных лиц, пытавшихся выдавать себя за других. Однако для такой идентификации требовалась чрезвычайно высокая точность измерений, с которой мог справляться почти только сам Бертильон; последующее обучение других специалистов не давало столь же хороших результатов из-за сложности процедуры, что со временем привело к утрате популярности метода. Параллельно была изобретена дактилоскопия — идентификация по отпечаткам пальцев, которую систематизировали, в частности, Фрэнсис Гальтон и сэр Эдвард Генри. В XX веке данный метод получил широкое признание и криминологическую значимость, в том числе в Италии (разработан Джованни Гасти).

Настоящая революция в применении отпечатков пальцев произошла после создания первых компьютеризированных систем автоматической идентификации отпечатков пальцев (AFIS — англ. Automatic Fingerprint Identification System) в США, что было обусловлено стремительным ростом вычислительных мощностей и объёмов хранения данных. Благодаря этим системам отпечатки пальцев приобрели важное значение в криминалистике^[2].

Биометрия допускает, что каждая характеристика, используемая для идентификации, должна быть:

1. Универсальной — присутствовать у всех;
2. Уникальной — не совпадать у разных людей;
3. Постоянной — не изменяться со временем;
4. Коллекционируемой — измеримой в количественном выражении.

В системах автоматической идентификации и сбора данных используются следующие виды признаков:

• отпечатки пальцев;
• рост;
• вес;
• цвет и размер радужной оболочки;
• рисунок сетчатки;
• форма руки;
• отпечаток ладони;
• особенности сосудистой системы;
• форма уха;
• черты лица.

Действия, обычно совершаемые человеком:

• голосовой отпечаток;
• почерк;
• подпись;
• стиль набора текста на клавиатуре;
• движения тела.

Физиологические особенности человека, как правило, стабильны и лишь незначительно могут меняться с возрастом, тогда как поведенческие показатели чувствительны к психологическому состоянию, поэтому их требуется периодически обновлять. Biометрические системы обеспечивают именно идентификацию человека, в отличие от обычных методов (например, пароли, ПИН-коды, идентификационные карты и бейджи), которые проверяют лишь знания или предметы, находящиеся в распоряжении лица, но не его уникальность.

Биометрические методы могут использоваться самостоятельно или совместно с другими технологиями: смарт-картами, криптографическими ключами, RFID, цифровой подписью и др.

Основные функции устройств автоматической идентификации и сбора данных:

• Регистрация (enrollment) — ввод и первичное сохранение биометрической информации пользователя с помощью специальной процедуры;
• Формирование эталонного шаблона (reference template) — получение и сохранение характерных биометрических признаков (при помощи лазеров, сканеров, камер, микрофонов и др.);
• Аутентификация — сравнение новой биометрической выборки с сохранённым в системе эталоном для подтверждения личности;
• Операционный интерфейс — взаимодействие человека с машиной, физическое, электрическое подключение, а также средства связи с системой.

На этапе регистрации для каждого пользователя формируется уникальный биометрический шаблон, основанный на одной или нескольких характеристиках (изображениях, аудиозаписях), который обрабатывается с помощью специфического алгоритма и сохраняется для последующего сравнения при аутентификации.

Системы автоматической идентификации могут работать в двух основных режимах: верификация и идентификация.

Верификация (отождествление «один к одному») производится в случае, если пользователь заявляет свою личность: система сравнивает предъявленный в данный момент биометрический параметр с соответствующим шаблоном, хранящимся в базе.

Идентификация («один ко многим») предполагает сравнение полученного биометрического отпечатка со всеми шаблонами системы, после чего выбирается наиболее похожий.

Для повышения безопасности биометрических систем применяется сочетание нескольких технологий (мультимодальные системы). Это снижает уровень ошибок регистрации и распознавания (англ. failure-to-enroll rate).

В биометрических системах возможны две исходные ситуации:

1. Положительное распознавание: пользователь является настоящим или же — злоумышленником;
2. Отрицательное распознавание: система ошибочно отклоняет реального пользователя (ложное срабатывание), либо пользователь действительно не авторизован.

Различают два основных вида ошибок:

• FRR (англ. False Rejection Rate) — процент отказов в обслуживании легитимных пользователей из-за ошибочного отклонения системой;
• FAR (англ. False Acceptance Rate) — доля ошибочно допущенных неавторизованных лиц.

Чувствительность большинства биометрических систем можно настраивать, изменяя соотношение ложных отказов и ложных допусков. На практике используется понятие равенства ошибок (EER — англ. Equal Error Rate):

FAR(t*) = FRR(t*) = EER

где t* — точка равновесия (уровень допуска), при которой достигается баланс между FAR и FRR. В большинстве реальных приложений система настраивается так, чтобы вероятность ложных допусков оставалась минимально возможной^[1].

Как и многие другие информационные системы, использующие базы данных и содержащие чувствительные сведения, системы автоматической идентификации и сбора данных потенциально уязвимы для атак, способных нарушить основные требования информационной безопасности — конфиденциальность, целостность и доступность данных, а также стабильную работу самой системы.

Системы автоматической идентификации и сбора данных применяются в различных отраслях — как в государственном (военная сфера, здравоохранение, юстиция, государственные органы), так и в частном секторе (туризм, транспорт, банковское дело, страхование, высокие технологии, телекоммуникации, промышленность) для повышения уровня безопасности, защиты транзакций и сохранности информации.

Типичные варианты использования:

• контроль доступа в помещения с ограниченным входом;
• безопасность при финансовых транзакциях;
• предотвращение мошенничества;
• защита и безопасность интернет-банкинга;
• идентификация лиц;
• обеспечение безопасности в аэропортах;
• расследования;
• создание картотек преступников;
• идентификация и учёт мигрантов.

Особое распространение автоматические системы идентификации получили в смартфонах. Наиболее массовым решением стала разблокировка устройства по отпечатку пальца с помощью отдельного сканера. Первым мобильным устройством с этой функцией был Toshiba G500 и G900 (2007 год), однако они не были выпущены в продажу^[3]. Первый коммерческий смартфон с датчиком отпечатков пальцев — Motorola ATRIX (2011)^[4]. Однако внедрение датчиков стало широко распространённым в 2013 году, после того как Apple внедрила Touch ID в iPhone 5s, а в 2014 году Samsung — в Galaxy S5. Датчик позволяет разблокировать смартфон по зарегистрированному отпечатку, что быстрее обычного ввода пароля и не может быть перехвачено визуальным способом.

В 2017 году появились две новые биометрические технологии: Apple реализовала систему распознавания лица Face ID в iPhone X, а Samsung — идентификацию по радужной оболочке глаза в Galaxy S8.