Идентификация в открытых системах

 

Естественным механизмом идентификации (аутентификации) для открытых систем представляется биометрическая идентификация. Биометрические параметры неотъемлемы от человека, и поэтому соблазн использовать их объясним. Об эффективности биометрии свидетельствует огромный опыт применения для идентификации самых разных модальностей – радужной оболочки глаза, папиллярного узора, рисунка сосудистого русла, формы лица, ладони, голоса, состав генома и другие. Эти биометрические модальности хотя и избыточны, но предельно просты – они или статичны, или условно статичны. Более того – если снимаемые приборами характеристики не инвариантны[14], то исследователи зачастую пытаются свести их к инвариантам[15] [27] в попытке упростить последующий анализ.

В силу простоты и статичности эти модальности легко воспроизводятся и моделируются, что не только не снижает риски ошибочной идентификации, но и позволяет влиять на ее результаты. Традиционные (инвариантные) биометрические модальности не обеспечивают и не могут обеспечить достаточный уровень доверия к результатам идентификации на недоверенном устройстве. Успешный же опыт применения биометрии связан не с визуальной и/или приборной идентификацией, а только с криминалистической – предполагается, что в базах данных никто отпечатки не подменит, гражданин не наденет при регистрации отпечатков перчатку и не передаст ее потом злоумышленнику, а средства идентификации, используемые полицией – доверенные [28].

Таким образом:

− биометрические характеристики применяются для идентификации и аутентификации в силу своей инвариантности к внешним факторам, полной или частичной;

−  исследования по применению биометрических механизмов явно или неявно основываются на предположении о доверенности технических средств обработки.

В нашем случае предположение во втором пункте явно неверно, и именно это требует изменения подхода к биометрическим характеристикам как к инвариантам.

Действительно, любые результаты идентификации, если они будут получены на недоверенных (обычных) устройствах (смартфонах, планшетах) легко подделать (подменить), что дискредитирует саму идею применения биометрии в юридически значимом информационном взаимодействии. Работаем ли мы с измерениями, полученными непосредственно датчиками (микрофоном, камерой и т.д.), или это данные, уже подменённые злоумышленником — понять это и есть основная задача, решение которой необходимо для достижения характеристик идентификации, достаточных для обеспечения юридической значимости и доступа к удаленным (отчужденным) криптографическим ключам при использовании недоверенных клиентских устройств.

Простота подделки статических биометрических модальностей сегодня осознана [29], и операторов идентификации на основе биометрических данных начинает интересовать вопрос: «А нельзя ли повысить достоверность идентификации за счет использования не одной, а нескольких биометрических характеристик»? – то есть за счет мультимодальности на этапе принятия решения.

 

Мультимодальность

 

Для независимых модальностей вероятности ошибок (как первого, так и второго рода) перемножаются, что объясняет целесообразность многофакторных (мультимодальных) решений и позволяет обеспечить достаточный уровень доверенности. Независимость при этом понимается как независимость факторов и независимость каналов [1].

Предположительно, биометрические характеристики человека нельзя считать независимыми уже хотя бы потому, что они принадлежат одному человеку. Во всяком случае, независимость не доказана и, скорее всего, не изучалась. Уже в связи с этим гипотеза о повышении уровня доверия при использовании мультимодальностей не очевидна и требует серьезного изучения.

Еще более наглядной является необходимость в независимости каналов – а в нашем случае канал один – он формируется клиентским терминалом (смартфоном) и интернетом. Конечно, ни о какой независимости здесь даже не может идти речь.

Таким образом, использование статических параметров для повышения достоверности идентификации с использованием недоверенного устройства практически нецелесообразно. 

Одним из решений проблемы подделки (подмены) статических (инвариантных) биометрических параметров является проверка активности и разумности субъекта в дополнение к проверке биометрических показателей. Такая проверка могла бы отсечь случаи полностью автоматизированной подмены параметров. Традиционным способом проверки того, что субъект не является алгоритмом или компьютерной программой, является т.н. тест Тьюринга, или CAPTCHA. Пользователю предлагается распознать текст, звук, изображение, или решить арифметическую или логическую задачу. Работоспособность такой методики обосновывается тем, что указанные задачи для их решения требуют применения интеллекта человека. Однако последние успехи в области машинного обучения хоть и не позволяют построить «сильный» искусственный интеллект (подобный человеческому), но позволяют решить множество частных задач, которые, как ранее считалось, может решить только человек (то есть создать «слабый» искусственный интеллект). К таким задачам относятся распознавание речи и образов, перевод на разные языки, обработка запросов на естественном языке, текстовое описание изображений и видео. Поэтому такой подход не применим для описанной выше проблемы. Во-первых, алгоритмы искусственного интеллекта совершенствуются с каждым днём, а во-вторых, на недоверенном устройстве злоумышленник-человек может пройти тесты, контролирующие интеллект, а биометрические характеристики подменить.

Другие способы проверки активности субъекта – проверка подвижности зрачков глаз при сличении рисунка радужной оболочки, проверка температуры лица при идентификации по лицу, или проверка наличия пульса при анализе отпечатков пальцев – обладают аналогичными недостатками: могут быть подделаны либо подменены на недоверенном считывающем устройстве.

Сравним задачи, средства и данные, необходимые для решения задачи идентификации в криминалистике и в цифровой экономике.

Идентификация в рассматриваемом контексте может упрощенно трактоваться как установление личности. Это так и для криминалистики, и для процессов цифровой экономики. Видимо, такая упрощенная трактовка и привела к имеющейся путанице. Рассмотрим теперь понятия более глубоко.

Нулевая гипотеза идентификации может быть сформулирована субъектом так: «Идентифицируемый объект – тот, за кого он себя выдает (за кого его принимает субъект)».

Криминалистика, как правило, имеет дело с людьми, не ориентированными на сотрудничество. Ее обычный объект – это труп, подозреваемый или преступник. Цель анализа – доказать факт совершившегося доступа объекта – к орудию и/или месту преступления, установление личности потерпевшего и так далее. И, конечно, объект обычно совсем не заинтересован в правильной идентификации.

Активное противодействие здесь, если оно есть, направлено на нарушение идентификации – доказать, что там не был, не участвовал, не нарушал.

Другими словами, противодействие (со стороны субъекта, или сообщников, или трудности, связанные с недостатком данных) направлено для достижения ошибки «false positive» - ошибки первого рода.

Цель противодействия (бездействия) – отклонить нулевую гипотезу при том, что она верна.

Используемые технические средства при этом – доверенные. Они специально разрабатываются, защищаются сертифицированными средствами, проходят регламентные процедуры контроля и так далее.

В цифровой экономике – объект идентификации вполне живой и добропорядочный участник экономической деятельности. Пример его потребности – получить доступ к некоторым ресурсам. Он готов к сотрудничеству, готов выполнить некоторые действия, чтобы после успешной идентификации получить нужную ему услугу. Он заинтересован в правильной идентификации.

Активное противодействие системе может осуществлять хакер (или просто злоумышленник), добиваясь в свою пользу ложной идентификации. Противодействие направлено на достижение ошибки «false negative» – ошибки второго рода.

Цель противодействия – выдать себя за другого. Вынудить субъекта принять нулевую гипотезу при том, что она ложна.

Технические средства – произвольные. Это обычные планшеты и смартфоны, ничем не защищенные от внедрения вредоносного ПО.

Для наглядности сведем в таблицу характеристики и установки объекта процесса идентификации (табл.1). Вырожденные случаи (труп) не рассматриваем.

 

Таблица 1. Субъект идентифицирует объект. Цели объекта.

Сфера применения	Объект идентификации	Заинтересованность объекта в подтверждении гипотезы	Желательный результат
Криминалистика	Добропорядочный гражданин (подозреваемый)	Нет	Верный
	Преступник	Нет	Ошибка 1 рода
Цифровая экономика	Добропорядочный гражданин	Да	Верный
	Преступник	Да	Ошибка 2 рода

Мы видим полностью противоположные характеристики.

Не менее наглядны и отличия в позициях субъекта идентификации (табл.2).

 

Таблица 2. Субъект идентифицирует объект. Характеристики процесса.

Характеристики процесса для субъекта	Криминалистика	Цифровая экономика
Гипотеза	Объект – тот, за кого его принимает субъект
Доверенность среды идентификации и контролируемость инструмента	Да	Нет
Значимость того, жив ли объект	Нет	Да
Значимость согласия объекта на идентификацию	Нет	Да
Значимость согласия объекта с результатами	Нет	Да

 

 

Таким образом, процессы идентификации в криминалистике и цифровой экономике при заданной гипотезе полностью различны.

Не совпадают:

- объекты идентификации;

- их одушевленность/неодушевленность;

- заинтересованность объекта идентификации в ошибке;

- желательный для объекта идентификации результат;

- характер участия объекта в процессе идентификации.

При этом противоположными являются:

- контролируемость инструмента субъектом;

- доверенность среды идентификации;

- значимость того, жив ли объект идентификации;

- значимость согласия объекта идентификации с результатом идентификации;

- заинтересованность объекта идентификации в подтверждении гипотезы субъекта.