Вокруг Света - Журнал «Вокруг Света» №01 за 2009 год

Особый интерес представляет идентификация по совокупности черт лица. Фактически человек пытается научить компьютер тому, что сам проделывает с легкостью, почти того не осознавая. Как бы ни менял человек прическу, бороду, усы, как бы ни вертелся перед камерой, компьютер способен распознать его среди миллионов других, оценивая от 12 до 40 параметров строения его лица. Сегодня такие идентификационные системы распространяются со скоростью лесного пожара. Вас попросят взглянуть в объектив на паспортном контроле при пересечении границы, камера изучит ваши черты в банке у окошка для обналичивания чеков или даже просто на улице мегаполиса. А началось все с английского городка Ньюхем — первого в истории места, где каждый метр общественного пространства контролируется камерами (кстати, с полного согласия и одобрения жителей). И не просто контролируется: каждое лицо, попавшее в объектив любой из камер в Ньюхеме, немедленно сравнивается с базой данных полиции, и если обнаруживается сходство, система посылает сигнал диспетчеру.

И вот, наконец, мы дошли до ДНК-идентификации. Этот метод отличается высокой надежностью и основывается на том, что в геноме каждого человека есть особые участки, так называемые микросателлиты, настолько изменчивые, что различаются даже у близких родственников, однако — и в этом их уникальность — не настолько, чтобы невозможно было установить наличие родственной связи. ДНК — это один из немногих объектов биометрии, который позволяет идентифицировать человека после смерти, причем даже давно наступившей. Но есть у этого идентификатора и серьезный недостаток: анализ ДНК не проведешь на коленке, одним глазом поглядывая в паспорт, другим — на вас. Это трудоемкий процесс, требующий лабораторного оборудования, реактивов и, главное, времени. Поэтому он пока редко применяется за пределами медицины и криминалистики.

Три рода ошибок

Какой из методов идентификации применять в той или иной ситуации? Это зависит от требований к простоте его использования, стоимости и надежности. Причем надежность складывается из трех составляющих: вероятности обознаться («узнать незнакомого»), вероятности не узнать знакомого и вероятности того, что система вообще не сможет принять никакого решения. Это соответственно ошибки первого, второго и третьего рода.

Устойчивость к ошибкам первого рода — самый, пожалуй, важный параметр. Он характеризует способность идентифицировать данного конкретного человека и не путать его ни с кем другим. Высокий уровень таких ошибок был одной из главных проблем на заре развития электронных средств, умеющих распознавать отпечатки пальцев. Да и сейчас в дешевых устройствах сканируется лишь небольшой участок подушечки пальца, на котором может оказаться мало характерных деталей. Из-за этого даже в одном небольшом офисе порой находятся люди, которых сканер не может различить. Серьезные биометрические системы, используемые для ограничения доступа в помещения или к информации, весьма надежны и могут по ошибке пропустить чужака не чаще раза на миллион попыток.

Ошибками второго рода (или ложнонегативными срабатываниями) называют ситуации, когда система отказывает в доступе зарегистрированному в ней пользователю. В лучшем случае затруднение преодолевается повторным прохождением проверки, что лишь немного замедляет процесс, а в худшем требует вмешательства обслуживающего персонала, что отнимает много времени и повышает издержки. И все же критичность ошибок второго рода ниже, чем первого (когда система впускает постороннего), поэтому нормальным уровнем ошибочных отказов в доступе считается 1 раз на 50—100 попыток. Больше других эти ошибки заставили поволноваться специалистов, работавших с первыми аппаратами идентификации по подписи. Из-за большого числа сравниваемых параметров и значительных вариаций почерка аппараты в двух случаях из трех не распознавали подпись одного и того же лица.

Обычно в биометрической системе есть определенный баланс между ошибками первого и второго рода: при снижении числа ложноположительных срабатываний растет вероятность ложноотрицательных и наоборот. Это и понятно — ведь чем придирчивее мы смотрим на данные, тем выше шансы усомниться в знакомых атрибутах. Повысить оба показателя надежности можно только принципиальным усовершенствованием биометрической методики.

Об ошибках третьего рода в популярных статьях о биометрии часто даже не упоминают, поскольку внешне они очень похожи на ошибки второго рода — пользователю отказывают в доступе, так как система не смогла его узнать. Однако природа этих ошибок иная и связана не с недостатками алгоритмов распознавания, а с внешними причинами. Так бывает, когда проходящий проверку человек утратил или по каким-то иным причинам не смог предъявить необходимые для идентификации атрибуты. К примеру, химический ожог от работы с суперклеем может на несколько дней испортить отпечаток пальца, бельмо на глазу помешает идентификации по радужной оболочке, а насморк — по голосу. Возможно, лично у вас подобные обстоятельства редкость, но есть люди, для которых это постоянная проблема, они-то и поднимают статистику ошибок третьего рода до уровня около 1%.

У каждого человека индивидуальный рисунок сосудов лица, формирующий уникальный тепловой узор; его можно использовать для идентификации и даже определения выражения лица. Фото: SPL/EAST NEWS

Никуда не годный ключ

На первый взгляд повсеместное применение биометрической идентификации выглядит весьма соблазнительно. Не нужно запоминать никаких паролей, нет риска потерять смарт-карту или иное средство доступа, идентификация обычно проходит быстро и просто. Увы, все эти достоинства нивелируются фундаментальным недостатком биометрической информации — будучи хорошим идентификатором, она является никуда не годным ключом.

Проблема коренится в том, что любая биометрическая система сравнивает между собой не объекты реального мира, а результаты измерений. Отсюда целый ряд отличных возможностей для введения ее в заблуждение. Скажем, раздобыв чужие результаты измерений, можно заранее сохранить их в уже готовом для обработки виде и, получив доступ к аппаратуре, ввести в систему в обход биометрических сенсоров. Доступ к программному обеспечению позволит подменить хранящиеся в системе данные другого пользователя своими. Но и без всякого доступа можно легко обмануть биометрическую проверку, предъявив сенсорам муляж, например, чужого пальца.

Принципиальное отличие скопированного отпечатка пальца от украденной смарт-карты или подсмотренного пароля заключается в том, что последние легко заменить, а пальцев у человека всего 10. И поскольку люди не слишком часто работают в перчатках, заполучить чей-либо отпечаток пальца без его ведома — дело нехитрое. Довольно убедительно это продемонстрировала известная немецкая хакерская группа CCC, «украв» отпечаток пальца министра внутренних дел Германии Вольфганга Шойбле, который активно выступал за внесение отпечатков пальцев в электронные паспорта. Во время публичного выступления в университете он имел неосторожность прикоснуться к стакану с водой, и теперь рисунок его собственного пальца стал публичным достоянием и широко растиражирован в Интернете. Несложно заполучить и рисунок радужной оболочки — достаточно обычной фотографии глаза в хорошем качестве. А уж образцы своей ДНК люди оставляют просто повсюду — для их получения достаточно невымытой кофейной чашки или выпавшего волоса. Другими словами, биометрические данные ни в коем случае нельзя считать секретными, они легкодоступны, и относиться к ним надо так, как если бы они были представлены для всеобщего обозрения.