Найти тему
15 подписчиков

Законопроект о Единой биометрической системе (ЕБС) принят Госдумой во втором чтении в самом жестком варианте, фактически без учета замечаний банковского сообщества. Участники рынка утверждают, что в результате у граждан пропадет всякое желание пользоваться ЕБС, а у банков возникнут дополнительные расходы.


И в этом есть своя логика. Для начала, банки собирали биометрию тем способом, что им удобно. Потому у каждого банка свое качество этих биометрических данных, которое может быть неудовлетворительно для системы другого банка. И да, это как ни крути, но актив предприятия. Потому что это его выстроенная система той же идентификации клиента по голосу, не говоря про лицевую. Таким делиться не любят. Но если сказано, значит будет сделано.

Проблема тут следующего характера. Хранение. Любую информацию можно привести к такому виду, когда ее напрямую не используешь повторно, но для сравнения можно использовать. К примеру, ваши пароли от учетных записей. Ужасный вариант - хранить пароль как есть и сравнивать строки. Нормальный вариант - считать хэши (производные математических функций) этих паролей, делая сложные комбинации алгоритмов вычисления, используя ресурсоемкие алгоритмы, добавляя соль (произвольные наборы данных, искажающие конечный хэш).

Но тут проблема в технологиях. Все самые простые хэши давно уже просчитаны для всех комбинаций в большом количестве символов, потому их можно скачать, просто пройтись по таблице и найти совпадение. Это называется уязвимость через "радужные таблицы". Не спрашивайте почему радужные, у айтишников свой юмор. От А до Я, от красного до фиолетового. Короче, примерно поняли - весь спектр, диапазон. И радужные таблицы существуют для всех популярных алгоритмов с длиной значений (паролей тех же) аж до 32 символов. К примеру, относительно популярный алгоритм SHA-256 имеет 10^77 комбинаций. Потому приведение к изначальному виду пароля это зачастую вопрос перебора строк.

С биометрией казалось бы сложно. Но нет. Я даже сам сейчас с такими технологиями работаю, акустических цифровых отпечатков. Делаются выборки определенных под конкретную задачу данных из звукового сигнала, характеризующие определенные параметры, хэшируются эти значения, дальше уже идет сравнение с образцом, насколько много ключевых выборок идентичны между собой. Или даже насколько схожи, соответствие порядка, а некоторые алгоритмы позволяют получать хэши, которые позволяют определить точность совпадения, но это уже небезопасные алгоритмы, потому упор на количество совпадающих образцов и их порядок.

Так вот данные можно привести к необратимому варианту хранения, но нет никакой гарантии случись утечка, что эти данные нельзя будет вернуть в изначальное значение. А потом уже имея данные голосовой биометрии или лицевой можно будет сгенерировать ваш голос или даже лицо, которые может быть даже не похожи на слух или визуально, но будут идентичны по биометрическим показателям. Эту тему даже часто фантасты поднимают в фильмах, говоря про времена, когда лицо будет вторично.

А теперь представьте себе кражу вашей биометрии. Думаю, последствия объяснять не надо, ее вы "перевыпустить" не сможете. Сможете ли вы отозвать ваш ключ, зашитый в ID-карте или в чипе в холке (на самом деле разницы нет, вопрос удобства) ? Да, отзывается старый ключ, новый генерируется. Длину ключей можно регулярно увеличивать, что делает просто невозможным вычисление даже на суперкомпьютерах. Квантовые компьютеры ? Там тема пока буксует, но даже говоря про перспективу, уже есть алгоритмы, стойкие к квантовым вычислениям, как те же Zero-Knowledge Proof, когда происходит обмен не самими данными, а определенным математическим доказательством, что у вас эти данные есть.

Если подытожить. Лично мое мнение, что биометрия является крайне неудачным хайпом по технологиям из кино и несет в перспективе больше рисков, чем блага. Не по причине плохой технологии, а потому что за эти технологии отвечают люди. А люди это слабое звено любого даже самого прекрасного алгоритма. Только как инструмент идентификации, но не авторизации.
3 минуты