Biometria, czyli jestem swoim hasłem

Wdrażając systemy bezpieczeństwa, zawsze staramy się osiągnąć jeden podstawowy cel - zabezpieczenie informacji przed niepowołanym do nich dostępem. Droga do tego celu jest wyboista i kręta. Posiłkujemy się mnóstwem urządzeń, aplikacji, standardów i wytycznych zapewniających - przynajmniej w teorii - wysoki stopień bezpieczeństwa. Po miesiącach planowania i implementacji taki supersystem oddajemy do eksploatacji, a tam czeka na nas największe i ciągle niedoceniane zagrożenie - C Z Ł O W I E K. I wtedy pojawiają się kłopoty.

Wdrażając systemy bezpieczeństwa, zawsze staramy się osiągnąć jeden podstawowy cel - zabezpieczenie informacji przed niepowołanym do nich dostępem. Droga do tego celu jest wyboista i kręta. Posiłkujemy się mnóstwem urządzeń, aplikacji, standardów i wytycznych zapewniających - przynajmniej w teorii - wysoki stopień bezpieczeństwa. Po miesiącach planowania i implementacji taki supersystem oddajemy do eksploatacji, a tam czeka na nas największe i ciągle niedoceniane zagrożenie - C Z Ł O W I E K. I wtedy pojawiają się kłopoty.

Jak zadbać o to, żeby z jednej strony umożliwić dostęp do odpowiednich zasobów odpowiednim ludziom, a z drugiej mieć pewność, że ci odpowiedni ludzie są tymi, za kogo się podają? To pytanie spędzało i w dalszym ciągu spędza sen z powiek nie tylko samym administratorom, ale także projektantom systemów bezpieczeństwa. Stosuje się wiele metod. Weźmy na początek stary jak świat tandem: nazwa użytkownika i hasło. Metoda prosta i przyjemna, ale niestety, aby gwarantowała przyzwoity poziom, wymaga sporego wysiłku zarówno ze strony administratorów, jak i użytkowników. Skomplikowane hasła trudno zapamiętać, a jak już się uda, to właśnie mija miesiąc i trzeba je zmienić. Teraz pomnóżmy to wszystko przez 10 systemów, z których korzysta użytkownik, i robi się z tego niezły bałagan. Certyfikaty? Świetna sprawa, ale co jeżeli użytkownik zgubi swój klucz, a właśnie jest 5 tys. km dalej i dosyć kłopotliwe staje się ponowne przekazanie mu tegoż klucza w sposób bezpieczny. Tokeny? Tak samo rewelacyjne, ale mają podobną wadę - trzeba ich pilnować.

Co zatem pozostaje?

My sami. I tutaj wkraczamy na obszary nauki, z której do niedawna najefektowniej czerpał tylko przemysł filmowy i antropolodzy - biometrię. Wydaje się, że jest to dziedzina stosunkowo młoda, ale to nieprawda, a przynajmniej nie do końca. Jak się okazuje większość wymyślili albo Rzymianie, albo Grecy, albo Chińczycy. I to właśnie ten ostatni, niewielki wzrostem naród podłożył podwaliny pod biometrię.

Biometria (inaczej biometryka) to nauka zajmująca się mierzalnymi cechami biologicznymi. Zaprzęga ona do swoich celów m.in. statystykę, probabilistykę, matematykę, inżynierię. Skoro więc biometria para się mierzeniem, to co w dawnych czasach mogli mierzyć Chińczycy? Otóż mierzyli oni dłonie oraz stopy dziecięce, maczając je najpierw w atramencie, a następnie odbijając na kartkach papieru. Robili to w celu odróżnienia rówieśników. Wszystko to działo się ok. XIV w. W Europie kroki milowe w dziedzinie biometrii zostały postawione przez francuskiego kryminologa Alphonse'a Bertillon. To on zwrócił uwagę na możliwość wykorzystania biologicznych cech człowieka w celu jego identyfikacji. Wprowadził antropometrię (antropologiczną metodę badawczą pomiaru odcinków, obwodów oraz kątów między płaszczyznami i liniami ciała), fotografię śledczą oraz portret pamięciowy.

W tym miejscu warto także wspomnieć o Adolfie Hitlerze. W poszukiwaniu dowodów istnienia rasy nadludzi wysyłał on wiele ekspedycji naukowych, które zebrały ogromny antropologiczny materiał porównawczy - mierzono wszystko, a ponadto pobierano ślady biologiczne. Do dziś z wyników tych badań korzystają naukowcy. Antropometrię, bo o tej metodzie mowa, spektakularnie wykorzystała ostatnio grupa badaczy z Instytutu Antropologii i Archeologii WHS w Pułtusku we współpracy z KGP, identyfikując i rekonstruując czaszkę naszego największego astronoma. Trafność tej diagnozy szacowana jest na 97% - pozostałe 3% można by zdobyć, pobierając materiał genetyczny od potomków, ale jako że Kopernik był kanonikiem szanse na to są marne.

Wracając do Francji i A. Bertillona, zachwyt nad wprowadzonymi przez niego metodami nie trwał długo - zaledwie 20 lat. Część z nich podważono. Okazało się, że podobne cechy, które ten uważał za niepowtarzalne, znajdowano u kilku różnych osób. Niemniej jednak obserwacje i badania prowadzone przez tego francuskiego kryminologa znacząco przyczyniły się do rozwoju biologicznych metod identyfikacji. Od tego czasu sporo się zmieniło i technika poszła daleko do przodu. Podstawowe założenia jednak pozostały takie same.

Biometria w służbie ludu

Biometria, czyli jestem swoim hasłem

Słowniczek

W obecnym wydaniu biometria stawia sobie dwa podstawowe zadania. Po pierwsze ma na celu identyfikowanie osób. Dokonuje tego poprzez wyszukiwanie w bazie danych osób, które pasują do posiadanej próbki. Jest to tzw. porównanie jeden do wielu, gdzie określoną cechę "przymierza" się do osób zgromadzonych w bazie. Drugim celem jest weryfikacja tożsamości, a zatem ustalenie, czy osoba, którą mamy przed sobą, jest faktycznie tą, za którą się podaje (tzw. porównanie jeden do jednego).

Z punktu widzenia systemów bezpieczeństwa to właśnie ten drugi cel jest szczególnie interesujący. Jak wiemy, w teorii poświadczania tożsamości (uwierzytelniania) wyróżniane są trzy filary. Poświadczanie może opierać się po pierwsze na czymś, co posiadamy (np. token RSA), po drugie na czymś, co wiemy (np. hasła dostępu), no i po trzecie na tym, kim jesteśmy.

Ten trzeci filar to właśnie biometria. Powiedzieliśmy, że w biometrii identyfikacja opiera się na porównywaniu wzorców. Sprawa więc wydaje się stosunkowo prosta. Znamy przecież swoich pracowników, a zatem bez większych problemów możemy stworzyć bazę osób, którym zezwolimy na dostęp do określonych stref bezpieczeństwa.

Proste jest to jednak tylko w teorii. Identyfikacja oparta na cechach biologicznych jest procesem niezwykle złożonym i niekiedy budzi sporo kontrowersji - zwłaszcza w aspekcie prawa do prywatności. Niezależnie od tego, z jakiego rodzaju technologii i z jakiej metody będziemy chcieli skorzystać, na system biometryczny złożą się co najmniej 4 elementy: osoba badanego, urządzenie do pobierania próbki, oprogramowanie oparte na określonych algorytmach oraz baza wzorców (bądź wzór porównawczy np. na karcie chipowej), do której będziemy porównywać kolejne odczyty.

Zanim przyjrzymy się cechom, dzięki którym możemy zostać zidentyfikowani, konieczne jest przyswojenie kilku pojęć, przedstawionych w ramce "Słowniczek".

Znając je możemy pójść dalej. Cechy te możemy podzielić na dwie podstawowe kategorie: cechy statyczne (czasem zwane fizjologicznymi) oraz dynamiczne (inaczej behawioralne). Zacznijmy od cech statycznych, które swoją nazwę zawdzięczają temu, iż nie wymagają od identyfikowanego określonych zachowań. Omówimy najczęściej wykorzystywane metody.

Z czego składa się twarz?

Na warsztat weźmy to, co codziennie widzimy w lustrze - naszą twarz. Budowę ludzkiej twarzy można opisać przez elementy makro i mikro. Elementami makro są np. usta, oczy, nos, kości policzkowe itp. Z kolei elementy mikro to np. odległości pomiędzy elementami makro. Ponadto ciało ludzkie, a więc również twarz, wytwarza energię cieplną, która może być uchwycona w promieniach podczerwieni. Istnieją więc trzy metody rozpoznawania twarzy - za pomocą promieni podczerwonych, cech makro i mikro oraz poprzez kombinację tych dwóch. Trzecia metoda wydaje się najbardziej użyteczna, ponieważ jeżeli zastosujemy tylko identyfikację cech makro/mikro dosyć łatwo będzie można oszukać system, przedstawiając mu fotografię. Natomiast zbadanie ciepłoty ciała będzie wymagało fizycznej obecności "obiektu".

Rozpoznawanie twarzy może odbywać się na podstawie wielu algorytmów (np. Eigenface (twarz właściwa), Support Vector Machines (SVM), Local Feature Analysis - LFA, sieci neuronowe, Principal Component Analysis - PCA i inne). To, który z nich jest najskuteczniejszy, uzależnione jest od wielu czynników, nawet tak prozaicznych, jak jakość oświetlenia, okulary czy bujna fryzura, a wybór - od konkretnych warunków, jakie będą panować w miejscu implementacji. Przykładem zastosowania systemu rozpoznawania twarzy może być wdrożony w kilku miastach Wlk. Brytanii system antykradzieżowy FaceIT autorstwa firmy Identix zrealizowany przy współpracy z firmami ShopGuard oraz Dectel. System ten opiera się na algorytmie LFA i chroni przed kradzieżami w centrach handlowych (www.identix.com, www.dectel.co.uk). Jest również wykorzystywany przez Urząd Imigracyjny USA (INS) na granicy z Meksykiem.

Stare, dobre odciski palców

Biometria, czyli jestem swoim hasłem

Producenci laptopów wbudowują czytniki linii papilarnych w swoje produkty, czytniki takie znajdziemy również w myszach czy klawiaturach. Sony wprowadziło nawet pendrive'y zabezpieczane czytnikiem daktyloskopijnym.

Jedna z najpopularniejszych i najstarszych metod biometrycznych stosowanych do identyfikacji oraz weryfikacji osób bazuje na rozpoznawaniu linii papilarnych - daktyloskopii. Postęp w badaniach daktyloskopijnych zawdzięczamy Sir Francisowi Galtonowi - kuzynowi Darwina. Metoda identyfikacji linii papilarnych jest bardzo dobrze poznana i opracowana. Opiera się na rozpoznawaniu zestawu cech odcisków palców - tzw. minucji (detali Galtona), kształtu i rozmieszczenia porów czy wzoru linii papilarnych. Badania wykazały, że każdy człowiek ma inny, charakterystyczny tylko dla siebie układ linii papilarnych - dotyczy to także bliźniaków jednojajowych. Do tego linie każdego z palców są również jedyne w swoim rodzaju. Z tego też powodu uważa się, że jest to jedna z najskuteczniejszych metod - przy porównaniu 4 palców jej dokładność wynosi 99,9%. Do pobierania odcisków palców w systemach identyfikacji i weryfikacji wykorzystuje się czytniki, które najczęściej korzystają z technologii pojemnościowej, naciskowej oraz optycznej. Spotyka się również czytniki ultradźwiękowe i termalne.

W związku z tym, że jest to metoda znana od dawna stosuje się ją w zasadzie wszędzie. Oto kilka przykładów: w polskiej policji korzysta z niej jeden z najnowocześniejszych na świecie systemów AFIS (Automatyczny System Identyfikacji Daktyloskopijnej); producenci laptopów (np. IBM/Lenovo) wbudowują czytniki linii papilarnych w swoje produkty, czytniki takie znajdziemy również w myszach czy klawiaturach. Sony wprowadziło nawet pendrive'y zabezpieczane czytnikiem daktyloskopijnym.

Pomimo popularności, jaką się cieszy, nie należy jednak zapominać o tym, że istnieją czynniki wpływające na skuteczność tej metody. Najbardziej chyba prozaicznym są np. głębokie uszkodzenia skóry. A skoro jesteśmy już przy palcach, to może warto spojrzeć trochę szerzej.

<hr>System biletowy w parku rozrywki Disney World

Biometria, czyli jestem swoim hasłem
Biometria stosowana jest już na samym progu. Do czego? Bardzo trudno było zapanować nad obiegiem biletów (odsprzedaże, podawanie przez ogrodzenie itp.). Problem rozwiązano poprzez wprowadzenie specjalnych bramek wyposażonych w czytniki geometrii palców dłoni. Każdy z odwiedzających kupuje bilet, z którym następnie podchodzi do bramki. Tam pobierany jest skan dwóch palców dłoni, który następnie zapisywany jest na bilecie - proces rejestracji. Każde następne przejście przez bramki wymaga znowu przyłożenia tych samych dwóch palców i wprowadzenia biletu. Tym razem skan zapisany na bilecie w procesie rejestracji porównywany jest z odczytem skanera. Władze parku twierdzą, że system sprawdza się znakomicie i znacząco utrudnia obrót używanymi biletami wstępu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200