Próba palca

Przykładem systemu biometrycznego dostępnego na naszym rynku może być SEZAM, oferowany przez wielce zasłużony dla rozwoju polskiej informatyki Instytut Maszyn Matematycznych (do 1964 r. przy Polskiej Akademii Nauk) w Warszawie. System jest pomyślany dla środowiska programowego Windows (PC), przeznaczony do kontroli dostępu i rejestracji czasu pracy. Czytnik linii papilarnych Fingerscan kosztuje 12 500 zł. Dla porówniania, czytniki kart elektronicznych i magnetycznych (CK 200, CK-100A) kosztują w tym samym zestawie odpowiednio: 1 080 i 770 zł. Dodajmy jeszcze, że oprogramowanie wyceniono na 3000 zł (maj 1998 r.).

Czy to dużo? Odpowiedź na takie pytanie jest indywidualną sprawą użytkownika, tym bardziej że porównywanie różnych systemów biometrycznych jest trudne z uwagi na brak standardów w tej dziedzinie, tak jak w przypadku komputerów osobistych. Duża rozpiętość cen poszczególnych ofert sugeruje również znaczne różnice w efektywności poszczególnych rozwiązań. Faktem jest, że biometria stała się - zdaniem analityków z Gartner Group - jedną z dziesięciu najważniejszych technologii, której w najbliższym czasie powinniśmy poświęcić uwagę. Podobne wnioski formułują eksperci z instytutu badań rynku Frost&Sullivan, przewidując ponad 20% wskaźniki rozwoju w tej branży.

Nic więc dziwnego, że powstają konsorcja biometryczne, takie jak BioAPI (CW nr 22/98 s. 37) z wyraźnie normatywnymi celami, zrzeszające czołówkę informatycznego świata (m.in. IBM, Microsoft, Novell, Compaq). W biometrię inwestuje Intel, przygotowując rozwiązania dla Windows 98 (CW nr 20/98 s. 34). Na ubiegłorocznych targach Comdex firma Sony zaprezentowała Stację Identyfikacji Odcisków Palców - FIU (Fingerprint Identification Unit). Cena zestawu - mniej niż 1000 USD. Stacja umożliwia zastąpienie tradycyjnego logowania w oprogramowaniu NT odciskiem palca - typowy komunikat "Press Ctrl + Alt + Delete" uzupełniany jest w tym przypadku o alternatywę "or place your finger on the scanner" (lub umieść swój palec w skanerze).

Oprogramowanie zastosowane w urządzeniu Sony konstruuje z odcisku palca zestaw charakterystycznych danych o rozmiarach ok. 1 KB. Nie jest to dużo. Wynika z tego, że baza wzorcowych danych daktyloskopijnych banku, mającego nawet milion klientów, zmieściłaby się na zwykłym dysku PC (1 GB). Również dla innych metod biometrycznych jeden zestaw danych nie przekracza pojedynczych kilobajtów. Dotyczy to także najbardziej złożonego procesu, jakim jest rozpoznawanie twarzy, w tym przypadku graniczną wartością jest ok. 3 KB. Podkreślmy raz jeszcze, że wciąż mówimy tu o danych "wyfiltrowanych" ze skanowanego obiektu, zwanych schematem odcisku palca czy twarzy.

Odcisk z plasteliny

Ów schemat jest efektem przetworzenia danych oryginalnych za pomocą tzw. kompresji syntaktycznej. Zapamiętywane są charakterystyczne zawirowania linii papilarnych, ich początkowe i końcowe lokacje czy rozgałęzienia. Zwróćmy uwagę na istotną różnicę między rzeczywistym obrazem odcisku palca, zapamiętanym np. w policyjnej kartotece, a jego schematem, utworzonym przy użyciu specyficznego oprogramowania. Są to nie tylko ilościowo, ale i jakościowo różne zbiory danych, służące różnym celom.

Interpretacja prawna wynikająca z tych faktów należy do Biura Generalnego Inspektora Danych Osobowych. Wróćmy jednak do technologii. Organizacyjnie możliwe jest zapamiętanie schematu palca na karcie magnetycznej czy elektronicznej. W takim przypadku czytnik porównuje dane z karty i palca. Można wówczas inaczej ustawiać dopuszczalne granice tolerancji danych rzeczywistych z palca. Sama karta jest, oczywiście, bezwartościowa i w razie potrzeby może być unieważniona (zgubienie, kradzież, zniszczenie, utrata ważności itp.). Jeśli myślimy o bankowości, to możliwe jest także ustalenie różnych limitów wypłat dla posiadaczy palca z kartą i tych, którzy chcą pobrać gotówkę tylko "na palec".

Ideałem jest jednak całkowite przejście na "klucze z palców", a nie rozwiązania hybrydowe. Te ostatnie mają wszakże wiele zalet w okresie początkowym, kiedy w łagodniejszy sposób chcemy przejść do nowej technologii. W przeciwieństwie do Sony, tacy wytwórcy, jak Harris Semiconductors czy Thomson, stawiają na rozwiązania mikromechaniczne. Odpowiednie mikrosensory w kontakcie z palcem rejestrują zmiany pola elektrycznego, tworząc specyficzny schemat elektryczny. Każdy piksel obrazu może być reprezentowany za pomocą mikrokondensatora, a rejestrowane wartości mają siłą rzeczy (czy raczej palca) charakter trójwymiarowy. Takiego skanera nie da się omamić fotografią odcisku, a uwzględnienie elektrycznych właściwości skóry wyklucza posłużenie się np. protezą z plasteliny.

Wymienione przykłady metod oszustw jawią się jako dość wyrafinowane, ale życie potrafi dostarczać nie takich scenariuszy. Jedynym sprawdzianem zapewnień producentów jest ich bezwzględna weryfikacja w praktyce. Pozostańmy jeszcze chwilę w kręgu obsługi operacji finansowych. W ostatnich latach wiele państw europejskich wprowadziło do obiegu nowe pieniądze. Z reguły twórcy udoskonalonych banknotów byli pełni zachwytu nad swoimi dziełami w aspekcie bezpieczeństwa. W rzeczywistości ich niepodrabialność okazywała się być nieraz tyle warta, co zapewnienie o niezatapialności, wypisane na dziobie "Titanica".

Czego przy tym nie uwzględniono. Specjalny skład chemiczny farby drukarskiej, trójwymiarowe wypukłości, nitki ze szlachetnych metali, hologramy, znaki wodne, pokazujące się w specjalnym oświetleniu wzory widoczne pod określonym kątem i mikrografiki wymagające użycia bez mała mikroskopu elektronowego. Zapomniano tylko o tym, że przeciętna sprzedawczyni nie zawsze ma czas i specjalistyczny sprzęt, aby odróżnić oryginał od efektu uzyskanego na dobrej, kolorowej kserokopiarce. Ostrożności nigdy zatem za wiele, tym bardziej że mówimy tu o jednym z fundamentów technologii informatycznej, jakim jest jej bezpieczeństwo.