Статьи

Пальці і очі: біометричні технології на MWC 2017

  1. Еволюція датчика відбитків пальців
  2. Ще трохи біометрії
  3. Кілька інших цікавих проектів з MWC 2017

Ми багато говорили про датчики відбитків пальців і іншу біометрії - і про її небезпечність . І не тільки ми , Зрозуміло.

Схоже, це спрацювало. По крайней мере, на Мобільному конгресі - 2017 Барселоні було багато виробників дактилоскопічних датчиків, які тепер належать до проблеми безпеки зовсім по-іншому.

По крайней мере, на Мобільному конгресі - 2017 Барселоні було багато виробників дактилоскопічних датчиків, які тепер належать до проблеми безпеки зовсім по-іншому

Еволюція датчика відбитків пальців

Представник норвезької компанії IDEX, що поставляє датчики відбитків пальців в тому числі, наприклад, для LG, стверджує, що вже досить давно жоден виробник смартфонів і планшетів, з якими компанія спілкується, не намагався реалізувати роботу з даними від дактилоскопічного сенсора поза захищеного середовища.

У всіх без винятку виробників, з якими я встиг поспілкуватися на MWC 2017, передбачена безпечна від початку і до кінця схема роботи. «Сирі» дані від дактилоскопічного датчика шифруються, потім з них вичленяються характерні лінії, які теж шифруються і потім відправляються в захищене сховище. Все це відбувається в так званому trusted execution environment - безпечному середовищі, до якої не мають доступу зовнішні процеси.

Деякі виробники датчиків, правда, як і раніше віддають захист на відкуп розробникам кінцевих пристроїв, тобто ті можуть її використовувати, а можуть нею і знехтувати. Але вже як мінімум шифрування на етапі від датчика до процесора реалізується в обов'язковому порядку - раніше саме діряве місце дактилоскопії в смартфонах було саме тут.

Компанія CrucialTec в питанні захисту пішла ще далі і додала до дактилоскопічний сенсорам вбудовані в них датчики серцевого ритму. Це захист від спроб підробити відбиток: ні 3D-зліпок, ні роздруківка на 3D-принтері, ні відрізаний палець в даному випадку не спрацюють, не кажучи вже про роздруківку ліній на звичайному принтері.

Дактилоскопічний сенсор звірить лінії, побачить, що вони збігаються, але датчик серцевого ритму не відчує життя і не дозволить розблокувати смартфон. Це, мабуть, досить серйозний крок в сторону збільшення безпеки ідентифікації за відбитками пальців. Можливо, і такий варіант можна обдурити - але це буде вже явно складніше.

З незвичайність: одна китайська компанія анонсувала дактилоскопічний сенсор, вбудований безпосередньо в скло екрану смартфона. Правда, з певними застереженнями. По-перше, в природі на момент розмови з цими хлопцями на MWC існував єдиний семпл, і він залишився в лабораторії в Китаї. Так що показувати компанії було особливо нічого. По-друге, вони поки ще самі не знають, як користувач буде розуміти, в яку частину дисплея треба ткнути пальцем. Датчика-то не видно! Насправді щось подібне рік тому показувала вже згадана IDEX , Але далі концепту справа теж не пішло.

До речі, в якості області застосування дактилоскопічних сенсорів показували зовсім не тільки смартфони та планшети: виробники пропонують вбудовувати їх, наприклад, в дверні замки або в автомобільні брелоки-ключі. Відразу кілька компаній запропонували гнучкі і дуже тонкі сканери, які цілком можна розмістити в кредитці.

Відразу кілька компаній запропонували гнучкі і дуже тонкі сканери, які цілком можна розмістити в кредитці

Реалізація при цьому розрізняється: та ж IDEX пропонує використовувати схему без додаткового живлення, а CrucialTec вбудовує в карту батарейку і навіть простенький дисплей, на якому відображається, пройшов користувач ідентифікацію чи ні. Власне, датчик відбитка пальця в кредитці потрібен для того, щоб не мучитися з введенням PIN-коду. До того ж підробити відбиток все-таки набагато складніше, ніж підглядати PIN-код при введенні.

Ще трохи біометрії

Компанія Qualcomm, яка більш безпечні і швидші ультразвукові датчики відбитка пальця SenseID показувала на Мобільному ж конгресі ще два роки тому , В цей раз вирішила запропонувати інший метод аутентифікації - по райдужній оболонці ока. Вона теж унікальна для кожної людини, так що цілком може використовуватися як ключ для розблокування смартфона або підтвердження будь-яких операцій.

Система нова, вбудована вона поки тільки в власні прототипи Qualcomm, але працює вже дивно гладко - швидко і безпомилково. Зрозуміло, чому про реалізацію цієї ідеї в смартфонах заговорили тільки зараз: раніше час включення камери було куди більше, а потужності процесора обробки зображень - куди нижче.

До речі, система розпізнавання райдужної оболонки у виконанні Qualcomm вміє відрізняти копію очі від справжнього очі: на стенді спеціально лежить роздруковане на 3D-принтері особа, і в ньому програма око не виявляє. Наскільки я розумію, захист заснована на тому, що очі постійно рухаються, а у штучного особи вони статичні.

Наскільки я розумію, захист заснована на тому, що очі постійно рухаються, а у штучного особи вони статичні

Що цікаво, розпізнаванню райдужки не заважають навіть здоровенні чорні окуляри з низькою прозорістю скла. На жаль, Qualcomm не розкриває, за рахунок чого вдалося цього досягти. Проте розпізнавання райдужної оболонки - це набагато більш безпечна і більш надійна технологія, ніж, наприклад, розпізнавання особи.

Правда, і недолік той же, що і у інших біометричних технологій: якщо зловмисники все-таки навчаться користуватися скомпрометовані біометричними даними (А перспектива впровадження біометрії в банкоматах дає для цього серйозний стимул), оперативно замінити особа, очі або палець буде трохи важко. На відміну від старого доброго пароля.

Кілька інших цікавих проектів з MWC 2017

Всяких цікавих штук, так чи інакше пов'язаних з інформаційною безпекою, на MWC в цьому році не так уже й мало. Та ж сама Qualcomm, наприклад, представляла машинне навчання безпосередньо на пристрої. Тобто процесори Snapdragon тепер мають достатню потужність, щоб тренувати нейромережі. Боязкі спроби були і в минулому році - тоді компанія показувала розпізнавання сюжетів і речей, зображених на картинках, яке поступово ставало все точніше. Тепер же це перетворили в універсальний движок, додали до цього сумісність з багатьма популярними фреймворками і пропонують розробникам.

Це досить-таки важливо, тому що машинне навчання на пристрої дозволяє не передавати ваші дані в хмару і таким чином забезпечувати приватність там, де зараз її немає і в помині. Правда, на даному етапі движок - це всього лише движок. До кінцевого застосування поки ще далеко.

Ну тобто поки існує одне застосування, реалізоване силами тієї ж Qualcomm: технологія App Protect, що дозволяє реалізовувати на апаратно-програмному рівні евристичні алгоритми для пошуку шкідливих програм. Під шкідливими Qualcomm розуміє додатки, які норовлять щось зробити без вашого відома: отримати інформацію про контакти або місцезнаходження, тихенько послати SMS і так далі. За допомогою App Protect їх можна відловлювати і не дозволяти їм лізти куди непотрібно. Правда, сама по собі технологія - це не готове рішення: вона повинна бути частиною захисного комплексу. Ну а наш додаток Kaspersky Antivirus and Security for Android це і так вміє - на програмному рівні.

Взагалі, гуляючи по виставці, помічаєш позитивні зміни в порівнянні з попереднім роком. Зараз майже на кожному стенді хоч де-небудь написано слово «secure» ( «безпечний»), і, навіть якщо за ним толком нічого не варто, видно, що компанії хоча б почали думати про це.

Ну а окремо взятий напрям - біометрична ідентифікація користувача, схоже, може в найближчому майбутньому позбутися багатьох недоліків, які притаманні їй зараз. Повністю безпечної вона, звичайно, не стане ніколи - немає такого поняття, як повна безпека. Але якісь кроки в цьому напрямку робляться, і це здорово.