Дактилоскопия в мире информационных технологий

Что она дает добропорядочным гражданам и чего от них требует?

«Отпечаток моего пальца вовсе не секрет, каждый может его иметь!» С таким необычным заявлением выступил в 2008 году нынешний президент бундестага, а в ту пору министр внутренних дел Вольфганг Шойбле. Кто готов повторить его слова от своего имени? Согласитесь ли вы, читатель, чтобы каждый кому не лень пользовался вашими отпечатками – по сути, вашим юридическим вторым Я? Самые разные процедуры, осуществляемые правоохранительными органами, основаны на папиллярном сканировании. А как воспользоваться «элементарными» удобствами цивилизации? Заказы, покупки, платежи в режиме онлайн тоже привязаны к кончикам пальцев. Очень важно знать, где, как, почему могут потребоваться в современном мире дактилоскопические отпечатки. И как не допустить, чтобы ими воспользовались мошенники.

Реплика Вольфганга Шойбле была эмоциональным ответом на публикацию его папиллярных линий. Отпечаток пальца «главного полицейского страны» стал достоянием общественности, хотя Вольфганг Шойбле вовсе не передавал его для открытого использования.

Как удалось украсть у министра рисунок его папиллярных линий, это второй вопрос. Вопрос номер один: для чего это понадобилось? Ответ прост, но он высвечивает ситуацию совершенно парадоксальным образом. В прошлом деcятилетии было много протестов против использования биометрических данных, в частности против внесения дигитализированных отпечатков пальцев паспортовладельцев в новые загранпаспорта (ePass). Вольфганг Шойбле, наоборот, был активным сторонником биометрических паспортов. Чтобы доказать ему, что отпечатки пальцев не столь уж надежный инструмент для защиты от подделок и для идентификации личности, умельцы срисовали и «похитили» его отпечаток. Темнить не стали: папиллярный узор Вольфганга Шойбле был сразу же опубликован в журнале Die Datenschleuder немецкого клуба хакеров (Chaos Computer Club, или CCC). Вот, дескать, с какой легкостью ваш «ключ самоидентификации» может оказаться в чужих руках.

Аргумент, что ни говори, был весомым. На министра он не подействовал. А за прошедшее десятилетие поле для контрольных действий с применением отпечатков пальцев граждан отнюдь не сузилось, а значительно расширилось. И продолжает расширяться.

Вот несколько характерных областей, где без отпечатков пальцев уже практически не обойдешься – а в ближайшее время строгостей станет еще больше.

Электронные платежи

Интернет-банкинг, платежи кредитными и иными банковскими картами подтверждаются, как правило, логином (пользовательским именем – username, Benutzername) и паролем. Теперь эти меры безопасности при идентификации владельца банковского счета или банковской карты признаны недостаточными. С сентября нынешнего года сложностей в подтверждении своих полномочий для онлайн-управления банковским счетом и для электронных платежей станет больше. Дополнительные контрольные меры обусловлены новой европейской директивой, принятой еще в 2015 году, а сейчас она полностью вступает в силу. Документ называется Вторая директива об оказании платежных услуг (сокращенно: Директива Евросоюза 2015/2366, или PSD2 от английского Payment Services Directive).

Так, при оплате кредитной картой покупок, сделанных в интернете, от покупателя потребуют дополнительных мер самоидентификации. Кроме введения обычных данных – номера карты, срока ее годности и набора контрольных цифр, потребуется также удостоверить свою личность через мобильный телефон (смартфон). Возможны разные варианты: отпечаток пальца или заснятое на телефон изображение своего лица. По мнению экспертов Mastercard и Visa (наиболее распространенных систем кредитных карт), вариант с отпечатком пальца более вероятен. Техника этого дела уже, так сказать, наготове. В последнее время банки, развивая для своих клиентов систему мобильных платежей, активно предлагали соответствующие мобильные приложения (Bezahl-Apps, Finanz-Apps). В них уже интегрирована технология сканирования и передачи через смартфон отпечатка пальца плательщика.

А раз система имеется, то ее, скорей всего, и задействуют в качестве дополнительной меры безопасности при платежах с кредитной карты.

Любопытно, однако, что ставшая уже стандартной процедура сканирования отпечатка пальца на смартфоне при ведении мобильных платежей также признана недостаточной. Мобильный платеж осуществляется со смартфона или с другого мобильного устройства (например, с планшета). Для этого используется соответствующее мобильное приложение, авторизованное банком. Оно дает доступ к банковскому счету, если владелец приложил палец к сканеру смартфона и передал полученный таким образом электронный отпечаток для подтверждения своей личности. Однако с сентября, кроме отпечатка, потребуется введение дополнительного идентификационного кода.

То есть без отпечатка пальца не обойдешься – но и его оказывается мало. Дело в том, что в современных контрольных системах линии папиллярных узоров, изображение лица, контрольные коды, пользовательские имена – всё это используется как элементы двойной идентификации (2FA), даже многофакторной (MFA). Одного фактора недостаточно, для большей безопасности запрашиваются дополнительные. Там, где срабатывали отпечатки пальцев, требуются теперь также идентификационные коды или пароли. Там, где срабатывали коды, требуются также отпечатки пальцев.

Недаром в современные загранпаспорта, кроме биометрических снимков владельцев, закладывают теперь и отпечатки их пальцев.

Электронные паспорта

Биометрические электронные паспорта введены в Германии после 2002 года, с принятием закона о борьбе с терроризмом (Terrorismusbekämpfungsgesetz, или TerrorBekämpfG). Биометрическая цифровая информация заносится в паспорт на встроенный бесконтактный чип (RFID). Первое поколение таких паспортов содержало электронные копии биометрических фотографий паспортовладельцев. То есть появился следующий идентификационный фактор, в дополнение к обычной фотографии и подписи владельца.

Следующее поколение электронных загранпаспортов включает в себя и оцифрованные отпечатки обоих указательных пальцев владельца. Это уже четвертый идентификационный фактор.

В современные электронные паспорта вносят также данные о детях паспортовладельца. Однако отпечатки пальцев детей заносятся только после достижения ими шестилетнего возраста.

Где снимают отпечатки?

Для оформления загранпаспорта – в ведомстве по прописке (Meldeamt) по месту жительства. То есть там же, где оформляют и сам паспорт. Краской пальцы не мажут. Применяется уже совсем другая технология – электронные сканеры. Указательный палец правой и левой руки нужно «плоско» приложить, подушечкой вниз, к рабочей поверхности сканера. «Проворачивать» пальцы, как при снятии отпечатков с краской, не требуется.

Подтверждающие отпечатки для электронных мобильных платежей снимают собственным смартфоном. Для этого еще пять лет назад компанией Apple Inc. была разработана технология Touch ID для смартфона седьмого поколения iPhone 5s. Аналогичные, еще более усовершенствованные решения применяются в сегодняшних поколениях смартфонов.

Надежность надежного, безопасность безопасного

Заметим, однако, еще раз, что идентификация через пальцевый отпечаток внедряется хоть и широко, но всего лишь как дополнительный фактор многофакторной системы. Самого по себе отпечатка явно недостаточно для полной надежности и безопасности.

Можно ли подделать отпечатки пальцев? Увы, можно. Первым делом нужно раздобыть оригинал. Это проще пареной репы. У Вольфганга Шойбле отпечаток пальца сняли со стакана, из которого он пил минеральную воду во время одного из своих публичных выступлений.

Полученный отпечаток фотографируется с высоким разрешением (не менее 2400 dpi). Изображение обрабатывается на компьютере с программой-фоторедактором, затем распечатывается (1200 dpi) на лазерном принтере. Используется толстая бумага, поверхность которой после распечатки становится рельефной. Рельеф заливают жидким латексом, после высыхания «резиночка» с перенесенным на нее рельефом снимается. Ее надевают на палец и оставляют чужой отпечаток. Например, делают ложное подтверждение на смартфоне с системой Touch ID.

Если вы пользуетесь такой системой, то сильно бояться, что ваш отпечаток подделают, не стоит. Как видим – технология мошенничества довольно сложная. Но и исключать такой вариант нельзя. Поэтому сохраняйте от постороннего внимания другие факторы идентификации: пароли, пользовательские имена – всё, чем вы пользуетесь.

Олег Филимонов (Ландсхут)

Читайте также:

1. Система электронных платежей PayPal. Журнал «Партнёр», № 5 / 2019. Автор О. Филимонов
2. Что нужно знать при оформлении биометрического загранпаспорта ребенка? Блог на портале журнала «Партнёр»
3. Ария застрахованного гостя. Журнал «Партнёр», № 2 / 2011. Автор О. Филимонов
4. Работай на здоровье! Журнал «Партнёр», № 11 / 2010. Автор О. Филимонов