Текст книги "Все под контролем: Кто и как следит за тобой"
Автор книги: Симеон Гарфинкель
сообщить о нарушении
Текущая страница: 7 (всего у книги 34 страниц)
Компьютерная биометрия
Несмотря на свою высокую точность, ни дактилоскопия, ни анализ ДНК не подходят для идентификации личности в повседневной жизни. Вариант с отпечатками пальцев неприемлем: за более чем 100 лет его сторонники не смогли избавить использование этой технологии от ассоциаций с преступностью. Идентификация по ДНК также неприемлема, поскольку для идентификации требуется значительное время – минуты или даже часы. К счастью, последние 100 лет люди используют другой способ биометрической идентификации, почти такой же хороший, как отпечатки пальцев или анализ ДНК. Это фотография.
Сегодня наиболее распространенной формой идентификации является помещение фотографии на официальный документ. Повсюду в мире универсальным способом идентификации личности является паспорт. Во многих европейских странах паспорт дополняется идентификационной карточкой. В Соединенных Штатах водительское удостоверение с фотографией является самой распространенной формой идентификации как в частном, так и в государственном секторе.
Надежность водительских удостоверений зависит от двух факторов. Во-первых, штат должен быть уверен, что удостоверение выдано соответствующему лицу. Во-вторых, само по себе удостоверение должно быть хорошо защищено от подделки, т. е. выпущенное удостоверение невозможно изменить. (Удостоверения, которые легко подделать, просто провоцируют преступления, так как удостоверение может быть украдено, изменено и использовано затем в мошеннических целях.) Штаты все более и более успешно используют при изготовлении удостоверений экзотические материалы, что затрудняет их подделку. Но в общем они выполняют лишь простую функцию идентификации личности водителя. Самая большая проблема с водительскими удостоверениями в США заключается в том, что каждый штат выпускает свои удостоверения, и они очень различаются по оформлению. Кассиру в штате Массачусетс очень сложно установить, действительно ли предъявленное удостоверение выпущено в штате Монтана или это подделка.
Перейдем теперь к компьютеризованным системам идентификации. Все современные системы биометрической идентификации, так же как и рассмотренная выше AFIS, состоят из двух частей. Первая – это устройство, которое производит измерение какого-либо параметра человеческого тела и преобразует его в цифровую форму. Вторая – большая база данных, хранящая результаты биометрических измерений сотен, тысяч или даже миллионов людей. Во многих случаях онлайновая база данных может свести на нет проблему подделок: если фальшивый кусок пластика изготовить можно, то ввести фальшивую запись в правительственную базу данных несравнимо труднее.
За последние десять лет было разработано множество систем биометрической идентификации. Самая простая – создание онлайновой базы водительских удостоверений с фотографиями. Однако постоянно изобретаются и проверяются все более сложные системы. Вот примеры некоторых из них.
Рисунок сетчатки глаза. Сетчатка похожа по своей индивидуальности на отпечатки пальцев. Но вместо папиллярных линий в этой системе записывается и анализируется уникальный рисунок внутри глаза человека. В 1980-е годы были популярны системы, анализирующие картину, образуемую венами и артериями глаза. Однако, в отличие от отпечатков пальцев, рисунок сетчатки подвержен изменениям: у женщин во время беременности под воздействием гормонов плода в глазу могут образовываться новые сосуды, меняющие рисунок. Общепризнано, что эта система дискриминирует женщин, которым приходится объяснять при каждом несовпадении изображений сетчатки, что они беременны, почему они беременны и, возможно, что произошло с плодом.
Сканирование радужной оболочки
Из всех известных систем биометрической идентификации сканирование радужной оболочки является наиболее точным и стабильным. Тонкий узор на радужке формируется еще до рождения и остается неизменным на протяжении всей жизни (кроме случаев травм и хирургического вмешательства, конечно). Изображение узора радужной оболочки может быть получено с использованием видеокамеры высокого разрешения, и оно настолько уникально, что вероятность совпадения биометрических показателей радужки двух людей составляет один шанс из 10^78. (Для сравнения: население Земли составляет всего около 10^10.) Даже однояйцовые близнецы имеют различающиеся радужные оболочки. Однако следует помнить об одной вещи: сканирование радужки идентифицирует не человека, а лишь его радужную оболочку. Узнать по результатам сканирования имя человека можно только после поиска в компьютерной базе данных. Если база данных была взломана и модифицирована, сканирование радужной оболочки не даст правильной идентификации. [Фото любезно предоставлено IriScan, Inc.]
Рисунок радужной оболочки. Особенно популярны системы на базе радужной оболочки были в 1990-е годы. Радужная оболочка формируется еще во время внутриутробного развития, поэтому остается неизменной на протяжении всей жизни человека. Получить ее изображение можно с помощью стандартной видеокамеры, а не дорогостоящего и неудобного сканера, как в случае с сетчаткой. Одним из лидеров в этом секторе является компания IriScan, чьи технологии используются в тюрьмах, в автоматических кассовых машинах (банкоматах), а недавно стали использоваться и на станциях метро. British Telecom, являющаяся партнером этой фирмы, разработала высокоскоростной сканер радужной оболочки, который может получать изображение радужки человека, сидящего в машине, движущейся со скоростью 90 км/час. Сегодня такой сканер очень дорог, для него требуется специальная оптика, камера высокого разрешения и управляемый компьютером объектив с сервоприводом.
Но, поскольку технологии постоянно развиваются, а цены падают, эта технология, вероятно, вскоре станет более доступной.
Анализ почерка. Анализ почерка и собственноручной подписи является одной из первых биометрических систем в мире. Сегодня изображение подписи может быть оцифровано и сравнено с имеющимися образцами. Если подпись ставится на специальном электронном планшете, компьютер может также анализировать скорость перемещения пера и силу нажатия. Комбинируя эти три параметра (траекторию, скорость и силу нажатия) можно построить биометрическую модель, которую очень сложно подделать.[p12]p12
К сожалению, такие системы часто страдают обратной проблемой: иногда они не признают подпись законного владельца, при этом требуется достаточно много времени, чтобы «обучить» систему своей подписи. Одна такая система после 27 обучающих росписей признала у человека 9 (!) вариантов подписи, из которых относительно устойчивыми были только 3.
[Закрыть]
Отпечатки ладоней и их геометрия. При идентификации по отпечатку ладони и ее геометрии анализируется рисунок складок и относительная длина пальцев. Обе системы страдают нестабильностью по сравнению с анализом отпечатков пальцев, так как измеряемые параметры меняются со временем. С другой стороны, на них нет пятна «криминальности». Система идентификации по геометрии ладоней применялась для идентификации спортсменов на летних Олимпийских играх в Атланте в 1996 году.
Характеристики голоса. Системы голосового анализа пытаются идентифицировать говорящего путем сравнения произносимых им фраз с заранее записанными. Сегодня компьютерные системы распознавания голоса могут решать как задачу опознавания говорящего, т. е. определять, кто говорит, так и задачу распознавания речи, т. е. определять, что было сказано. В отличие от человека, современные компьютеры не могут идентифицировать говорящего и распознавать смысл сказанного одновременно, но с увеличением производительности они осилят и эту задачу. Маловероятно, что когда-нибудь компьютеры смогут опознавать человека по голосу со 100 %-ной точностью. Но и люди не могут этого. Иногда просто недостаточно информации для решения этой задачи.
Распознавание лица. Системы распознавания лица пытаются идентифицировать человека на базе визуального сходства. Для обеспечения работы современных систем необходимо, чтобы изображение лица занимало большую часть поля зрения видеокамеры компьютера, а фон соответствующим образом контролировался. В будущем такие системы должны будут распознавать лица в толпе, так же как это делает человек (и возможно, с той же степенью точности). Поскольку системы распознавания лица не носят на себе компрометирующего клейма, они не вызывают чувства опасности; в отличие от системы сканирования глаза, эти системы имеют шанс стать популярными в XXI столетии, что может привести к неожиданным результатам. «Люди, которым необходимо скрываться, опасаются систем распознавания лица, – говорит редактор журнала Identity World Стивен Шоу. – Эти системы не только вылавливают террористов, но могут опознавать и дипломатов, призраков и полицейских, работающих по легенде».[48]48
Интервью на конференции «Computer, Freedom and Privacy», 8 апреля 1999.
[Закрыть]
Термограмма лица. Идентификация по термограмме лица использует особенности расположения проходящих непосредственно под кожей кровеносных сосудов. Если внешний вид лица можно изменить с использованием косметики или новой прической, то кровеносную систему изменить сложнее. Поэтому считается, что термограмма лица более надежный способ идентификации, чем простое визуальное распознавание.
Идентификация по силуэту и особенностям походки. Это мое собственное название для очередной категории систем биометрической идентификации, но специалисты в этой области также его признают. Вы можете узнать своего друга издалека, даже если не видите его лица. Вы идентифицируете его на основе ряда параметров, включая размеры и пропорции, особенности походки и одежды. И вновь мы исходим из предположения, что, если человек может осуществлять идентификацию такого рода, можно попытаться обучить этому и компьютер.
Производительность. Также возможно идентифицировать человека на основе данных о его производительности при решении определенной задачи. Будучи старшекурсником MTI, я разработал компьютерную программу, которая могла идентифицировать человека по клавиатурному почерку – скорости печати и силе нажатия на клавиши при работе на клавиатуре. Во время своей работы в AT&T исследователь Томас Спитер [Thomas Speeter] разработал специальную плитку для пола, которая могла идентифицировать тех, кто по ней ходит.[49]49
Томас Спитер [Thomas H. Speeter] из AT &T Bell Laboratories разработал плитку для пола, которая могла идентифицировать ступающего по ней человека по весу и распределению давления. Опытный образец системы представлял собой единичную плитку размером около 30 см с сенсорной матрицей 16x16, где каждый сенсор представлял оказываемое на него давление числом в диапазоне от 0 до 255. При первом тестировании Спитер попросил 10 добровольцев наступить на плитку во время обычного прохождения по комнате, затем повернуться и пройти обратно. На базе выборки объемом в 188 испытаний (шагов) Спитер подсчитал, что может идентифицировать человека с вероятностью 99 % уже после трех тестовых шагов и с вероятностью 100 % – после четырех. Конечно, больший объем выборки был бы более убедительным, но исследование в любом случае показало, что шаги каждого человека обладают индивидуальностью, и компьютеры уже сегодня могут различать нас по шагам. См.: Thomas H. Speeter, «Identification Using Ground Reaction Force patterns», AT &T Bell Laboratories.
[Закрыть] Некоторые системы защиты от несанкционированного доступа определяют факт вторжения в компьютер, основываясь на принципе, что стиль работы нарушителя отличается от стиля работы законных пользователей.
Распознавание лица
В отличие от других систем биометрической идентификации, распознавание лица носит пассивный характер: оно может осуществляться без ведома человека, позволяя производить идентификацию в лифте или при проходе через дверь. Сегодня биометрические системы идентификации все чаще используются для идентификации в банкоматах (ATM), в банках и бизнесе, требующем повышенных мер безопасности. Некоторые штаты рассматривают возможность применения систем распознавания лица в базах данных водительских удостоверений, чтобы иметь возможность выявлять лиц, получающих несколько удостоверений более чем на одно имя. [Иллюстрация любезно предоставлена Miros, Inc.]
Стиль написания. Все большее количество технологий используется для определения автора, будь то пьеса, новелла или музыкальный опус, на основе анализа особенностей стиля написания. В 1996 году Дональд Фостер [Donald Foster], специалист в области компьютеров из колледжа Вассар, проанализировал бестселлер «Основные цвета» [Primary Colors] и пришел к выводу, что «анонимный» автор на самом деле – Джо Кляйн [Дое Klein], обозреватель журнала Newsweek.[50]50
Donald Foster, «Primary Culprit», New York, 26 февраля 1996, p. 50–57.
[Закрыть](Достаточно интересный факт: Кляйн не признавался в авторстве книги, пока журналистам Washington Post не удалось тайно заполучить образцы почерка Кляйна и фрагменты рукописи книги, проанализированные затем Маурин Кейси Оуэне [Maureen Casey Owens], бывшим ведущим экспертом по документам криминалистической лаборатории полиции Чикаго [Chicago Police Crime Laboratory].[51]51
«Joe Klein Says He Is Anonymous Primary Colors Author», Associated Press, 17 июля 1996.
[Закрыть]) Аналогично Тед Качински [Ted Kaczinski] был идентифицирован как Unabomber лишь после того, как его брат опознал стиль письма и идеи в опубликованном манифесте.
Важно понимать, что ни одна из описанных здесь систем идентификации не прошла какого-либо научного обследования, как это было с идентификацией по ДНК в конце 1980-х – начале 1990-х годов. Вместо этого одиночки и компании тестировали эти технологии так же, как студенты проверяют готовность спагетти: бросают их на стенку и смотрят, не прилипли ли они. Если мы собираемся в будущем использовать биометрические системы в серьезных приложениях, они должны быть подвергнуты стандартизации гораздо более жесткой, чем используется сейчас. В противном случае мы получим огромное число неудачных или ошибочных идентификаций, что вызовет сомнения и недоверие и даже может привести к тому, что в тюрьму будет заключен человек, не сделавший ничего плохого.
Биометрия завтрашнего дня
С 1989 по 1995 год я жил в доме, замок на входной двери которого управлялся системой распознавания голоса. Замок давал мне свободу и власть. Свобода заключалась в возможности выходить из дома без боязни забыть ключи: поскольку мой голос всегда был со мной, я в любое время мог попасть обратно домой. А власть заключалась в возможности управлять доступом в мой дом с очень высокой точностью. Например, я мог зарегистрировать в системе голосовые характеристики подрядчика, который выполнял работу в моем доме, не опасаясь, что он передаст его кому-нибудь из своих служащих или сделает копию для себя. Мне не нужно было просить, чтобы кто-то вернул данный ему ключ, я просто стирал характеристику его голоса из памяти замка.
Но и здесь не обошлось без проблем. Через несколько месяцев я обнаружил, что замок не опознает мой голос при сильном ветре или шумном ливне. Я также заметил, что эта биометрическая система недемократична: некоторые люди никак не идентифицировались системой, в то время как другие распознавались ею с первого раза. (Есть сведения о подобных проблемах и в системах распознавания по отпечаткам пальцев.) В конечном итоге я создал «безголосовые коды», позволявшие людям входить без предварительного произнесения парольной фразы.
В грядущем столетии ситуации, подобные моей, будут широко распространены, ибо системы биометрической идентификации все шире заменяют собой ключи и идентификационные карточки. Биометрия будет применяться для управления дверями офисных зданий и защиты компьютерных файлов. Ваш компьютер сможет опознавать, вы ли сидите перед ним, либо по голосу, либо с помощью встроенной видеокамеры. Тому, что люди предпочитают биометрические системы, есть простое объяснение: отпадает необходимость в различного рода паролях, которые можно забыть, и идентификационных карточках, которые можно потерять. В то же время некоторые люди будут дискриминированы, если из-за их индивидуальных особенностей биометрические показатели не смогут быть правильно записаны или стабильно воспроизведены.
Представим себе университет 2020 года. В столовой студенты берут подносы, выбирают понравившиеся блюда и идут с ними в обеденный зал. Компьютерная система сканирует содержимое подносов, вычисляет стоимость обеда, после чего визуально идентифицирует студента по лицу и узнает, с чьего счета снять соответствующую сумму. В библиотеке другая система распознавания лиц давно уже заменила традиционные библиотечные карточки. Компьютер санкционирует вход студента в лабораторию после сканирования его лица – это особенно важно для лабораторий с материалами, которые могут быть использованы террористами. А когда студент садится перед компьютером, система автоматически пускает его и открывает доступ к его файлам.
В университете будущего не будет необходимости изготавливать для каждого студента идентификационную карточку: присоединенная к университетской сети интеллектуальная видеокамера замечательно справится с этой работой. Но университету, возможно, все-таки придется выпускать какие-либо идентификаторы для студентов, чтобы они могли подтвердить свою принадлежность к университету за его пределами. И конечно, университет примет все меры, чтобы не допустить вторжения посторонних в свою биометрическую базу данных.
Университетская система биометрической идентификации работает потому, что университет представляет собой замкнутую среду, а студенты находятся в ней добровольно. Поскольку студенты платят значительные суммы за получение образования, а университетские ресурсы, такие как библиотеки, спортивные залы и общежития, не являются ресурсами общего пользования, студенты сами заинтересованы в надежной их идентификации учреждением.
Многие магазины оборудованы видеокамерами, записывающими изображения всех входящих в них людей. (Часто эти камеры устроены таким образом, чтобы записывать и рост человека.) Очень скоро эти камеры, возможно, будут подключены к компьютерным сетям, что позволит идентифицировать человека по лицу и другим признакам. Компьютерная сеть магазина путем обращения к общедоступным записям сможет определить, не разыскивается ли данный человек компетентными органами. Обратившись к другим базам данных, она может установить, не замечен ли этот человек в агрессивном поведении, не задолжал ли он значительные суммы по своей кредитной карте, не обвинялся ли в магазинной краже. Поместите такую камеру снаружи здания, и вы получите автоматический замок, который закроет двери перед человеком с несоответствующей репутацией. Поскольку такого рода система не может быть идеальной, на одной чаше весов оказываются риски, которые возникнут, если ее не использовать, а на другой – судебные процессы, гражданская ответственность или просто ухудшение отношения клиентов к заведению, которые могут возникнуть в случае ошибочной идентификации. На практике можно попытаться запрограммировать компьютер таким образом, чтобы он оценивал риск по каждому конкретному покупателю.
Создание общенациональной базы данных, хранящей фотографии населения, не такая уж сложная задача, ибо большая часть этих данных уже общедоступна. В 1990-х годах в большинстве штатов стали оцифровывать фотографии с водительских удостоверений. Эти фотографии, частично уже находящиеся в общем доступе, будут все чаще продаваться частным компаниям, несмотря на то, что это запрещено законом. Процесс уже начался. В феврале 1999 года Управление общественного порядка Южной Каролины [South Carolina Public Safety Department] продало фотографии с 3,5 миллиона выданных в штате водительских удостоверений компании Image Data LLC, расположенной в Нэшуа, штат Нью-Хемпшир. Согласно опубликованной в Washington Post статье, стоимость сделки составила 5 тысяч долларов, или приблизительно один цент за семь фотографий.
Washington Post выступила также с разоблачением того факта, что Image Data LLC получила в 1998 году от американской Секретной службы грант в размере 1,46 миллиона долларов и техническое содействие. Компании было поручено создание общенациональной базы фотографий, которую предполагалось использовать для борьбы с мошенничествами с чеками и кредитными картами, а также для борьбы с терроризмом и верификации иммиграционного статуса.[52]52
Robert O'Harrow, Jr., and Liz Leyden, «U.S. Helped Fund Photo Database of Driver IDs; Firm's Plan Seen as Way to Fight Identity Crimes», Washington Post, 18 февраля 1999, p. Al. Архив статьи доступен по адресу http://wearcam.org/drivers-license-picture-sale.html.
[Закрыть]
Планы Image Data вызвали тревогу, поскольку фотографии создавали огромный потенциал для злоупотреблений. Например, если банковский программист имеет расистские убеждения, он может модифицировать программу кредитования таким образом, чтобы она учитывала цвет кожи заемщика в процессе принятия решения о выдаче кредита. Другой вариант – ошибка в компьютерной программе, особенно созданной по технологии нейронных сетей, может привести к тому, что система начнет непреднамеренно учитывать этот фактор, несмотря на то, что никто этого не планировал. Такие действия программы чрезвычайно сложно обнаружить с помощью обычных методов проверки.
Самое смешное, что есть гораздо более дешевый и простой способ использования фотографий для предотвращения мошенничества. Вместо того чтобы создавать базу данных с лицами, можно просто помещать фотографию владельца на кредитную карту и чековую книжку. Корпорация Polaroid разработала кредитную карту с фотографией еще в 1960-е годы, но большинство банков воспротивилось ее использованию. Одним из аргументов было то, что, хотя фотография снижает риск мошенничества, она увеличивает стоимость карты. Другим поводом для отказа стала необходимость иметь фотографию владельца до оформления карты, что не позволяло банкам вести направленную рекламу: для оформления карты с фотографией клиенту необходимо было лично прийти в банк.
Национальная база фотографий находится в процессе создания. Но обществу необходимо обсудить, для каких целей она будет использоваться, кто будет иметь к ней доступ и каким образом будет корректироваться ошибочная информация. Было бы неправильно предоставлять частному бизнесу неограниченный доступ к этой информации без какого-либо контроля.