Перейдем теперь к компьютеризованным системам идентификации. Все современные системы биометрической идентификации, так же как и рассмотренная выше AFIS, состоят из двух частей. Первая – это устройство, которое производит измерение какого-либо параметра человеческого тела и преобразует его в цифровую форму. Вторая – большая база данных, хранящая результаты биометрических измерений сотен, тысяч или даже миллионов людей. Во многих случаях онлайновая база данных может свести на нет проблему подделок: если фальшивый кусок пластика изготовить можно, то ввести фальшивую запись в правительственную базу данных несравнимо труднее.
   За последние десять лет было разработано множество систем биометрической идентификации. Самая простая – создание онлайновой базы водительских удостоверений с фотографиями. Однако постоянно изобретаются и проверяются все более сложные системы. Вот примеры некоторых из них.
    Рисунок сетчатки глаза.Сетчатка похожа по своей индивидуальности на отпечатки пальцев. Но вместо папиллярных линий в этой системе записывается и анализируется уникальный рисунок внутри глаза человека. В 1980-е годы были популярны системы, анализирующие картину, образуемую венами и артериями глаза. Однако, в отличие от отпечатков пальцев, рисунок сетчатки подвержен изменениям: у женщин во время беременности под воздействием гормонов плода в глазу могут образовываться новые сосуды, меняющие рисунок. Общепризнано, что эта система дискриминирует женщин, которым приходится объяснять при каждом несовпадении изображений сетчатки, что они беременны, почему они беременны и, возможно, что произошло с плодом.

Сканирование радужной оболочки

   Из всех известных систем биометрической идентификации сканирование радужной оболочки является наиболее точным и стабильным. Тонкий узор на радужке формируется еще до рождения и остается неизменным на протяжении всей жизни (кроме случаев травм и хирургического вмешательства, конечно). Изображение узора радужной оболочки может быть получено с использованием видеокамеры высокого разрешения, и оно настолько уникально, что вероятность совпадения биометрических показателей радужки двух людей составляет один шанс из 10^78. (Для сравнения: население Земли составляет всего около 10^10.) Даже однояйцовые близнецы имеют различающиеся радужные оболочки. Однако следует помнить об одной вещи: сканирование радужки идентифицирует не человека, а лишь его радужную оболочку. Узнать по результатам сканирования имя человека можно только после поиска в компьютерной базе данных. Если база данных была взломана и модифицирована, сканирование радужной оболочки не даст правильной идентификации. [Фото любезно предоставлено IriScan, Inc.]
 
    Рисунок радужной оболочки.Особенно популярны системы на базе радужной оболочки были в 1990-е годы. Радужная оболочка формируется еще во время внутриутробного развития,поэтому остается неизменной на протяжении всей жизни человека. Получить ее изображение можно с помощью стандартной видеокамеры, а не дорогостоящего и неудобного сканера, как в случае с сетчаткой. Одним из лидеров в этом секторе является компания IriScan, чьи технологии используются в тюрьмах, в автоматических кассовых машинах (банкоматах), а недавно стали использоваться и на станциях метро. British Telecom, являющаяся партнером этой фирмы, разработала высокоскоростной сканер радужной оболочки, который может получать изображение радужки человека, сидящего в машине, движущейся со скоростью 90 км/час. Сегодня такой сканер очень дорог, для него требуется специальная оптика, камера высокого разрешения и управляемый компьютером объектив с сервоприводом.
   Но, поскольку технологии постоянно развиваются, а цены падают, эта технология, вероятно, вскоре станет более доступной.
    Анализ почерка.Анализ почерка и собственноручной подписи является одной из первых биометрических систем в мире. Сегодня изображение подписи может быть оцифровано и сравнено с имеющимися образцами. Если подпись ставится на специальном электронном планшете, компьютер может также анализировать скорость перемещения пера и силу нажатия. Комбинируя эти три параметра (траекторию, скорость и силу нажатия) можно построить биометрическую модель, которую очень сложно подделать. [p12]
    Отпечатки ладоней и их геометрия.При идентификации по отпечатку ладони и ее геометрии анализируется рисунок складок и относительная длина пальцев. Обе системы страдают нестабильностью по сравнению с анализом отпечатков пальцев, так как измеряемые параметры меняются со временем. С другой стороны, на них нет пятна «криминальности». Система идентификации по геометрии ладоней применялась для идентификации спортсменов на летних Олимпийских играх в Атланте в 1996 году.
    Характеристики голоса.Системы голосового анализа пытаются идентифицировать говорящего путем сравнения произносимых им фраз с заранее записанными. Сегодня компьютерные системы распознавания голоса могут решать как задачу опознавания говорящего, т. е. определять, ктоговорит, так и задачу распознавания речи, т. е. определять, чтобыло сказано. В отличие от человека, современные компьютеры не могут идентифицировать говорящего и распознавать смысл сказанного одновременно, но с увеличением производительности они осилят и эту задачу. Маловероятно, что когда-нибудь компьютеры смогут опознавать человека по голосу со 100 %-ной точностью. Но и люди не могут этого. Иногда просто недостаточно информации для решения этой задачи.
    Распознавание лица.Системы распознавания лица пытаются идентифицировать человека на базе визуального сходства. Для обеспечения работы современных систем необходимо, чтобы изображение лица занимало большую часть поля зрения видеокамеры компьютера, а фон соответствующим образом контролировался. В будущем такие системы должны будут распознавать лица в толпе, так же как это делает человек (и возможно, с той же степенью точности). Поскольку системы распознавания лица не носят на себе компрометирующего клейма, они не вызывают чувства опасности; в отличие от системы сканирования глаза, эти системы имеют шанс стать популярными в XXI столетии, что может привести к неожиданным результатам. «Люди, которым необходимо скрываться, опасаются систем распознавания лица, – говорит редактор журнала Identity WorldСтивен Шоу. – Эти системы не только вылавливают террористов, но могут опознавать и дипломатов, призраков и полицейских, работающих по легенде». [48]
    Термограмма лица.Идентификация по термограмме лица использует особенности расположения проходящих непосредственно под кожей кровеносных сосудов. Если внешний вид лица можно изменить с использованием косметики или новой прической, то кровеносную систему изменить сложнее. Поэтому считается, что термограмма лица более надежный способ идентификации, чем простое визуальное распознавание.
    Идентификация по силуэту и особенностям походки.Это мое собственное название для очередной категории систем биометрической идентификации, но специалисты в этой области также его признают. Вы можете узнать своего друга издалека, даже если не видите его лица. Вы идентифицируете его на основе ряда параметров, включая размеры и пропорции, особенности походки и одежды. И вновь мы исходим из предположения, что, если человек может осуществлять идентификацию такого рода, можно попытаться обучить этому и компьютер.
    Производительность.Также возможно идентифицировать человека на основе данных о его производительности при решении определенной задачи. Будучи старшекурсником MTI, я разработал компьютерную программу, которая могла идентифицировать человека по клавиатурному почерку – скорости печати и силе нажатия на клавиши при работе на клавиатуре. Во время своей работы в AT&T исследователь Томас Спитер [Thomas Speeter] разработал специальную плитку для пола, которая могла идентифицировать тех, кто по ней ходит. [49]Некоторые системы защиты от несанкционированного доступа определяют факт вторжения в компьютер, основываясь на принципе, что стиль работы нарушителя отличается от стиля работы законных пользователей.

Распознавание лица

   В отличие от других систем биометрической идентификации, распознавание лица носит пассивный характер: оно может осуществляться без ведома человека, позволяя производить идентификацию в лифте или при проходе через дверь. Сегодня биометрические системы идентификации все чаще используются для идентификации в банкоматах (ATM), в банках и бизнесе, требующем повышенных мер безопасности. Некоторые штаты рассматривают возможность применения систем распознавания лица в базах данных водительских удостоверений, чтобы иметь возможность выявлять лиц, получающих несколько удостоверений более чем на одно имя. [Иллюстрация любезно предоставлена Miros, Inc.]
    Стиль написания.Все большее количество технологий используется для определения автора, будь то пьеса, новелла или музыкальный опус, на основе анализа особенностей стиля написания. В 1996 году Дональд Фостер [Donald Foster], специалист в области компьютеров из колледжа Вассар, проанализировал бестселлер «Основные цвета» [Primary Colors]и пришел к выводу, что «анонимный» автор на самом деле – Джо Кляйн [Дое Klein], обозреватель журнала Newsweek. [50](Достаточно интересный факт: Кляйн не признавался в авторстве книги, пока журналистам Washington Postне удалось тайно заполучить образцы почерка Кляйна и фрагменты рукописи книги, проанализированные затем Маурин Кейси Оуэне [Maureen Casey Owens], бывшим ведущим экспертом по документам криминалистической лаборатории полиции Чикаго [Chicago Police Crime Laboratory]. [51]) Аналогично Тед Качински [Ted Kaczinski] был идентифицирован как Unabomber лишь после того, как его брат опознал стиль письма и идеи в опубликованном манифесте.
   Важно понимать, что ни однаиз описанных здесь систем идентификации не прошла какого-либо научного обследования, как это было с идентификацией по ДНК в конце 1980-х – начале 1990-х годов. Вместо этого одиночки и компании тестировали эти технологии так же, как студенты проверяют готовность спагетти: бросают их на стенку и смотрят, не прилипли ли они. Если мы собираемся в будущем использовать биометрические системы в серьезных приложениях, они должны быть подвергнуты стандартизации гораздо более жесткой, чем используется сейчас. В противном случае мы получим огромное число неудачных или ошибочных идентификаций, что вызовет сомнения и недоверие и даже может привести к тому, что в тюрьму будет заключен человек, не сделавший ничего плохого.

Биометрия завтрашнего дня

   С 1989 по 1995 год я жил в доме, замок на входной двери которого управлялся системой распознавания голоса. Замок давал мне свободу и власть. Свобода заключалась в возможности выходить из дома без боязни забыть ключи: поскольку мой голос всегда был со мной, я в любое время мог попасть обратно домой. А власть заключалась в возможности управлять доступом в мой дом с очень высокой точностью. Например, я мог зарегистрировать в системе голосовые характеристики подрядчика, который выполнял работу в моем доме, не опасаясь, что он передаст его кому-нибудь из своих служащих или сделает копию для себя. Мне не нужно было просить, чтобы кто-то вернул данный ему ключ, я просто стирал характеристику его голоса из памяти замка.
   Но и здесь не обошлось без проблем. Через несколько месяцев я обнаружил, что замок не опознает мой голос при сильном ветре или шумном ливне. Я также заметил, что эта биометрическая система недемократична: некоторые люди никак не идентифицировались системой, в то время как другие распознавались ею с первого раза. (Есть сведения о подобных проблемах и в системах распознавания по отпечаткам пальцев.) В конечном итоге я создал «безголосовые коды», позволявшие людям входить без предварительного произнесения парольной фразы.
   В грядущем столетии ситуации, подобные моей, будут широко распространены, ибо системы биометрической идентификации все шире заменяют собой ключи и идентификационные карточки. Биометрия будет применяться для управления дверями офисных зданий и защиты компьютерных файлов. Ваш компьютер сможет опознавать, вы ли сидите перед ним, либо по голосу, либо с помощью встроенной видеокамеры. Тому, что люди предпочитают биометрические системы, есть простое объяснение: отпадает необходимость в различного рода паролях, которые можно забыть, и идентификационных карточках, которые можно потерять. В то же время некоторые люди будут дискриминированы, если из-за их индивидуальных особенностей биометрические показатели не смогут быть правильно записаны или стабильно воспроизведены.
   Представим себе университет 2020 года. В столовой студенты берут подносы, выбирают понравившиеся блюда и идут с ними в обеденный зал. Компьютерная система сканирует содержимое подносов, вычисляет стоимость обеда, после чего визуально идентифицирует студента по лицу и узнает, с чьего счета снять соответствующую сумму. В библиотеке другая система распознавания лиц давно уже заменила традиционные библиотечные карточки. Компьютер санкционирует вход студента в лабораторию после сканирования его лица – это особенно важно для лабораторий с материалами, которые могут быть использованы террористами. А когда студент садится перед компьютером, система автоматически пускает его и открывает доступ к его файлам.
   В университете будущего не будет необходимости изготавливать для каждого студента идентификационную карточку: присоединенная к университетской сети интеллектуальная видеокамера замечательно справится с этой работой. Но университету, возможно, все-таки придется выпускать какие-либо идентификаторы для студентов, чтобы они могли подтвердить свою принадлежность к университету за его пределами. И конечно, университет примет все меры, чтобы не допустить вторжения посторонних в свою биометрическую базу данных.
   Университетская система биометрической идентификации работает потому, что университет представляет собой замкнутую среду, а студенты находятся в ней добровольно. Поскольку студенты платят значительные суммы за получение образования, а университетские ресурсы, такие как библиотеки, спортивные залы и общежития, не являются ресурсами общего пользования, студенты сами заинтересованы в надежной их идентификации учреждением.
   Многие магазины оборудованы видеокамерами, записывающими изображения всех входящих в них людей. (Часто эти камеры устроены таким образом, чтобы записывать и рост человека.) Очень скоро эти камеры, возможно, будут подключены к компьютерным сетям, что позволит идентифицировать человека по лицу и другим признакам. Компьютерная сеть магазина путем обращения к общедоступным записям сможет определить, не разыскивается ли данный человек компетентными органами. Обратившись к другим базам данных, она может установить, не замечен ли этот человек в агрессивном поведении, не задолжал ли он значительные суммы по своей кредитной карте, не обвинялся ли в магазинной краже. Поместите такую камеру снаружи здания, и вы получите автоматический замок, который закроет двери перед человеком с несоответствующей репутацией. Поскольку такого рода система не может быть идеальной, на одной чаше весов оказываются риски, которые возникнут, если ее не использовать, а на другой – судебные процессы, гражданская ответственность или просто ухудшение отношения клиентов к заведению, которые могут возникнуть в случае ошибочной идентификации. На практике можно попытаться запрограммировать компьютер таким образом, чтобы он оценивал риск по каждому конкретному покупателю.
   Создание общенациональной базы данных, хранящей фотографии населения, не такая уж сложная задача, ибо большая часть этих данных уже общедоступна. В 1990-х годах в большинстве штатов стали оцифровывать фотографии с водительских удостоверений. Эти фотографии, частично уже находящиеся в общем доступе, будут все чаще продаваться частным компаниям, несмотря на то, что это запрещено законом. Процесс уже начался. В феврале 1999 года Управление общественного порядка Южной Каролины [South Carolina Public Safety Department] продало фотографии с 3,5 миллиона выданных в штате водительских удостоверений компании Image Data LLC, расположенной в Нэшуа, штат Нью-Хемпшир. Согласно опубликованной в Washington Postстатье, стоимость сделки составила 5 тысяч долларов, или приблизительно один цент за семь фотографий.
    Washington Postвыступила также с разоблачением того факта, что Image Data LLC получила в 1998 году от американской Секретной службы грант в размере 1,46 миллиона долларов и техническое содействие. Компании было поручено создание общенациональной базы фотографий, которую предполагалось использовать для борьбы с мошенничествами с чеками и кредитными картами, а также для борьбы с терроризмом и верификации иммиграционного статуса. [52]
   Планы Image Data вызвали тревогу, поскольку фотографии создавали огромный потенциал для злоупотреблений. Например, если банковский программист имеет расистские убеждения, он может модифицировать программу кредитования таким образом, чтобы она учитывала цвет кожи заемщика в процессе принятия решения о выдаче кредита. Другой вариант – ошибка в компьютерной программе, особенно созданной по технологии нейронных сетей, может привести к тому, что система начнет непреднамеренно учитывать этот фактор, несмотря на то, что никто этого не планировал. Такие действия программы чрезвычайно сложно обнаружить с помощью обычных методов проверки.
   Самое смешное, что есть гораздо более дешевый и простой способ использования фотографий для предотвращения мошенничества. Вместо того чтобы создавать базу данных с лицами, можно просто помещать фотографию владельца на кредитную карту и чековую книжку. Корпорация Polaroid разработала кредитную карту с фотографией еще в 1960-е годы, но большинство банков воспротивилось ее использованию. Одним из аргументов было то, что, хотя фотография снижает риск мошенничества, она увеличивает стоимость карты. Другим поводом для отказа стала необходимость иметь фотографию владельца до оформления карты, что не позволяло банкам вести направленную рекламу: для оформления карты с фотографией клиенту необходимо было лично прийти в банк.
   Национальная база фотографий находится в процессе создания. Но обществу необходимо обсудить, для каких целей она будет использоваться, кто будет иметь к ней доступ и каким образом будет корректироваться ошибочная информация. Было бы неправильно предоставлять частному бизнесу неограниченный доступ к этой информации без какого-либо контроля.

Биометрическое пиратство

   Когда Washington Postопубликовала информацию о предстоящей продаже фотографий с водительских удостоверений в Южной Каролине, это вызвало взрыв негодования. Штат сразу же попытался разорвать контракт, мотивируя это нарушением права граждан. Но судья штата отклонил данный аргумент, заявив, что законодательство не запрещает такую продажу.
   В результате этого и других инцидентов некоторые штаты, возможно уже в ближайшее время, примут законы, запрещающие продажу фотографий с водительских удостоверений частному бизнесу. Но гораздо труднее не допустить использования бизнесменами собственных ресурсов для создания базы данных с фотографиями. Установленные возле кассовых аппаратов видеокамеры уже сейчас фиксируют изображение каждого, кто пользуется кредитной картой. Не представляет никакой сложности совместить эту информацию с именем владельца предъявляемой карты. Эта схема настолько проста, что не заставит себя долго ждать, если только такая практика не будет запрещена законодательно.
   Профессор электротехнического факультета университета Торонто Стив Ман [Steve Mann] назвал фиксацию изображения человека без его согласия пиратством образа[likeness piracy]. [53]Ман доходчиво объяснил разницу между пиратством образа и нарушением авторских прав [copyright infringement]: авторское право защищает лишь произведения в фиксированной форме. Нарушение авторского права подразумевает присвоение и использование определенного изображения, в то время как пиратство образа подразумевает присвоение и использование изображения человека в принципе.
   В законодательстве Соединенных Штатов и других стран вопрос пиратства образа урегулирован. Например, в штате Нью-Йорк считается преступлением использование изображения человека в рекламе без его согласия. Этот закон появился еще в начале XX века, когда торговцы начали размещать лица людей на упаковках с продуктом как форму его одобрения, не получив предварительно официального разрешения человека. Кто-то может предположить, что данный закон будет работать и в XXI веке, защищая нас от пиратства образа и биометрического пиратства. Но он будет бессилен, если политика в области биометрии будет устанавливаться на основании сложившейся в бизнесе практики.

Идентификация с использованием смарт-карт

   Смарт-карта, вроде изображенной на рисунке карты фирмы Gemplus, представляет собой обычную пластиковую карту с размещенным на ней тонким микрочипом. Чип может включать в себя микропроцессор и несколько килобайт памяти. Самое популярное применение смарт-карт – «электронные кошельки», когда карта используется в качестве носителя электронной наличности. Смарт-карта может быть использована и в качестве носимого банка данных, причем владелец карты не может модифицировать находящуюся на карте информацию. В приведенном примере смарт-карта используется в качестве идентификатора, содержащего оцифрованную фотографию владельца и, возможно, отпечатки пальцев. Пограничник сравнивает лицо стоящей перед ним женщины с ее фотографией, считанной со смарт-карты. Поскольку изменить записанное в карту фотоизображение гораздо сложнее, чем переклеить обычную фотографию на документе, разработчики считают такую технологию более безопасной. Хотя эта технология считается сегодня наиболее безопасной, это значит лишь, что создателей поддельной карты ждет более высокое вознаграждение. В конечном счете смарт-карта будущего окажется не более защищенной, чем кредитные карты сегодня. [Фотографии любезно предоставлены фирмой Gemplus]
   Уже сегодня крупнейшая служба доставки United Parcel Service (UPS) является также и крупнейшим биометрическим пиратом. При доставке большинства отправлений UPS требует, чтобы получатель расписался в качестве подтверждения получения. В 1987 году UPS начала оцифровывать изображения подписей получателей и хранить их в базе данных. Изображение могло быть отослано по факсу любому, кто позвонил в UPS по номеру 800 и запросил уведомление о вручении отправления. В 1990 году UPS усовершенствовала свою пиратскую технологию, оснастив своих курьеров портативными компьютерами, названными «устройствами для сбора информации о доставке» – DIAD [Delivery Information Acquisition Device]. Каждый компьютер оснащался встроенным считывателем штрих-кодов и специальным планшетом для подписи. Доставив отправление, курьер считывает штрих-код и предлагает получателю расписаться на планшете. Эти данные записываются в память DIAD, после чего, конечно, попадают в базы данных UPS.
   Когда я обратился в компанию с жалобой на такую практику, пресс-секретарь UPS Пэт Стифен [Pat Steffen] объяснила мне, что инициатива сделать подписи доступными в электронном виде исходила от клиентов UPS. Подписи рассматривались как подтверждение доставки. Оцифровка этого подтверждения позволяла UPS работать с ними, как и с любыми другими цифровыми данными. Отправка по факсу сертификатов с подтверждением о доставке осуществляется компьютерами UPS автоматически, объяснила мне Стифен. Клиентам UPS также предоставляется возможность получить специальное программное обеспечение для отслеживания доставки и просматривать подписи непосредственно на своем персональном компьютере. [54]
   Самое забавное, что, сделав оцифрованную собственноручную подпись клиента широко доступной, UPS тем самым принизила ее значимость. Как только подпись оцифровывается, ею очень легко манипулировать с помощью компьютера, например поставить ее под контрактом. Система UPS особенно уязвима: вы можете отслеживать доставку отправлений, зная номера накладных, которые присваиваются последовательно, например «0930 8 164 904», «0930 8 164 913», «0930 8 164 922». Зная номер выданной в UPS квитанции, злоумышленник может использовать эту информацию для составления полного списка получателей отправлений и присвоить копию подписи каждого получателя.
   UPS понимает уязвимость своей системы, но не предпринимает серьезных действий по ее ликвидации. На web-сайте компании можно увидеть замечание следующего содержания:
   UPS предоставляет вам возможность использовать систему отслеживания доставки только с целью контроля ваших отправлений. Любое другое использование системы отслеживания и информации из нее строго запрещено.