ЕС подготовил краткий и удивительно понятный обзор статус-кво и будущих возможностей для удалённой проверки личности, от технологий до угроз и средств защиты. С помощью кабинетных исследований, опросов и интервью с исследователями, поставщиками технологий и пользователями. Несмотря на достижения в области биометрических технологий, в докладе делается вывод о том, что вмешательство человека сейчас и в будущем имеет жизненно важное значение.
«Удалённое подтверждение личности — атаки и контрмеры» Агентства Европейского Союза по кибербезопасности, ENISA, исследует растущий сектор удаленной проверки личности — шаг перед биометрической идентификацией и аутентификацией, который определяет, что существует реальный человек, представляющий себя и настоящие удостоверение личности государственного образца.
В отчёте отмечается, что удалённая проверка личности уже становится всё более распространённой по мере того, как услуги выходят в онлайн и становятся всё более мобильными, и эта тенденция ускорилась из-за пандемии COVID-19. Технология также важна для ЕС и его общеблокового проекта eID, основанного на регулировании eIDAS. Когда-нибудь европейцы смогут использовать цифровую идентификацию для доступа к правительству в любом государстве-члене: «Удалённое подтверждение личности является важнейшим элементом в создании доверия к цифровым услугам».
С этой целью ENISA регулярно выпускает документы в этой области, такие как «Удаленная проверка личности: анализ методов удалённой проверки личности», опубликованный в марте 2021 года.
В последнем отчёте основное внимание уделяется подделке биометрических данных лица с помощью физических методов, таких как силиконовые маски, и цифровых атак, таких как дипфейки. В отчёте говорится, что может быть предпринят широкий спектр мер, от проверок окружающей среды до организационных проектов, стандартизации и постоянной потребности в надзоре за отдельными сеансами проверки, а также для обучения искусственного интеллекта, лежащего в основе автоматизации.
Простые проверки среды презентации, такие как аппаратное обеспечение, программное обеспечение и сеть пользователя, а также качество видео и звука, могут значительно улучшить подтверждение личности. Использование специального приложения позволяет проверять, является ли устройство физическим объектом, а изображение с камеры снимается в режиме реального времени. (Хотя такие фирмы, как Yoti, разрабатывают способы повышения безопасности проверки на основе веб-браузера, когда приложение недоступно).
«Наивысший уровень гарантии при использовании удостоверения личности государственного образца представляет собой электронный документ, удостоверяющий личность, оснащенный чипом NFC», — говорится в отчете. Чип NFC содержит данные документа, зашифрованные и подписанные в цифровой форме государством-эмитентом. Если опция NFC отсутствует, альтернативой может быть видеопроверка документов, но оба варианта полезны только в том случае, если система проверки проверяет базы данных на наличие учетных данных, которые были заявленны как утерянные или украденные.
Однако, согласно отчету, даже безопасность NFC в конечном итоге будет скомпрометирована, поскольку достижения в области квантовых вычислений смогут помешать PKI, используемой чипами NFC. Квантово-устойчивые алгоритмы необходимо разработать быстро.
Обнаружение атак на презентации (PAD) будет постоянно подвергаться сомнению. Экраны 8k HDR обходят распознавание экрана, а это означает, что 3D-распознавание лиц и живость лица должны стать мейнстримом. Что касается видео, поскольку программный рендеринг для дипфейков развивается быстрыми темпами, проверка видео в реальном времени также потеряет свое преимущество.
Существующие уровни безопасности, такие как мигание случайных цветов на человеке, проходящем проверку, и его окружение, которое камера улавливает как отражения, например, могут оказаться под угрозой. «Некоторые из опрошенных заинтересованных сторон утверждают, что можно мгновенно создавать полупрозрачные цвета на дипфейк изображение, преодолевая этот метод [проверки] живости», — говорится в отчёте.
Большинство респондентов, участвовавших в отчёте, считают дипфейки самой большой угрозой для удалённой проверки личности.
Для решения этих проблем могут быть введены другие биометрические проверки, основанные на «непроизвольных сигналах человека, таких как микродвижения и изменения лица, движение глаз, расширение зрачка, микровариации интенсивности цвета кожи, определяемые пульсом кровь и другие».
Наряду с технологическими подходами могут помочь организационные средства контроля, такие как создание программ вознаграждений за обман и обход камер для поощрения тех, кто находит уязвимости. Ещё одно направление — это использование людей в этом процессе.
«Хотя многие верят в технологии и считают, что полностью автоматизированный процесс без вмешательства человека не заставит себя долго ждать, люди всё ещё должны оставаться в курсе событий», — говорится в отчёте.
«Алгоритмы не могут самостоятельно понять и обнаружить новое мошенничество, и для присвоения правильных меток новым атакам требуются действия человека. Следовательно, люди необходимы для очистки и маркировки данных, что обеспечивает высококачественное обучение, которое приведёт к повышению производительности и смягчению атак противника».
Атаки, контрмеры и импульсы крови при удаленной проверке личности
ЕС подготовил удивительно понятное краткое изложение статус-кво и будущих возможностей для удаленной проверки личности, от технологий до угроз и средств защиты. Посредством кабинетных исследований, опросов и интервью с исследователями, поставщиками технологий и пользователями. Несмотря на достижения в области биометрических технологий, в докладе делается вывод о том, что вмешательство человека сейчас и в будущем имеет жизненно важное значение.
«Удаленная проверка личности – атаки и контрмеры» Агентства Европейского союза по кибербезопасности ENISA исследует растущий сектор удаленной проверки личности – шаг перед биометрической идентификацией и аутентификацией, который определяет, что существует реальный человек, представляющий себя и настоящие государственные идентификационные данные.
Удаленная проверка личности уже становится все более распространенной по мере того, как сервисы выходят в Интернет и становятся все более мобильными, и эта тенденция ускорилась в связи с пандемией COVID-19, отмечается в докладе. Технология также важна для ЕС и его общеблокового проекта eID, основанного на регулировании eIDAS. Европейцы должны однажды иметь возможность использовать цифровую идентификацию для доступа к правительству в любом государстве-члене: «Удаленная проверка подлинности является решающим элементом в создании доверия к цифровым услугам».
С этой целью ENISA регулярно публикует документы в этой области, такие как «Удаленная проверка личности: анализ методов удаленной проверки личности», опубликованный в марте 2021 года.
В последнем отчете основное внимание уделяется подделке биометрии лица с помощью физических методов, таких как кремниевые маски, и цифровых атак, таких как глубокие подделки. Он приходит к выводу, что может быть принят широкий спектр мер, от проверок окружающей среды до организационных проектов, стандартизации и постоянной потребности в человеческом надзоре за отдельными сеансами проверки, а также для обучения искусственному интеллекту, лежащему в основе автоматизации.
Простая проверка среды презентации, такой как аппаратное обеспечение, программное обеспечение и сеть пользователя, а также качество видео и аудио, может значительно обеспечить подтверждение личности. Использование специального приложения позволяет проверить, является ли устройство физическим объектом, и запись с камеры ведется в режиме реального времени. (Хотя такие фирмы, как Yoti, разрабатывают способы повышения безопасности проверки на основе веб-браузера, когда приложение недоступно.)
«Наивысший уровень гарантии при использовании удостоверения личности государственного образца обеспечивается электронным документом, удостоверяющим личность, оснащенным чипом NFC», – говорится в отчете. Чип NFC содержит данные документа, зашифрованные и подписанные цифровой подписью государства-эмитента. Если опция NFC отсутствует, альтернативой может быть проверка документов на основе видео, но оба варианта полезны только в том случае, если система проверки проверяет базы данных на наличие учетных данных, которые были утеряны или украдены.
Однако, согласно отчету, даже безопасность NFC в конечном итоге будет скомпрометирована, поскольку достижения в области квантовых вычислений могут помешать PKI, используемым чипами NFC. Квантово-устойчивые алгоритмы необходимо разрабатывать быстро.
Обнаружение атак на презентацию (PAD) будет постоянно подвергаться испытаниям. экраны 8k HDR обходят распознавание экрана, а это означает, что 3D-распознавание лиц и живость лица должны стать мейнстримом. Что касается видео, то, поскольку рендеринг программного обеспечения для глубоких подделок развивается быстрыми темпами, тестирование видео в реальном времени также потеряет свое преимущество.
Существующие уровни безопасности, такие как мигание случайных цветов на человеке, проходящем проверку, и его окружении, которые будут зафиксированы камерой в качестве отражений, таких как успешная гарантия подлинного присутствия iProov, могут оказаться под угрозой. «Некоторые из заинтересованных сторон, с которыми проводились консультации, утверждают, что на кукле deepfake можно мгновенно создавать полупрозрачные цвета, побеждая этот метод живости», – говорится в отчете.
Большинство респондентов, участвовавших в отчете, рассматривают глубокие подделки как самую большую угрозу удаленной проверке личности.
Для решения этих проблем можно было бы ввести другие биометрические проверки, основанные на «непроизвольных человеческих сигналах, таких как микродвижения и изменения человеческого лица, движение глаз, расширение зрачка, микро-изменение интенсивности цвета кожи, определяемое пульсом крови и другими».
Наряду с технологическими подходами могут помочь организационные средства контроля, такие как создание программ вознаграждений за обман и обход камер для поощрения тех, кто находит уязвимости. Еще одно направление – это использование людей в этом процессе.
«Хотя многие верят в технологии и считают, что полностью автоматизированный процесс без вмешательства человека не заставит себя долго ждать, люди все еще должны оставаться в курсе событий», – говорится в докладе.
«Алгоритмы не могут самостоятельно понять и обнаружить новое мошенничество, и для присвоения правильных ярлыков новым атакам требуются действия человека. Поэтому люди необходимы для очистки и маркировки данных, обеспечивающих высококачественное обучение, которое приведет к повышению производительности и смягчению атак противника ».
Проблема, которая уже очевидна и которая может стать более существенной, заключается в различиях между методами, такими как сбор биометрических данных, поставщиков удалённой проверки личности. Например, различия в количестве видеокадров могут показаться незначительными, но результаты могут быть огромными.
«Создание безопасной стандартизированной среды для удалённой проверки подлинности может снизить риски, но также принесёт преимущества организациям, включая повышение соответствия требованиям, расширение охвата клиентов, конкурентные преимущества, оптимизацию безопасных процессов внедрения, защиту пользователей и их активов», – говорится в отчёте.
Хотя в Европе ещё нет согласованной схемы сертификации или контрольных показателей, некоторые государства-члены разработали национальные стандарты. Франция установила Систему требований к поставщикам услуг удалённой проверки личности, которая устанавливает минимальные стандарты разрешения видео и частоты кадров.
По материалам Biometrics Research Group. Автор Frank Hersey