Фунтиков В.А., Малыгин А.Ю., Олейник Ю.И. ПРОБЛЕМЫ, ВОЗНИКАЮЩИЕ ПРИ ТЕСТИРОВАНИИ И СЕРТИФИКАЦИИ ВЫСОКОНАДЕЖНЫХ БИОМЕТРИЧЕСКИХ СРЕДСТВ
Развитие новых биометрических и нейросетевых технологий защиты информации приводит к необходимости решать ряд вопросов, которые не могут быть решены в рамках традиционных подходов к тестированию и сертификации обычных средств защиты информации [1]. Положение усложняется тем, что для аттестации и сертификации биометрических средств защиты разного уровня требуются разные ресурсы. Биометрические системы построены на измерении некоторых параметров человека и здесь напрашивается аналогия с сертификацией и аттестацией средств изменения.
Когда речь идет о поверке низкоточных средств измерения, то проблем обычно не возникает. Все предприятия справляются с этой проблемой, имея в своем составе отдел метрологии. Достаточно иметь один образцовый прибор, чтобы проверить все менее точные измерительные приборы предприятия.
Образцовые приборы предприятий поверяются в региональных поверочных центрах. Их поверка уже требует существенно больших затрат, часть из которых приходится покрывать государству. Еще больших затрат требует создание высокоточных национальных эталонов измерительных величин (например атомного эталона времени). Создание и поддержание национальных эталонов - это очень затратное мероприятие, которое полностью финансируется государством.
Видимо, аналогичная иерархия затрат на сертификацию и аттестацию отобразится со средств измерительной техники на средства биометрической защиты. Можно утверждать, что сертификация и аттестация слабой биометрической защиты не должна быть дорогой и может быть проведена силами самих производителей биометрии (требуется только подтверждение заявляемых производителем параметров). Однако сертификация и аттестация биометрических систем среднего уровня защиты должна уже требовать существенно больших затрат и здесь, видимо, потребуется определенная государственная поддержка. Если же речь идет о высокозащищенных биометрических технологиях, то здесь затраты на сертификацию могут оказаться весьма и весьма значительными. Вполне может оказаться, что затраты на тестирование и сертификацию биометрической систем с высоким уровнем защиты будут больше, чем затраты на разработку самой системы.
Если речь идет даже о биометрической защите низкой стойкости, то мы все равно не можем сертифицировать систему в паре с любым пользователем. Отдельно взятый пользователь может обладать хорошей и плохой биометрией. Однозначности можно добиться, только рассматривая систему в паре с абстрактным среднестатистическим пользователем. Среднестатистический пользователь не существует реально, он абстрактен и его модель должна быть создана, например, усреднением результатов нескольких реальных пользователей. В идеале модель среднестатистического пользователя должна быть общедоступна, например, в виде СБ-КОМ диска с записями биометрических образов достаточно представительной группы пользователей. Например, это может быть диск с образцами голосов пользователей, произносящих многократно парольное слово (фразу).
Изложенное выше - это мировая практика, за рубежом созданы общедоступные базы данных голосов, рукописных почерков, портеров лиц, отпечатков пальцев. Очевидно, что национальные базы портретов лиц граждан США или отпечатков их пальцев вполне могут быть использованы и в России при аттестации и сертификации биометрических систем. Иное дело базы голосов и почерков. Использовать англоязычные базы примеров голосов в России нельзя. Необходимо создавать свои базы эталонных голосов, характерных для России, произнесенные на русском языке. То же самое относится и к образцам рукописного почерка, они должны быть написаны по-русски рукописными почерками достаточно большого числа людей. Мы не можем пользоваться образцами рукописного почерка латинского алфавита. Нам придется формировать собственные базы данных русских голосов и рукописных почерков.
Заметим, что все выше сказанное вполне технически реализуемо и относится к обычным биометрическим системам со стойкостью на уровне 102...104 попыток случайного подбора образов. Причем чем ниже стойкость биометрической системы, тем легче создать группу биометрических образов для полной проверки заявленных характеристик системы. Так если заявлена стойкость системы на уровне 102.104 попыток, то на одном СБ-КОМ диске вполне могут быть размещены 104.105 примеров образов «Все Чужие», которых достаточно для полного подтверждения заявленного уровня безопасности. При этом мы получаем простейший вариант структуры системы сертификации биометрической системы, отраженный на рисунке 1.
Рис. 1 - Принятая на сегодня структура сертификации относительно слабых биометрических систем
стойкостью от 102 до 104 попыток подбора образов
Во время процедуры сертификации используется заранее собранная база эталонных примеров биометрических образов, автоматически подаваемая на вход биометрической системы. Порядок предъявления тестовых образов на вход системы, порядок ее обучения, статистические расчеты конечных вероятностных характеристик осуществляются по некоторой заранее составленной методике сертификации.
В том случае, когда речь идет о сертификации биометрических систем, обеспечивающих средний уровень защищенности, то одновременно с самой биометрической системой необходимо проводить тестирование подсистемы прогноза. Биометрические системы среднего уровня защищенности обеспечивают защиту на уровне 104.107 попыток подбора и такие системы уже должны иметь внутренние средства самоконтроля [1].
Если сертифицируемая биометрическая система имеет внутреннюю подсистему прогноза ожидаемого уровня защищенности, необходимо тестировать правильность работы и этой подсистемы прогноза. Эталонные биометрические образы базы данных должны быть сами упорядочены по их стойкости к атакам подбора. Тогда аттестация подсистемы прогноза будет сводиться к проверке повторения ею параметров образов записанных на диске. Если на диске записан образ близкий по своим параметрам к среднестатистическому, то и подсистема прогноза должна относить его к среднестатистической группе. Соответственно более стойкие биометрические образы должны правильно относиться системой прогноза к
более стойким группам. Если на эталонном диске приведенные биометрические образы уже классифицированы по их стойкости, то аттестация подсистемы прогноза становится вполне реальной за короткие промежутки времени. Как следствие сертификация биометрических систем среднего уровня защищенности не может иметь высокой стоимости.
Естественно, что создать базы примеров «Все Чужие» большого размера для систем среднего уровня защищенности гораздо труднее, чем аналогичные проверочные базы для слабых биометрических систем, однако это технически вполне возможно.
Структура процедуры сертификации для биометрических систем среднего уровня защищенности приведена на рисунке 2. Она во многом повторяет предыдущую структуру рисунка 1.
Основным отличием является значительно большая по размерам база примеров «Все Чужие» и классификация по качеству примеров образов «Свой». Возросшие размеры базы примеров «Все Чужие» уже не позволяют хранить ее на компактных носителях информации.
Рис. 2 - Сертификация биометрических систем среднего уровня защищенности с тестированием подсистемы прогноза
Если базу данных для тестирования слабых биометрических систем может создать для себя любая и в том числе даже малая фирма, то базу примеров для тестирования систем среднего уровня защищенности создать не так просто. Для этой цели уже необходима кооперация множества малых фирм или заинтересованность достаточно крупных производителей, которым подобная задача под силу.
В качестве примера рассмотрим процедуру создания тестовой базы данных для системы идентификации человека по рукописному почерку. Как правило, один человек без особых усилий рукописно воспроизводит примерно одну страницу текста (1000 знаков или 200 слов длиной по 5 букв) за 15.20 минут. Для того, что бы получить порядка 1000 образов рукописных слов требуется около 1 часа напряженной работы одного человека. Создать тестовую базу из 10000 рукописных образов одного человека удается примерно за одну - две рабочие смены. За 1 год выполнимо создать базу из 107 разных рукописных образов, написанных разными почерками разных людей. При этом должны быть задействованы сотни или тысячи людей, вручную переписывающих достаточно объемные тексты. Очевидно, что создание баз данных рукописных образов еще большего размера уже трудновыполнимо. Даже крупная фирма не в состоянии в короткое время (например, за 1 год) привлечь к работе несколько десятков тысяч человек. Привлечь к работе порядка 100 тысяч человек и заставить каждого из них писать 2 полных рабочих дня нереально даже, если пользоваться административными ресурсами государства.
Это означает, что прямое тестирование биометрических технологий среднего уровня защищенности уже затратное, но все-таки технически реализуемо.
Однако этот подход уже нельзя использовать при проверке высоконадежных биометрических систем, сопоставимых по своей стойкости с системами криптографической защиты. Такие системы удается создавать используя в них большие и сверхбольшие сети искусственных нейронов с большим числом входов и выходов нейросети и несколькими слоями нейронов. Так, если заявлена стойкость биометрико-нейросетевой системы на уровне 1020 попыток случайного подбора рукописных образов, то на создание рукописной базы образов «Все Чужие» такого размера потребуется порядка 1013 лет. Естественно, что подобные затраты нереальны и требуется искать обходные пути решения задачи.
Видимо одним из технически реализуемых путей решения задачи является программное размножение образов «Все Чужие». На рисунке 3 отображена структура сертификации биометрических систем высокого уровня защищенности.
На данный момент высокозащищенные биометрические системы строятся на базе использования тайных биометрических образов, преобразуемых большими сетями искусственных нейронов в личный криптографический ключ пользователя [2]. Соответственно есть возможность при тестировании системы подавать данные непосредственно на входы нейронной сети (осуществляется обход предварительной обработки данных, что снижает время тестирования).
Рис.3 - Сертификация биометрических систем высокого уровня защищенности со стойкостью, сопоставимой со стойкостью криптографических алгоритмов защиты
При этом можно контролировать выходы нейронной сети и оценивать то насколько случайные входные данные дают комбинацию близкую к ключу. В частности может быть использована мера Хемминга (число не совпавших разрядов полученного отклика нейросети и растворенного в ее связях и параметрах ключа). Базовым элементом сертификации является программный размножитель параметров образов «Все Чужие». Эта программа должна автоматически порождать множество случайных образов на входах искусственной нейронной сети, повторяющих по основным статистическим характеристикам реальные рукописные образы. В первом приближении может быть использован обычный генератор случайных чисел, который подмешивает случайные смещения в реальные параметры рукописных образов. В более сложном случае программа должна автоматически менять отдельные фрагменты реального рукописного текста, правдоподобно их сшивать и размывать данные. Только таким образом можно решить проблему тестирования и сертификации высоконадежных средств биометрической защиты.
Кроме программного размножения примеров тестовой базы данных необходимы и другие меры сокращения затрат на тестирование. В частности необходима разработка специальной методики ускоренного тестирования системы за счет намеренной компрометации тайны использованного системой биометрического образа. В частности для систем, построенных на анализе рукописного образа необходимо использовать их тестирование в нескольких режимах:
- «Чужой» знает пароль и видел его написание;
- «Чужой» знает пароль, но не видел его рукописный образ;
- «Чужой» знает все буквы пароля кроме одной;
- «Чужой» знает все буквы пароля кроме двух;
- «Чужой» не знает ни одной из букв рукописного пароля.
Очевидно, что задача тестирования системы монотонно усложняется и соответственно растут трудозатраты на ее решение. Можно попытаться решить задачу тестирования в заведомо ослабленном режиме эксплуатации системы, а далее попытаться решить экстраполяционную задачу по прогнозированию стойкости биометрической защиты в нормальном режиме эксплуатации биометрической защиты.
Видимо применение автоматизированных средств генерирования случайных, но правдоподобных входных воздействий и заведомое ослабление системы при тестировании - это два наиболее просто реализуемых пути решения задачи.
Уже сейчас необходимы целенаправленные усилия на создание научной и материально-технической базы для проведения тестирования и сертификации высоконадежных средств биометрической защиты. Положение усложняется тем, что международный опыт в аттестации и сертификации высоконадежных
средств биометрической защиты в настоящее время отсутствует.
Создавая средства высоконадежной биометрической защиты, Россия в лице ГОСТЕХКОМИССИИ при президенте РФ первой из развитых стран столкнулась с проблемой сертификации такого типа новых информационных технологий. В этой области развития информационных технологий мы лидеры и в принципе не можем воспользоваться существующим международным опытом (его просто нет). С завершением рассмотрения и принятия ГОСТ Р [3] встает задача подготовки пакета стандартов в области тестирования высоконадежной биометрии. России придется самостоятельно двигаться по достаточно дорогостоящему пути создания своей системы аттестации и сертификации высоконадежных биометрических технологий, по пути создания Российских методик и стандартов тестирования высоконадежных биометрических систем защиты, созданных с учетом высоконадежной поддержки отечественных средств криптографии.
ЛИТЕРАТУРА
1. Фунтиков В.А., Ефимов О.В., Иванов А.И. Биометрические технологии: автоматизированное про-
гнозирование уровня безопасности. //Защита информации. Конфидент. 2003. № 5, с.32-35.
2. Волчихин В.И., Иванов А.И., Фунтиков В.А. Быстрые алгоритмы обучения нейросетевых механизмов биометрико-криптографической защиты информации. //монография. Пенза: Изд-во Пенз.ГУ - 2005.
273 С.
3. Проект ГОСТ Р (ТК3 62, первая редакция) «Защита информации. Техника защиты информации. Требования к высоконадежным биометрическим средствам аутентификации» Пенза-Воронеж-2005 г., ФГУП ПНИЭИ, ГНИИИ ПТЗИ ФСТЭК России.