В настоящее время в России всё большую популярность получают системы обеспечения доступа, основанные на распознавании биометрических характеристик человека, иными словами системы биометрической аутентификации (далее СБА). Такие технологии широко используются как в государственных структурах, так и в крупных коммерческих организациях. Среди них сравнительно новыми являются системы, работающие на основе распознавания рисунка кровеносных сосудов человека в той или иной части тела (в пальце, ладони, сетчатке глаза). В основе данного метода распознавания лежит свойство уникальности геометрии кровеносной системы человека. Преимуществом подобных СБА является высокая степень уникальности рисунка кровеносных сосудов, а также высокий уровень защищенности сосудов от внешних воздействий (в отличие, например, от папиллярных узоров пальцев рук). Есть обоснованное мнение, что несмотря на тяжелые для отечественной IT-сферы времена, российский биометрический рынок будет продолжать развиваться. К 2020 году существенно вырастет и доля биометрических проектов, реализуемых коммерческими структурами. В связи с этим возможны ситуации, когда в судопроизводстве по определенным категориям дел необходимо будет применение специальных знаний в области разработки и эксплуатации СБА, в том числе и при проведении судебных компьютерно-технической экспертиз (далее СКТЭ). Представляется, что в этой связи необходимо дать общую характеристику СБА как объекта экспертного исследования с точки зрения теории судебной экспертизы, а также описать характерные для СБА составляющие. Всё это может стать полезным для экспертов при проведении ими исследований по вопросам, связанным с СБА.
Как известно, объект экспертного исследования- это материальный объект, содержащий информацию, необходимую для решения экспертных задач. В общем случае объект экспертного исследования представляет собой систему, состоящую из трех частей: материального носителя, источника и процесса передачи информации от источника к носителю.
По своей сути СБА — это комплексное технологическое решение, состоящее из нескольких обязательных частей, которые могут быть сильно распределены в пространстве (см. Рис. 1):
Рис. 1. Общий принцип работы системы биометрической аутентификации по рисунку кровеносной системы ладони:1- на входе ладонь пользователя; 2- полученные сканером «сырые» данные- цифровое изображение с рисунком кровеносных сосудов; 3-биометрическая матрица; 4- значение расстояния Хэмминга; 5-модуль принятия решений; 6-биометрическйи сканер (сенсор); 7- модуль оценки качества и извлечения биометрических черт (Базовый Биометрический Алгоритм (ББА); 8-модуль сравнения; 9- системная база данных (БД); 10- на выходе решение: предоставить доступ (Y, «1») или отказать в доступе (N, «0»).
- Сканер для получения «сырого» биометрического образа- цифрового изображения рисунка кровеносных сосудов;
- Алгоритм для извлечения биометрических черт, т. е. математическое описание процесса получения биометрических характеристик пользователя, реализованное на языке программирования (т.е. программы для ЭВМ);
- База данных для хранения биометрических образов и служебной информации;
- Модуль сравнения биометрических образов и принятия решений, некий порядок действий, описанный на языке программирования (т.е. программа для ЭВМ).
Таким образом, можно сказать, что СБА по рисунку кровеносных сосудов — это программно-аппаратная структура, предназначенная для обеспечения доступа пользователю на основе рисунка кровеносных сосудов в той или иной части его тела. С первого взгляда может показаться, что исследованием подобного рода объектов должны заниматься компьютерно-технические эксперты. Однако, не всё так просто, как кажется.
При назначении судебной экспертизы, связанной с исследованием СБА, перед экспертом могут быть поставлены следующие вопросы:
- Является ли данное технологическое решение системой биометрической аутентификации по рисунку кровеносных сосудов?
- Имеется ли на носителе информации программа для ЭВМ, реализующая алгоритм получения биометрических характеристик пользователей? Если да, то каков принцип её работы?
- Каким образом в базе данных осуществляется хранение биометрических характеристик пользователей?
- И др.
При проведении экспертного исследования СБА необходимо учитывать специфику поставленных перед экспертов вопросов. Например, если перед экспертом будет поставлен вопрос № 1 из вышеуказанного списка, эксперту необходимо будет исследовать как аппаратную (например, биометрический сканер, каналы передачи данных от одной части СБА к другой), так и программную (например, некий программно реализуемый алгоритм) составляющие указанного технологического решения. Если же речь идет об исследовании алгоритма получения биометрических характеристик пользователя, то компьютерному эксперту необходимо изучить исходные коды программы для ЭВМ, в которой реализуется данный алгоритм, либо в отсутствии таковых провести процедуру «обратной разработки» (реверс-инжиниринга) с последующим изучением функционала программы. Отметим, что последний метод является крайне трудоемким и продолжительным. К тому же, при исследовании биометрического алгоритма, могут понадобиться знания в области математического анализы и построения нейронных сетей, что выходит за пределы компетенции компьютерного эксперта. Если речь идет о надежности СБА (вероятности «ошибок первого рода», «ошибок второго рода»), то за дело должен взяться специалист, обладающий знаниями в информационной безопасности.
В целом, проведении СКТЭ по исследованию СБА — это достаточно сложное, комплексное исследование, которое включает в себя исследование особенностей функционирования программно реализуемых алгоритмов, носителей цифровой информации, содержащих данную программную реализацию и баз данных биометрических характеристик. Таким образом, можно сделать вывод о том, что при проведении судебных экспертиз, где объектом является СБА, часто могут возникать ситуации, когда для проведения грамотного исследования необходимо будет использование специальных знаний в различных областях науки и техники: не только в области компьютерных технологий и программирования, но также математического анализа, информационной и компьютерной безопасности. Стоит отметить, что подобным набором знаний вполне может обладать один человек, к примеру прошедший обучение и имеющий диплом по специальности «Информационная безопасность».
Апробировано межвузовской научно-практической конференции студентов и аспирантов «Судебная экспертиза: правовые, теоретически и методические проблемы» (г. Москва, 27 ноября 2015 г.)
Источники:
1. Безик О. В., Басараб М. А. Технологии биометрической аутентификации по рисунку кровеносной системы человека, сборник трудов Пятой Всероссийской научно-практической конференции/ под ред. Матвеева В. А. «Безопасные информационные технологии», -М.: НИИ Радиоэлектроники и лазерной техники МГТУ им. Н. Э. Баумана, 2015. -120 с., ISB 978−5-4384−0034−9;
2. Россинская Е. Р., Галяшина Е. И., Зинин А. М. Под ред. д.ю.н., проф. Е. Р. Россинской Теория судебной экспертизы. -М.: Норма, 2009.