Nowe, biometryczne paszporty wyposażone w chip wykorzystujący częstotliwość radiową do identyfikacji, stają się począwszy od 2004 roku standardem międzynarodowym. Zakodowane w chipie pomiary twarzy, kształtu dłoni, tęczówki czy linii papilarnych, miały oryginalnie nie tylko zwiększyć bezpieczeństwo, ale także usprawnić kontrole graniczne. Tymczasem okazuje się, że metody biometryczne zawodzą, zarówno pod względem przyspieszenia odprawy imigracyjnej, jak i określenia tożsamości terrorystów. Co więcej, ułatwiają inwigilację. Czy warto więc było wprowadzać paszporty biometryczne?
Wakacyjne wyjazdy są dla nas szansą sprawdzenia skuteczności biometrycznych paszportów podczas kontroli granicznych. W odróżnieniu od konwencjonalnych, zawierają one dane biometryczne wbudowane w chip wykorzystujący częstotliwość radiową do ustalenia tożsamości, wraz ze zwykłą fotografią i optycznym kodem paskowym. Nowe paszporty zawierające dane biometryczne zaczęły obowiązywać na mocy ustawy z 26 października 2004 roku zobowiązującej wszystkie kraje, których obywatele mogą wjechać do Stanów Zjednoczonych bez wizy, włączając w to kraje Europy Zachodniej, Japonię i Australię, do wydawania paszportów biometrycznych.
Biometria to zaawansowane systemy ochrony, które polegają na pomiarach ludzkiego ciała, w szczególności cech twarzy, kształtu dłoni i linii papilarnych. Ich zwolennicy dowodzą, że, z uwagi na to, że cechy biometryczne nie mogą zostać zapomniane, jak hasło, bądź zgubione lub skradzione, jak klucz czy karta tożsamości, stanowią idealny sposób kontroli dostępu do sieci komputerowych, obszarów usług lotniczych czy skarbców bankowych.
Do tej pory jedynymi biometrycznymi informacjami zgromadzonymi w nowych paszportach wyposażonych w chipy, są pomiary twarzy, obejmujące odstęp pomiędzy oczami a umiejscowieniem nosa, ust i uszu. Pomiary te, wydobyte z fotografii paszportowej przy użyciu komputerowego oprogramowania do rozpoznawania twarzy, są cyfrowo zakodowane w pamięci chipu, wraz z fotografią cyfrową i szczegółami personalnymi. Za wyposażeniem paszportów w chipy przemawiają dwa główne argumenty: po pierwsze, że poprawiają one bezpieczeństwo na przejściach granicznych i, po drugie, że przyspieszają procedurę imigracyjną. Z doświadczenia wiemy, że oba argumenty zawodzą.
Weźmy pod uwagę szybkość obsługi. Urzędnik imigracyjny nadal musi otworzyć paszport, przeczytać jego zawartość i następnie przesunąć jego kod paskowy przez optyczny czytnik w celu wywołania informacji właściciela paszportu na ekran komputera by zadać kilka pytań. Na tym normalnie procedura się kończy.
Następnie biometryczny paszport musi zostać umieszczony nad indukcyjnym czytnikiem, który dostarcza częstotliwości energetycznej by uaktywnić pasywną radiową częstotliwość do ustalenia tożsamości, tak by mogła udostępnić swe dane. Chwilę później zawartość chipu pojawia się na ekranie, gotowa do porównania z tą wydrukowaną w broszurze. Jeśli te dwa rodzaje będą zgodne, to autentyczność paszportu zostanie potwierdzona.
Innymi słowy, chip jedynie potwierdza to co jest wydrukowane w paszporcie. Nie jest jednak w stanie udowodnić, że okaziciel paszportu jest osobą za którą się podaje – nie bardziej niż wykazywał to tradycyjny paszport. Jeśli bowiem osoba przejawia pewne podobieństwo do fotografii paszportowej – i stąd podobne szczegóły biometryczne, to biometryczny paszport może bez trudu zostać zaakceptowany. Lub jeśli paszport został podrobiony i chip sklonowany, to może równie dobrze przejść przegląd pomyślnie. Jak zawsze, ocena zależy od doświadczonego oka urzędnika imigracyjnego, bez względu na to czy jest to paszport biometryczny czy tradycyjny.
Czy trudno jest podrobić paszport biometryczny? Chip wykorzystujący częstotliwość radiową do ustalenia tożsamości nie powinien ujawniać żadnych danych zanim urządzenie odczytujące urzędnika imigracyjnego nie poświadczy autentyczności w formie zakodowanego cyfrowego klucza. Temu zaś musi odpowiadać inny zakodowany klucz, który jest generowany z ciągu danych skanowanych do systemu z optycznego kodu paskowego wydrukowanego w paszporcie. Tylko wtedy, kiedy te dwa klucze się zgadzają, chip może zostać odblokowany.
Tak przynajmniej wygląda to teoretycznie. Niestety, nie wszystkie kraje zastosowały uniwersalną część procesu tak dobrze jak mogły to zrobić. Nawet Unia Europejska przyznaje, że bezpieczeństwo paszportów biometrycznych zostało „kiepsko poczęte”. Rzeczywiście europejskie władze wprowadziły nowe paszporty z chipem dopiero po tym jak włamanie do danych duńskiego paszportu mogło być obejrzane na żywo w telewizji, kiedy to hakerzy uzyskali dostęp do cyfrowej fotografii właściciela paszportu i jego informacji osobowych. Parę dni później kilka paszportów brytyjskich potraktowano w ten sam sposób.
Częścią problemu jest sam klucz kodowy. Jako że zależy od znanych ugrupowań liczbowych, takich jak numer paszportu, miejsce urodzenia i daty urodzenia, jest z reguły bardzo zorganizowanym ciągiem cyfr, które są łatwe do odgadnięcia. Umożliwia to hakerom rozszyfrowanie klucza w kilku minutach, a nie godzinach. Poza tym, jako że radiowa częstotliwość emituje swoją zakodowaną treść w eterze, podsłuchiwanie jest łatwe.
Oficjalny zasięg częstotliwości służącej do potwierdzenia tożsamości w paszportach biometrycznych nie powinien przekraczać dziesięć centymetrów (cztery cale). Ale przy pomocy sprzętu o wartości $100 izraelski hobbysta zdołał przechwycić informacje z paszportu biometrycznego z odległości kilkunastu stóp. Student z Cambridge University poszedł jeszcze dalej, przechwytując transmisje danych z paszportów biometrycznych z odległości 50 metrów (160 stóp).
Wystarczyło to by amerykański Urząd Stanu zaczął wymagać by amerykańskie paszporty zostały wyposażone w metalowe okładki by ochronić je, kiedy są zamknięte, przed wyciągającym informacje elektronicznym okiem. Środki te wydają się w miarę skuteczne, jakkolwiek biometryczne paszporty, które są usztywnione, otwierają się nieco z powodu kluczy czy drobnych pieniędzy i mogą być odczytywane elektronicznie na odległość.
Nieco otwarte paszporty mogą narazić właścicieli na atak. Każdy kraj koduje informacje w charakterystyczny sposób, który może być wykorzystany przez terrorystów do ustalenia narodowości właścicieli paszportów z chipem. By to udowodnić firma Flexilis posłużyła się częściowo otwartym amerykańskim paszportem biometrycznym, włożonym do kieszeni manekina by wywołać eksplozję, kiedy manekin mijał pojemnik na śmieci zawierający mały ładunek.
Czy jestem tym, kim mówię, że jestem?
Biometria może być wykorzystywana dwojako. Pierwszym sposobem jest identyfikacja – „Kim jest ta osoba?” – w którym tożsamość okaziciela paszportu jest określana przez porównywanie pomiarów biometrycznych z bazą danych przechowywanych informacji – porównywanie jednego z wieloma. Drugim sposobem wykorzystywania biometrii jest weryfikacja – „Czy ta osoba jest tą, za którą się podaje?” – który obejmuje porównywanie pomiarów biometrycznych z danymi osobowymi konkretnej osoby. Wszystkie metody biometryczne mogą być wykorzystywane do weryfikacji, ale różne rodzaje biometrii różnią się rozmiarem, w jakim mogą być używane do identyfikacji. Różnią się także pod względem kosztów, kompleksowości i poziomem natręctwa. Więc które z metod biometrycznych zostały wykorzystywane do nowych paszportów, wiz i kard identyfikacyjnych, i dlaczego?
Najstarszą metodą jest ta, której używamy najczęściej – twarz osoby. Ale o ile rozpoznawanie twarzy przychodzi ludziom z łatwością, dla komputera jest to bardzo trudne. Większość skomputeryzowanych systemów rozpoznawania twarzy działa poprzez budowanie szablonów w oparciu o 30 albo więcej wskaźników – pozycji obramowania oczu, kości policzkowych, osady nosa i tak dalej. Wskaźniki te są wybrane w sposób, którego nie zmienia ekspresja albo owłosienie twarzy. Porównywanie twarzy jest więc porównywaniem szablonów.
Jednakże rezultaty testu przeprowadzonego w marcu obecnego roku przez rząd amerykański poddają w wątpliwość systemy rozpoznawania twarzy. Test, określany mianem Face Recognition Vendor Test, wykorzystał systemy z dziesięciu wiodących firm i bazę danych obejmujących 121,589 obrazów około 37,437 osób. Żaden z systemów nie działał dobrze w celu formalnego rozpoznania, kiedy pokazano twarz i poproszono o identyfikację przedmiotu. Nie działały też one podczas próby rozpoznania twarzy ukradkiem. Trzy z systemów mogą być używane do weryfikacji tożsamości w kontrolowanym środowisku, takim jak pomieszczenia używane do wykonywania zdjęć paszportowych. Amerykańskie systemy rozpoznawania twarzy mają jeszcze przed sobą długą drogę rozwoju. Podczas testu America’s Transportation Security Administration (TSA), żadna z poszukiwanych osób nie została zidentyfikowana.
Przyjrzyjmy się ręce
Pierwszą biometryczną technologią, która stała się powszechnie używana, była geometria ręki. Obejmuje ona skanowanie kształtu, rozmiaru i innych cech charakterystycznych (takich jak długość ręki) poszczególnych albo obu rąk. Od użytkowników wymaga się by stwierdzili swą tożsamość – poprzez przesunięcie karty przez skaner. Biometryczny szablon osoby, za którą się ona podaje, jest wtedy porównywany ze zeskanowanym obrazem.
Jako że polega na stosunkowo prostych sensorach, geometria ręki nie wymaga zaawansowanej technologii, która jest podstawą innych biometrycznych systemów, które ją wypromowały. Bill Spence z Recognition Systems, biometrycznej firmy z siedzibą w Campbell, w Kalifornii, twierdzi, że międzynarodowe lotnisko w San Francisco stosowało system geometrii ręki do kontroli dostępu pracowników aż do roku 1993. Inny system, na lotnisku w Ben Gurion w Izraelu, wykorzystuje systemy geometrii ręki do umożliwienia przejścia osobom zaufanym przez kontrole bezpieczeństwa. Podobny system zastosowany w Ameryce, określany mianem INSPASS, umożliwia podróżnym często przekraczającym granice Stanów Zjednoczonych na uniknięcie kolejek w kilkunastu dużych portach lotniczych.
Systemy geometrii ręki stosowane są do kontroli dostępu i weryfikacji tożsamości w wielu lotniskach, biurach, fabrykach, szkołach, szpitalach, elektrowniach jądrowych i budynkach rządowych o wysokim stopniu nadzoru. Wykorzystywane są także w systemach monitoringu czasu pracy i frekwencji, w których pracownicy zmianowi rejestrują przyjście i wyjście z pracy przy użyciu odcisków palców – zapobiegając defraudacji kart pracowniczych przez przestęplowanie kart przez znajomych. Korzyścią geometrii ręki jest to, że w odróżnieniu od skanowania linii papilarnych, nie jest ona naznaczona piętnem poprzez kojarzenie jej z ochroną przestępczości. Jednakże geometria ręki jest problematyczna: ludzkie ręce nie różnią się wystarczająco by mogły być stosowane do systemów identyfikacyjnych. W rezultacie tego rynek geometrii ręki gwałtownie upada.
Technologią odpowiedzialną prawdopodobnie za upadek geometrii ręki jest skanowanie linii papilarnych. Linie papilarne na bazie tuszu były w użyciu od ponad stulecia, ale w ostatnich latach przekształciły się w technologię cyfrową. Współczesne systemy elektroniczne przekształcają łuki, zakola i zawijasy konwencjonalnych linii papilarnych w kody numeryczne. Mogą być one porównywane z bazą danych w kilku sekundach i z niezwykłym stopniem dokładności. Przedsiębiorstwo Identix, które sprzedaje taki system, zostało ostatnio wybrane przez amerykański Department of Homeland Security do dostarczenia urządzeń skanujących w biurach Citizenship and Immigration Services na terenie całego kraju.
Znakomity sukces linii papilarnych jako narzędzia ekspertyzy sądowej w ochronie porządku publicznego polegał w dużej mierze na tym, że te organy traktują linie papilarne bardzo skrupulatnie. Używa się wszystkich dziesięciu palców i każdy z palców musi być przesuwany w tył i w przód by otrzymać dokładny obraz linii papilarnych. Taka drobiazgowość jest właściwa na posterunku policyjnym, ale nie na lotnisku. Innym problemem jest to, że około 5 procent osób nie posiada odczytywalnych linii papilarnych, ponieważ ich odciski są albo genetycznie niewyraźne, albo zniekształciły je lata pracy fizycznej.
Ale o ile ta technologia jest stosunkowo tania – podstawowe cyfrowe czytniki linii papilarnych kosztują mniej niż 4100, to nie jest nieomylna. Niektóre skanery linii papilarnych mogą być oszukane przez tylko podmuch gorącego powietrza, które reaktywuje utajone odciski zostawione na skanerze. A Tsutomu Matsumoto, badacz z Yokohama National University, był w stanie wprowadzić w błąd skanery w około 80 procentach przypadków przy użyciu uformowanej żelatyny.
Oko za oko
Kolejna opcją jest skanowanie oka. Tego typu systemy sięgają lat 1970., kiedy siatkówka, powierzchnia tylna oka, była uważana za najbardziej użyteczną, w większości z uwagi na medyczne technologie testowania tej części oka, które wtedy się rozwinęły. Tęczówka, kolorowa część otaczająca źrenicę, była w mniejszym stopniu zbadana. Jednakże większość ekspertów zgadza się co do tego, że to tęczówka stanowi lepszą cechę biometryczną niż siatkówka, ponieważ może być łatwiej zbadana. Użycie kamer do badania włókien, zmarszczeń i piegów tęczówki jest znane z licznych filmów szpiegowskich, nie bez powodu: skanowanie tęczówki uważa się za najbardziej wiarygodne pod względem biometrycznym.
Jak informuje Peter Higgins, konsultant biometryczny, najbardziej powszechne wykorzystanie tęczówki w biometrii dotychczas miało miejsce w Afganistanie, gdzie United Nations High Commisioner for Refugees (UNHCR) wykorzystuje skanowane obrazy tęczówki do prób zapobieżenia kilkakrotnego korzystania przez uchodźców z pomocy. Jakkolwiek system zarejestrował ponad siedem metrów transakcji, Higgins wskazuje na to, że nikt nie wie jak dobrze się sprawuje, ponieważ niemożliwe jest zbieranie znaczącej bazy danych w tak niekontrolowanym środowisku. Mniejsze testy innych zaawansowanych systemów badania tęczówki wskazują, że poziom fałszywych pomiarów może sięgać nawet 6%. Oznacza to, że jedna na 20 prób skorzystania z pomocy dwukrotnie może być pomyślna. Biorąc pod uwagę drobne sumy oferowane każdemu z uchodźców, nie jest jasne, czy koszt zastosowania tego anty-defraudacyjnego systemu był uzasadniony.
Inne metody obejmują rozpoznawanie głosu, które jest tanie, ale niezbyt wiarygodne, rozpoznawanie chodu, które próbuje rozpoznawać ludzi po sposobie, w jakim chodzą, rozpoznawanie dynamicznego podpisu, w oparciu o analizę kształtu podpisu i sposobu, w jakim długopis porusza się podczas trzymania go, a także obrazowanie termiczne, które usiłuje rozpoznawać ludzi poprzez model ciepła, jakie ich ciała wydzielają. Ale żadna z tych technologii nie jest traktowana wystarczająco poważnie do wykorzystania w paszportach.
Biorąc pod uwagę ograniczenia poszczególnych technik biometrycznych, najlepszą metodą, na dłuższą metę, jak wykazuje badanie Anila Jaina, eksperta biometrii z Michigan State University, będzie wykorzystanie wielo – biometrycznego systemu. Połączy on kilkanaście różnych technik biometrycznych w pojedynczy system biometryczny z niemal uniwersalnym zastosowaniem. Bo nawet jeśli nie można odczytać linii papilarnych jakiejś osoby, to prawdopodobnie można zbadać tęczówkę, i odwrotnie. Doktor Jain wskazuje również, że połączenie kilkunastu różnych systemów może prowadzić do znacznych udoskonaleń poziomu błędów.
A zwycięzcą jest...
Jedynym rozsądnym rozwiązaniem w przypadku paszportów biometrycznych jest zastosowanie wielu technik biometrycznych. Ameryka zdecydowała się na kombinację skanowania linii papilarnych i rozpoznawania twarzy, a Europa zdaje się skłaniać w tym samym kierunku. Oman i Zjednoczone Emiraty Arabskie wydadzą biometryczne karty tożsamości w oparciu o technologię skanowania linii papilarnych, do której Wielka Brytania dołączy skanowanie tęczówki. Wszystkie te plany są zgodne z rekomendacjami International Civil Aviation Organization, która ostatnio zaproponowała, że skanowanie linii papilarnych powinno być wprowadzone jako międzynarodowy standard, głównie ponieważ czytniki linii papilarnych są tańsze niż czytniki tęczówki. Ameryka adoptuje jednak dodatkowo rozpoznawanie twarzy, ponieważ, jak twierdzą władze, nie dysponują one liniami papilarnymi wielu terrorystów, ale mają ich zdjęcia.
Inną możliwością, z uwagi na ograniczenia technologii biometrycznej, jest wykorzystanie biometrii do weryfikacji, a nie identyfikacji. Ustalenie tożsamości jest po prostu niemożliwe w przypadku baz danych zawierających miliony użytkowników. Problem polega na tym, że nie wiadomo czy systemy identyfikacyjno-weryfikacyjne są warte kosztów i kłopotu wprowadzenia ich w życie. Wszyscy z dziewiętnastu porywaczy wjechali do Stanów Zjednoczonych na ważnych wizach i na swoich własnych paszportach. Weryfikacja ich tożsamości przy użyciu ich biometrycznych wiz nie spowodowałaby żadnej różnicy.
Na podst. „The Economist” oprac. E.Z.
