КТО ЭТОТ НЕЗНАКОМЕЦ?

ПРИМЕЧАНИЕ: Цель данной статьи — познакомить пользователей с идеей, приведшей к созданию службы Speciface, и авторским взглядом на возможные пути её развития. Уделяется особое внимание теме безопасности доступа к персональным данным, а также целесообразности использования подобных систем.
 
Вы когда-нибудь задумывались о том, что люди могут знать об окружающих их незнакомцах? На первый взгляд вопрос может показаться праздным: если это незнакомцы, то что вы можете о них знать? Строго говоря, это не совсем так: некоторые свойства сообщает внешность — рост, цвет кожи, глаз и волос. Иногда возможно достаточно точно определить пол, возраст и т.п., но, в общем, замечание верное — в наше время всё это практически ничего не скажет о личности человека.
Давайте представим себе сцену, происходящую в поезде, прибывающем на пригородную станцию: в вагоне напротив мужчины сидит молодая дама с сыном примерно лет десяти. Ребенок вертит в руках некий предмет, периодически роняя его на пол с отчетливым глухим стуком. «Вот почему ты не оставил это на берегу?» — с некоторым раздражением спрашивает мать. «Просто мне нравится эта морская раковина. Она твердая как камень и такая необычная» — отвечает сын. «Морская? Отсюда до ближайшего моря тысячи километров» — говорит женщина со снисходительной улыбкой. «И всё же эта раковина родом из моря» — поправляя очки, произносит мужчина. «Да! Настоящая морская! Я играл на речке — разбивал пустые ракушки палкой, но одна из них…» — второпях начал рассказывать мальчишка, когда женщина, прищурившись, взглянула на незнакомца. Еле заметный огонек сверкнул у уголка её очков и внезапно взгляд её смягчился. «Не стоит докучать профессору своими бесконечными историями, дорогой» — сказала она уже более спокойным тоном. «Да нет, всё в порядке, не беспокойтесь» — сказал мужчина и продолжал ошарашенному мальчугану: «А что, если я скажу тебе, что этой окаменелой раковине около трехсот миллионов лет? Что она жила на дне древнего океана в те времена, когда не то что людей, но и динозавров вовсе ещё не существовало?» Мальчик завороженно смотрел на раковину, бережно держа её в руках. «В нашем палеонтологическом музее есть много чего, на что тоже стоит посмотреть. Приходи с мамой, но свою счастливую палку оставь дома, ладно?» — сказал мужчина улыбаясь, взял своё пальто и вышел.
Несмотря на кажущуюся тривиальность ситуации, из текста многое остаётся неясным. Проницательный читатель уже догадался, что дело, видимо, в «умных» очках, с помощью которых женщина каким-то образом смогла выяснить, что мужчина — профессор. Но если это так, то почему она заранее не воспользовалась ими, чтобы узнать кто едет рядом? И почему она должна доверять этой информации? Кроме того, в какой именно музей их звал этот «профессор»? Он же ничего не сказал о том, где это! Хотя в реальных условиях кажется наиболее разумным спросить главное: «Кто именно и на каком основании хранит подобную информацию о людях, имеет к ней доступ и распоряжается ею?».
Пора, наконец, прояснить ситуацию. Условимся всю информацию, прямо или косвенно относящуюся к некой персоне, далее называть просто «личными данными». Это имеет смысл тем более потому, что грань между «идентифицирующими» персональными данными и прочей, кажущейся малозначимой, информацией в современных реалиях всё сильнее размывается. Необходимо также принять за факт то, что вышеописанный доступ к личным данным при настоящем уровне развития технологий уже вполне осуществим. Однако гораздо более важной тут видится возможность реализации этого доступа при условиях, достаточно безопасных для всех его участников. Без сомнения, в этом месте многие захотели бы напомнить автору мрачные пророчества о тотальном контроле из знаменитых антиутопий и произведений жанра киберпанк, а также упомянуть новейший опыт некоторых стран в данной области, однако, не стоит делать поспешных выводов.
Для начала выясним метод идентификации. Никакого секрета тут нет: устройства получают биометрическую информацию при фотографировании лица. Однако здесь может быть интересен сам принцип её использования. Обычно, для осуществления надежной идентификации такого рода проводится достаточно сложная процедура сканирования лица различными типами сенсоров с созданием трехмерных моделей. И это вполне оправданная сложность в случае, когда техническому устройству необходимо выполнить безопасную аутентификацию. В нашем же случае такой высокий уровень безопасности не требуется просто потому, что заинтересованный пользователь самим своим присутствием осуществляет большую часть контроля. Более того, точность этих идентификационных данных может быть намеренно снижена ещё сильнее, дабы лишить смысла их воровство или изъятие (например, с целью проведения некой другой, более точной идентификации). Как станет понятно далее, только сами устройства участников смогут производить сличение локально доступных и получаемых извне биометрических данных.
Главное, о чём следует упомянуть, — отсутствие реальной необходимости в централизованном хранении личной и любого рода идентифицирующей информации. Более того, нет никакой необходимости в хранении собственных данных где-бы то ни было ещё, кроме как на собственном устройстве. Возможно, Вы не обратили внимание, что мужчина поправил очки перед тем как вмешаться в разговор? Этим движением он просто дал команду своим очкам разрешить доступ этой женщине к определённой информации, хранящейся в них. Впоследствии обмен данными происходил по прямому защищенному каналу беспроводной связи, установленному между двумя устройствами. Но даже в случае успешного создания такого канала, почему стоит верить передаваемым данным? Что если мужчина — обыкновенный самозванец? Тут становится очевидным, что без заслуживающей доверия третьей стороны не обойтись (на самом деле, без неё трудно обойтись уже на этапе создания безопасного соединения).
Такой «третьей стороной» может стать некая специализированная сетевая служба-медиатор. Однако у самой этой службы может и не быть задачи непосредственно удостоверять всю важную информацию, связанную со статусом, должностью и т.п., вносимую пользователями в свои профили. Всё это с легкостью делегируется сторонним специализированным сервисам, организациям и даже отдельным пользователям. Более того, этой службе-медиатору достаточно хранить лишь результаты вычислений определенных функций (например, криптографических хеш-функций) над блоками, сформированными особым образом из пользовательских данных, приблизительной биометрической информации и некоторого числа сгенерированных случайных байт. Проще говоря, современные средства криптографии позволяют такой службе надежно подтверждать идентичность данных, не держа какой-либо конфиденциальной информации «у себя» и даже не требуя её предъявления при проверках: достаточно сопоставить хеш-коды.
В чём же преимущества такой системы перед прочими способами передачи подобной информации, применяемыми сегодня (NFC, QR-коды, RFID и т.п.)? Дело в том, что большинство существующих методов ради предоставления достоверных данных подразумевают проведение процедуры идентификации личности, что как минимум требует лишних усилий. Помимо очевидного недостатка — деанонимизации, тут также неизбежен риск раскрытия важных персональных данных постороннему лицу, не говоря уже о банальной вероятности не заметить подделку при проверке документа. Конечно, при грамотном использовании биометрии можно обойтись и без непосредственной идентификации, однако избежать необходимости подписания данных некой доверенной стороной вряд ли получится. Для этого, кстати, потребуется надёжная инфраструктура управления ключами, которая, тем не менее, не избавляет от риска незаметной компрометации секретных ключей. Используя же службу-медиатор, упомянутую выше, достаточно лишь подготовить на основе биометрических и прочих данных подходящий хеш-код и предложить разместить его на соответствующем веб-ресурсе доверенной стороны в качестве регистрационного. Надёжность такого подхода будет зависеть лишь от авторитета самого веб-ресурса и безопасности доступа к нему. Со своей стороны, система может предлагать средства противодействия возможным попыткам ссылаться на поддельный ресурс: «белые списки» и т.п.
Но где конкретно можно применить данный метод? Тут достаточно вспомнить, что сегодня удостоверения, пропуска и надёжные системы контроля доступа бывают недешевы для бизнеса. Всегда ли оправданы эти затраты? Часто сотрудников обязуют носить бейджи, но кто подтвердит их подлинность? А ведь приходится им верить и даже пускать незнакомца в жилище (например, при взаимодействии с коммунальными службами). В этих условиях было бы заманчиво иметь простой способ каждому при желании убедиться, что он имеет дело с действительным сотрудником определённой организации, даже находящимся за дверью. Неплохо? Однако это лишь самый очевидный вариант применения из возможных. Ведь на самом деле любой желающий может объединять людей по некоему положительному признаку так, что все смогут узнавать о его наличии или отсутствии у встретившегося им человека. Способности и навыки, образование, профессия, заслуги, звания и награды, дипломы, сертификаты, личные качества и политические взгляды, социальный/медицинский статус, членство, карты лояльности, билеты, платёжные чеки, купоны, и т.д. и т.п. — всё, что угодно можно использовать в качестве такого признака. Тут важны лишь желание его обладателей сообщать о нём кому-либо и авторитет источника данных. Таким образом становится очевидно, что перед нами, по сути, открытая глобальная система контроля доверия/доступа, сохраняющая анонимность всех её участников.
В заключение стоит обсудить повсеместно растущее беспокойство по поводу возможного использования личных данных граждан и вмешательства в их личную жизнь. На самом деле это такая большая, чрезвычайно актуальная и болезненная тема, которая в настоящее время настолько широко обсуждается, что тут хотелось бы ограничиться лишь несколькими соображениями.
Стоит вспомнить некоторые общеизвестные принципы, которым очевидно необходимо следовать в данных условиях. Это, во-первых, использование открытого кода. Во-вторых, для таких систем, разумеется, должны быть тщательно продуманы и реализованы надежные средства защиты от всех известных типов атак, а также различных видов злоупотреблений, таких как потоковый сбор данных, отслеживание местоположения и т.п.. Наконец, в качестве служб-медиаторов, по возможности, было бы предпочтительнее использовать распределенные системы с прозрачным алгоритмом работы по примеру некоторых типов сетей peer-to-peer.
В дополнение, однако, хотелось бы высказать мысль, касающуюся скорее общего взгляда на проблему и пути развития подобных технологий в ближайшем будущем. Всё говорит о том, что этот джинн уже выпущен из бутылки. Бурное развитие и широкое применение непрозрачных, централизованных систем, использующих технологии распознавания, доступа к данным, автоматической идентификации и классификации, при поддержке правительств некоторых государств и крупных компаний уже началось и вряд ли может быть остановлено. Не смотря на то, что такое смещение баланса сил в обществе несёт очевидные риски, не хотелось бы давать оценок данному процессу, являющемуся всего лишь одним из проявлений технического прогресса. Тут важно отметить, что гражданскому обществу со своей стороны следует внимательнее присмотреться к возможностям, которые могут предоставлять те же технологии, применяемые иначе — для развития и укрепления горизонтальных связей в обществе. Как знать, быть может именно подобным системам суждено стать механизмом, способным помочь защитить права и свободы человека в изменившейся реальности.