Centralizovaná biometrie jako adrenalinový sport

Americká telekomunikační společnost Verizon musela před pár týdny přiznat, že se hackeři dostali k údajům o 6 milionech zákazníků. Aby toho nebylo málo, o pouhý měsíc dříve stejné firmě unikla data o 14 milionech lidí. Stalo se to při předávání informací mezi Verizonem a dodavatelskou firmou, která pomáhala s telefonickou podporou zákazníků. Obě organizace měly zabezpečené databáze, ale vznikl nějaký problém při vzájemné komunikaci.

Banka UniCredit, které byly ukradeny údaje o 400 000 zákazníků, je na tom vlastně docela dobře. I když se jednalo o citlivé údaje včetně toho, kdo komu kolik dluží. A mezitím jen tak, jakoby mimochodem, proběhla zprávička, že švédská policie nedokázala ochránit informace o lidech, které vyšetřuje.  Ale to nejlepší nakonec. Ale proč se tím zabývat, když to jsou jen drobné.  Během poslední prezidentské kampaně v USA se na internet dostaly nechráněné údaje o 200 milionech Američanů, jejich soukromí a zálibách.

Seznam by mohl dlouho pokračovat. Analytici serveru Comparitech spočítali, že od roku 2014 došlo ve světě k 5 000 velkým únikům dat z organizací jako Apple, americká vláda, turecká vláda, T-Mobile, Sony, Yahoo atd.

Připomínáme to proto, aby bylo jasné, jak iluzorní je představa, že by někdo dokázal data spolehlivě ochránit. Ani náhodou! Výrobci databází pro ukládání biometrických údajů samozřejmě tvrdí, že ta jejich je naprosto perfektně zabezpečena, ale sotva kdo tomu věří.

To je dobré zdůrazňovat proto, že se znovu a znovu objevují nápady na zavádění systémů ověřování osobní identity, v nichž uživatel nemá držet v ruce žádný fyzický doklad. Systém načte do databáze váš otisk prstu, rysy tváře nebo duhovku a můžete jít domů. Příště vás znovu načte a srovná se záznamem v databázi. Je to jednoduché, pohodlné, o nic se nemusíte starat… až do chvíle, když zjistíte, že se kdosi dostal k vašim údajům, prodal je několika podvodnickým organizacím a ty vesele používají třeba kopie vašeho otisku prstu.

V představitelné budoucnosti to tedy bez fyzického dokladu nepůjde. Jenže zranitelnost databází má důsledky i pro doklady se elektronickým čipem.  Komplikuje totiž nejsilnější způsob ověření pravosti – porovnání vůči centrální databázi. Umístění biometrických údajů přímo na čip je snad přijatelným rizikem (zvláště, pokud by načtení čipu bylo podmíněno zadáním PIN). Přenos biometrického údaje (byť šifrovaného) přes veřejnou síť už ale přijatelný není. Ověřování vůči centrální databázi tedy vyžaduje jiný parametr. Pokud je prioritou jednoduchost, mohlo by stačit číslo dokladu. Pokud je prioritou bezpečnost, je tu produkt OVImage společnosti OPTAGLIO. Ten spočívá v tom, že ve vymezené části dokladu jsou náhodně rozmístěny mikrohologramy, jejich pozice načtena a uložena do databáze pro pozdějí porovnávání. Každý doklad je unikátní, vyrobit podruhé stejný doklad je nemožné, a to i pro jeho výrobce. Podstatnou výhodou je, že sítěmi nejsou přenášeny citlivé osobní údaje.

Samozřejmě se budou objevovat další a další technologické firmy, jejichž obchodníci budou tvrdit, že v jejich centrální databázi mohou být biometrické údajně skladovány naprosto bezpečně. Pochopitelně, oni sami neponesou odpovědnost za všechno, k čemu by mohlo dojít.

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s