ГОСТ Р 54412-2019 (ISO/IEC TR 24741:2018). Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Общие положения и примеры применения

11.2 Безопасность биометрических данных

Требования в отношении использования биометрических данных для проверки заявления индивида для авторизации тщательно документируют.

Во-первых, биометрические данные лица должны быть конфиденциальными и не подлежат несанкционированному доступу, использованию и изменению или разглашению посторонним лицам. Это является важным соображением как для передачи, так и для хранения биометрических данных.

Во-вторых, целостность биометрических данных в различных подсистемах обработки в биометрической системе также имеет решающее значение. Например, если целостность данных нарушена, что приводит к созданию недостоверного биометрического контрольного шаблона, результаты последующей биометрической верификации и идентификации также не заслуживают доверия.

В-третьих, если биометрический контрольный шаблон физического лица является предметом кражи личных данных и, следовательно, поставлен под угрозу, сохранение биометрических характеристик, на основе которых получен биометрический контрольный шаблон, означает, что очень трудно отозвать украденный биометрический контрольный шаблон и зарегистрировать новый. Поэтому рассматриваются методы снижения риска компрометации биометрических контрольных шаблонов, включая положения об отзывных/возобновляемых биометрических контрольных шаблонах.

Конфиденциальность, целостность, возобновляемость и отзываемость биометрических данных достигается за счет применения криптографических методов (см. [57]).

Для обеспечения конфиденциальности хранимых данных могут быть использованы различные формы криптографических алгоритмов шифрования (шифров). Алгоритмы шифрования применяются к биометрическим данным для получения зашифрованных данных и разработаны таким образом, что зашифрованные данные не предоставляют информации о биометрических данных. Существует соответствующий алгоритм расшифровки, который преобразует зашифрованные данные в исходную форму. Шифры работают совместно с ключами. Если ключ является идентичным и для шифрования, и для дешифрования, шифр симметричен. Если они отличаются, шифр асимметричен. Инфраструктура открытых ключей для шифрования биографических и биометрических данных изображений лиц в электронных паспортах использует асимметричные шифры.

Для обеспечения целостности передаваемых биометрических данных используют алгоритмы проверки подлинности кода аутентификации сообщения (MAC) для проверки того, что биометрические данные не подвергались несанкционированному изменению. Эти алгоритмы обеспечивают целостность и подлинность передаваемого сообщения, обнаруживая изменения в сообщении, а также подтверждая его происхождение. Так как MAC не обеспечивает неотказуемость там, где это требуется, используют схемы цифровой подписи.

Существуют также методы обработки данных, обеспечивающие как конфиденциальность, так и защиту целостности. Они, как правило, включают в себя либо конкретную комбинацию шифрования и вычислений MAC, либо использование алгоритма шифрования особым образом. Определены шесть методов для аутентифицированного шифрования со следующими показателями безопасности (см. [58]):

- конфиденциальность данных - защита от несанкционированного раскрытия данных;

- целостность данных - защита, позволяющая получателю данных убедиться в том, что данные не были изменены;

- аутентификация источника данных - защита, позволяющая получателю данных проверить личность источника данных.

Данные методы требуют от отправителя и получателя защищенных данных совместного использования секретного ключа.

Возобновляемые и отзываемые биометрические контрольные шаблоны создаются с помощью концепции псевдоидентичностей (PI). PI являются анонимными и возобновляемыми строками биометрической проверки идентичности в определенном контексте (см. [59]). PI получается из биометрических характеристик субъекта данных. Признаки, извлеченные из зарегистрированного биометрического образца субъекта данных, обрабатываются псевдонимным идентифицированным кодировщиком, который генерирует псевдонимный идентификатор и вспомогательные данные (AD), обеспечивая формирование возобновляемого биометрического контрольного шаблона (RBR). После того как этот биометрический контрольный шаблон создан, он может быть сохранен, а зарегистрированный биометрический образец и извлеченные биометрические признаки отбрасываются. Для последующих процессов биометрической верификации биометрические признаки извлекают из зарегистрированного биометрического образца, а затем применяют псевдоидентификационный рекодер для формирования PI, основанной на извлеченных биометрических признаках, и компонента AD RBR. PI биометрического контрольного шаблона и PI биометрической пробы сравнивают. При равных условиях они будут совпадать только в том случае, если будут предъявлены правильные биометрические характеристики и использованы правильные AD.

В дополнение к включению сравнения биометрической пробы и биометрического контрольного шаблона компонент AD RBR может быть использован для выполнения ряда задач, в том числе создания:

- нескольких независимых PI из одного и того же зарегистрированного биометрического образца для обеспечения достаточного числа вариантов биометрических характеристик индивида и, следовательно, возможности создания возобновляемого биометрического контрольного шаблона в рамках одного и того же контекста приложения;

- независимых PI из одного и того же зарегистрированного биометрического образца с минимальной общей информацией между PI для предотвращения биометрических сравнений и связей между приложениями, в которых они использованы.

В зависимости от требований безопасности для биометрической системы RBR может быть использован или не использован. В последнем случае применяют обобщенную модель биометрической системы (см. рисунок 1). Если RBR используют, то обобщенная модель имеет вид, представленный на рисунке 4 (адаптировано из [57]).

 

 

Рисунок 4 - Обобщенная модель биометрической системы,

использующей возобновляемые биометрические

контрольные шаблоны

 

Обобщенная модель и модели RBR могут быть реализованы различными способами в зависимости от того, где хранится биометрический контрольный шаблон, где проводится сравнение биометрического контрольного шаблона с биометрической пробой и, в случае реализации RBR, где хранятся компоненты PI и AD. В этом контексте возможные топологии включают (см. [57]):

- модель A - хранение на сервере и сравнение на сервере;

- модель B - хранение на токене и сравнение на сервере;

- модель C - хранение на сервере и сравнение на стороне клиента;

- модель D - хранение на стороне клиента и сравнение на стороне клиента;

- модель E - хранение на токене и сравнение на стороне клиента;

- модель F - хранение на токене и сравнение на токене;

- модель G - хранение распределено на токене и сервере, сравнение - на сервере;

- модель H - хранение распределено на токене и на стороне клиента, сравнение - на стороне клиента.

Каждая модель имеет свои преимущества и недостатки в отношении безопасности и конфиденциальности.