Stań się swoim własnym hasłem. Polacy pracują nad biometrią dla Fujitsu
Wyobraźcie sobie przyszłość, w której nie musimy nosić portfela, bo wszystkie dokumenty przypisane są do unikalnego układu naczyń krwionośnych w naszej dłoni. Wchodzimy do sklepu i zamiast przykładać kartę czy telefon do czytnika NFC, przykładamy swoją dłoń. Podobnie do biura wchodzimy bez identyfikatora – wystarczy, że zeskanujemy rękę.
Tak działa PalmSecure, czyli system uwierzytelniania od Fujitsu. Sam czytnik jest niewielkim pudełkiem wielkości piąstki niemowlaka, nad którym na chwilę zawieszamy dłoń. Wtedy włącza się skaner podczerwieni, który robi zdjęcie naszym naczyniom krwionośnym. PalmSecure skanuje wzór żył i tworzy ich zaszyfrowane, skrócone kody. Te kody są następnie analizowane i porównywane z wzorcem właściciela przez oprogramowanie i w przypadku zgodności dostęp jest przyznany lub nie przyznany w przypadku niezgodności.
Taki sposób potwierdzania tożsamości okazuje się bardziej dokładny niż wykorzystanie tęczówki oka, odcisku palca czy wyglądu twarzy. Trudniej go skopiować czy przechytrzyć. Co ciekawe, nad jego rozwijaniem pracuje polski zespół z łódzkiego oddziału Fujitsu. Z Jakubem, który zarządza jego pracami, umówiłem się na rozmowę, której zapis możecie przeczytać poniżej.
Karol Kopańko, Spider’s Web: Dlaczego akurat dłoń?
Jakub Tomala, manager zespołu R&D: Przesłanki były proste. Każda z obecnie dostępnych technologii ma swoje wady, więc chcieliśmy stworzyć coś lepszego.
Masz na myśli łamanie zabezpieczeń?
Tak, wielu producentów używa np. skanów siatkówki, ale przecież aparaty robią coraz lepsze zdjęcia, więc przestępcy wkrótce będą mogli użyć naszych selfie, aby dostać się do poufnych danych. Pamiętam jeden z przypadków dużej firmy technologicznej, kiedy to zabezpieczenie zostało oszukane dzień po premierze jej flagowego smartfonu. Na wydrukowane zdjęcie właściciela telefonu położono szkła kontaktowe w miejscach oczu i to wystarczyło.
Podobnie z odciskiem palca, który oszustom udało się odtworzyć na podstawie zdjęć z konferencji prasowej. Chodziło tu o ważną osobę – niemieckiego ministra obrony narodowej.
Wy poszliście trochę głębiej – dosłownie i w przenośni.
Tak, układ krwionośny skopiować jest o wiele trudniej. Nie możesz przecież użyć czyjejś odciętej ręki bo system wykryje, że nie płynie przez nią krew. Teoretycznie można zbudować kopię naczyń krwionośnych w dłoni, ale jest bardzo kosztowny proces. Naszego układu krwionośnego nie można też sfotografować aparatem cyfrowym czy odtworzyć po tym, jak dotkniemy klamki w drzwiach.
A jak to się odbywa w praktyce – cały proces skanowania?
Skaner podczerwieni możesz mieć zainstalowany w laptopie. Przesuwasz nad nim dłonią i zaszyfrowane, skrócone kody twoich naczyń krwionośnych lądują w komputerze. Później porównywane są one z wzorcem i dostęp jest odblokowywany lub nie.
Co ważne działa to w całym komputerze, a nie tylko na poziomie systemu operacyjnego. Dzięki temu osoba, które chce nas zaatakować nie może podmienić bootsectora i skopiować plików po podłączeniu się pendrivem do komputera. W wypadku tej metody atakujący nie wejdzie nawet do BIOS-u.
Dotychczas myślałem, że wszelkie zabezpieczenia dzieli się na takie, które zostały już złamane i te, które dopiero będą.
Rozumiem, że przez złamanie masz na myśli dostanie się do systemu bez fizycznej obecności właściciela. Nie chce mówić, że nasz system nigdy nie zostanie złamany, bo tego nie wiem. Nawet funkcja skrótu SHA-1 została złamana, choć zajęło to bardzo dużo czasu.
Ale zapewne mógłbyś określić względny poziom bezpieczeństwa.
PalmSecure jest bezpieczniejsze niż odcisk palca czy twarz.
Z drugiej strony, jeśli ktoś pozyska naszą mapę naczyń krwionośnych, to praktycznie możemy się pożegnać z używaniem tej technologii. Nikt przecież nie będzie zmieniał układu żył w dłoni.
Proszę pamiętać, że PalmSecure to nie tylko mapa układu naczyń krwionośnych w dłoni, ale dodatkowo rozpoznanie przez system, że krew przez żyły przepływa, więc mapa naczyń nie jest wystarczająca, aby złamać zabezpieczenie. Oczywiście teoretycznie jest to możliwe, ale podobne zagrożenia istnieją również w przypadku innych technologii.
Macie już za sobą wdrożenia?
Mamy ich wiele, m.in. w Turcji i Brazylii dla banku Banco Bradesco (wideo poniżej-przyp.red), który w czytniki wyposażył swoje bankomaty. Mamy też pewną ciekawostkę z Japonii, gdzie klient sam wybrał sobie scenariusz zastosowania naszej technologii. To firma, w której tylko kilkanaście osób może mieć dostęp do dokumentacji sprzętu (między innymi prototypów). Hasła nie były zbyt bezpieczne, dlatego wprowadzono właśnie PalmSecure.
Sfera potencjalnych zastosowań to chyba nie tylko korporacje i bankowość?
Z racji na to, że system jest bezkontaktowy (wystarczy przytrzymać rękę nad czujnikiem) świetnie sprawdzi się np. w szpitalu, gdzie higiena jest priorytetem. Podobnie w służbie zdrowia, np. do potwierdzania odbycia wizyty. Zdarzały się przecież przypadki, że ktoś w informacjach ze swojej karty w ZUS-ie znajdował wizyty u lekarzy, które się nie odbyły. Wyeliminowałoby to możliwość oszustwa, takiego jak np. zapis w danych usunięcia macicy u mężczyzn.
Sam skaner został stworzony w Japonii, a w Polsce tworzycie obecnie jego oprogramowanie. Jak myślisz, dlaczego Japończycy zdecydowali się na skorzystanie z właśnie waszej pomocy?
W Łodzi mamy dwa uniwersytety, więc możemy pozyskiwać młodych utalentowanych inżynierów. Niejednokrotnie już udało nam się potwierdzić , że studenci wnoszą do projektów innowacyjność i nową jakość. Jest też wiele osób z dużym doświadczeniem z rynku, którzy uczą się sami i są dociekliwi. W mojej opinii, mamy odpowiednią wiedzę techniczną, jesteśmy pracowici i na tle innych krajów mamy stosunkowo niskie koszty pracy.
W takim razie co byś poradził tym osobom, które są teraz np. na studiach i chciałyby w przyszłości robić to, co ty?
Nie ograniczać się do spraw uczelnianych. Robi się tam rzeczy z wykorzystaniem technologii nie do końca współczesnych. Do tego fajnie, jeśli już na studiach jest w stanie tak zapanować nad swoim czasem, aby nawiązywać współpracę z firmami, które pozwalają zdobywać szybko nowe kompetencje.
Później w Fujitsu mogę trafić do zespołu PalmSecure, ale konkurencja, jeśli chodzi o projekty jest spora, prawda?
Oczywiście, robimy naprawdę dużo. Mamy zespoły, które zajmują się hardware'em i software'em. Fujitsu to też laptopy biznesowe, serwery, chmura, Internet of Things, wirtualna rzeczywistość (VR - Virtual Reality) czy rozszerzona rzeczywistość (AR - Augmented Reality). Każdy fan IT znajdzie tu coś dla siebie. Fujitsu to na pewno nie jest kolejna firma technologiczna, do której ludzie przychodzą tylko aby odbić kartę, bo stawiamy na kreatywność.
A ty, dlaczego wybrałeś akurat PalmSecure?
Bo to ciekawe. Nie korzystamy tu z utartych ścieżek, nic nie kopiujemy, bo nie ma od kogo. Robimy to jako jedni z pierwszych na świecie. Bycie takim innowatorem jest świetne.
Świetne są też prezentacje produktu, kiedy ludzie wydają się zaskoczeni szybkością czujnika. Czasami myślą, że ktoś siedzi za nimi i wciska Enter, aby się zalogować. Ale nie – nad sensorem można nawet pomachać ręką.
W takim razie na koniec poproszę cię o zabawienie się w wróżkę i przewidzenie, ile jeszcze wody w Wiśle upłynie, zanim potwierdzanie tożsamości ręką stanie się standardem?
Ciężko wyrokować, ponieważ historia uczy, że firmy technologiczne próbują przeforsować swoje standardy i tym razem pewnie będzie podobnie. Konkurencja jest wymagająca, ale za kilka lat myślę, że będziemy korzystać z innych i coraz bardziej dokładnych sposobów identyfikacji biometrycznej, a Palm Secure jak na razie jest dobrą odpowiedzią na taki trend.
