Биоподпись против криптографии
Биоподпись против криптографии
Начну с прописных и уже многократно пережеванных истин. Насколько электронный документ отличается от документа материального, настолько и электронная подпись отличается от рукописной. В настоящей момент самой надежной признана электронная подпись, полученная путем асимметричного криптопреобразования подписываемого материала. Раньше это называлось электронной цифровой подписью, теперь квалифицированной электронной подписью. Иногда еще добавляют эпитет "усиленная". КЭП тесно связана с подписываемым контентом и позволяет выявить факт изменения контента после подписания. Кроме того, КЭП однозначно связана с закрытым ключом подписи, поэтому если мы предположим, что закрытый ключ однозначно связан с определенной персоной, то можем доказать или опровергнуть авторство подписи. Все, казалось бы, хорошо, но есть один момент.
Закрытый ключ - это последовательность цифр, которая связана с персоной при помощи правовых конструкций и организационных мероприятий, но никак не биологически. Чтобы получить сертификат подписи, нужно обратиться в удостоверяющий центр, где будет создан электронный документ, подписанный сертификатом УЦ - тот самый сертификат ключа подписи. Который связывает некоторую текстовую информацию (ФИО, должность и т.п.) с закрытым ключом. Чтобы подписать электронный документ, необходимо либо иметь на устройстве установленный сертификат, либо носить с собой отделяемый носитель с сертификатом, например, токен или смарт-карту. Что, согласитесь, не так удобно, как собственноручная подпись, когда необходимо просто находиться в сознании, а ручку можно и позаимствовать. Поэтому в настоящее время КЭП используется, как правило, в регулярных отношениях (клиент-банк, сдача отчетности, ЮЗЭДО и т.п.).
Есть биометрические технологии идентификации человека, например, по отпечатку пальцев, радужной оболочке, росчерку подписи на специальном планшете и т.п. Они позволяют более или менее однозначно связать некоторую последовательность цифр с живым человеком (по крайней мере, современные сканеры отпечатков пальцев проверяют температуру пальца и уже не реагируют на отрезанные пальцы). Но вот с подписываемым материалом связь получается искусственная. И уже в сворю очередь связываются они при помощи правовых конструкций и организационных мероприятий. По закону об электронной подписи биометрическая подпись тянет лишь на простую электронную подпись. Плюс надо в каждой точке иметь специальное биометрическое оборудование. Все перечисленные особенности данного метода также ограничивают распространение биометрических подписей. Как правило, это публичные места, например, банки.
Правда, в ближайшее время число публичных мест, где используется биометрическая подпись, может увеличиться за счет салонов МТС. Не вдаваясь в подробности, просто приведу кусок пресс-релиза:
Розничная сеть МТС (РТК, 100% дочерняя компания «Мобильных ТелеСистем»), операторский ритейлер в России, объявила о начале использования платежных терминалов с технологией захвата и распознавания подписи. Совместный проект реализуется при участии «Сбербанка России» и международной платежной системы MasterCard. Применение передовых платежных технологий обеспечит клиентам возможности быстрых и защищенных платежей, а также ускорит процесс обслуживания в розничной сети МТС, сообщили CNews в компании.
В рамках пилотного проекта в ряде салонов МТС в Москве установлены терминалы, работающие по инновационной технологии захвата и распознавания подписи. Технология позволяет клиентам расписываться непосредственно на дисплее терминала, а не на чековой ленте, при оплате банковской картой любого товара и при пополнении счета мобильной связи как банковской картой, так и наличными. В результате время на обработку каждого платежа сокращается в среднем на 30%. Устройства также включают в себя функционал самообслуживания, позволяя клиентам самостоятельно оформлять и оплачивать покупки.
Лет пять назад читал описание одного биометрического решения на базе шариковой ручки, позволяющей плюсом идентифицировать человека по подписи. Предлагался даже готовый сценарий для салонов сотовой связи. Бумажный договор распечатывался в одном экземпляре (абонента), у салона же оставался электронный документ + биометрические характеристики подписи клиента, снятые с ручки. При таком сценарии отпадала необходимость салонам переправлять бумажные договоры оператору.
Так вот, думается это мне, что квалифицированная подпись будет использоваться все больше в "тяжелых" регулярных вышеперечисленных сценариях. Тогда как в легких разовых сценариях (сотовая связь, микроплатежи, микробанкинг) будет использоваться простая электронная подпись, в том числе биометрическая. Вы как думаете?
Комментарии 6
Не знаю как насчет "биометрической подписи", а со сканерами отпечатков пальцев ситуация не столь радужная, как нам пытаются представить производители оборудования. В платежных системах, где положительное ложное срабатывание недопустимо, штатной считается ситуация, когда пользователь распознается не с первого раза, а, например, с десятого. Очевидно, что об ускорении платежа в такой ситуации говорить не приходится.
Видимо, ложное отрицательное срабатывание - меньшее из двух зол.
Да. И здесь это, к счастью, не фатально. В отличие, например, от распознавания отпечатков пальцев для оружия (там любое ложное срабатывание может стоить жизни).
в ближайшее время число публичных мест, где используется биометрическая подпись, может увеличиться за счет салонов МТС
Я что-то не увидел ни слова про биометрическую подпись в пресс-релизе.
А что, интересно, на этот счет говорит наше законодательство? Биометрические данные (если проводить параллели с биометрическими паспортами) вполне себе можно отнести к уникальным данным о личности, и я не припомню новостей, чтобы банки биометрических данных создавал кто-то, отличный от государственных структур, по крайней мере, у нас в стране (МВД и ФСБ в России).
В платежных системах, где положительное ложное срабатывание недопустимо, штатной считается ситуация, когда пользователь распознается не с первого раза, а, например, с десятого.
Сбербанк, к слову, уже использует в своих банкоматах сканеры штрих-кодов, правда, тот, с которым мне довелось общаться, так данные и не считал. Так что точность работы подобного рода девайсов в массовом сегменте пока, мягко говоря, далека даже от "удовлетворительно".
Не надо вводить людей в заблуждение.
В связи с чем у автора возникла такая логическая связь? Никто ни разу не видел живьем эту загадочную, придуманную "оторванными от реальности юристами", простую электронную подпись! И что понимать под "биометрической подписью"?