Вопрос в самом низу. А сейчас немного размышлений на тему будущего.
NFC — это пережиток прошлого. Есть одна мысль… Полностью переделать текущее взаимодействие с миром. Пока наши власти пытаются внедрить УЭК (универсальную электронную карту), надо шагать дальше. А именно — убрать посредник между покупателем и кассовым аппаратом, между водителем и инспектором ДПС, между человеком и поликлиникой. УЭК эту прослойку не уберёт, а лишь заменит. Да, её можно будет записать на смартфон, но опять же, зачем лишний посредник? Надо подумать… Может, проблему решит вживление чипов? На протяжении десятилетий люди ждут, что их начнут чипировать, лишать права выбора. Многие верят, что высшая власть научится через эти микросхемы управлять телом каждого, что одной кнопкой можно будет уничтожить человека. И всё это под предлогом, чтобы нам с вами было удобнее. Приложил руку с чипом к турникету — прошёл, приложил к терминалу — оплатил. Некоторые люди, в особенности, жители США, уже пользуются услугами частных компаний, предлагающих чипирование. Удобно? Безусловно. Безусловно, очень удобно. По отзывам, первое время приходится привыкать, что у тебя небольшой холмик на коже, чувствуется небольшой дискомфорт, но со временем, ты и вовсе забываешь про чип. Только вот с этической точки зрения, всё-таки, вживление инородного тела внутрь организма создает много вопросов. Нам это не надо. Мало ли, какой вирус занесут, или подключатся к подкрылкам головного мозга, создадут армию зомби… Стоп. А зачем, собственно говоря, нам вообще использовать чипы для хранения информации? Мы же живём в эру облачных технологий, пусть лучше сервера хранят все данные (спойлер — всё про нас давно уже в облаках). А людям останется самое простое — выступить в роли ключа к этой информации. Здесь есть несколько вариантов. Самый простой и дешевый — использовать в качестве открывашки отпечаток пальца. Второй вариант, как вы уже поняли, сканирование лица/радужки.
Итак, какие преимущества даёт идентификации личности по отпечатку. Во-первых, от человека требуется всего лишь одно действие — приложить палец к считывателю. Таким образом, мы подтверждаем снятие денег, передачу паспортных данных и т.д. одновременно с распознаванием ключа (т.е. не нужно нажимать дополнительных кнопок по типу «подтвердите покупку», кнопка уже встроена в сам сканер). Во-вторых, дактилоскопические сенсоры гораздо дешевле в установке и обслуживании. В-третьих, можно записать в базу несколько банковских счетов, ключей, до 10 штук (сканеры лица/радужки, к сожалению, способны распознать только один ключ, ибо у нас одно лицо и одна пара глаз).
Сканер отпечатка пальца можно установить в обычный смартфон, тем самым, мы лишаем себя необходимости идти куда-то в паспортный стол и добавлять в базу отпечаток (хотя, скорее всего, это всё равно придётся сделать, но суть не в этом). Основная проблема — все смартфоны должны будут комплектоваться одним типом сканеров, шифровать данные об отпечатке в едином формате. Но это решаемо. Итак, мы выяснили, что отпечаток пальца практичнее, чем лицо/радужка. Теперь идем дальше, как использовать человеко-ключ?
Самое простое — оплачивать покупки в оффлайн магазинах. Это настолько очевидно, что Сбербанк уже пару лет тестирует функцию оплаты по отпечатку совместно с сетью Азбука Вкуса. Они разработали специальные терминалы, оснащенные сканерами. Для того, чтобы совершать покупки, необходимо заранее внести в базу свой отпечаток и прикрепить к нему карточку Сбербанка, только пока что это работает очень криво и неудобно — куча бюрократии. В законе прописано, что обрабатывать персональные биометрические данные можно только с письменного согласия человека. То есть нельзя просто взять, и воспользоваться электронной подписью. Нет, надо сначала зарегистрировать отпечаток пальца в одном месте, написать бумажку в другом, пойти привязать карточку в третьем. Очень неочевидный процесс. Делаем выводы. Первое, на что стоит обратить внимание — расшевелить наших законотворцев. Дальше всё пойдет проще. В идеале всё должно работать так — зарегистрировал отпечаток пальца в телефоне через специальное приложение, вбил в базу все необходимые данные (медицинский полис, СТС, ВУ, паспорт, номер счета, номер места на парковке, любимое меню в ресторане, об этом позже, трудовую книжку и т.д), подтвердил электронной подписью. И всё, пользуешься всеми возможностями.
Выше я упомянул, что на сервера можно забить любимое меню в ресторане. Поясню. Например, KFC подключилась к этой системе, вы в приложении вбили, что в этом заведении вам нравится крылышки, картошка фри, кола и пр. Что происходит дальше. Вы прислоняете отпечаток пальца к кассе (либо к автомату), и всё, заказ составлен, при желании, можно добавить дополнительные блюда, либо перейти к оплате. Второй раз ничего тыкать не нужно — в одной сессии кассовый терминал запомнил вашу информацию, осталось только подтвердить, что заказ составлен верно, можно снять деньги со счёта. По аналогичному принципу забиваются в базу и данные других заведений, причем не только рестораны, а, например, фитнес-залы. Один отпечаток пальца подгружает в конкретные тренажеры ваш план тренировок, количество упражнений, либо просто выполняет роль абонемента на вход. Я уже молчу про общественный транспорт — одного касания пальца станет достаточно, чтобы списать поездку.
Теперь немного о государстве. Как показать сотруднику ДПС, что с СТС и ВУ всё нормально? Даже если у вас смартфон не при себе, и УЭК вы не брали (а новый документооборот предполагает либо наличие смартфона, либо карты), то система с единым ключом, опять же, всегда при вас. Поднесите палец к считывающему устройству инспектора (это может быть его смартфон, планшет, другой специализированный терминал), вся нужная информация о вас тут же отобразится. Стоит отметить один момент — именно НУЖНАЯ информация, т.е. инспектор не узнает, какие крылышки вы любите в KFC, или когда покупали килограмм черной икры. Ему не доступны никакие данные, кроме необходимых для проверки. Похожая ситуация с записью ко врачу. Вам не нужно носить с собой медицинский полис, чтобы распечатать талончик к нужному специалисту. Перед входом в кабинет приложил отпечаток — всё, ваше время приема, ФИО, номер полиса, выписанные рецепты, свежие диагнозы… всё видит врач.
Заключение. Хоть этот топик получился довольно большим, многое из возможностей системы идентификации личности по отпечатку я не упомянул. Да и с технической точки зрения рассказал мало. Сейчас многие компании развиваются в данном направлении, биометрия — будущее торговли.
Но это было лишь предисловие к вопросу, мы, всё-таки, на форуме. На ваш взгляд, есть ли у подобной системы будущее? Какие подводные камни ждут на пути развития человеко-ключа? Как вы видите в дальнейшем наше взаимодействие с миром? Долой NFC? Привет сканеры отпечатка пальцев? Или же здравствуйте, распознавание голоса, походки, лица… Жду ответов.
Это не будет внедрено никогда, потому что это очень легко атакуется кардерами — люди будут размещать поддельные сенсоры, накладки и т.п. и воровать биометрические данные, и далее уже с их помощью подписывать какие-то вещи и обкрадывать и подставлять всех. Помимо этого, возможен перехват или взлом отсканированных данных, которые передаются в удостоверяющие центры.
В случае же с бесконтактной картой, ключи зашиты в чип, их невозможно считать с карты. Терминал создаёт запрос, отправляет его чипу карты и тот вычисляет ответ на этот запрос, используя надежно сохраненный ключ. Таким образом, после прислонения карты даже скопрометированный взломанный терминал не сможет воспроизвести повторно сеанс авторизации, ведь сгенерировать валидный ответ сможет только сам чип карты. В этом и суть чипованных карт, бесконтактных карт и бесконтактной авторизации через смартфон. Именно разовая валидация, которую без карты не провести.
Может я ошибаюсь, но вроде были случаи, когда злоумышленники копировали данные с NFC-карт (подкладывали под терминалы что-то, точно не помню). И потом использовали их в своих целях.