Pozor na fotky na facebooku, i na nich jsou vidět vaše otisky prstů, varuje profesor Martin Drahanský, český expert na biometrické zabezpečení.
Přiznávám, nebyla to zrovna originální úvodní otázka. Martin Drahanský ji už určitě slyšel stokrát, jenže já si prostě nemohu pomoci. Od chvíle, co jsme si spolu domluvili schůzku, mi totiž leží v hlavě. „Jak dlouho by vám trvalo, než byste odemkl můj mobil?“ vyhrknu na něj nedočkavě.
Devětatřicetiletý vědec mrkne na můj iPhone 8, který leží před námi na stole a je zamčený otiskem mého palce, a spokojeně se usměje. „Tak maximálně hodinu. A stačil by mi na to otisk prstu, co jste nechal na té lahvi s vodou, které jste se před chvílí dotkl,“ říká pobaveně.
Vystudovaný informatik a profesor na Fakultě informačních technologií Vysokého učení technického v Brně se od roku 2000 věnuje biometrii, takže jeho světem jsou otisky prstů, snímače duhovky, sítnice nebo různé 3D kamery, které rozeznávají lidský obličej. Zhruba desetičlenný výzkumný tým, který Drahanský v Brně vede a který patří minimálně mezi evropskou špičku, se všechno to, co momentálně vídáte jen ve špionážních a sci-fi filmech, snaží převádět do reality a zároveň pomocí výroby falzifikátů zdokonaluje současné technologie.
Když ho posloucháte, vstoupíte do fascinujícího světa, který by nadchl i Jamese Bonda, přitom občas je všechno až překvapivě jednoduché – na výrobu falzifikátu otisku prstu, který by odemkl můj iPhone, by prý stačila i obyčejná plastelína, kterou koupíte v každém hračkářství.
Takhle jednoduché to je?
Kupodivu ano. Nakupujeme a používáme spoustu speciálních materiálů, různé dentální hmoty, o kterých ani nechci mluvit konkrétně. S těmi to samozřejmě funguje také, ale i obyčejná plastelína funguje na spoustu zařízení včetně toho iPhonu. Není to asi úplně šťastné, ale zase aby to neznělo moc pesimisticky – když má snímač otisků zabudovanou i dobrou detekci živosti, plastelína selže.
Detekci živosti?
Snímání otisků prstů probíhá na dvou úrovních. První je snímání samotného otisku, což se dá obejít, když máte vzor. Když jsme v roce 2005 začínali s výzkumem, vystačili jsme si u toho s obyčejným razítkem. Šli jsme do papírnictví a nechali jsme si vyrobit otisk prstu. Nikdo se na nic neptal, vyrobili to a my s tím byli schopni obelstít skoro všechny tehdy dostupné systémy.
Jenže dnes je tam ještě druhá úroveň.
Ano, snímače kromě samotného otisku ještě kontrolují, jestli je ten prst živý a nejde o falzifikát. Třeba váš iPhone detekci živosti má, jenže ještě záleží na tom, jak tu živost kontroluje. Nám se už povedlo obejít skoro všechny metody, oříšek je jen multispektrální osvětlování prstu. Prst se osvětluje vlnovými délkami v různém rozsahu a zjišťuje se reakce kůže, která je u každého člověka unikátní. Je to momentálně nejspolehlivější metoda, proto se tím teď zabýváme nejvíc.
Jak jste se k tomu dostal?
Vždycky mě zajímaly otisky prstů, možná za to můžou i filmové kriminálky, které jsem měl rád. Studoval jsem v Brně fakultu elektrotechniky a informatiky, kde jsem v roce 1999 začal psát o otiscích prstů diplomovou práci. Nešlo mi vyloženě o snímání otisků, řešil jsem, jak přenést markanty, což jsou různá rozdvojení linek v našich otiscích, na čipovou kartu. To byl tehdy velký problém a mně se ho podařilo vyřešit. V roce 2005, když jsem končil doktorské studium, jsme tady pak založili vědeckou skupinu, která se začala biometrií zabývat naplno.
Co přesně dělá?
Snažíme se vyřešit něco, co ještě není na trhu. Zkrátka hledáme odpověď na to, co ještě neexistuje. Dám vám příklad. Zabýváme se třeba poškozeními syntetických otisků, což jsou vlastně počítačem uměle vytvořené otisky a do nich generované změny. Když totiž chcete vyzkoušet nějaké zařízení, potřebujete k otestování desetitisíce otisků. Tolik lidí si logicky najmout nemůžete, takže nejlepší je vygenerovat syntetické otisky. No a my se je snažíme vytvořit co nejrealističtější, aby byly pro takové testování použitelné.
Bál jsem se, že chcete vykrást banku.
Ne, chceme zdokonalit současné zabezpečovací systémy a vymyslet ještě lepší. Obracejí se na nás firmy, které mají různá řešení a chtějí je otestovat. Dají nám to, my na to nasadíme naše falzifikáty a ověříme, co musí zdokonalit. Zrovna v lednu jsem byl s kolegou Ondrou Kanichem na veletrhu v Dubaji, kde také plno firem vystavovalo svoje snímače otisků. Tak jsem se jich ptal, jestli tam mají detekci živosti a jestli bychom to mohli vyzkoušet. V kapse jsme nosili naše falzifikáty, zkusili jsme je a byli jsme hodně úspěšní – kromě jedné technologie jsme obelstili vše.
To musí být skvělý byznys, ne?
Právě že zatím moc ne. Firmám to otestujeme zadarmo a nic za to nechceme, protože to ani nezabere moc času. Spíš vždycky doufám, že na základě toho rozjedeme spolupráci na vylepšení jejich systémů, ale to se bohužel zatím moc nedaří. Výrobci si svoje technologie většinou tutlají a nechtějí k nim nikoho zvenčí pouštět. Ale daří se nám uvádět do praxe vlastní věci.
Jaké?
Komerčně se prosadil třeba náš 3D snímač obličeje, už delší dobu ho na trhu nabízí jedna firma. A momentálně se hodně věnujeme sítnici oka, kde už máme zájemce. V reálu totiž žádné zařízení na snímání sítnice neexistuje. Kdysi bylo, ale jeho výrobce zkrachoval, protože to zařízení bylo drahé a nepohodlné. Uživatelé totiž mají strach, že jim to poškodí zrak – při snímání sítnice byl potřeba malý záblesk, kterého se každý lekl. My se snažíme vymyslet něco, co by šlo použít.
Martin Drahanský
Profesor a expert na biometrii vede na Fakultě informačních technologií VUT v Brně výzkumnou skupinu, která se zabývá především otisky prstů, zkoumáním jejich falzifikátů a detekcí živosti. Stejná skupina úspěšně uvedla do praxe zařízení na 3D snímání obličeje nebo autonomního robota RUDA, který umí odhalit živého člověka za zdí a pod lavinou nebo sutinami. Momentálně se věnuje technologii pro snímání sítnice v oku.
Snímače očí už ale přece dnes existují, ne?
Ano, ale to jsou senzory duhovky. Sítnice se skenuje maximálně ve filmech. Duhovka je dnes rozšířená, je i v biometrických pasech, kde máte zaznamenaný obličej, duhovku a otisk prstu. Duhovka je poměrně spolehlivá, ale pořád se dá relativně snadno vyrobit její falzifikát. Stačí vás vyfotit teleobjektivem a zaměřit se na vaše oko. Můžete sedět v restauraci a ani si toho nevšimnete.
Stačí jenom fotografie?
Ano, dá se z ní vyrobit falzifikát. Samozřejmě záleží na tom, jak je snímač duhovky propracovaný. Když se snímá jen za viditelného světla, stačí si duhovku vytisknout a vyrobit podle toho kontaktní čočku se stejným vzorem. Něco jiného je, když je zařízení chytřejší a používá UV světlo, na které reaguje melanin ve vaší duhovce, to je taková detekce živosti u oka. Sítnice je bezpečnější, protože ji jen tak nevyfotíte, lépe řečeno to neuděláte tak, aby o tom dotyčný nevěděl.
A také se na rozdíl od duhovky nedá do oka implantovat umělá.
Ano, nedá se prakticky operativně změnit. Když jsem se o tom bavil s lékaři, říkali mi, že čistě teoreticky by šlo něco udělat s žilním řečištěm, ale je to velmi nepravděpodobné, ještě to nikdo neudělal. Šance, že vám u toho poškodí sítnici, je velká. Proto je to z hlediska biometrie nejlepší zabezpečení, jen s tou nevýhodou, že je to zdlouhavé a nepraktické. Dneska se v biometrii razí heslo „on the fly“, což znamená, že někde procházíte a už za chůze vám zařízení naskenují obličej, duhovku a mávnutím ruky vám senzor zkontroluje ještě třeba geometrii ruky.
Tu má člověk také unikátní?
Ano i ne. Základní 2D sken ruky je vhodný pro malou skupinu lidí, ale není vhodný pro celou planetu. Určitě najdete na světě lidi, kteří mají v 2D tvaru podobnou nebo stejnou ruku jako vy. Ale u 3D se už bere v potaz i zakřivení všech významnějších rýh v kůži a to už je unikátní. A když k tomu vezmete i papilární linie z dlaní, už se není vůbec o čem bavit, tam už to statisticky stačí na celý vesmír.
Mimochodem, skutečně neexistuje na světě nikdo se stejnými otisky prstů, jako mám já?
Podle teoretických modelů by nikde na světě neměl být člověk se stejnými otisky. Ale samozřejmě to nikdo v praxi neověřil, takže vám to nemůže nikdo garantovat. Ale pravděpodobnost je menší, než že vás teď trefí meteorit z vesmíru. Něco jiného je, když porovnáváte jen vybrané markanty. Jak už jsem říkal, to jsou takové ty vidličky a rozdvojení papilárních linií, které snímají senzory. Celkově můžou dva otisky vypadat úplně jinak, ale markanty přitom můžou mít stejné. Tam už je pravděpodobnost vyšší, asi jako že do vás uhodí blesk. Ale šance, že se zrovna takoví dva lidé potkají na jednom místě, je nulová. Mnohem větší je pravděpodobnost, že si někdo vytvoří falzifikát vašeho otisku.
Chceme zdokonalit zabezpečovací systémy a vymyslet ještě lepší
Nejste kvůli tomu teď paranoidní, když víte, jak snadno jde otisk prstu obejít?
Jistá paranoia ve mně je, to je fakt. Já otisky prstů používám u věcí, kde je mi úplně jedno, jestli mi je někdo ukradne, nebo ne. Třeba v telefonu nemám nic důležitého, jen pár čísel. Ale určitě bych si tím nezabezpečoval bankovnictví, tomu bych se vyhnul. To by muselo mít detekci živosti, které věřím, to znamená třeba ty multispektrální vlastnosti. Kdyby to bylo něco jiného, asi to nepoužiju.
Novinkou je zabezpečení pomocí obličeje, se kterým přišel Apple. Co si o tom myslíte?
Apple chce přijít vždycky s něčím novým, chtějí být na trhu první. Je to unikátní, zajímavé a pro lidi, co milují iPhony, je to senzační. I když je pravda, že si za pár dolarů můžete nechat vytisknout 3D kopii svého obličeje, se kterým Face ID na iPhonu obelstíte. Sám jsem to zkoušel.
Právě. Není to slepá ulička? Obličej evidentně obejdete snadněji než otisk prstu.
Vyrobit falzifikát je snazší, ale získat váš obličej je naopak těžší. Existují aplikace, které to umí. Oběhnete člověka, uděláte buď hromadu fotek nebo video a ten software vám z toho udělá 3D model. Stačí na to kvalitní mobil. Ale už kolem toho člověka musíte běhat a nejde to udělat nepozorovaně. Zatímco u otisků to jde udělat skrytě. Můžu si je vzít a vy o tom ani nebudete vědět.
Jste rád, že se díky vylepšování zabezpečení mobilů začínají lidé víc zajímat o biometrii?
Rozhodně. Otisky se už běžně používají v mobilech, některé firmy je používají i pro kontrolu docházky zaměstnanců, teď začal Apple využívat obličej a uvažuje se i o senzorech duhovky v mobilech. Takže biometrie proniká víc a víc do našich životů. Proto mě mrzí, že se nám nepodařilo prosadit projekt, který měl za cíl zvýšit povědomí Čechů o biometrice. Abychom lidem vysvětlili, jaké úskalí má, když na facebook nahrají fotky, kterými prozradí své biometrické údaje.
V čem děláme chybu?
Dnešní mobily mají tak vysoké rozlišení, že když se vyfotíte, jak někde máváte, a tu fotku pověsíte na internet v plné kvalitě, jsou na ní vidět otisky prstů tak, že se dají zneužít. Nemluvě o obličeji. A vidět je tam i duhovka. U těchto informací bohužel platí, že jednou prozrazené, navždy prozrazené. Biometrie není odvolatelná. Když máte podezření, že se prozradily kryptografické klíče, vytvoříte nové a je po problému. U biometrických údajů to nejde. Tohle by si lidé měli uvědomit.
.png){kind=avatar}
