Płatność za pomocą odcisku palca? Tak będzie w Digital Identity 3.0
Każdy z nas posiada unikalną, niezaprzeczalną, niezbywalną tożsamość. Tożsamość może być zweryfikowana poprzez porównanie Twojej twarzy ze zdjęciem, posiadanymi dokumentami lub inną unikalną rzecz, jak np. login i hasło. Ta idea pozostała niezmienna. Ewoluowała jednak do świata cyfrowego, gdzie istnieje w formie biometryki. Dla tych, którzy są na bieżąco z nowinkami technologicznymi, nie jest to żadną nowością.
Rozwiązania takie jak cyfrowe dowody osobiste funkcjonują już w wielu krajach. W Polsce również istnieje plan wprowadzenia elektronicznego dowodu, który zamiast znaków wodnych posiada np. wgrany na chipa unikalny cyfrowy certyfikat. Ale czy takie rozwiązania są potrzebne przysłowiowemu Panu Kowalskiemu? Już teraz, obserwując rozwój technologii i szerokie jej zastosowanie, można raczej spytać, kiedy Pan Kowalski będzie w mniejszości - użytkowników, którzy nie korzystają z cyfrowej tożsamości. Przede wszystkim jednak należy się zastanowić - co Pan Kowalski straci, pozostając analogową jednostką w cyfrowym świecie?
Analiza rynku cyfrowych rozwiązań
1. Cyfrowe płatności
Nie posiadając dostępu do dokładnych statystyk, jednakże obserwując życie codzienne, można pokusić się o tezę, że prawie każdy dorosły obywatel posiada kartę płatniczą lub/i nią płaci. Nawet osoby starsze wraz z napływem technologii cyfrowych i z biegiem lat przystosowały się do płacenia kartą.
Tymczasem rozwiązania umożliwiające płatność za pomocą telefonu istnieją na rynku od ponad pięciu lat. Mowa tu przede wszystkim o:
- kartach NFC SIM dostarczanych przez operatorów mobilnych
- NFC Secure Elements wbudowanych w telefonie (wykorzystywanych w rozwiązaniach Apple Pay, Samsung Pay)
- emulacji płatności zbliżeniowych w postaci HCE (od wersji Androida 4.4)
Rozwiązania te są przeważnie wygodniejsze niż płatność kartą. Choćby z tego względu, że nie musimy jej ze sobą nosić, a w dzisiejszych czasach telefon mamy przy sobie praktycznie non stop. IDEMIA silnie wspiera ten trend, realizując szereg projektów na rynku płatności - począwszy od Apple Pay, Samsung Pay, aż po rozwiązania oparte o czyste oprogramowanie, jak Android Pay.
2. Rynek usług transportowych
Podróżując pociągiem z łatwością można zauważyć, że coraz więcej podróżnych kupuje bilety w automacie lub używa aplikacji mobilnych do zakupu e-biletów. Rynek transportation to - obok płatności - jeden z najbardziej dynamicznych sektorów digital. E-bilet może być reprezentowany jako unikalny, poufny klucz - przypisany do danej osoby i przechowywany w bezpieczny sposób.
Ewentualnie można wykorzystać do tego kryptografię asymetryczną i certyfikaty bezpieczeństwa. Innym sposobem implementacji e-biletu jest potraktowanie go jako transakcji płatniczej. Tego typu rozwiązania opracowuje się w polskim centrum R&D IDEMII. Jednym z klientów takiego e-biletu jest firma ITSO - dostawca e-biletów na rynku brytyjskim - a rozwiązanie powstaje w oparciu o usługę Google Wallet.
3. Cyfrowe klucze
Otwieranie auta bez konieczności posiadania kluczyka było niegdyś jak scena z filmu science fiction. Teraz staje się naszą rzeczywistością i za moment przestanie kogokolwiek zadziwiać. Rynek samochodowy już na ten moment daje możliwość generowania w telefonie nowych e-kluczyków do auta, z wbudowanym modelem uprawnień.
Każdy właściciel będzie mógł przydzielać indywidualne kluczyki członkom rodziny, nadając określone uprawnienia do prowadzenia samochodu: czasowe, związane z możliwą do osiągnięcia prędkością lub też dotyczące geolokalizacji - obszaru, na którym pojazd może się poruszać. Samochód jest w stanie jednoznacznie zidentyfikować użytkownika i zaoferować spersonalizowane ustawienia fotela, muzyki, stylu jazdy oraz najczęstszych dróg w nawigacji. IDEMIA wiedzie prym na rynku systemów keyless w sektorze samochodowym.
4. Cyfrowa tożsamość 2.0
e-Dowód to nic innego jak unikalny identyfikator - np. PESEL - zapisany w sposób cyfrowy, czyli podpisany „tajnym” kluczem przechowywanym na serwerze administracji rządowej oraz w Twoim dowodzie - z chipem lub bezpośrednio w telefonie. Polskie Ministerstwo Cyfryzacji rozpoczęło wdrażanie projektu mDokumentów i mTożsamości (mID). Na urządzeniach mobilnych dostępne mają być m.in. dowód osobisty, prawo jazdy, dowód rejestracyjny i ubezpieczenie OC. Te udogodnienia pojawią się jednakże w bliżej nieokreślonej przyszłości.
Każdy pracownik firmy, której biuro mieści się w nowoczesnym budynku, boryka się z niedogodnością noszenia ze sobą karty wejściowej. Identyfikacja odbywa się na co dzień w różnych wymiarach. Posiadamy karty lojalnościowe, karty wstępu do obiektów sportowych czy innych placówek usługowych. Wszystkie już teraz działają w technologii contactless (np. NFC). Gdyby system związany ze wspomnianym wcześniej cyfrowym dowodem osobistym wyposażyć dodatkowo w funkcję uwierzytelniania posiadacza u innych podmiotów - gdzie gwarantem bezpieczeństwa będzie Państwo - to moglibyśmy założyć rachunek bankowy, podpisać umowę z operatorem komórkowym oraz załatwić każdą inną urzędową sprawę bez wychodzenia z domu.
Idąc dalej, można sobie wyobrazić, że ten sam dowód (chip elektroniczny) będzie używany do potwierdzenia naszej tożsamości w innych systemach takich jak rejestr praw jazdy, rejestr medyczny, a nawet w prywatnych rozwiązaniach przeprowadzających identyfikację pracowników w firmach.
Kluczem jest sposób szyfrowania
W przypadku powyższych technologii mówimy o systemach wykorzystujących infrastrukturę klucza publicznego (czyli kryptografii asymetrycznej opartej o algorytmy RSA oraz ECC) lub opierających się o wykorzystanie kluczy symetrycznych.
- Dla cyfrowych płatności są to dane karty (numer, data ważności, PIN) oraz powiązany z nią klucz symetryczny, który stosuje się do podpisania danych transakcji
- Na rynku usług transportowych bilet to de facto informacje mówiące na kogo jest on wystawiony, jak długo ważny i w jakim nominale. Wszystkie te dane podpisane są unikalnym kluczem potwierdzającym autentyczność biletu
- Rozwiązania typu keyless - szczególnie na rynku automotive - planuje się kilkanaście lat do przodu, zgodnie ze średnią życia auta. Dlatego odchodzi się od algorytmów 3DES szeroko używanych na rynku płatności na rzecz nowszego, trudniejszego do złamania algorytmu AES
- Cyfrowa tożsamość wykorzystuje zaś certyfikat klucza publicznego lub inny rodzaj klucza przypisany tylko jednej osobie
Wszystkie systemy oparte są o klucz elektroniczny. Bezpieczeństwo spoczywa więc w dużej mierze na dwóch istotnych aspektach:
1. W jaki sposób bezpiecznie przesłać ów e-klucz na telefon, kartę lub inny nośnik?
Proces ten znany jest jako enrollment. Opiera się on na sparowaniu użytkownika z urządzeniem i dostarczeniu zaszyfrowanego klucza. Przykładowy schemat enrollmentu:
- potwierdzeniu tożsamości użytkownika za pomocą np: loginu/hasła lub PIN-u otrzymanego SMS-em
- połączeniu użytkownika z tzw. device finger print, czyli unikalnym identyfikatorem urządzenia. W tym celu aplikacja na urządzeniu generuje parę kluczy: publiczny-prywatny. Prywatnym podpisuje identyfikator urządzenia i wysyła do serwera wraz z kluczem publicznym oraz elementem potwierdzającym tożsamość użytkownika. Serwer weryfikuje tożsamość użytkownika i podpisany identyfikator za pomocą otrzymanego klucza publicznego, parując go z identyfikatorem urządzenia. W odpowiedzi szyfruje e-klucz kluczem publicznym urządzenia, które to - posiadając odpowiadający klucz prywatny - jest w stanie odszyfrować ów komunikat
2. Jak zabezpieczyć telefon, kartę lub inny nośnik przed uzyskaniem dostępu do klucza przez osoby nieuprawnione?
Grupa technik opisujących owe zabezpieczenia to anty-tampering mechanism. Techniki opierają się one między innymi na:
- sprawdzeniu czy na urządzeniu jest dostęp do praw administratora (umożliwiający potencjalnemu hakerowi dostęp do zasobów pamięci)
- zabezpieczeniu urządzenia przed próbą debugowania go lub odpalaniu na emulatorach urządzeń. W tym celu można zastosować techniki CPU profiling czyli analizy pracy procesora celem odkrycia różnicy prędkości pracy na urządzeniach mobilnych oraz komputerach stacjonarnych
- zabezpieczeniu urządzenia przed próbą sklonowania aplikacji
Świat nie jest homogeniczny
Na rynku istnieje mnóstwo rozwiązań w danym sektorze biznesowym. Różnią się użytecznością, bywają bardziej lub mniej przystępne dla korzystającego. Stosuje się w nich odmienną technologię, która może mieć wpływ na bezpieczeństwo systemu. Użytkownicy szybko weryfikują rzeczywistość i po pewnym czasie na rynku pozostaje tylko kilku graczy, których rozwiązania się obroniły.
Jako eksperci IDEMIA dowodzimy, że jeśli rozwiązanie cyfrowe nie jest bardziej skomplikowane w użytkowaniu od swojego analogowego poprzednika, to jest spora szansa, że zostanie przez świat zaakceptowane. To rynek i klienci wskażą najlepszą możliwą technologię, a zadaniem dostawcy rozwiązania jest zapewnić odpowiednie zabezpieczenie systemu.
IDEMIA promuje rozwiązania oparte o Secure Element - chip odporny na ataki fizyczne i programistyczne. Znajduje się na kartach SIM i płatniczych, bywa również wbudowany w telefon lub urządzenie IoT. Klienci często wymagają także rozwiązań stricte software’owych (mniej bezpiecznych, ale dających możliwość instalacji na różnych platformach mobilnych). Dla tych klientów IDEMIA przygotowała technologię klasy White Box Cryptography (WBC) z opatentowanymi technikami kryptograficznymi. WBC charakteryzuje się nie tylko obfuskacją kodu, ale przede wszystkim unikalną implementacją znanego algorytmu kryptograficznego w oparciu o model matematyczny, który zakłada, iż klucz używany do szyfrowania nigdy nie będzie odszyfrowany i zaalokowany w całości w pamięci urządzenia.
Digital Identity 3.0
Kolejnym wyzwaniem związanym z identyfikacją tożsamości jest Digital Identity 3.0, czyli rozwiązania oparte np. o biometrię: odcisk palca, skan tęczówki, rozpoznawanie twarzy. W tym przypadku także nie są to narzędzia, które weszły na rynek niedawno. Od długiego czasu towarzyszą nam na co dzień na lotniskach, w urzędach, dużych firmach i organizacjach.
W IDEMII traktujemy Digital Identity 3.0 jako kluczowy obszar rozwoju. Dlaczego?
Wyobraź sobie, że płacisz w sklepie za pomocą odcisku palca. Twoje dłonie stają się biletem miesięcznym, a skan siatkówki oka pozwala na identyfikację w urzędzie lub przed komputerem. Samochód otwierasz dzięki skanerowi odcisków palców wbudowanemu w klamkę, a silnik uruchamia się po uprzednim zeskanowaniu twarzy lub po wydaniu komendy głosowej. To Ty stajesz się kluczem w cyfrowym świecie. Oczywiście nadal będziemy potrzebowali systemu płatności, wydawania biletów czy przydzielania uprawnień dostępu do samochodu. Nasze ciało jest jednak generatorem unikalnych kluczy, a odcisk tylko potwierdzeniem dla banku, że to właśnie Ty wykonałeś transakcję zakupu.
Z punktu widzenia użyteczności nie ma nic prostszego niż pozbycie się przedmiotów i używanie tylko własnego ciała. Jako zespół pracujący w centrum R&D IDEMIA opracowujemy rozwiązania, które usprawniają etap rozpoznawania danych biometrycznych przy jednoczesnym zapewnieniu bezpieczeństwa całego procesu. Koncentrujemy się na wykrywaniu anomalii w procesie skanowania, rozpoznawania materiału bio, reakcji na ciepłotę ciała lub na ruch twarzy. Dodatkowe wyzwanie na nadchodzące lata stanowi sama kwestia przechowywania wzorców odcisków. W IDEMII wierzymy, że idealna forma identyfikacji to taka, której nie widać, która w żaden inny sposób nie wpływa na nas samych. Technologicznie bylibyśmy gotowi na takie rozwiązanie szybciej, niż w ciągu pięciu lat. Przyszłość pokaże, czy - i kiedy - rynek będzie na nie otwarty.