Поскольку исследовательская группа, готовившая отчет, состоит из весьма занятых людей, чрезвычайно сомнительно, что они захотят вступать в перепалку с IBIA и выпускать еще один, "ответный" пресс-релиз. В котором нудно и подробно объяснялось бы (для публики, а не для IBIA, где это и так отлично знают), что люди, готовившие отчет, являются вовсе не лабораторными крысами, а весьма опытными и авторитетными специалистами-практиками. Специалистами, которые вот уже многие годы занимаются тестированием и внедрением биометрических технологий для нужд таких организаций, как министерство обороны, ЦРУ, АНБ, Департамент отечественной безопасности или, скажем, флоридский Диснейленд - самая, как считается, крупномасштабная в мире структура, обеспечивающая основы своей повседневной безопасности средствами биометрии.
Ну а раз ответ от этих людей вряд ли появится, то представляется уместным рассмотреть тот самый "контекст реального мира" непосредственно здесь. Иначе говоря, несколько более тщательно разобраться, во-первых, с предысторией появления нынешнего академического Отчета, а во-вторых, с конкретными примерами из пресс-релиза IBIA, доказывающими жизненную полезность биометрии.
Еще в 2001 году компьютерно-телекоммуникационное подразделение CSTB (Computer Science and Telecommunications Board) в составе Национального исследовательского совета США сформировало специальную комиссию для исследования известных проблем с автоматической идентификацией (установление личности) и аутентификаций (подтверждение личности) людей. Итогом работы этой комиссии стал отчет 2003 года "Кто это там идет? Аутентификация и приватность", где были критически проанализированы самые разные технологии установления и подтверждения личности, включая биометрию. После публикации этого отчета эксперты CSTB провели несколько содержательных дискуссий с рядом правительственных агентств (ЦРУ, DARPA, DHS и т.д.) имеющих большие виды на биометрию и заинтересованных в продолжении такого рода исследований.
Поскольку попутно для экспертов комиссии явственно обозначилась чрезвычайно мутная ситуация с научным фундаментом биометрии и прочих криминалистических технологий, в 2003 году Национальная академия наук США предложила еще одну исследовательскую программу - для проверки научной достоверности всех существующих на сегодня криминалистических техник анализа, от отпечатков пальцев и экспертизы волос до баллистики и детекторов лжи. Поначалу идея вроде бы всем понравилась, так что под финансирование программы быстро нашлись и фонды, и щедрые спонсоры.
Однако довольно скоро этот проект встал и развалился. Потому что спонсоры из индустрии, процветающие на заказах вроде биометрических систем опознания и прочих хайтек-средств для глобальной войны с терроризмом, в качестве главного условия финансирования выдвинули ученым требование - что они сами будут контролировать как оценку получаемых при исследованиях результатов, так и доступность этих результатов для общества. На таких условиях ученые работать отказались. Денег от индустрии их, естественно, лишили, а вскоре после этого весь проект исключили также и из программы государственного финансирования.
Некоторую часть намеченной программы исследований - посвященную сугубо биометрии - удалось, впрочем, оживить. Плодотворные контакты исследователей с заинтересованными госструктурами дали свои плоды, так что к 2005 году удалось сформировать соответствующую команду, Whither Biometrics Committee, которая занялась углубленным изучением биометрических технологий на деньги, выделенные оборонным агентством DARPA, ЦРУ и Департаментом отечественной безопасности. То есть без всякого контроля со стороны индустрии.
Отсюда легко понять, почему опубликованные ныне итоговые выводы этой комиссии - о преждевременности и недостаточной надежности технологии - так сильно не понравились IBIA:
Чтобы содержательно прокомментировать этот аргумент, для начала можно было бы отметить, что миллионные цифры продаж продукта еще никогда не были свидетельством его безопасности. Достаточно вспомнить гиперпопулярную ОС Windows первых поколений, которая в принципе имела в себе некоторые средства защиты информации, но только вот никакой реальной безопасности они никому не обеспечивали.
Если же говорить более конкретно о биометрии, то еще в 2002 году сотрудники германского компьютерного журнала «c’t» с помощью совсем нехитрых подручных средств скомпрометировали кучу — около дюжины — систем биометрической верификации, работавших в ноутбуках на основе трех базовых технологий: распознавания пальцев, лиц и радужной оболочки глаз пользователей. Выводы экспертов журнала были вполне однозначны: все изучавшиеся системы приходится рассматривать скорее в качестве забавных игрушек, а вовсе не «серьезных средств защиты», как позиционируют их фирмы-изготовители.
Пользуясь тем, что после наделавшей шуму германской публикации прошло уже довольно много лет, а подтверждать и так всем известные слабости мало кому интересно, биометрическая индустрия ныне часто заявляет, что за прошедшее время в технологиях опознания достигнут большой прогресс, основательно повысивший стойкость систем к компрометации. Однако доклады на хакерских конференциях демонстрируют прямо тому противоположное - никаких существенных перемен здесь не произошло.
Например, в 2009 году на конференции Black Hat DC в США был сделан доклад 'Ваше лицо – это НЕ ваш пароль', подготовленный сотрудниками Bkis, одной из ведущих фирм компьютерной безопасности во Вьетнаме. Суть доклада – анализ конкретных систем опознания по лицу, широко применяемых в
