Читаем Итоги № 39 (2013) полностью

Единственное, что расстраивает во всей этой истории Вадима Коломийца, это традиционная закрытость Apple: «Они уже заявили, что никто из сторонних компаний не сможет писать приложения для их сенсора. А нам, например, было бы интересно использовать такой смартфон в наших платежных и медицинских системах». Эксперты согласны: для того чтобы айфон поддерживал сторонние приложения, где задействован отпечаток пальца, передавать «на сторону» ни исходные снимки, ни цифровые оттиски не нужно, достаточно наличия прикладного интерфейса API, который должна предоставить разработчикам Apple. Но, может быть, случится так, что и эта компания, убедившись в коммерческих перспективах открытости, удивит нас снова? Впрочем, как показывают разоблачения Эдварда Сноудена, не такая уж эта Apple и закрытая. Неужели под лозунгом удобного доступа к приложениям наши «пальчики» будут сливать в базы данных АНБ и прочих серьезных американских структур?

По секрету всему свету?

На это подозрение у менеджмента Apple заготовлен ответ: никакой единой базы и в помине нет, в смартфоне хранится только цифровой образ отпечатка пальца (или нескольких, например, для членов семьи), и запрятан он в Secure Enclave, специальную область процессора (точнее, целой системы на чипе) А7. Интерфейс с этой областью есть только у кнопки Home, используемой для получения отпечатков.

В части отсутствия собственной базы отпечатков Apple, возможно, не лукавит — технически проделать это возможно. «В биометрии такие технологии уже давно применяются в электронных идентификационных картах и биометрических паспортах, где идентификация пользователя проводится не по центральной базе, а только по отпечаткам пальцев, хранящимся на электронном чипе в защищенном виде, — поясняет Андрей Хрулев. — Такой процесс идентификации называется match-on-card (сравнение-на-карте), и по сути именно его и реализовала Apple». Правда, и в этом случае конфиденциальность хранения образов отпечатков на устройстве вызывает у специалистов вопросы. «Революцией данный подход никак не назовешь. В чипах смарт-карт для хранения зашифрованных идентификационных данных традиционно используются отдельные области памяти и криптографические сопроцессоры, — рассказывает Карина Абагян, директор по маркетингу завода «Микрон». — Методы их взлома хорошо изучены и включены в программы сертификационных испытаний чипов, выполняющих платежные функции. Например, для получения сертификата системы MasterCard наш чип для УЭК в течение полугода проверяли на стойкость к всевозможным видам атак в европейской лаборатории EMVCo». Вряд ли сенсор айфона с архитектурой Secure Enclave проходил такую сертификацию.

«К тому же нельзя однозначно говорить о защищенности образа отпечатка пальцев в системе, которая по определению является закрытой, — напоминает Игорь Корчагин, специалист по информационной безопасности компании ИВК. — Очевидно, что доступ к любой информации на вашем устройстве может иметь его разработчик. Остается еще фактор уязвимостей нулевого дня, которые используются, в частности, для выполнения «джейлбрейков» на устройствах Apple». Впрочем, утечка этих самых отпечатков с вашего смартфона может оказаться на поверку не таким уж и страшным делом.

Не прячьте ваши пальчики

Даже если Apple втайне от пользователей создает централизованную базу цифровых оттисков, это ничуть не опаснее, чем вести базу паролей всех пользователей, уверен Рустэм Хайретдинов: «По ним нельзя восстановить сам отпечаток». И полицейские структуры такая база сильно не обогатит. Их дактилоскопические системы работают с профессиональными базами данных, где хранятся все 10 отпечатков пальцев человека (минимальное требование — четыре пальца). «Я верю, что спецслужбы США имеют столько доступа к смартфонам, сколько им нужно, — полагает Хайретдинов. — Но технология не подразумевает хранения исходных отпечатков, поэтому никакие «пальчики» нигде не хранятся. Для Интерпола и АНБ есть гораздо более надежные методы снятия биометрических данных — все иностранцы при въезде в США дактилоскопируются». Это так, вот только интересы спецслужб этой страны давно уже носят всепланетарный характер.

«Доверия к Apple как гаранту неприкосновенности персональных данных нет, — считает Игорь Корчагин. — Это связано в первую очередь с активным желанием спецслужб США получить максимальный контроль над общественностью в глобальном масштабе. Это осуществляется и в цифровой среде — за счет сговора с коммерческими предприятиями».