Milleks kaardid, maksan sõrmega!

Hirmus palav on. Liiv on tulikuum, taevas ei ole ainsatki pilveriba ja päike kõrvetab otse lagipähe. Meres jahutamas käimine on kohustuslik vähemalt iga poole tunni tagant. Külm õlu on kui jumalate jook. Võtan rannakohvikust oma Rocki ja näitan makseterminalile nimetissõrme ette. Kahe sekundiga tuvastatakse sõrmejälg ja terminal prindib välja makse kinnituse.

Kas kõlab liiga hea, et tõsi olla? Jah, paraku on teil õigus. Sõrme maksevahendina ei aktsepteeri seni veel ükski rannakohvik ja ilmselt niipea selles osas ka muutusi tulemas ei ole. Kuid mitte tehnoloogia või potensiaalse kasutajaskonna puudumise tõttu. Sõrmejäljeskänneriga mobiilne makseterminal on täiesti olemas. Masstootmises. Ja ka meil, siinsamas kontoris on mõned eksemplarid, millele meie softi kirjutame.

terminal

Takistuseks on hoopis seadusandlus, mis delikaatsete isikuandmete käitlemise inkvisitsiooni rangusega ära on reguleerinud. Sõrmejäljendite kogumine kuskile eraandmebaasi on hetkel mõeldamatu. Ülaltoodud fantaasiale kõige lähedasem rakendus on vast proximity-kaardid, millega kuuldavasti kaugel meerikamaal saab maksta valitud tanklates.

Siiski, kavalad pead üle maailma mõtlesid välja lahenduse, kus sõrmejälgi kesksesse andmebaasi koguma ei peagi. Nimelt, sõrmejälge hoitakse iga isiku enda kiipkaardil ning autoriseerimiseks tuleb esitada selline kaart ja näidata sõrme. Hästi odav variant on veel selline, kus kiibi asemel on infokandjaks 2D-triipkood, trükituna kaadi tagaküljele. 2D-triipkood suudab probleemideta hoida üle poole kilobaidi andmeid. Sinna mahuvad nii kaardi omaniku nimed, sünnikuupäevad jne, kui ka kodeeritult kaks sõrmejälge (a’ 160 baiti) ja digitaalne signatuur andmete õigsuse kontrolliks.

barcode

160 baiti ühe sõrmejälje jaoks võib tunduda küll hirmus vähe, aga tegelikult on see täiesti piisav. Kõrgeima turvalisusastmega kontroll annab valepositiivseid vastuseid vaid 0.0000001% juhtudest. Soovituslik keskmine turvalisustase aktsepteerib valet sõrme vaid 0.01 protsendil juhtudest.

Esimene filter, mis vähendab sobivate sõrmede hulka märgatavalt, on sõrmejälje tüüp – aas, ring, tagurpidi aas jne. See on lihtne ja ka palja silmaga eristatav kriteerium.

points

Teiseks leitakse sõrmejäljelt selle nn. Iseloomulikud punktid. Neid on omakorda kahte tüüpi – joone lõppemise punktid ja joone hargnemise punktid. Iga sellise iseloomuliku punkti hoidmiseks kulub kolm baiti, punkti x ja y koordinaat ning joone suund. 160 baidi sisse mahub selliseid vektoreid üle viiekümne ja sõrmejälje identifitseerimiseks on see enam, kui piisav.

matching

Niisiis näitad terminalile oma kaardi triipkoodi ja paned oma nimetissõrme skännerile. Sekundiga leitakse sinu sõrmelt iseloomulikud punktid ning võrreldakse neid kaardi triipkoodile salvestatud punktidega. Piisava hulga punktide kokkulangemise korral saab teha otsuse, et näe, ongi sama mees ja, miks mitte, jagada ka külma kihisevat Rocki…

… õlu ja biomeetria ruulivad :P

7 thoughts on “Milleks kaardid, maksan sõrmega!”

  1. Kui kasutusele võtta kaugeltlugev skänner, nagu need poes on, ja paigutada see umbes kasutaja randme juurde siis oleks kogu see krempel ju ülimugav.
    Teed kasutajale randmepaela. Tema tuleb, paneb sõrme seadmele, samal ajal loetakse tema randmelt sõrmejälge andmed, edasi kõik nagu kirjeldasid. Kaasa arvatud õlu.

    Ma küll ei tea kas 2d ribakoodide lugemiseks need kaugeltlugevad seadmed olemas on või mitte. Aga mõte on ju tore.

  2. Jutu lõpuosa jäi vist kuidagi pindmiseks või mitte lõpetatuks arvestades kogu artikli mõtet – seda, et kauba eest saaks maksta ka ilma oma isikut tõendavaid vahendeid kaasas tassimata. Vastasel korral, mis mõtet oleks sõrmejälje alusel inimese audentimisel kui nagunii oleks selleks vaja veel ka mingit kaarti või lisatõendit kaasas vedada, mis tõendaks seda, et need sõrmejäljed on ikka sinu omad. Samahästi võiksid siis ju oma deebetkaardi randa kaasa võtta ja sellega seal ostu eest maksta ilma mingi sõrmejälje rallita, sest elektrooniline makse eeldab müüja juures vastavate seadmete olemasolu nagunii. Biomeetrilise parameetri järgi audentimine oleks tõeliselt mugav lahendus kui tõepoolest eksisteeriks vastav keskandmebaas, kust makseterminaal päringu teeb. Sisuliselt ei tohiks sellel ju vahet olla inimeste ID kaardi andmete andmebaasiga.

  3. Sul on täiesti õigus, uni tuli peale ja lõpetamine tuli kiirelt ja ootamatult :)) Peale jutu valmiskirjutamist tuli tegelt veel üks sarnane makselahendus meelde – nimelt spaades saab vist käepaelaga baaris jooki tellida. Ja siis kui ära minema hakkad, maksad kaardiga arve… ikkagi kaardiga. Rannas vast ei hakkaks keegi ennast arve maksmisega vaevama…

    Aga jube vahva oleks küll, kui (kasvõi riikliku sõrmebaasi alusel) saaks sõrmega maksta. Mingi analoogia on ka mobiilimaksega täiesti olemas.

    Kui mõned aktiivsed visionäärid (Peeter Marvet ja muud kratid) asja kallale ässitada, äkki siis tuleks päike pilve tagant välja? :)

  4. Talvel oli Ekspressis lugu moodsast lehmafarmist, kus lehmadel olid kaelade sees kiibid ja rohkem lüpsvad lehmad said automaagiliselt paremat toidukraami sisaldavate ämbrite juurde. Lehmade puhul on asi turvaline, sest pooljuhttehnoloogiat nad ei tunne ja progeda ei oska. Inimesega on lugu väheke keerulisem — õllejanu paneb pea tööle.

    Klassikalise arusaamise järgi langetab hea elektrooniline isikutuvastuse süsteem otsuse toetudes kolmele mõõdikule:

    1) inimese valduses olev füüsiline objekt (kiipkaart)
    2) inimesele teadaolev informatsioon (PIN)
    3) inimese bioloogilised iseärasused (sõrmejälg, DNA, labakäe veenide või silmaiirise muster)

    Isegi ideaalne isikutuvastussüsteem on murtav – kiipkaarti saab varastada, PINi välja luurata või välja peksta ning inimese bioloogilised iseärad taanduvad masinale heli- või elektromagnetsignaalide andmisele.

    Neid va sõrmejälje lugejaid on eriti lihtne tüssata. Silikoonist sõrmega, mida saab sõrmejälje põhjal imelihtsasti ehitada. Seda on erinevatel tehnomessidel korduvalt demotud. Kui sõrmejälje digiallkirja hoida visuaalsel kujul, siis pole eriti raske sellest fotot teha, inimese sõrmejälje põhjal ehitada silikoonsõrmeke ja siis nagu õige mees (või naine), minna kummist sõrmeotsa ning digiallkirja foto abil tasuta õlut jooma.

    Kui hoiame sõrmejälge, isikuandmeid ja allkirja randmepaela sees kiipkaardil, siis on meil tegemist ID-kaardi kergeminivõltsitava (puuduvad pindmised turvaelemendid) versiooniga, selle vahega, et ID-kaart hakkab biomeetrilisi andmeid sisaldama alles mõne aasta pärast.

    Ei ütleks, et biomeetriline mõõtetulemus nagu sõrmejälg, võiks kvalifitseeruda raha liigutamise tahteaktiks. Nii saab isegi laip raha liigutada, rääkimata masinale muud sorti teatri tegemisest. Biomeetria puhul taandub kõik mõõtmistulemuse usaldusväärsusele –ega masin ju naljalt aru ei saa, kas tema mõõteriist mõõdab inimest või inimese kujutist. Silmaiirise tuvastajale näitad fotot (või siis LCD pealt videot, kui kontrollib silmalau liikumist), DNA analüsaatorisse viskad tükikese mahakoorunud nahka, sõrmejälje või käeseljaveenide mõõtjale pakud mulaaži. Kuradima kallis oleks aparaat, mis saaks aru, et ta tõepoolest elavat ja õiget inimest mõõdab – silmade eest käis läbi jubin, mis suudab mõõta korraga DNAd, näoreljeefi, ainevahetuse olemasolu kogu kehas, kehatemperatuuri, sõrmejälge, silmaiirist ja veel sadat asja. Meie biomeetria tehnoloogia on ikka üsna lapsekingades kui töökindlust mõõdetakse valepositiivsete järgi. Ühemunamitmikud on loomulikult välja arvatud? Biomeetria usaldusväärsusest võib rääkida siis kui tema töökindlust mõõdetakse kuritahtlike rünnakute üleelamisvõimes nagu krüptograafias. Ei päästa meid isegi keskne andmebaas, kus on kirjas iga kondi pikkus inimese kehas, sest mõõtmisprotsess toimub ebausaldusväärsetes tingimustes. Pealegi olen riigionudega 100% nõus, et igasugune biomeetriliste andmete kasutamine erasektoris peab jääma rangelt piiratuks. Ütlen ausalt, et kui saaksin teada, et keegi ettevõtlik inimene on kusagil minu lõustapildi (või sõrmejälje) minu loata sisse skänneerinud ja kasutab seda minu loata mingiks jälgimis- ja statistikategevuseks, siis see inimene leiab end kiiresti suurte ebameeldivuste keskelt.

    Ainult biomeetrilise parameetri järgi autentivat laiatarbe makselahendust ei tule kuni sama või kõrgemat turvataset saab saavutada ka odavamate vahenditega. Julgen kahelda, kas niisugune aeg üldse saabubki. Isegi DNA pole unikaalne – tuletame meelde ühemunamitmikuid. Võib-olla avastatakse kunagi miskine “vaimse” DNA ehk siis vanamoodselt öeldes hingekese mõõtmise tehnoloogia, aga niisugused asjad jäävad vähemalt tänasel päeval “Valguse Isanda” stiilis ulme valdkonda. Põnev teema tegelikult. Et mõõdaks inimest kvantolekut. Aga see tähendaks jällegi, et inimene muutub iga kord kui teda mõõdetakse ja huijatki saaks midagi kindlat tema “isiku” kohta öelda. Mõõdame su kärbseks või elevaatoriks, ole ettevaatlik:)

  5. Asjalik kommentaar, aga sinu skeptitsismi ma siiski ei jaga. Nagu sa isegi ütled, ei ole murdmatut tuvastusskeemi olemas. Praktikas peab lahendus olema lihtsalt piisavalt turvaline. Võta siia kõrvale võrdluseks ilma kiibita pangakaardid – alla 500 kroonise makse saad teha ainult allkirja moodi asja kritseldades… tuvastamine toimub visuaalse vaatluse teel ühe silmapilguga. Ühemunakaksikud saavad ka praegu üksteise nimel teha kõike, mis pähe tuleb jne.

    Imelihtsaid sõrmejäljelugejaid on tõesti lihtne tüssata. Aga ka tehnika areneb edasi ja tänapäevaseid skännereid enam silikooniga ei peta. Samuti on maksmise juures alati see teine osapool, nii et sõrm peab ka enam-vähem normaalne välja nägema.

    Reklaami ka – arvatavasti augusti AM’is tuleb samal teemal natuke pikem stoori

  6. Marek, luban, et teen sulle 7 õlletiiru välja esimeses EV pinnal asuvas joogiasutuses, kus ainult sõrmejälje andmisega saab pangakontosid debiteerida sama lihtsasti nagu praegu saab sularaha kassasse maksta:)

Leave a Reply

Your email address will not be published. Required fields are marked *