Este verano en Rusia, se lanzó el Sistema biométrico unificado para la verificación legalmente significativa y al mismo tiempo simple de la identidad del usuario. Sobre cómo está organizado,
escribimos en una publicación reciente.
Para que el sistema sea cómodo de usar, necesita una aplicación. La creación de esta aplicación, "Rostelecom Key", nos ha abierto un nivel de bonificación completo con nuevas tareas, nuevos desafíos. Que, como puede suponer, están destinados a mejorar la seguridad de los usuarios.
Brevemente sobre el producto principal. Un único sistema biométrico permite utilizar una combinación de datos biométricos para llevar a cabo una identificación remota legalmente significativa de una persona sin su presencia personal. Por lo tanto, puede obtener un préstamo bancario incluso de alguna "profundidad de minerales siberianos". Con Internet, por supuesto.
Como funciona la aplicación
Un usuario común comienza a trabajar con el sistema con una visita al banco, donde envía datos biométricos para el Sistema biométrico unificado y los asocia con
ESIA . Después de eso, se le abren nuevas oportunidades. Esquema de la aplicación de aplicación "Key Rostelecom":
- El usuario descarga la aplicación "Key Rostelecom"
- El usuario abre la aplicación del banco de interés y selecciona el servicio.
- La aplicación bancaria envía al usuario a la aplicación Rostelecom Key instalada, mientras transmite el identificador de sesión a través del canal de comunicación seguro al banco.
- En la aplicación "Rostelecom Key", el usuario inicia sesión en ESIA (en otras palabras, en servicios estatales) y recibe un token de autorización: ESIA-ID;
- En la aplicación "Clave Rostelecom" con el ID de ESIA recibido, el usuario se está comunicando con el Sistema Biométrico Unificado. Si ESIA-ID está registrado allí, la aplicación recopila datos biométricos: graba un video con el sonido de una voz y una imagen de la cara. Estos datos en el canal seguro van al Sistema biométrico unificado.
- El sistema compara los datos obtenidos con la muestra existente, determina la probabilidad de coincidencia. Si se supera el nivel establecido por la orden del Ministerio de Comunicaciones (99.99%), la probabilidad se transfiere al banco.
- El banco recibe una respuesta y, si es necesario, solicita información adicional sobre el usuario de ESIA a través de ESIA-ID. Al mismo tiempo, los datos se transfieren directamente entre ESIA y los sistemas bancarios.
Cómo está todo protegido
La pregunta principal es, por supuesto, la seguridad de los datos. Todos los canales de comunicación entre los tres sistemas que interactúan (ESIA, el sistema biométrico unificado y el banco) están protegidos mediante puertas de enlace TLS mediante criptografía rusa.
En la aplicación, el usuario puede comparar los parámetros del certificado en el sistema con los parámetros del certificado publicados en el sitio del Sistema Biométrico Unificado. Por lo tanto, puede asegurarse de que la conexión sea realmente con el Sistema biométrico unificado. El FSB recomienda una comparación para descartar ataques man in the middle cuando todas las solicitudes de los usuarios se interceptan a través de la puerta de enlace TLS de un atacante.
Además, se implementan sumas de verificación de la aplicación y el módulo de protección criptográfica. Esto sucede automáticamente cuando inicia la aplicación, así como manualmente en cualquier momento en el menú Configuración y seguridad. Si las sumas de comprobación no coinciden, la aplicación se desactiva y funciona sin conexión hasta que se solucione el problema.
Como resultado, los mecanismos de seguridad de Rostelecom Key no dependen del sistema operativo: sus propias herramientas de cifrado y control de integridad están vinculados a la aplicación. En la etapa de verificación, la sustitución de la biometría de otra persona falla: el sistema determinará la falsificación. Pero debido a las brechas de seguridad en el lado del sistema operativo, en principio, puede intervenir entre el usuario y la aplicación e interceptar los datos transmitidos para su autorización. Desafortunadamente, esto es posible, especialmente en dispositivos rooteados con troyanos. No podemos asumir la responsabilidad del entorno operativo. La aplicación simplemente determina la presencia de la raíz y no se inicia si es así.
Inicialmente, en términos de UX, todo era muy complicado. La ruta del usuario en Rostelecom Key incluía
20 pantallas , 13 de las cuales estaban relacionadas con la seguridad. Pero después de evaluar todo esto desde el punto de vista de UX, redujimos esta parte a
3-4 pantallas . Tal progreso requirió más de una discusión en diferentes niveles.
Gravedad de la ley
El almacenamiento y la transferencia de datos biométricos en Rusia están regulados por varios actos:
- Seguridad de los datos personales biométricos - Ordenanza del Banco de Rusia No. 4859-U del 9 de julio de 2018
- Esta instrucción se refiere a la Orden del Servicio Federal de Seguridad de Rusia No. 378 del 10 de julio de 2014, que establece la necesidad de usar la protección KC1, lo que significa que requiere el uso de criptografía rusa para proteger el canal de comunicación entre el Sistema Biométrico Unificado y el dispositivo del usuario.
- Cuando se utiliza la criptografía rusa para la certificación de decisiones, la provisión de PKZ 2005 del FSB de la Federación Rusa requiere que el FSB realice los llamados estudios de caso de las soluciones que se están creando.
Para aprobar la certificación, es necesario proporcionar al FSB información completa sobre qué mecanismos de protección se utilizan en la aplicación, qué está firmado por qué funciones y también los códigos fuente no solo de la aplicación en sí, sino también de los otros puntos de interacción. Este procedimiento no está regulado a tiempo y genera enormes costos financieros. Cualquier cambio en el código de la aplicación bancaria requiere una repetición del procedimiento, lo cual es imposible con los lanzamientos una vez por trimestre, y aún más una vez al mes. En general, imagine cuántas aplicaciones bancarias hay en Rusia. Suena como un callejón sin salida.
Pero hemos encontrado una salida a este callejón sin salida. Cuando se trabaja con Rostelecom Key, las aplicaciones bancarias no interactúan con la biometría, sino que solo reciben el identificador de sesión del usuario. Por lo tanto, las solicitudes bancarias no entran en el ámbito de aplicación de la Directiva del Banco de Rusia.
Otro problema fue la contabilidad de instancia obligatoria de las aplicaciones que utilizan criptografía rusa. Este problema también se resolvió: tras una autenticación exitosa, el identificador del dispositivo y la ID de usuario de ESIA se transmiten al sistema, lo que permite que el servidor de registro identifique completamente al usuario y al dispositivo.
La primera criptografía rusa en Google Play y App Store
Esta aventura no terminó ahí. Desde el punto de vista del FSB, Google Play y AppStore no son fuentes confiables, y las aplicaciones de Rostelecom Key no se pueden distribuir con ellas. Si carga el módulo SKZI (herramienta de protección de información criptográfica) Rostelecom Key en la aplicación Rostelecom habitual desde una fuente confiable, las tiendas de aplicaciones estarán en contra. Porque tales esquemas son estándar para distribuir troyanos o spyware. Y si Google Play nos recibió, la AppStore se negó categóricamente.
Teóricamente, hay otro enfoque: instalar la aplicación desde el servidor de Rostelecom. Pero entonces llegamos a la paradoja: para instalar una solución segura, los usuarios deben reducir la seguridad del entorno al permitir la instalación de aplicaciones desde cualquier fuente.
Pasamos más de una semana discutiendo con los reguladores cómo resolver el problema. Y al final, logramos acordar, obtener permiso para distribuir a través de Google Play y las aplicaciones de la App Store con criptografía rusa integrada en el proceso de trabajo.
Del análisis factorial al análisis de comportamiento
Aunque esto no concierne directamente a la aplicación Rostelecom Key, queremos hablar un poco más sobre cómo se verifican los datos en el Sistema Biométrico Unificado.
Cada factor biométrico individualmente (voz, cara) puede ser falsificado. Por lo tanto, nos adherimos a un enfoque "conductual" más complejo y confiable: analizamos los factores juntos. Los usuarios primero sonríen, luego giran la cabeza y finalmente pronuncian una frase de contraseña. Una secuencia de acciones relativamente compleja que puede variar según el sistema. Cuantas más sospechas tenga, más complicado será el algoritmo. Un nivel adicional de protección es la necesidad de ingresar un nombre de usuario y contraseña para los servicios públicos.
Al analizar muestras biométricas, se utilizan simultáneamente diferentes procesadores biométricos con algoritmos fundamentalmente diferentes para generar y verificar plantillas de verificación. Si al menos uno de ellos sospecha una sustitución, consideramos que esto es un intento de piratear y enviar los datos para su análisis. Por lo tanto, conocer en detalle los algoritmos de uno o incluso un par de procesadores no será suficiente. Por el momento, desafortunadamente, esto puede conducir a errores de verificación. Por ejemplo, si una persona ha cambiado de voz, hay poca luz o mucho ruido a su alrededor. Sin embargo, es mejor estar seguro de todos modos: cuando aparece la más mínima sospecha de fraude, informamos al banco al respecto.
Paralelamente, aplicamos enfoques de seguridad bastante estándar, por ejemplo, una restricción en el número de intentos de inicio de sesión. Si el usuario siempre ingresó a la aplicación desde Moscú, y de repente llegó una solicitud de Bangladesh y luego de Hong Kong. Todo esto es una ocasión para considerar el perfil comprometido.
En principio, el sistema le permite identificar esquemas de fraude más complejos, con la participación de empleados del banco que recolectaron datos biométricos. Si se detectan tales situaciones, bloqueamos al infractor para todos los bancos y otras organizaciones que utilizan el sistema. En casos difíciles, puede bloquear todos los datos biométricos recopilados por el banco.
¿Quién sigue a quién?
De acuerdo con las leyes de la Federación de Rusia, los datos biométricos (como cualquier otra información del usuario) se transmiten a las autoridades investigadoras solo a pedido oficial y por decisión judicial. Las reglas estándar se aplican aquí.
De manera predeterminada, el acceso al Sistema biométrico unificado solo está disponible para su operador: Rostelecom. Los bancos y otras organizaciones con las que coopera el usuario no reciben datos biométricos: las organizaciones solo reciben una evaluación de los resultados de la comparación, la probabilidad de que la persona que inicia sesión en sus aplicaciones móviles coincida con la persona registrada en el Sistema Biométrico Unificado.
No todos los bancos están aún integrados con Rostelecom Key. Un sistema de autenticación biométrica no se puede implementar simplemente en lugar de una apariencia personal. Rehacer procesos en la parte posterior de los bancos teniendo en cuenta los cheques de calificación no es una tarea trivial. Es necesario organizar el proceso para que el cliente pueda elegir los servicios de los bancos de interés incluso antes de verificar la identidad.
Si está interesado en la funcionalidad de la aplicación, puede evaluarla utilizando el modo de demostración. Rostelecom Key ahora está
disponible en Google Play y pronto aparecerá en la App Store.