(Апрель 2011)
Универсальная чип-карта, которой государство в ближайшие годы намерено одарить каждого россиянина, это не только удобно, но и чревато.
В первых числах апреля (2011) на одной из текущих конференций по защите информации («Семинар по протоколам безопасности» в Кембридже) был представлен интересный доклад, имеющий непосредственное отношение к так называемой УЭК.
Если кто вдруг еще не в курсе, то такой аббревиатурой наши власти обозначили очень скоро грядущую для всех граждан России «универсальную электронную карту».
Автором доклада является видный английский криптограф Росс Андерсон, возглавляющий Лабораторию компьютерной безопасности в Кембридже и регулярно приглашаемый для консультирования правительств и корпораций в качестве независимого эксперта.
Представленная на форуме работа Андерсона стала одним из итогов его недавнего сотрудничества с компанией Google и посвящена, конечно же, не конкретно российской системе, а всеобщей тенденции, четко отмечаемой ныне во множестве самых разных государств.
Тенденция эта такова, что современный уровень инфотехнологий уже вполне позволяет в одном миниатюрном компьютерном устройстве собрать практически все идентифицирующие документы и платежные инструменты, используемые человеком в его повседневной жизни.
Иначе говоря, и удостоверение-пропуск, и водительские права, и карту соцстрахования с медкнижкой, и кошелек с цифровыми наличными плюс всевозможными платежными карточками (включая кредитные, дебетовые, скидочные и любые прочие) – все это в совокупности можно в принципе заменить одним-единственным устройством на микрочипе.
И запаять это устройство в нечто такое, что человеку удобно постоянно носить с собой – в брелок, пластиковую карту или в мобильный телефон.
По вполне объяснимым причинам многие государства, внедряющие ныне такого рода системы, иногда именуемые системами «объединенной аутентификации», в качестве основы обычно выбирают пластиковую ID-карту.
Однако уже вполне отчетливо проявляются и другие варианты, более привлекательные для влиятельных корпораций. Так, конкретной моделью исследования в докладе Росса Андерсона выбрана схема, энергично продвигаемая ныне компанией Apple, где очень хотели бы видеть в качестве универсального чудо-прибора для «объединенной аутентификации» свой смартфон iPhone.
Но какой бы ни была конечная реализация идеи, несложно понять, что с точки зрения защиты информации перед любой схемой объединенной аутентификации стоят одни и те же очень серьезные проблемы, потенциально способные сделать систему не только малоэффективной, но и очень опасной для ее пользователей.
Поэтому доклад Андерсона, озаглавленный «Можно ли поправить экономику безопасности в системе объединенной аутентификации«, хотя и задает вопросы применительно к телефонам («как вести себя в мире, где мобильный телефон содержит ваши кредитные карточки, ваши водительские права и даже ключи от вашей машины?»), в действительности касается всей этой системы в целом.
Ибо самый главный вопрос исследователя звучит так: «Что случится, когда это электронное чудо-устройство окажется украдено или заражено вирусом»?
Чтобы иметь общее представление о масштабе и сложности данной проблемы, достаточно вспомнить, что в условиях интернета (и компьютерных сетей вообще) идея об использовании единого сервиса для идентификации пользователей на все случаи жизни – это одновременно очень старая мечта и ужасно коварная ловушка.
В работе Андерсона рассказывается о четырех, по крайней мере, предыдущих попытках массово реализовать подобную схему и о причинах, помешавших сделать это хорошо и красиво. Остаточные формы всех этих неудавшихся попыток ныне напоминают игру типа «передай кулек соседу».
Так, постоянно посещаемая вами веб-газета аутентифицирует вас через ваш сайт в сетях социального общения; тот, в свою очередь, хочет, чтобы вы восстанавливали забытый пароль доступа через электронную почту; ваш провайдер электронной почты хочет, чтобы вы использовали для подтверждения личности свой мобильный телефон; а ваша телефонная компания в качестве подстраховки опирается на ваш email-аккаунт…
При этом ни одна из всех этих инстанций – в лице своих колл-центров – решительно не хочет быть крайней в тех сложных, но ежедневно происходящих ситуациях, когда попавшие в беду пользователи теряют свой смартфон или ноутбук, напрочь не помня паролей доступа…
При этом органы сертификации, на которые опирается вся система онлайнового доверия, всегда открыты для принудительно-добровольного сотрудничества с компетентными органами правительств. А правительства, которые в принципе хотели бы, чтобы граждане использовали электронные ID-карты в качестве единого средства аутентификации, даже если берутся за это дело, зачастую начинают безнадежно буксовать в том, чтобы заставить систему (а) эффективно работать, и (б) при этом еще и гибко реагировать на мошенничества или ошибки пользователей…
В исследовании Андерсона представлены несколько сценариев, воплощаемых ныне госвластями разных стран для наиболее эффективной реализации гранд-идеи об электронном идентификаторе гражданина или кратко «e-ID».
Один из наиболее гибких и при этом четко очерченных планов на данный счет изложен в американской федеральной программе NSTIC (National Strategy for Trustworthy Identities in Cyberspace, т.е. «Национальная стратегия для доверяемых личностей в киберпространстве»). Суть программы предельно проста – единственный электронный идентификатор-логин человека должен работать повсюду, где он только может потребоваться.
Иначе говоря, гражданин должен иметь возможность использовать своего «провайдера идентичности», выбираемого по собственным вкусам и предпочтениям, для входа куда угодно. Так что в итоге, как это мыслится, водительские права можно использовать для входа в аккаунт электронной почты, или – другой пример – использовать свой логин в Facebook для уплаты, скажем, налогов или автодорожных штрафов.
Более жестко ограниченные версии той же, по сути, схемы уже несколько лет внедряются правительствами таких стран, как Эстония и Германия. С тем существенным отличием, что в качестве универсального пропуска во все места служит электронная ID-карта, выдаваемая государством каждому гражданину.
В мае 2010 от этого сценария по ряду причин отказалась Великобритания, а с 2012 во многом похожую систему начинают внедрять в России. Аналогичные процессы идут во многих других странах мира, однако мало где такие системы пока что удалось развернуть в сколь-нибудь серьезном масштабе.
Пытаясь объяснить неоспоримый факт того, что все предыдущие попытки внедрения объединенной аутентификация в подавляющем большинстве случаев заканчивалась крахом, Росс Андерсон видит причину неудач в неправильно выбиравшихся стимулах к разворачиванию системы.
Для провайдеров, выдающих людям «электронную личность», не подразумевалось никакой ответственности перед конечными пользователями, но при этом они были повязаны добровольно-принудительным и бесконтрольным для граждан сотрудничеством с государственными органами.
Те стороны, что в своей работе мыслились как опора и поддержка разворачиваемой инфраструктуры, в реальности получали от этого мало преимуществ, одновременно сталкиваясь с возросшей сложностью системы. Ну а конечные пользователи вполне обоснованно избегали пользоваться системой, опасаясь появления «единой точки отказа».
Анализируя перспективы проектов, разворачиваемых ныне (все документы идентификации + цифровой кошелек), британский эксперт считает, что пристегивание сюда мобильных кошельков – это одновременно немалая проблема и большая новая возможность.
Проблему понять гораздо легче. На одном из реальных рынков, в Японии, где бесконтактные платежи с помощью мобильных телефонов (через системы NFC) уже широко применяются не первый год, результаты внедрения нельзя назвать большим успехом.
Ибо, к примеру, далеко не все клиенты способны дистанционно заблокировать потерянные или украденные телефоны. Поэтому тем, кто не может сделать это сам, приходится обзванивать всех своих провайдеров платежных карточек. А те, в свою очередь, имеют весьма различающиеся порядки для процедуры блокирования и восстановления карты. Как прямой результат этих проблем, бесконтактные NFC-платежи в Японии сводятся ныне, главным образом, к малорасходным предоплаченным карточкам.
Росс Андерсон считает, что довольно унылую ситуацию с явно тормозящим разворачиванием бесконтактных платежей можно существенно оживить, если совместить цифровой кошелек с электронным удостоверением (e-ID), а ответственность за внедрение этих устройств – и, соответственно, за разруливание ситуаций с кражами-потерями – возложить на банки.
Тогда у банков, как полагает Андерсон, появится очень серьезный стимул заниматься и неприятностями своих клиентов, если тот банк, что берется отвечать перед пользователем, становится принятым по умолчанию при всех бесконтактных и «обычных» платежах.
(Здесь, возможно, следует пояснить, что среди людей, давно и повсеместно использующих банковские платежные карты, общепринятой является практика использовать множество карточек от разных банков: одну для текущих бытовых расходов, другую для бизнеса, третью для покупок в интернете, ну и так далее. Разные банки, конкурируя друг с другом, для расходов своих клиентов изобретают различные выгоды. Поэтому когда все реквизиты их карточек оказываются собраны единым списком в электронном бумажнике, то весьма существенно, какая из карточек поставлена первой – для оплаты всех обычных расходов человека.)
Развернутая аргументация Росса Андерсона в пользу именно такой схемы построена вокруг реализации e-ID с цифровым кошельком на основе мобильного телефона. Коль скоро запланированная к внедрению в России система определенно сориентирована на существенно иной путь, который уже несколько лет прокладывают Германия и Эстония, подробно разбираться с нюансами андерсоновских доводов здесь вряд ли актуально.
Но при этом нельзя не отметить, что важнейшую из идей британского эксперта – для успеха всего предприятия поставить главными банки – в нашей стране реализовали в самую первую очередь.
Ибо структурой, ответственной за внедрение в России единой идентификационной карты-кошелька, определена специально созданная под это компания ОАО УЭК, т.е. Открытое акционерное общество «Универсальная электронная карта», где костяк акционеров образуют ведущие российские банки, начиная, естественно, со Сберегательного.
Насколько свободной окажется новая российская система от всех тех недостатков, что в свое время сгубили прежние системы объединенной аутентификации, покажет лишь время. Но уже заранее можно сказать, что у российских банков по определению имеется неважная наследственность во всем, что касается добровольно-принудительного (и нередко туповато-тотального) сотрудничества с компетентными органами государства.
Для наглядной иллюстрации достаточно привести такой – вполне типичный – пример из повседневной жизни Сбербанка и его клиентов.
Человек подает клерку в окошко свои сберкнижку и паспорт, чтобы снять собственные деньги. Клерк проверяет реквизиты по компьютеру и объявляет, что выдать деньги не может, поскольку программой системы паспорт помечен как «недействительный».
Физически с паспортом все в порядке, но хотя он и выдан всего полтора года назад, формально документ уже стал невалидным, поскольку был выдан владельцу в полных 44 года, подлежал установленной порядком замене в 45, а ныне владельцу уже 46…
Оставим в стороне идиотскую ситуацию, когда коммерческий банк не выдает клиенту его же собственные деньги лишь на том основании, что в государстве негибкие порядки, заставляющие людей оформлять паспорт два раза подряд. Все-таки закон есть закон, и раз уж положено в 45 лет обменять документ, придется лишний раз попариться.
Гораздо хуже другое. У человека есть еще один документ, загранпаспорт, выданный тем же самым государством и вполне эквивалентно заменяющий паспорт внутренний при обычных операциях в банке. Но когда этот загранпаспорт предъявляется, то компьютерная система банка деньги клиенту все равно не выдает — теперь уже по той причине, что счет его «заблокирован из-за просроченного основного документа».
И работает программа таким образом, что разблокировать счет можно будет лишь после предъявления нового внутреннего паспорта. И никак иначе…
А теперь экстраполируем этот восхитительный подход к человеку — когда коммерческие банки автоматически и полностью блокируют клиенту доступ к его собственным деньгам лишь на том основании, что у государства к этому гражданину возникли какие-то совершенно пустяковые претензии.
Совсем несложно, наверное, представить себе масштаб аналогичных проблем в недалеком будущем, когда все «яйца клиента» — и важнейшие документы, и все счета в банках — будут собраны в одну корзину, а потом вдруг разом окажутся заблокированы.
Причем заблокированы вовсе не потому, что вы опаснейший преступник, разыскиваемый государством и Интерполом, а по той причине, что какой-нибудь не самый умный, но влиятельный госчиновник вновь сочтет очень полезным именно таким вот образом формировать в людях гражданскую ответственность.
Не заплатил ты, скажем, вовремя штраф за нарушение ПДД, или, к примеру, пропустил установленный срок уплаты налогов — а мы тебе карточку УЭК-то и заблокируем. Вот и покрутись после этого…
Подобный сценарий – это, конечно, лишь недобрая фантазия автора, имеющего вполне достаточный личный опыт для скептического отношения к государственно-коммерческим новациям властей. Не исключено, что именно с УЭК все сделают по-другому.
Вот только верится в подобное с трудом.
* * *
kiwi arXiv 