🍗 👩🏽‍⚖️ 🤷🏽 Rostelecomキーを使用した生体認証：FSBが最初にアプリケーションストアでロシアの暗号化を開始した方法 🤰🏾 😨 🧐

今年の夏に、法的に重要であると同時にユーザーの身元の簡単な確認のための統合生体認証システムがロシアで発売されました。配置方法については、最近の投稿に書きました。

システムを使いやすくするには、アプリケーションが必要です。このアプリケーション-「Rostelecom Key」の作成は、新しいタスク、新しい課題を備えたボーナスレベル全体を提供してくれました。ご想像のとおり、これはユーザーのセキュリティを向上させることを目的としています。

主な製品について簡単に説明します。単一の生体認証システムでは、生体認証データの組み合わせを使用して、個人の存在なしに、法的に意味のあるリモート識別を行うことができます。そのため、「シベリア鉱石の深さ」からでも銀行融資を受けることができます。もちろん、インターネットで。

アプリケーションの仕組み

通常のユーザーは、銀行を訪問してシステムの操作を開始します。ここで、Unified Biometric Systemのバイオメトリックデータを送信し、 ESIAに関連付けます。その後、彼にとって新しい機会が開かれます。アプリケーションアプリケーション「Key Rostelecom」のスキーム：

ユーザーがアプリケーション「Key Rostelecom」をダウンロードします
ユーザーは、対象の銀行のアプリケーションを開き、サービスを選択します。
銀行アプリケーションは、インストールされたRostelecom Keyアプリケーションにユーザーを送信し、セッション識別子を安全な通信チャネルを介して銀行に送信します。
「Rostelecom Key」アプリケーションでは、ユーザーはESIAにログインし（つまり、州のサービスで）、認証トークン-ESIA-IDを受け取ります。
「Rostelecom Key」アプリケーションでは、受信したESIA-IDを使用して、ユーザーはUnified Biometric Systemに接続しています。 ESIA-IDがそこに登録されている場合、アプリケーションはバイオメトリクスを収集します-音声と顔の画像を音声で記録します。安全なチャネル上のこのデータは、Unified Biometric Systemに送られます。
システムは、取得したデータを既存のサンプルと比較し、一致の確率を決定します。通信省の命令によって確立されたレベルを超えた場合（99.99％）、確率は銀行に転送されます。
銀行は応答を受け取り、必要に応じて、ESIA-IDを介してESIAからユーザーに関する追加情報を要求します。同時に、データはすでにESIAと銀行システム間で直接転送されています。

すべてを保護する方法

もちろん、主な問題はデータセキュリティです。 3つの相互作用するシステム（ESIA、Unified Biometric System、および銀行）間のすべての通信チャネルは、ロシアの暗号化を使用するTLSゲートウェイを使用して保護されます。

アプリケーションでは、ユーザーはシステム内の証明書のパラメーターを、Unified Biometric Systemのサイトに投稿された証明書のパラメーターと比較できます。したがって、接続が実際にUnified Biometric Systemへのものであることを確認できます。 FSBは、すべてのユーザー要求が攻撃者のTLSゲートウェイを介してインターセプトされる場合、中間者攻撃を除外するために比較を推奨しています。

さらに、アプリケーションと暗号化保護モジュールのチェックサムが実装されています。これは、アプリケーションの起動時に自動的に行われ、[設定とセキュリティ]メニューでいつでも手動で行われます。チェックサムが一致しない場合、アプリケーションはオフになり、問題が修正されるまでオフラインで動作します。

その結果、Rostelecom Keyのセキュリティメカニズムはオペレーティングシステムに依存しません。独自の暗号化ツールと整合性制御はアプリケーションに関連付けられています。検証段階では、他人の生体認証を代用することはできません。システムが偽造を判断します。ただし、OS側のセキュリティ侵害により、原則として、ユーザーとアプリケーションの間をくさび止め、認証のために送信されたデータを傍受することができます。残念ながら、これは可能です。特に、トロイの木馬を使用したルート化デバイスでは可能です。動作環境について責任を負うことはできません。アプリケーションは単にルートの存在を判断し、存在する場合は起動しません。

当初、UXの観点では、すべてが非常に複雑でした。 Rostelecom Keyのユーザーパスには20の画面が含まれ、そのうち13がセキュリティに関連していました。しかし、UXの観点からこのすべてを評価した後、この部分を3〜4画面に減らしました。このような進歩には、さまざまなレベルでの複数の議論が必要でした。

法律の重大度

ロシアでの生体認証データの保存と転送は、いくつかの法律によって規制されています。

生体認証個人データのセキュリティ-2018年7月9日付ロシア銀行法第4859-U号
この命令は、2014年7月10日付のロシア連邦連邦警備局令第378号を参照しており、KS1クラスに従って保護を使用する必要性を確立しています。つまり、統合生体認証システムとユーザーデバイス間の通信チャネルを保護するには、ロシアの暗号化を使用する必要があります。
決定の認証にロシアの暗号を使用する場合、ロシア連邦連邦保安局のPKZ 2005の規定により、FSBは作成されたソリューションのいわゆるケーススタディを実施する必要があります。

認証に合格するには、アプリケーションで使用されている保護メカニズム、機能によって署名されているもの、アプリケーション自体だけでなく他の相互作用点のソースコードに関する完全な情報をFSBに提供する必要があります。この手順は時間内に規制されておらず、莫大な金銭的費用が発生します。銀行業務アプリケーションコードの変更には、手順の繰り返しが必要です。これは、四半期に1回、さらには月に1回のリリースでは不可能です。一般的に、ロシアに銀行アプリケーションがいくつあるか想像してみてください。行き止まりのようですね。

しかし、この行き詰まりから抜け出す方法を見つけました。 Rostelecom Keyを使用する場合、銀行アプリケーションは生体認証と相互作用せず、ユーザーセッション識別子のみを受け取ります。したがって、銀行の申請は、ロシア銀行指令の範囲に含まれません。

別の問題は、ロシアの暗号化を使用するアプリケーションの必須インスタンスベースのアカウンティングでした。この問題も解決されました。認証が成功すると、デバイス識別子とESIAユーザーIDがシステムに送信され、登録サーバーがユーザーとデバイスを完全に識別できるようになります。

Google PlayとApp Storeでの最初のロシアの暗号化

この冒険はそこで終わりませんでした。 FSBの観点からすると、Google PlayとAppStoreは信頼できるソースではなく、「Key Rostelecom」クラスのアプリケーションはそれらを使用して配布できません。信頼できるソースから通常のRostelecomアプリケーションにSKZIモジュール（暗号化情報保護ツール）「Rostelecom Key」をロードすると、アプリケーションストアはこれに反します。そのようなスキームは、トロイの木馬またはスパイウェアを配布するための標準であるためです。そして、Google Playが私たちに会いに行くと、AppStoreは断固として拒否しました。

理論的には、別のアプローチがあります-Rostelecom自体のサーバーからアプリケーションをインストールすることです。しかし、パラドックスになります。安全なソリューションをインストールするには、ユーザーはあらゆるソースからのアプリケーションのインストールを許可することにより、環境のセキュリティを低下させる必要があります。

1週間以上かけて、規制当局と問題の解決方法について話し合いました。そして最終的には、ロシアの暗号化が作業プロセスに組み込まれた状態で、Google PlayとApp Storeアプリケーションを通じて配布する許可を得ることに同意しました。

因子分析から行動分析まで

これはRostelecom Keyアプリケーションには直接関係しませんが、Unified Biometric Systemでデータが検証される方法についてもう少しお話ししたいと思います。

音声、顔などの各生体要素は、偽装することができます。そのため、より複雑で信頼性の高い「行動」アプローチを順守し、要因を一緒に分析します。ユーザーは最初に微笑み、次に頭を振り、最後にパスフレーズを発音します。システムによって異なる場合があるアクションの比較的複雑なシーケンス。彼女が疑うほど、アルゴリズムは複雑になります。追加の保護レベルは、政府サービスのユーザー名とパスワードを入力する必要があることです。

生体認証サンプルを分析する場合、検証テンプレートを生成およびチェックするための根本的に異なるアルゴリズムを持つさまざまな生体認証プロセッサが同時に使用されます。少なくとも1人が代替を疑う場合、これは分析のためにデータをハッキングして送信する試みであると考えます。したがって、1つまたは2つのプロセッサのアルゴリズムを詳しく知るだけでは十分ではありません。現時点では、残念ながら、これにより検証エラーが発生する可能性があります。たとえば、人の声が変わった場合、その人の周りにはほとんど光がないか、大きなノイズがあります。それにもかかわらず、とにかく安全であることがより良いです：詐欺のわずかな疑いが現れたとき、我々はそれについて銀行に知らせます。

並行して、非常に標準的なセキュリティアプローチ、たとえばログイン試行回数の制限を適用します。ユーザーが常にモスクワからアプリケーションを入力し、その後突然バングラデシュから要求が来て、次に香港から要求が来た場合。これはすべて、侵害されたプロファイルを考慮する機会です。

原則として、システムは、生体認証データを収集した銀行員の参加により、より複雑な詐欺スキームを識別することができます。そのような状況が検出された場合、システムを使用するすべての銀行およびその他の組織の犯罪者をブロックします。困難な場合、銀行が収集したすべての生体認証をブロックできます。

誰が誰をフォローしていますか？

ロシア連邦の法律によれば、生体認証データは（他のユーザー情報と同様に）公式の要請と裁判所の決定によってのみ調査機関に送信されます。標準ルールがここに適用されます。

デフォルトでは、そのオペレーターであるRostelecomのみがUnified Biometric Systemにアクセスできます。ユーザーが協力している銀行やその他の組織には、生体認証データは提供されません。組織は、比較結果の評価のみを受け取ります。

すべての銀行がまだRostelecom Keyと統合されているわけではありません。生体認証システムは、個人的な外観の代わりに単純に実装することはできません。スコアチェックを考慮した銀行の裏側でのリプロセスは、簡単な作業ではありません。身元を確認する前であっても、クライアントが関心のある銀行のサービスを選択できるように、プロセスを整理する必要があります。

アプリケーションの機能に興味がある場合は、デモモードを使用して評価できます。 Rostelecom KeyがGoogle Playで利用可能になり、間もなくApp Storeに表示されます。

Rostelecomキーを使用した生体認証：FSBが最初にアプリケーションストアでロシアの暗号化を開始した方法