Способ гарантированного обезличивания электронных документов

Изобретение относится к вычислительной технике, в частности к технике защиты персональных данных человека (субъекта персональных данных) в информационных системах учреждений медицинского обслуживания и информационных системах учреждений социальной поддержки населения, в банковской сфере, на предприятиях торговли и предприятиях, оказывающих услуги населению. Федеральный закон РФ №152 «О персональных данных» рассматривает эти учреждения как операторов, организующих и осуществляющих обработку персональных данных, и накладывает ответственность за надежное хранение персональных данных пациентов, получателей социальной поддержки, клиентов банков и иных граждан. В случае утраты баз персональных данных клиентов операторы несут значительные репутационные потери, а также могут понести значительные судебные издержки, в случае подачи судебных исков против них. Например, медицинские учреждения со стороны больных могут получить претензии по поводу разглашения сведений о диагнозе или иных персональных данных. Риск значительных судебных издержек особенно велик для лечебных учреждений, занимающихся лечением социально-значимых заболеваний, таких как венерические болезни, СПИД, вирус ГВ, туберкулез. Сам факт разглашения подобного диагноза наносит больному значительный моральный ущерб.

Предложенный способ также может использоваться при создании электронных паспортов, идентификационных карт и удостоверений личности, скрывающих от сторонних лиц данные об их владельце при их размещении в сети Интернет или на любом другом носителе информации.

Известен общепринятый способ защиты персональных данных населения путем их шифрования по симметричной схеме [1] и хранения персональных данных (например, фотографий пациентов в зашифрованной форме). Данный способ защиты персональных данных граждан является ненадежным, так как в информационных системах медицинских учреждений работает большое число сотрудников. Возможность доступа большого числа служащих медицинских учреждений к единственному ключу симметричного шифрования приводит, в конечном счете, к компрометации этого ключа и хищению баз персональных данных из-за злоупотреблений, допускаемых медицинским персоналом.

Следует подчеркнуть, что, если производится шифрование фотографий пациентов средствами асимметричной криптографии [1], надежность защиты персональных данных усиливается. В этом случае в базе данных хранят персональные данные в зашифрованной форме, причем шифруют данные на открытом ключе, принадлежащем врачу, или открытом ключе, принадлежащем иному ответственному лицу, которому разрешен доступ к персональным данным пациента. В этом случае объем утраченной информации в случае возможного злоупотребления уменьшается до размеров фрагмента базы данных, к которому было допущено ответственное лицо. Основным недостатком защиты персональных данных с помощью асимметричного шифрования является то, что оно не всегда применимо. В медицинских учреждениях этот способ дает эффект, так как пациенты могут быть прикреплены к конкретным врачам, что сужает круг лиц, которым необходим доступ к персональным данным. В банковской сфере или сфере социальной поддержки гражданин может обратиться в любое учреждение и к любому служащему этого учреждения. В этой ситуации криптографическая защита персональных данных становится неэффективной как при использовании симметричных схем шифрования, так и при использовании асимметричных схем шифрования.

В связи с низкой эффективностью криптографической защиты массового оборота персональных данных Федеральный закон РФ №152 «О персональных данных» допускает защиту персональных данных обезличиванием. В частности, при обезличивании персональных данных может быть использован способ [2], рекомендуемый Федеральной службой России по надзору в сфере связи, информационных технологий и массовых коммуникаций. По этому способу персональные данные фрагментируют и размещают в нескольких базах данных. При этом каждый служащий оператора, предоставляющего услуги населению, имеет доступ только к своему фрагменту полной персональной информации о гражданине. Полнота информации обеспечивается наличием ссылок на другие фрагменты базы данных.

Основным недостатком этого способа защиты персональных данных с частичным обезличиванием является то, что фрагменты баз персональных данных имеют пересечения (общие элементы). Злоумышленник (инсайдер) может похитить разные фрагменты разделенной базы персональных данных, далее злоумышленник может объединить разрозненные фрагменты, пользуясь их общими (одинаковыми) частями. В итоге способ [2] оказывается неспособен эффективно защитить данные от злоумышленников, получивших когда-либо доступ к разным фрагментам раздробленной базы персональных данных.

Известен способ сокрытия персональных данных [3], по которому персональные биометрические данные человека (например, его рукописного слова-пароля, рисунка отпечатка пальца, голосового слова-пароля и т.д.) размещают в параметрах искусственной нейронной сети во время ее обучения. Этот технический прием маскирует информацию о биометрии человека, и именно по этой причине параметры обученной искусственной нейронной сети можно размещать открыто в электронном удостоверении личности. Положительным моментом данного технического решения является то, что человек, идентифицирующий личность проверяемого, способен выполнить дополнительную органолептическую проверку по читаемой текстовой надписи, извлеченной из параметров искусственной нейронной сети проверяемого, после предъявления им правильного биометрического образа. В этом случае проверяющий приобретает дополнительную уверенность в том, что перед ним действительный владелец электронного пропуска.

Отрицательным элементом способа [3] является то, что нельзя сохранить в тайне имя проверяемого. Способ [3] не предназначен для обеспечения защиты персональных данных человека через обезличивание персональных данных. То есть в случае, когда проверяющий не должен при проверке узнать какие-либо персональные данные проверяемого лица.

Отмеченный выше недостаток устраняется способом [4], выбранным в качестве прототипа, по которому используют примеры двух биометрических образов регистрируемого человека и формируют пару ключей (открытый и личный ключ), обучают первую нейросеть воспроизводить открытый ключ, при предъявлении ей первого биометрического образа, вторую нейросеть обучают воспроизводить личный ключ пользователя при предъявлении ей второго биометрического образа регистрируемого человека, хранят связку открытого ключа регистрируемого человека и таблицы описания связей и параметров его обученных нейронных сетей, фиксируют время и место регистрации, подписывают данные электронной цифровой подписью (ЭЦП) автомата регистрации и ЭЦП регистрируемого человека, проверяют верность ЭЦП регистрируемого и в случае ее верности примеры биометрических образов и личный ключ регистрируемого уничтожают.

Основной недостаток способа [4] заключается в том, что проверяющий, лично не знающий проверяемого, может не доверять результату автоматической биометрической аутентификации, так как он лично не в состоянии проверить ЭЦП проверяемого. При этом всем известно, что программное обеспечение компьютера может быть модифицировано (например, путем заражения вирусами) и выдавать вместо действительных сообщений об опасности ложные сообщения о безопасном проведении компьютерной проверки.

Задача, решаемая предлагаемым изобретением, состоит в обеспечении дополнительных гарантий корректного выполнения процедур идентификации и аутентификации личности, в том числе гарантии соответствия проверяемых лиц, зарегистрированным ранее в информационной системе.

Технический результат от решения поставленной задачи заключается в том, что дополнительно формируют производную от личного ключа, например, хешированием личного ключа пользователя, далее уничтожают личный ключ пользователя, далее шифруют цифровую фотографию пользователя на производной от его личного ключа, далее размещают шифрованную цифровую фотографию в базе данных или в обезличенном электронном документе, при проведении обезличенной проверки пользователя проверяемый предъявляет свой биометрический образ, далее этот образ преобразуют искусственной нейронной сетью в личный ключ пользователя, далее получают производную личного ключа и расшифровывают на производном ключе цифровую фотографию, далее расшифрованную фотографию предъявляют проверяющему, а также проводят автоматическую биометрическую аутентификацию на личном ключе и сообщают результат проверяющему, дополнительно проверяющий сравнивает органолептически лицо проверяемого с расшифрованной фотографией, далее расшифрованную цифровую фотографию пользователя уничтожают, если проверяющий принял решение о полном соответствии черт лица проверяемого и черт лица на расшифрованной фотографии, если проверяющий принял решение о не соответствии проверяемого лица и черт лица на расшифрованной фотографии, то лицо проверяемого повторно фотографируют и запоминают вместе с расшифрованной ранее фотографией, перед запоминанием пары фотографий их шифруют на открытом ключе проверяющего и открытом ключе лица, которое позднее будет проводить разбор инцидента, после запоминания двух шифрованных фотографий, исходную пару фотографий уничтожают.

При обезличенной биометрической аутентификации по предложенному способу пользователь объявляет свой идентификатор (например, предъявляя фрагмент своего открытого ключа). Далее пользователь подтверждает свое право на информацию, предъявляя свой биометрический образ (например, рисунок отпечатка указательного пальца правой руки). Рисунок отпечатка указательного пальца преобразуют в личный ключ пользователя с помощью обученной искусственной нейронной сети. Из личного ключа получают его производную. Далее используют производную личного ключа и с помощью нее расшифровывают фотографию пользователя и предъявляют ее проверяющему. Проверяющий сравнивает цифровую фотографию пользователя на экране устройства отображения с чертами лица проверяемого. Параллельно осуществляют автоматическую биометрическую аутентификацию личности проверяемого с использованием личного ключа проверяемого.

Если проверяющий органолептически убедился в том, что лицо проверяемого «похоже» на показанную фотографию, то расшифрованную фотографию уничтожают.

Если проверяющий убедился, что лицо проверяемого «не похоже» на показанную фотографию, то он нажимает на клавишу «нет совпадения». При этом лицо проверяемого дополнительно фотографируют и полученную фотографию запоминают вместе с расшифрованной ранее фотографией. Перед запоминанием пары фотографий шифруют на открытом ключе проверяющего и открытом ключе лица, которое позднее будет проводить разбор инцидента. После сохранения двух зашифрованных фотографий, исходную пару фотографий уничтожают.

Проверяющий осуществляет дополнительный органолептический контроль по расшифрованной фотографии проверяемого. При этом проверяющий не должен знать имени проверяемого и может ранее ни разу его не видеть. Гарантированное обезличивание электронных документов (личных дел клиентов, электронных медицинских карт, обезличенных банковских счетов) обеспечивается тем, что фотография их владельца хранится в зашифрованной форме. Злоумышленник, похитивший базу данных с зашифрованными фотографиями или обезличенными электронными документами, не сможет идентифицировать их владельцев. Даже если злоумышленник знает в лицо свою жертву, он не может найти в базе данных (в базе обезличенных электронных документов) информацию своей потенциальной жертвы.

Открыть свою фотографию (расшифровать ее) может только действительный владелец обезличенной информации путем предъявления своего биометрического образа (например, рисунка отпечатка указательного пальца правой руки), при этом пользователь не может злоупотребить своей обезличенностью, так как контролируется по биометрическому образу и проверяющим по открывшейся (расшифрованной) фотографии. Никто, кроме самого владельца, не сможет открыть (расшифровать) фотографию в обезличенной базе данных или в обезличенном электронном документе. Применение полноценного криптографического шифрования фотографий пользователя с гарантированной стойкостью является гарантией поддержки обезличивания электронного документа.

Проверяющий может быть уверен в том, что даже если проверяемый заранее изготовил муляж биометрического образа и предъявил его при проверке, то ошибочной биометрической аутентификации не произойдет, так как лицо злоумышленника будет не походить на лицо в расшифрованной фотографии. В этом случае проверяющий запомнит две разные фотографии как улику против самозванца, пытающегося выдать себя за подлинного владельца информации в обезличенном электронном документе.

Дополнительный технический результат заключается в том, что при регистрации пользователя в обезличенном электронном документе размещают фрагменты иных персональных данных пользователя, причем каждый такой фрагмент шифруют на своей производной личного ключа пользователя, а сами персональные данные и производные личного ключа уничтожают, при проведении проверки пользователь по своему желанию открывает зашифрованные фрагменты своего обезличенного удостоверения, путем указания нужного фрагмента и повторного предъявления своего биометрического образа с повторным получением из него личного ключа и последующего его преобразования в нужную производную личного ключа, необходимую для расшифровывания выбранного фрагмента персональных данных.

Реализация K числа производных личного ключа, например, может осуществляться повторным хешированием личного ключа К раз. То есть первую производную личного ключа получают однократным хешированием, а другие производные получают K-кратным хешированием личного ключа. Возможно использование и любого другого способа получения производных ключей от личного ключа пользователя.

Пользователь по своему желанию может открыть проверяющему ту или иную страницу обезличенного электронного документа. Например, лично взаимодействуя с медицинской страховой компанией, пользователь может открыть только свою фотографию и только номер своего медицинского страхового свидетельства, при этом служащий медицинской страховой компании убеждается, что перед ним именно тот человек, чья обезличенная электронная карта у него имеется и знает номер медицинского страхового полиса владельца этого электронного документа. Иная персональная информация, находящаяся в обезличенном электронном документе служащему медицинской страховой компании недоступна, что и обеспечивает защиту персональной информации.

Одной из реализаций предложенного способа по п. 1 и п. 2 является создание нового поколения электронных идентификационных карт и электронных удостоверений для их использования как в обычном пространстве, так и в Интернет среде. Такое электронное удостоверение будет содержать открытый ключ пользователя, подписанный ЭЦП биометрического удостоверяющего центра, выдавшего электронное биометрическое удостоверение и хранящего данные о своем обезличенном клиенте. Кроме того, электронное удостоверение будет содержать зашифрованную по предложенному способу фотографию его владельца и зашифрованные персональные данные владельца (имя, отчество, фамилию, номер паспорта, место жительства, номер страхового индивидуального накопительного лицевого счета, номер медицинского страхового счета). Каждый фрагмент этих персональных данных будет зашифрован на одной из производных личного ключа владельца обезличенного электронного удостоверения.

Такое обезличенное электронное удостоверение его владелец может хранить где угодно, так как пользоваться им может только его владелец. Если владелец такого биометрического удостоверения хочет оставаться обезличенным, например, при покупке товара, то он передает продавцу свой файл (свое электронное удостоверение). Для того чтобы подтвердить свои полномочия, владелец удостоверения предъявляет однократно свой биометрический образ (рисунок отпечатка пальца). При этом продавец товара получает расшифрованную фотографию обезличенного покупателя и может сравнить лицо покупателя с его расшифрованной фотографией. Продавец не требует паспорт покупателя для получения паспортных данных покупателя. Покупателю не обязательно прилагать дополнительные усилия для расшифровывания своих полных персональных данных. Сохранив файл с открытым ключом обезличенного покупателя, заверенный биометрическим удостоверяющим центром и подписанный его ЭЦП, продавец может убедиться в реальном существовании покупателя и в наличии возможности предъявить ему претензии в случае необходимости.

Если сделка купли-продажи с обезличенным покупателем значительна, то продавец может попросить покупателя подписать договор своей ЭЦП без раскрытия имени покупателя. Покупатель формирует ЭЦП под электронным документом, предъявив свой биометрический образ (например, рисунок отпечатка пальца) и получив тем самым свой личный ключ. Проверить ЭЦП покупателя продавец может, пользуясь открытым ключом обезличенного биометрического удостоверения.

При полном взаимном доверии покупателя к продавцу он может открыть иные страницы своего электронного удостоверения (расшифровав свои полные персональные данные). Для этого, например, покупателю повторно придется предъявить свой биометрический образ (рисунок своего отпечатка пальца). Это может быть тот же палец, что расшифровал фотографию, но повторно предъявленный. Повторное предъявление биометрического образа будет открывать одну из интересующих проверяющего страницу электронного удостоверения. Для открытия 5 страниц электронного удостоверения потребуется указать их содержание и 5 раз предъявить биометрический образ, порождающий личный ключ владельца обезличенного биометрического электронного удостоверения.

Источники информации

1. Романец Ю.В., Тимофеев П.А., Шалыгин В.Ф. Защита информации в компьютерных системах и сетях. М.: Радио и связь, 1999 (симметричное и асимметричное шифрование).

2. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. №996 «Об утверждении требований и методов по обезличиванию персональных данных».

3. Патент RU №2292079 «Способ идентификации человека по его биометрическому образу», авторы: Иванов А.И., Ефимов О.В., Фунтиков В.А. Приоритет: 02.02.2005, опубл. 20.10.2007, бюл. №2.

4. Патент RU №2 371765 «Способ анонимной биометрической регистрации человека», автор: Иванов А.И. Приоритет: 14.01.2008, опубл. 27.10.2009, бюл. №30.

1. Способ гарантированного обезличивания электронных документов пользователя состоящий в том, что для него создают пару ключей (открытого и личного), далее считывают несколько примеров биометрического образа пользователя, из каждого примера биометрического образа извлекают контролируемые биометрические параметры, далее осуществляют обучение на этих параметрах искусственной нейронной сети с целью последующего преобразования биометрических параметров в личный ключ пользователя, далее примеры биометрического образа пользователя уничтожают, сохраняя параметры обученной искусственной нейронной сети в базе данных или в обезличенном электронном документе, далее получают цифровую фотографию пользователя, отличающийся тем, что дополнительно формируют производную от личного ключа, например, хешированием личного ключа пользователя, далее уничтожают личный ключ пользователя, далее шифруют цифровую фотографию пользователя на производной от его личного ключа, далее размещают шифрованную цифровую фотографию в базе данных или в обезличенном электронном документе, при проведении обезличенной проверки пользователя проверяемый предъявляет свой биометрический образ, далее этот образ преобразуют искусственной нейронной сетью в личный ключ пользователя, далее получают производную личного ключа и расшифровывают на производном ключе цифровую фотографию, далее расшифрованную фотографию предъявляют проверяющему, а также проводят автоматическую биометрическую аутентификацию на личном ключе и сообщают результат проверяющему, дополнительно проверяющий сравнивает органолептически лицо проверяемого с расшифрованной фотографией, далее расшифрованную цифровую фотографию пользователя уничтожают, если проверяющий принял решение о полном соответствии черт лица проверяемого и черт лица на расшифрованной фотографии, если проверяющий принял решение о несоответствии проверяемого лица и черт лица на расшифрованной фотографии, то лицо проверяемого повторно фотографируют и запоминают вместе с расшифрованной ранее фотографией, перед запоминанием пары фотографий их шифруют на открытом ключе проверяющего и открытом ключе лица, которое позднее будет проводить разбор инцидента, после запоминания двух шифрованных фотографий исходную пару фотографий уничтожают.

2. Способ по п. 1, отличающийся тем, что при регистрации пользователя в обезличенном электронном документе размещают фрагменты иных персональных данных пользователя, причем каждый такой фрагмент шифруют на своей производной личного ключа пользователя, а сами персональные данные и производные личного ключа уничтожают, при проведении проверки пользователь по своему желанию открывает зашифрованные фрагменты своего обезличенного удостоверения путем указания нужного фрагмента и повторного предъявления своего биометрического образа с повторным получением из него личного ключа и последующего его преобразования в нужную производную личного ключа, необходимую для расшифровывания выбранного фрагмента персональных данных.