Безопасная биометрия — цифровизация без утечек личных данных

Разработчики децентрализованного приложения инициализации по биометрии DeFaceID Расул Рахимжан и Кенесары Койшыбай придумали способ спасения личных данных казахстанцев от утечек, опередив рынок Центральной Азии. Как это устроено и почему думать о защите своих данных важно каждому пользователю интернет-сервисов разработчики рассказали в данной статье. (В материале изложено личное мнение авторов. Упомянутые продукты являются их собственностью).

В июне в открытый доступ утекли 16,3 млн записей с персональными данными казахстанцев. Источник пока неизвестен, но уже ясно, что это одна из крупнейших утечек в истории Казахстана. Возбуждено уголовное дело.

Во всем мире за прошлый год произошли свыше 3 000 случаев утечки данных, обнародованы более 22 млрд записей. Причина в том, что сервисы, требующие подтверждения личности — через документы или фото — сохраняют биометрические и персональные данные на собственных централизованных серверах. Такие базы становятся главной целью для взломов, и именно это ставит их под угрозу, считают эксперты Расул Рахимжан и Кенесары Койшыбай, разработчики децентрализованного приложения инициализации по биометрии DeFaceID. Важное отличие их разработки: информация остается на устройстве пользователя и не передается в сеть, что значительно снижает риск утечки данных, система лишь фиксирует подтверждение личности, а не само изображение лица.

Биометрия, которая остается у пользователя

По словам Расула Рахимжана и Кенесары Койшыбая, в отличие от большинства существующих решений, DeFaceID не отправляет изображение лица на сервер. Вместо этого система создает криптографическое доказательство того, что лицо действительно принадлежит пользователю.

"Мы сделали систему, где биометрия остается на устройстве, а в блокчейн отправляется только информация об изображении. При этом клиент нашего приложения проходит верификацию. Также как и само приложение. Это означает, что передаваемые данные никуда не утекут. Исходный код доступен для независимой проверки — это позволяет убедиться, что система работает честно и надежно. Никто не сможет тайно получить доступ к данным или что-то подделать", — подчеркивает Расул Рахимжан.

Согласно результатам тестирования на международном датасете Labeled Faces in the Wild, технология, используемая в DeFaceID, обеспечивает точность распознавания лиц на уровне 99,8%. По оценкам команды, уровень успешной биометрической верификации в системе уже превысил 97%. Количество атак с подделками, например, deepfake, replay, снизилось на 85% по сравнению с традиционными мобильными решениями. Более 10 блокчейн-проектов выразили готовность использовать DeFaceID еще на этапе тестирования. В будущем пользователи приложения смогут лично убедиться в том, что их данные никуда не утекают. Все благодаря блокчейн-технологиям, делятся разработчики.

Приватность встроена в протокол

DeFaceID — решение, где приватность "вшита" в архитектуру. Это позволяет пользователю доказать свою личность, не раскрывая внешность и не передавая изображение третьим лицам.

"Пользователь сохраняет полный контроль: он доказывает, что это он, но никто не видит, как он выглядит, и не может украсть его данные", — говорит Кенесары Койшыбай.

Он объясняет, что система работает по принципу zero-knowledge proofs (доказательств с нулевым разглашением). Это позволяет обеспечить прозрачность, защиту от подделок и дает возможность независимого аудита без участия централизованного сервера.

Где система уже работает

На данный момент DeFaceID проходит пилотные запуски с финтех-стартапами. Основной интерес финтех-стартапов — интеграция с другими микрофинансовыми организациями и криптоплатформами, финтех-стартапы надеются получить в лице DeFaceID решение по подтверждению личности пользователей без риска компрометации данных.

"Также интерес большой у DeFi-платформ, которые не хотят хранить биометрию. Есть кейсы с онлайн-голосованиями, где важно подтвердить уникальность человека без раскрытия всей его личности", — уточняет Рахимжан.

Что дальше: от транспортных систем до телемедицины

По словам разработчиков, у системы большой потенциал в других сферах: например, на дистанционных экзаменах или в при создании умных городов.

"В будущем лицо может стать универсальным пропуском — например, в транспорте или при входе в здание. Также возможна интеграция в телемедицину, доставку, защиту от подмены получателя и даже в HR-системы для удаленного рекрутинга", — говорит Кенесары.

Разработчики признают: рынок Центральной Азии пока не до конца осознал важность контроля над персональными данными. Хотя ситуация быстро меняется.

"Ужесточение регуляций и рост цифровой грамотности делают такие решения вопросом ближайшего времени", - добавляет Кенесары.

Нашли ошибку в публикации? Сообщите нам об этом.