Por que biometria, e para quê?
Para publicação na Jornal da Comunidade, Brasília,
Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
20 de Fevereiro de 2007
Carlos Antônio: 1. O que é biometria?
Pedro Rezende: Conjunto de técnicas e métodos para se identificar pessoas, perante sistemas eletrônicos digitais, através da manipulação de dados que representam marcas pessoais produzidas e armazenadas em determinada parte da superfície do corpo humano.
2) CA: Quais
ciências andam junto no desenvolvimento dessa tecnologia, uma vez que,
pelo que entendo, a Biometria faz uma espécie de ponte entre às
características biológicas do ser humano e à tecnologia da informação?
Diretamente, andam junto a análise de algoritmos na computação, para representação e reconhecimento de padrões, e a opto-eletrônica na engenharia, para a produção de dispositivos de captura de padrões. E anda ao lado a criptografia, para codificações destinadas a proteger e operar com dados secretos. Ainda, para entender como a biometria faz ponte entre características biológicas de pessoas e a tecnologia da informação, há que se entender como essas pontes podem ser erguidas e funcionar.
A biometria manipula dados para identificar usuários em sistemas que requerem controle de acesso. Esses dados, que podemos chamar de biométricos, permitem esse tipo de manipulação da mesma forma que outro tipo de dados -- senhas e equivalentes -- o permitem. Assim como as senhas, dados biométricos são empregados por métodos pelos quais portadores de uma marca pessoal se identificam perante um sistema. Para atingirem esse fim, a marca pessoal deve ser única ou unívoca dentre os usuários do sistema, e o método decomposto em uma etapa preliminar, de cadastramento ou apresentação, e um processo de identificação, para acesso ao sistema.
O cadastramento é a etapa inicial em que o sistema captura uma marca pessoal, codifica essa marca segundo um formato binário pré-estabelecido pelo método para representá-la, e armazena, em seu cadastro de usuários, um novo registro contendo esta codificação e o nome com o qual o portador da mesma se identificará perante o sistema para acessá-lo. Esse registro, possivelmente acrescido de outros dados relevantes ao correto funcionamento do sistema, é também chamado de "dados de identificação" do usuário.
Para o sistema, senha é uma marca pessoal formada por uma seqüência de teclas digitável num teclado. Esta seqüência é representada por uma codificação da seqüência de símbolos associados às teclas. Para o sistema, dado biométrico é uma marca pessoal formada por um padrão físico capturável num dispositivo eletrônico. Este padrão é capturado de um determinada parte do corpo humano, que pode ser um dedo, uma mão, uma face ou uma retina, e representado por uma codificação binária de suas características principais.
O processo de identificação perante o sistema consiste em este capturar e codificar uma marca pessoal, para compará-la com os registros no cadastro de usuários do sistema, em batimento com os respectivos dados de identificação. A unicidade da marca é necessária para que o batimento possa identificar, ou não, um usuário cadastrado. A unicidade da marca presume, no caso da senha, que quem digitou tal sequência é o único que conhece essa sequência para tal finalidade; da mesma forma, no caso da biométrica, a unicidade da marca presume que quem induziu a captura de tal padrão é o único que possui esse padrão em tal parte do corpo.
3) CA: Homem integrando máquina?
Não só a biometria, mas também senhas e outros métodos, como a criptografia assimétrica, procuram fazer essa integração. Porém cada método dentro dos limites das suas características funcionais, que são distintas. As características que distinguem funcionalmente o método biométrico do seu semelhante mais próximo, o de senhas, são as seguintes:
- Dados biométricos são produzidos e transportados por alguma parte da superfície corpórea do indivíduo, e não por sua memória (ao contrário da senha);
- Dados biométricos são capturados por dispositivos eletrônicos sem intermediação do discernimento do portador, e portanto, de forma não interceptável por observação externa de terceiros (ao contrário da senha simples digitada);
- Dados biométricos são empregados na identificação de usários por meio de um algoritmo que reconhece padrões. Como nem toda recaptura de padrão coincide exatamente com o padrão capturado no cadastramento, mas aproximadamente, os métodos biométricos fazem batimento por semelhança (como as assinaturas de punho). Em consequência, seu reconhecimento é probabilístico, ao contrário do reconheicmento de seqüências de teclas, cujo batimento é exato e portanto, determinístico. Em conseqüência, a identificação biométrica está intrinsecamente sujeita a falsos positivos e falsos negativos (ao contrário dos métodos por senha ou equivalente).
- Dados biométricos para um dado método são fixos. Não podem ser trocados por iniciativa do portador, ao contrário da senha. Em consequência, quando houver uso impróprio na identificação de usuários por método biométrico, esses usuários ficam vulneráveis, da mesma forma que os que se identificam por senha; porém, se tomarem conhecimento, não poderão evitar, por iniciativa própria, novas ocorrências de uso impróprio da sua identidade (ao contrário dos que se identificam por senha ou equivalente).
As duas primeiras características acima representam vantagens, e as duas últimas desvantagens, ou preço a pagar pelas vantagens, da biometria em relação a senha e similares. O preço decorre das características comuns, pois biometria e senha são técnicas empregadas por métodos de identificação baseadas em segredo compartilhado. O compartilhamento de segredo ocorre entre usuário e sistema: no caso da senha, da sequência de teclas; no caso da biometria, grosso modo, dos dados produzíveis pela captura do seu padrão físico.
Funcionalmente, ambas situações se enquadram no que podemos chamar de compartilhamento de segredo, posto que ambas diferem apenas no fato do sigilo da senha precisar ser preservado dentro e fora do sistema, enquanto o biométrico geralmente apenas dentro do sistema. Talvez por essa diferença, que não atinge a essência dos seus métodos de identificação, e pelo fato do leigo tender a ver sistemas digitais como "caixas-pretas", vendedores e adeptos da biometria tendem a desprezar as desvantagens desta, enquanto ressaltam suas vantagens. Isso pode ser observado, por exemplo, consultando-se o verbete "Biometria" na Wikipedia-PT.
Alguns adeptos chegam até a desprezar o fato de que nenhum método baseado em segredo compartilhado serve para desempenhar a função de representar perante terceiros manifestações de vontade do identificado, como faz, no Direito, a assinatura de punho, e como faz, em sistemas digitais, métodos baseados em segredo não compartilhado, como os de assinatura digital implementados por criptografia assimétrica. Por um motivo ou por outro, adeptos e vendedores da biometria estão, geralmente, mais focados no teatro da segurança, nos efeitos psicológicos das medidas de proteção que habilitam.
4) CA: Ao que
tudo indica, a aplicação da biometria está vinculada à questões de
segurança ou controle de freqüência, por exemplo. É possível afirmar
que essa tecnologia realmente garante segurança, que é confiável? Se é
possível, o que a torna tão segura? Se não, porque a indústria desse
setor pretende investir tanto? Há um dado da Internetional Biometric
Group, que prevê que o setor deve fazer um investimento de US$ 3
bilhões nessa tecnologia.
Como diria o criptógrafo Bruce Schneier, segurança é um processo real e,
ao mesmo tempo, um sentimento pessoal.
O processo da segurança, de natureza matemática, é baseado em
probabilidades de materialização dos riscos e de eficácia dos protocolos e
medidas de proteção. O sentimento de segurança, de natureza
psicológica, é baseado em reações pessoais à percepção de riscos e ao
conhecimento funcional de protocolos e medidas de proteção, ou à ausência e negação
destes.
São
dois planos diferentes, e que às vezes destoam. Alguém
pode se sentir inseguro em relação a um sistema com
baixas probabilidades de incidentes de segurança, ou se sentir
seguro em relação a um com probabilidade alta de falha ou
de fraude. Para ilustrar esse fato, podemos observar que "garantir a
segurança" e "sistema confiável" são termos que
só fazem sentido no plano psicológico. E para
exemplificar dissonâncias, podemos pensar na segurança de
dois sistemas de transporte, por carro e por avião, servindo a
mesma região.
No estágio atual da cultura e das tecnologias da sociedade da
informação, a biometria está mais propensa a
promover sentimentos de segurança do que, com raras
exceções, a atenuar riscos e ampliar eficácias em
todo o espectro do processo real da segurança de sistemas.
Expectativas de que a identificação biométrica
"garanta a segurança" ou torne sistemas "confiáveis",
implícitas na pergunta, evidenciam essa tendência. Para os
deslumbrados, que tomam o teatro da segurança pela realidade,
alto custo e complexidade já os fazem se sentir seguros. Doutra
feita, para entender suas dissonâncias seria necessário o
aporte de conhecimento técnico e estatístico, a certa
distância dos sentimentos.
5) CA: Um
dado desse mesmo grupo diz que o principal faturamento do setor deve
vir do reconhecimento de digitais (59%), da identificação por padrões
da face (13%), da leitura da iris (5%) e do reconhecimento de veias
(3%). Nesse sentido, caro professor, observando o crescimento da
aplicação dessa tecnologia, que tipo de avaliação o senhor faz em
relação a isso?
A meu ver, esse dado reflete o fato de que a identificação biométrica por impressão digital apresenta, em relação a outros métodos biométricos, melhor relação custo/benefício quando comparados num mesmo grau de acuidade, ou seja, entre implementações com a mesma taxa de falsos positivos e negativos.
Vale lembrar que, para qualquer método biométrico, qualquer melhoria na acuidade do resultado, nunca absoluta, requer aumento geométrico no custo computacional. E que, com o aumento da quantidade de usuários do sistema cresce a demanda por capacidade computacional dos métodos biométricos, em grau maior que a dos métodos por senha ou equivalente para o mesmo tempo de resposta.
6) CA: O
cinema sempre se aventurou no uso da biometria, um bom exemplo são
aqueles filmes em que para se identificar é utilizado a íris ou outras
partes do corpo humano. Em alguns filmes, os bandidos acabam retirando
o olho, o braço ou alguma outra parte do corpo para entrar em locais
que não poderiam. Na vida real, é possível, caro professor, que um
desses bandidos do PCC, por exemplo, arranque à mão de alguma pessoa
para, por exemplo, sacar dinheiro em caixas eletrônicos?
Elaborando um pouco mais sobre algo aqui já dito, os riscos inerentes à natureza de métodos biométricos tendem a ser maiores no interior dos sistemas que os empregam (programas defeituosos ou maliciosos), ao contrário dos métodos por senha, em que os riscos tendem a ser maiores no exterior dos sistemas (vazamento ou "roubo" do segredo que identifica).
Essa diferença significa, em princípio, apenas que os riscos inerentes à biométrica tendem a ser mais facilmente desprezados no plano psicológico. Os maiores riscos, neste caso, são invisíveis. Os filmes citados ilustram, por um lado, que a biometria não consegue anular riscos externos, e por isso chocam. Por outro lado, eles apresentam tais riscos de maneira caricata, materializados de forma pouco provável em processos reais, mas eficaz para roteiros de entretenimento.
Arrancar o olho de um usuário cadastrado para fraudar acesso a um sistema pode dar um bom roteiro cinematográfico, pois choca violentamente o sentimento pessoal de segurança induzido pela sofisticação e hermetismo da biometria, mas é uma opção que deixa muitos rastros para um bandido real. Se o bandido fosse competente, como bandido e não como ator, ele provavelmente usaria outra opção. Uma invasão sorrateira ao sistema digital, por exemplo, para interceptar e falsear sua identificação. O que poderia não ser tão sexy em filmes mas lhe serviria com menor risco pessoal, razão pela qual uma tal opção de ataque interno representaria, em contrapartida, um maior risco ao processo real da segurança do sistema.
Para se avaliar a segurança de um método biométrico no plano real, em contraposição ao psicológico, tem-se que percorrer todo o espectro de probabilidades de riscos no sistema em que é empregado. Tem-se que avaliar os riscos de falhas, para as quais há que se considerar que a inépcia humana, da qual não estão imunes a concepção, a instalação e a operação desses sistemas, é como o ar: ocupa todo o espaço disponível, como doutra forma dizem as leis de Murphy. E avaliar os riscos de fraudes, para as quais há que se considerar que a má-fé é como a água: segue o caminho de menor resistência, como doutra forma dizem Maquiavel, Descartes e Hegel.
Em relação a riscos envolvendo a participação de usuários legítimos para enganar o sistema, ou seja, riscos de conluio, conivência ou coação, a biometria pode afetar o perfil dos riscos de conivência ao tornar necessária a presença do conivente no ato de infração, mas ela é quase irrelevante para o maior dentre os riscos de conivência e coação. E às vezes, nem isso: cerca de 80% dos sistemas de identificação biométrica por digital hoje em uso podem ser enganados por uma fina luva de dedo, moldada sobre o dedo do conivente ou do coagido até com cola escolar, vestida ao avesso e com cuidado no dedo do infrator.
Em relação ao PCC, para voltar à pergunta e a título de exemplo, creio que seus agentes seguirão coagindo para roubar, independentemente da identificação da vítima correntista do banco ser biométrica ou por senha. Mediante seqüestro relâmpago por exemplo, já que o risco maior para eles neste caso será o mesmo, a saber, o de serem pegos durante o seqüestro, ação que é totalmente externa ao sistema digital.
Doutra parte, se a adoção de biometria torna mais difícil ou arriscado alguns tipos de ataque com ação interna anteriormente comuns, como os de saque com cartão clonado, a tendência será de aumento na ocorrência de ataques sem ação interna, como os de roubo mediante seqüestro. Em qualquer cenário, o processo real da segurança do sistema será tão forte quanto seu elo mais fraco, quanto sua mais vulnerável brecha. E a biometria não fecha, nem pode fechar, todas as brechas nos sistemas a que serve, quando muito porque abre as suas próprias.
7) CA: Na
sua opinião, como às pessoas devem se adaptar a essa tecnologia, uma
vez que é muito chato essa história de ficar cadastrando impressão
digital, veias da mão e outras coisas mais?
O que torna, a meu ver, a biométrica realmente preocupante para quem a usa é o fato de que, com ela, diferentemente da identificação por senha ou similar, os usuários perdem o controle sobre os meios de proteção contra os maiores riscos aos seus interesses, responsabilidades ou necessidades relativas ao sistema. Com a biometria esses riscos estarão em princípio nivelados, entre todos os usuários, pela combinação de decisões do projetista, do instalador, do dono e do operador do sistema.
Enquanto que, com senha ou similares, o usuário precavido pode controlar seus maiores riscos, que são externos, de tal forma que esses sejam menores em relação aos de usuários incautos. Se lembrarmos de como corre a água, de que o ladrão irá buscar a casa mais fácil para arrombar, concluímos que a biometria expõe os maiores riscos dos usuários do sistema a uma loteria total, tocada por interesses alheios e potencialmente conflitantes aos seus.
Se um sistema de identificação biométrica tivesse utilidade por si só, isso não seria problema. Mas a biometria serve para identificar usuários de sistemas que têm seus próprios fins, que mantêm seus próprios dados, que circulam valores e interesses de terceiros e que, portanto, tem seu próprio perfil de riscos. Isso relativiza qualquer pretensa transmissão de inviolabilidade do método biométrico para o sistema que o emprega, já que o sistema como um todo será tão forte, ou tão vulnerável, quanto seu elo mais frágil.
Além do que, quanto menos fiscalizável ou fiscalizado for um sistema, mais fragilidades tendem a nele se esconder. E na medida em que a tecnocultura do crime se sofistica, e que a infraestrutura digital se complexifica (sistemas operacionais, bancos de dados, etc.), os sistemas se tornam mais difíceis de fiscalizar e complicados para proteger. Ainda, com o mercado da infraestrutura digital dominado por intocáveis interesses monopolistas (vide www.pedro.jmrezende.com.br/trabs/serpro.html), uma loteria de riscos pela biométrica não me parece uma coisa aconselhável, razão pela qual eu a evitaria sempre que possível.
8) CA: Até que ponto, na sua opinião, qual é o limite de uso dessa tecnologia?
Esse limite deveria ser o do bom-senso, o da racionalidade na avaliação de opções, sob o aspecto processual da segurança. Porém, pelo que tenho visto, esse limite parece ser o do abuso de poder, por quem seja capaz de nos impô-los, amparados em tosca bitolação ao aspecto psicológico da segurança. Esse limite passa assim a ser o da teatralização da realidade, em favor da acumulação de poderes. Tarefa esta facilitada pelo fascínio da sociedade com as tecnologias digitais, capaz de produzir frutos emblemáticos como o sistema eleitoral em uso no Brasil (vide www.pedro.jmrezende.com.br/trabs/entrevistaET.html, www.pedro.jmrezende.com.br/trabs/urnas_pt.html)
9) CA: Vamos
a uma questão bastante polêmica. O senhor deve saber que na Bíblia há
algumas profecias que falam do reinado do anti-cristo e do selo da
besta. Muitos teólogos dizem que o selo será algo desse tipo, alguma
tecnologia de leitura de dados, que deverá ser implantada na mão ou na
testa do indivíduo. Segundo a Bíblia, só poderá viver na legalidade
quem aceitar a implantação deste dispositivo. Assim, caro professor, ao
observarmos desenvolvimento de tecnologias como essas, como
interpretá-las. O que o senhor pode dizer sobre isso?
A meu ver, a tecnologia de leitura de dados que melhor se aproxima dessas descrições proféticas não está entre aquelas que já citamos, mas próxima, hibridizada da biometria e chamada RFID (Radio Frequency Identification) implantável. O RFID implantável se assemelha à biometria exceto por neutralizar uma séria desvantagem desta, que é a natureza probabilística do reconhecimento de padrões.
É uma tecnologia baseada em chips tão pequenos quanto um grão de arroz, encapsulados em material biocompatível, contendo uma minúscula antena capaz de capturar energia e dados. Além da antena, o chip contém um processador rudimentar, uma implementação nuclear em software dos devidos protocolos e dados de identificação, incluindo uma marca unívoca para identificar a pessoa em quem será implantado, sob a pele, por microcirurgia. Os mais simples, como o Mu-chips, capazes apenas de transmitir a marca identificadora, podem ser menores que um grão de areia.
Quando um implantado se aproxima de um terminal sem fio conectado a um sistema no qual registros de identificação tenham sido cadastrados, o chip é acionado pelo sinal de radio do terminal, para que ambos se comunicam com vistas a identificar o implantado perante o sistema.
É como se o chip fosse um dispositivo móvel para leitura biométrica, mas pessoal e determinístico, preso sob a pele do identificado para acionamento automático por aproximação, sem sua interferência. Dos detalhes ergonômicos em típicos movimentos de aproximação, surgem a testa e o dorso da mão direita, a que abre portas para os destros, como pontos ideais para o implante.
Se os intocáveis monopólios da infraestrutura digital crescerem olho gordo para o legado de empresas que produzem RFID implantáveis, como por exemplo a pioneira cujo nome já se insinua -- Digital Angel (www.digitalangelcorp.com) --, as peças da profecia bíblica ficarão mais próximas de um encaixe.
Dada a natureza da sua pergunta, vale ressaltar que a tecnologia RFID em princípio permite, se a capacidade computacional do chip suportar, a identificação não apenas por métodos baseados em segredo compartilhado, mas também por métodos baseados em segredo não-compartilhado, isto é, em criptografia assimétrica.
Isso significa que o método de identificação escolhido para o RFID implantável poderia, tecnicamente, ter seu uso justificado como forma de manifestação de vontade, tal qual a assinatura digital baseada em chaves assimétricas.
A assinatura digital foi instituída no Brasil, em 2001, pela força de uma Medida Provisória (MP 2200), e a principal diferença funcional entre ambas é que a assinatura digital sem RFID pressupõe o discernimento do identificado, portador de segredo não-compartilhado, para manifestar sua vontade.
O versículo 17 do capítulo 2 do livro do Apocalipse faz referência a "uma pedrinha branca na qual está escrito um nome novo, que ninguém conhece; exceto quem a recebeu". O versículo 12 do capítulo 19, também, faz referência a um cavaleiro, chamado Fiel e Verdadeiro, que "traz escrito um nome que ninguém conhece, a não ser ele mesmo".
Para quem não conhece criptografia, essas referências podem parecer enigmáticas: para que poderia servir um nome que ninguém mais conhece? Encaro pessoalmente essas referências como um desafio para quem conhece o funcionamento e a utilidade da criptografia assimétrica: haveria forma mais clara e concisa de descrever o que é e para que serve uma chave privada, segredo não-compartilhado num sistema de chaves assimétricas, dois mil anos antes de sua descoberta ou do primeiro vislumbre de sua utilidade?