Para ser considerado compatible con Android, las implementaciones de dispositivos deben cumplir con los requisitos presentados en el Documento de definición de compatibilidad de Android (CDD) . El CDD de Android evalúa la seguridad de una implementación biométrica utilizando seguridad arquitectónica y falsificación .
- Seguridad arquitectónica : la resistencia de una tubería biométrica contra el compromiso del kernel o la plataforma. Una canalización se considera segura si los compromisos del kernel y la plataforma no confieren la capacidad de leer datos biométricos sin procesar o inyectar datos sintéticos en la canalización para influir en la decisión de autenticación.
- Desempeño de la seguridad biométrica : El desempeño de la seguridad biométrica se mide por la tasa de aceptación de falsificaciones (SAR) , la tasa de aceptación falsa (FAR) y, cuando corresponda, la tasa de aceptación de impostores (IAR) de los datos biométricos. SAR es una métrica introducida en Android 9 para medir qué tan resistente es un elemento biométrico frente a un ataque de presentación física. Al medir datos biométricos, debe seguir los protocolos que se describen a continuación.
Android utiliza tres tipos de métricas para medir el rendimiento de la seguridad biométrica.
- Tasa de aceptación de suplantación de identidad (SAR) : define la métrica de la probabilidad de que un modelo biométrico acepte una muestra buena conocida y previamente registrada. Por ejemplo, con el desbloqueo por voz, esto mediría las posibilidades de desbloquear el teléfono de un usuario usando una muestra grabada de él diciendo: "Ok, Google". A estos ataques los llamamos ataques falsos . También conocido como Tasa de coincidencia de presentación de ataques de impostores (IAPMR).
- Tasa de aceptación de impostores (IAR) : define la métrica de la probabilidad de que un modelo biométrico acepte entradas destinadas a imitar una buena muestra conocida. Por ejemplo, en el mecanismo de voz confiable (desbloqueo por voz) de Smart Lock , esto mediría la frecuencia con la que alguien que intenta imitar la voz de un usuario (usando un tono y acento similar) puede desbloquear su dispositivo. A este tipo de ataques los llamamos ataques de impostores .
- Tasa de aceptación falsa (FAR) : define las métricas de la frecuencia con la que un modelo acepta por error una entrada incorrecta elegida al azar. Si bien se trata de una medida útil, no proporciona suficiente información para evaluar qué tan bien el modelo resiste los ataques dirigidos.
Agentes fiduciarios
Android 10 cambia el comportamiento de los agentes de confianza. Los agentes de confianza no pueden desbloquear un dispositivo, solo pueden extender la duración del desbloqueo de un dispositivo que ya está desbloqueado. La cara confiable está obsoleta en Android 10.
Clases biométricas
La seguridad biométrica se clasifica utilizando los resultados de las pruebas de seguridad arquitectónica y suplantación de identidad. Una implementación biométrica se puede clasificar como Clase 3 (anteriormente Fuerte) , Clase 2 (anteriormente Débil) o Clase 1 (anteriormente Conveniencia) . La siguiente tabla describe los requisitos generales para cada clase biométrica.
Para obtener más detalles, consulte el CDD de Android actual.
Clase biométrica | Métrica | Tubería biométrica | Restricciones |
---|---|---|---|
Clase 3 (anteriormente fuerte) | SAR de todas las especies PAI: 0-7% SAR de especies PAI Nivel A: <=7% SAR de especies PAI de nivel B: <=20% SAR de cualquier especie de PAI individual <= 40 % (muy recomendable <= 7 %) LEJOS: 1/50k TRF: 10% | Seguro |
|
Clase 2 (anteriormente débil) | SAR de todas las especies PAI: 7-20% SAR de especies PAI Nivel A: <=20% SAR de especies PAI de nivel B: <=30% SAR de cualquier especie de PAI individual <= 40 % (muy recomendable <= 20 %) LEJOS: 1/50k TRF: 10% | Seguro |
|
Clase 1 (antes Conveniencia) | SAR de todas las especies PAI: 20-30% SAR de especies PAI Nivel A: <=30% SAR de especies PAI de nivel B: <=40% SAR de cualquier especie de PAI individual <= 40 % (muy recomendable <= 30 %) LEJOS: 1/50k TRF: 10% | Inseguro/Seguro |
|
Modalidades Clase 3 vs. Clase 2 vs. Clase 1
Las clases de seguridad biométrica se asignan en función de la presencia de una tubería segura y las tres tasas de aceptación: FAR, IAR y SAR. En los casos en los que no existe un ataque impostor, consideramos solo las FAR y SAR.
Consulte el Documento de definición de compatibilidad de Android (CDD) para conocer las medidas a tomar para todas las modalidades de desbloqueo.
Autenticación de rostro e iris
Proceso de evaluación
El proceso de evaluación se compone de dos fases. La fase de calibración determina el ataque de presentación óptimo para una solución de autenticación determinada (es decir, la posición calibrada). La fase de prueba utiliza la posición calibrada para realizar múltiples ataques y evalúa la cantidad de veces que el ataque tuvo éxito. Los fabricantes de dispositivos Android y sistemas biométricos deben comunicarse con Android para obtener la guía de prueba más actualizada enviando este formulario .
Es importante determinar primero la posición calibrada porque el SAR solo debe medirse mediante ataques contra el punto más débil del sistema.
Fase de calibración
Hay tres parámetros para la autenticación de rostro e iris que deben optimizarse durante la fase de calibración para garantizar valores óptimos para la fase de prueba: instrumento de ataque de presentación (PAI), formato de presentación y rendimiento en toda la diversidad de sujetos.
ROSTRO
|
IRIS
|
Probando la diversidad
Es posible que los modelos de rostro e iris se desempeñen de manera diferente según el género, el grupo de edad y la raza/etnicidad. Calibre los ataques de presentación en una variedad de rostros para maximizar las posibilidades de descubrir brechas en el rendimiento.
Fase de prueba
La fase de prueba es cuando se mide el rendimiento de la seguridad biométrica utilizando el ataque de presentación optimizado de la fase anterior.
Contando intentos en la fase de prueba.
Un único intento se cuenta como el intervalo entre presentar una cara (real o falsa) y recibir algún comentario del teléfono (ya sea un evento de desbloqueo o un mensaje visible para el usuario). Cualquier intento en el que el teléfono no pueda obtener suficientes datos para intentar una coincidencia no debe incluirse en el número total de intentos utilizados para calcular el SAR.
Protocolo de evaluación
Inscripción
Antes de comenzar la fase de calibración para la autenticación facial o de iris, navegue hasta la configuración del dispositivo y elimine todos los perfiles biométricos existentes. Después de que se hayan eliminado todos los perfiles existentes, registre un nuevo perfil con la cara o el iris objetivo que se utilizará para la calibración y las pruebas. Es importante estar en un ambiente bien iluminado al agregar una nueva cara o perfil de iris y que el dispositivo esté correctamente situado directamente frente a la cara objetivo a una distancia de 20 cm a 80 cm.
Fase de calibración
Realice la fase de calibración para cada una de las especies de PAI porque diferentes especies tienen diferentes tamaños y otras características que pueden afectar las condiciones óptimas para las pruebas. Preparar el PAI.
ROSTRO
|
IRIS
|
Realización de la fase de calibración
Posiciones de referencia
- Posición de referencia : la posición de referencia se determina colocando el PAI a una distancia adecuada (20-80 cm) delante del dispositivo de tal manera que el PAI sea claramente visible en la vista del dispositivo pero cualquier otra cosa que se esté utilizando (como un soporte). para el PAI) no es visible.
- Plano de referencia horizontal : mientras el PAI está en la posición de referencia, el plano horizontal entre el dispositivo y el PAI es el plano de referencia horizontal.
- Plano de referencia vertical : mientras el PAI está en la posición de referencia, el plano vertical entre el dispositivo y el PAI es el plano de referencia vertical.
arco vertical
Determine la posición de referencia y luego pruebe el PAI en un arco vertical manteniendo la misma distancia del dispositivo que la posición de referencia. Levante el PAI en el mismo plano vertical, creando un ángulo de 10 grados entre el dispositivo y el plano de referencia horizontal y pruebe el desbloqueo facial.
Continúe elevando y probando el PAI en incrementos de 10 grados hasta que el PAI ya no sea visible en el campo de visión del dispositivo. Registre cualquier posición que haya desbloqueado exitosamente el dispositivo. Repita este proceso pero moviendo el PAI en un arco hacia abajo, debajo del plano de referencia horizontal. Consulte la figura 3 a continuación para ver un ejemplo de las pruebas de arco.
Arco horizontal
Devuelva el PAI a la posición de referencia y luego muévalo a lo largo del plano horizontal para crear un ángulo de 10 grados con el plano de referencia vertical. Realice la prueba del arco vertical con el PAI en esta nueva posición. Mueva el PAI a lo largo del plano horizontal en incrementos de 10 grados y realice la prueba del arco vertical en cada nueva posición.
Las pruebas de arco deben repetirse en incrementos de 10 grados tanto para el lado izquierdo como para el derecho del dispositivo, así como para arriba y debajo del dispositivo.
La posición que produce los resultados de desbloqueo más confiables es la posición calibrada para el tipo de especie PAI (por ejemplo, especies PAI 2D o 3D).
Fase de prueba
Al final de la fase de calibración debe haber una posición calibrada por especie PAI. Si no se puede establecer una posición calibrada, se debe utilizar la posición de referencia. La metodología de prueba es común para probar especies PAI tanto 2D como 3D.
- Entre caras inscritas, donde E>= 10, e incluye al menos 10 caras únicas.
- Registrar cara/iris
- Usando la posición calibrada de la fase anterior, realice intentos de desbloqueo U , contando los intentos como se describe en la sección anterior, y donde U >= 10. Registre el número de desbloqueos exitosos S.
- Entonces el SAR se puede medir como:
Dónde:
- E = el número de inscripciones
- U = el número de intentos de desbloqueo por inscripción
- Si = el número de desbloqueos exitosos para la inscripción i
Iteraciones necesarias para obtener muestras estadísticamente válidas de tasas de error: supuesto de confianza del 95% para todo lo siguiente, N grande
Margen de error | Iteraciones de prueba requeridas por tema |
---|---|
1% | 9595 |
2% | 2401 |
3% | 1067 |
5% | 385 |
10% | 97 |
Tiempo requerido (30 segundos por intento, 10 sujetos)
Margen de error | Tiempo Total |
---|---|
1% | 799,6 horas |
2% | 200,1 horas |
3% | 88,9 horas |
5% | 32,1 horas |
10% | 8,1 horas |
Recomendamos apuntar a un margen de error del 5%, lo que da una tasa de error real en la población del 2% al 12%.
Alcance
La fase de prueba mide la resistencia de la autenticación facial principalmente frente a facsímiles del rostro del usuario objetivo. No aborda ataques no basados en fax, como el uso de LED o patrones que actúan como impresiones principales. Si bien aún no se ha demostrado que sean efectivos contra los sistemas de autenticación facial basados en profundidad, no hay nada que impida conceptualmente que esto sea cierto. Es posible y plausible que investigaciones futuras demuestren que este es el caso. En este punto, este protocolo será revisado para incluir la medición de la resiliencia contra estos ataques.
Autenticación de huellas dactilares
En Android 9, el listón se fijó en una resistencia mínima a los PAI medida por una tasa de aceptación de falsificación (SAR) inferior o igual al 7 %. En esta publicación de blog se puede encontrar una breve justificación de por qué el 7% específicamente.
Proceso de evaluación
El proceso de evaluación se compone de dos fases. La fase de calibración determina el ataque de presentación óptimo para una solución de autenticación de huellas dactilares determinada (es decir, la posición calibrada). La fase de prueba utiliza la posición calibrada para realizar múltiples ataques y evalúa la cantidad de veces que el ataque tuvo éxito. Los fabricantes de dispositivos Android y sistemas biométricos deben comunicarse con Android para obtener la guía de prueba más actualizada enviando este formulario .
Fase de calibración
Hay tres parámetros para la autenticación de huellas dactilares que deben optimizarse para garantizar valores óptimos para la fase de prueba: el instrumento de ataque de presentación (PAI), el formato de presentación y el rendimiento en toda la diversidad de temas.
- El PAI es la parodia física, como las huellas dactilares impresas o una réplica moldeada son todos ejemplos de medios de presentación. Se recomiendan encarecidamente los siguientes materiales falsos.
- Sensores ópticos de huellas dactilares (FPS)
- Papel de copia/transparencia con tinta no conductora
- Gelatina Knox
- Pintura latex
- Pegamento de Elmer todo
- FPS capacitivos
- Gelatina Knox
- Pegamento para madera interior de carpintero de Elmer
- Pegamento de Elmer todo
- Pintura latex
- FPS ultrasónico
- Gelatina Knox
- Pegamento para madera interior de carpintero de Elmer
- Pegamento de Elmer todo
- Pintura latex
- Sensores ópticos de huellas dactilares (FPS)
- El formato de presentación se relaciona con una mayor manipulación del PAI o del medio ambiente, de una manera que facilita la suplantación de identidad. Por ejemplo, retocar o editar una imagen de alta resolución de una huella digital antes de crear la réplica 3D.
- El rendimiento en la diversidad de temas es especialmente relevante para ajustar el algoritmo. Probar el flujo de calibración entre géneros, grupos de edad y razas/etnias de los sujetos a menudo puede revelar un desempeño sustancialmente peor para segmentos de la población global y es un parámetro importante para calibrar en esta fase.
Probando la diversidad
Es posible que los lectores de huellas digitales funcionen de manera diferente según el género, los grupos de edad y las razas/etnias. Un pequeño porcentaje de la población tiene huellas dactilares que son difíciles de reconocer, por lo que se debe utilizar una variedad de huellas dactilares para determinar los parámetros óptimos para el reconocimiento y las pruebas de suplantación.
Fase de prueba
La fase de prueba es cuando se mide el desempeño de la seguridad biométrica. Como mínimo, las pruebas deben realizarse de manera no cooperativa, lo que significa que cualquier huella dactilar recolectada se realiza levantándola de otra superficie en lugar de hacer que el objetivo participe activamente en la recolección de su huella dactilar, como por ejemplo haciendo un molde cooperativo de la misma. el dedo del sujeto. Esto último está permitido pero no es obligatorio.
Contando intentos en la fase de prueba.
Un solo intento se cuenta como la ventana entre la presentación de una huella digital (real o falsa) al sensor y la recepción de alguna respuesta del teléfono (ya sea un evento de desbloqueo o un mensaje visible para el usuario).
Cualquier intento en el que el teléfono no pueda obtener suficientes datos para intentar una coincidencia no debe incluirse en el número total de intentos utilizados para calcular el SAR.
Protocolo de evaluación
Inscripción
Antes de comenzar la fase de calibración para la autenticación de huellas dactilares, navegue hasta la configuración del dispositivo y elimine todos los perfiles biométricos existentes. Después de que se hayan eliminado todos los perfiles existentes, registre un nuevo perfil con la huella digital de destino que se utilizará para la calibración y las pruebas. Siga todas las instrucciones en pantalla hasta que el perfil se haya registrado exitosamente.
Fase de calibración
FPS ópticos
Esto es similar a las fases de calibración ultrasónica y capacitiva, pero con especies PAI 2D y 2,5D de la huella digital del usuario objetivo.
- Levante una copia latente de la huella digital de una superficie.
- Prueba con especies PAI 2D
- Coloque la huella dactilar levantada en el sensor
- Prueba con especies PAI 2.5D.
- Crear un PAI de la huella digital
- Coloque el PAI en el sensor.
FPS ultrasónico
La calibración ultrasónica implica levantar una copia latente de la huella digital objetivo. Por ejemplo, esto se puede hacer utilizando huellas dactilares obtenidas con polvo para huellas dactilares o copias impresas de una huella dactilar y puede incluir el retoque manual de la imagen de la huella dactilar para lograr una mejor falsificación.
Una vez obtenida la copia latente de la huella dactilar objetivo, se realiza una PAI.
FPS capacitivos
La calibración capacitiva implica los mismos pasos descritos anteriormente para la calibración ultrasónica.
Fase de prueba
- Consiga que se inscriban al menos 10 personas únicas utilizando los mismos parámetros utilizados al calcular el FRR/FAR
- Crea PAI para cada persona
- Entonces el SAR se puede medir como:
Iteraciones necesarias para obtener muestras estadísticamente válidas de tasas de error: supuesto de confianza del 95% para todo lo siguiente, N grande
Margen de error | Iteraciones de prueba requeridas por tema |
---|---|
1% | 9595 |
2% | 2401 |
3% | 1067 |
5% | 385 |
10% | 97 |
Tiempo requerido (30 segundos por intento, 10 sujetos)
Margen de error | Tiempo Total |
---|---|
1% | 799,6 horas |
2% | 200,1 horas |
3% | 88,9 horas |
5% | 32,1 horas |
10% | 8,1 horas |
Recomendamos apuntar a un margen de error del 5%, lo que da una tasa de error real en la población del 2% al 12%.
Alcance
Este proceso está configurado para probar la resistencia de la autenticación de huellas dactilares principalmente frente a facsímiles de la huella digital del usuario objetivo. La metodología de prueba se basa en los costos actuales de los materiales, la disponibilidad y la tecnología. Este protocolo se revisará para incluir la medición de la resiliencia frente a nuevos materiales y técnicas a medida que su ejecución sea práctica.
Consideraciones comunes
Si bien cada modalidad requiere una configuración de prueba diferente, existen algunos aspectos comunes que se aplican a todas ellas.
Pruebe el hardware real
Las métricas SAR/IAR recopiladas pueden ser inexactas cuando los modelos biométricos se prueban en condiciones idealizadas y en un hardware diferente al que realmente aparecería en un dispositivo móvil. Por ejemplo, los modelos de desbloqueo por voz que se calibran en una cámara anecoica usando una configuración de múltiples micrófonos se comportan de manera muy diferente cuando se usan en un dispositivo con un solo micrófono en un ambiente ruidoso. Para capturar métricas precisas, las pruebas deben realizarse en un dispositivo real con el hardware instalado y, en su defecto, con el hardware tal como aparecería en el dispositivo.
Utilice ataques conocidos
La mayoría de las modalidades biométricas que se utilizan hoy en día se han falsificado con éxito y existe documentación pública de la metodología del ataque. A continuación proporcionamos una breve descripción general de alto nivel de las configuraciones de prueba para modalidades con ataques conocidos. Recomendamos utilizar la configuración descrita aquí siempre que sea posible.
Anticipar nuevos ataques
Para las modalidades en las que se han realizado nuevas mejoras significativas, es posible que el documento de configuración de la prueba no contenga una configuración adecuada y que no exista ningún ataque público conocido. Es posible que las modalidades existentes también necesiten ajustar su configuración de prueba a raíz de un ataque recién descubierto. En ambos casos, deberá idear una configuración de prueba razonable. Utilice el enlace Comentarios del sitio en la parte inferior de esta página para informarnos si ha configurado un mecanismo razonable que pueda agregarse.
Configuraciones para diferentes modalidades.
Huella dactilar
Iar | Innecesario. |
RAE |
|
Cara e iris
Iar | El SAR capturará el límite inferior, por lo que no es necesario medirlo por separado. |
RAE |
|
Voz
Iar |
|
RAE |
|