Agar dianggap kompatibel dengan Android, implementasi perangkat harus memenuhi persyaratan yang disajikan dalam Dokumen Definisi Kompatibilitas (CDD) Android . CDD Android mengevaluasi keamanan implementasi biometrik menggunakan keamanan arsitektur dan kemampuan spoofabilitas .
- Keamanan arsitektur : Ketahanan saluran biometrik terhadap kompromi kernel atau platform. Sebuah pipeline dianggap aman jika kompromi kernel dan platform tidak memberikan kemampuan untuk membaca data biometrik mentah atau memasukkan data sintetis ke dalam pipeline untuk memengaruhi keputusan autentikasi.
- Performa keamanan biometrik : Performa keamanan biometrik diukur dengan Spoof Acceptance Rate (SAR) , False Acceptance Rate (FAR), dan, bila berlaku, Imposter Acceptance Rate (IAR) biometrik. SAR adalah metrik yang diperkenalkan di Android 9 untuk mengukur seberapa tangguh biometrik terhadap serangan presentasi fisik. Saat mengukur biometrik, Anda harus mengikuti protokol yang dijelaskan di bawah.
Android menggunakan tiga jenis metrik untuk mengukur performa keamanan biometrik.
- Tingkat Penerimaan Spoof (SAR) : Mendefinisikan metrik peluang model biometrik menerima sampel baik yang telah direkam sebelumnya dan diketahui. Misalnya, dengan buka kunci suara, hal ini akan mengukur peluang membuka kunci ponsel pengguna menggunakan sampel rekaman yang mengatakan: "Oke, Google" Kami menyebut serangan seperti itu Serangan Spoof . Juga dikenal sebagai Tingkat Kecocokan Presentasi Serangan Penipu (IAPMR).
- Tingkat Penerimaan Imposter (IAR) : Mendefinisikan metrik peluang model biometrik menerima masukan yang dimaksudkan untuk meniru sampel yang diketahui baik. Misalnya, dalam mekanisme suara tepercaya (buka kunci suara) Smart Lock , ini akan mengukur seberapa sering seseorang yang mencoba meniru suara pengguna (menggunakan nada dan aksen serupa) dapat membuka kunci perangkatnya. Kami menyebut serangan seperti itu sebagai Serangan Imposter .
- Tingkat Penerimaan Palsu (FAR) : Menentukan metrik seberapa sering model secara keliru menerima masukan salah yang dipilih secara acak. Meskipun pengukuran ini bermanfaat, namun pengukuran ini tidak memberikan informasi yang cukup untuk mengevaluasi seberapa baik model bertahan terhadap serangan yang ditargetkan.
Agen kepercayaan
Android 10 mengubah perilaku Trust Agent. Agen Kepercayaan tidak dapat membuka kunci perangkat, mereka hanya dapat memperpanjang durasi pembukaan kunci untuk perangkat yang sudah dibuka kuncinya. Wajah tepercaya tidak digunakan lagi di Android 10.
Kelas Biometrik
Keamanan biometrik diklasifikasikan menggunakan hasil uji keamanan arsitektur dan spoofabilitas. Implementasi biometrik dapat diklasifikasikan sebagai Kelas 3 (sebelumnya Kuat) , Kelas 2 , (sebelumnya Lemah) , atau Kelas 1 (sebelumnya Kenyamanan) . Tabel di bawah ini menjelaskan persyaratan umum untuk setiap kelas biometrik.
Untuk lebih jelasnya, lihat CDD Android saat ini.
Kelas Biometrik | Metrik | Pipa Biometrik | Kendala |
---|---|---|---|
Kelas 3 (sebelumnya Kuat) | SAR semua spesies PAI: 0-7% SAR spesies PAI Level A: <=7% SAR spesies PAI Level B: <=20% SAR setiap spesies PAI <= 40% (sangat disarankan <= 7%) JAUH: 1/50rb FRR: 10% | Aman |
|
Kelas 2 (sebelumnya Lemah) | SAR semua spesies PAI: 7-20% SAR spesies PAI Level A: <=20% SAR spesies PAI Level B: <=30% SAR setiap spesies PAI <= 40% (sangat disarankan <= 20%) JAUH: 1/50rb FRR: 10% | Aman |
|
Kelas 1 (sebelumnya Kenyamanan) | SAR semua spesies PAI: 20-30% SAR spesies PAI Level A: <=30% SAR spesies PAI Level B: <=40% SAR setiap spesies PAI individu <= 40% (sangat disarankan <= 30%) JAUH: 1/50rb FRR: 10% | Tidak Aman/Aman |
|
Modalitas Kelas 3 vs. Kelas 2 vs. Kelas 1
Kelas keamanan biometrik ditetapkan berdasarkan keberadaan jalur pipa yang aman dan tiga tingkat penerimaan - FAR, IAR, dan SAR. Jika serangan penipu tidak ada, kami hanya mempertimbangkan FAR dan SAR.
Lihat Dokumen Definisi Kompatibilitas Android (CDD) untuk mengetahui tindakan yang harus diambil untuk semua modalitas membuka kunci.
Otentikasi wajah dan iris mata
Proses evaluasi
Proses evaluasi terdiri dari dua tahap. Fase kalibrasi menentukan serangan presentasi optimal untuk solusi otentikasi tertentu (yaitu posisi yang dikalibrasi). Fase pengujian menggunakan posisi yang dikalibrasi untuk melakukan beberapa serangan dan mengevaluasi berapa kali serangan berhasil. Produsen perangkat Android dan sistem biometrik harus menghubungi Android untuk mendapatkan panduan pengujian terbaru dengan mengirimkan formulir ini .
Penting untuk menentukan terlebih dahulu posisi yang dikalibrasi karena SAR hanya boleh diukur menggunakan serangan terhadap titik kelemahan terbesar pada sistem.
Fase kalibrasi
Ada tiga parameter untuk otentikasi wajah dan iris mata yang perlu dioptimalkan selama tahap kalibrasi untuk memastikan nilai optimal pada tahap pengujian: instrumen serangan presentasi (PAI), format presentasi, dan kinerja di seluruh keragaman subjek.
MENGHADAPI
|
IRIS
|
Menguji keberagaman
Model wajah dan iris mata mungkin saja memiliki performa yang berbeda antar gender, kelompok umur, dan ras/etnis. Kalibrasi serangan presentasi di berbagai wajah untuk memaksimalkan peluang mengungkap kesenjangan dalam kinerja.
Tahap Uji
Tahap pengujian adalah ketika kinerja keamanan biometrik diukur menggunakan serangan presentasi yang dioptimalkan dari tahap sebelumnya.
Menghitung upaya dalam tahap pengujian
Satu upaya dihitung sebagai jeda antara menampilkan wajah (asli atau palsu), dan menerima umpan balik dari ponsel (baik peristiwa pembukaan kunci atau pesan yang terlihat oleh pengguna). Setiap percobaan ketika ponsel tidak dapat memperoleh data yang cukup untuk mencoba mencocokkan tidak boleh dimasukkan dalam jumlah total percobaan yang digunakan untuk menghitung SAR.
Protokol evaluasi
Pendaftaran
Sebelum memulai tahap kalibrasi untuk otentikasi wajah atau iris, navigasikan ke pengaturan perangkat dan hapus semua profil biometrik yang ada. Setelah semua profil yang ada dihapus, daftarkan profil baru dengan wajah atau iris mata target yang akan digunakan untuk kalibrasi dan pengujian. Penting untuk berada di lingkungan yang terang benderang saat menambahkan profil wajah atau iris mata baru dan perangkat ditempatkan dengan benar tepat di depan wajah target pada jarak 20 cm hingga 80 cm.
Fase kalibrasi
Lakukan tahap kalibrasi untuk setiap spesies PAI karena spesies yang berbeda memiliki ukuran dan karakteristik lain yang berbeda yang dapat mempengaruhi kondisi optimal untuk pengujian. Siapkan PAInya.
MENGHADAPI
|
IRIS
|
Melakukan tahap kalibrasi
Posisi referensi
- Posisi referensi : Posisi referensi ditentukan dengan menempatkan PAI pada jarak yang sesuai (20-80cm) di depan perangkat sedemikian rupa sehingga PAI terlihat jelas di pandangan perangkat tetapi tidak ada benda lain yang digunakan (seperti dudukan untuk PAI) tidak terlihat.
- Bidang referensi horizontal : Saat PAI berada pada posisi referensi, bidang horizontal antara perangkat dan PAI adalah bidang referensi horizontal.
- Bidang referensi vertikal : Saat PAI berada pada posisi referensi, bidang vertikal antara perangkat dan PAI adalah bidang referensi vertikal.
Busur vertikal
Tentukan posisi referensi kemudian uji PAI dalam busur vertikal dengan menjaga jarak yang sama dari perangkat dengan posisi referensi. Naikkan PAI pada bidang vertikal yang sama, buat sudut 10 derajat antara perangkat dan bidang referensi horizontal dan uji face unlock.
Terus naikkan dan uji PAI secara bertahap 10 derajat hingga PAI tidak lagi terlihat di bidang pandang perangkat. Catat setiap posisi yang berhasil membuka kunci perangkat. Ulangi proses ini tetapi gerakkan PAI dalam busur ke bawah, di bawah bidang referensi horizontal. Lihat gambar 3 di bawah untuk contoh pengujian busur.
Busur horizontal
Kembalikan PAI ke posisi referensi lalu gerakkan sepanjang bidang horizontal hingga membentuk sudut 10 derajat dengan bidang referensi vertikal. Lakukan uji busur vertikal dengan PAI pada posisi baru ini. Pindahkan PAI sepanjang bidang horizontal dengan peningkatan 10 derajat dan lakukan uji busur vertikal di setiap posisi baru.
Pengujian busur perlu diulangi dengan peningkatan 10 derajat untuk sisi kiri dan kanan perangkat serta di atas dan di bawah perangkat.
Posisi yang memberikan hasil pembukaan kunci paling andal adalah posisi terkalibrasi untuk jenis spesies PAI (misalnya spesies PAI 2D atau 3D).
Fase pengujian
Pada akhir tahap kalibrasi harus ada satu posisi terkalibrasi per spesies PAI. Jika posisi yang dikalibrasi tidak dapat ditentukan maka posisi referensi harus digunakan. Metodologi pengujian umum untuk menguji spesies PAI 2D dan 3D.
- Di seluruh wajah yang terdaftar, dengan E>= 10, dan mencakup setidaknya 10 wajah unik.
- Daftarkan wajah/iris mata
- Dengan menggunakan posisi yang dikalibrasi dari fase sebelumnya, lakukan upaya membuka kunci U , menghitung upaya seperti dijelaskan di bagian sebelumnya, dan di mana U >= 10. Catat jumlah upaya membuka kunci yang berhasil S .
- SAR kemudian dapat diukur sebagai:
Di mana:
- E = jumlah pendaftaran
- U = jumlah upaya membuka kunci per pendaftaran
- Si = jumlah pembukaan kunci yang berhasil untuk pendaftaran i
Iterasi diperlukan untuk mendapatkan sampel tingkat kesalahan yang valid secara statistik: asumsi kepercayaan 95% untuk semua di bawah, N besar
Margin Kesalahan | Iterasi tes diperlukan per subjek |
---|---|
1% | 9595 |
2% | 2401 |
3% | 1067 |
5% | 385 |
10% | 97 |
Waktu yang dibutuhkan (30 detik per percobaan, 10 subjek)
Margin kesalahan | Total waktu |
---|---|
1% | 799,6 jam |
2% | 200,1 jam |
3% | 88,9 jam |
5% | 32,1 jam |
10% | 8,1 jam |
Kami merekomendasikan untuk menargetkan margin kesalahan sebesar 5%, yang memberikan tingkat kesalahan sebenarnya dalam populasi sebesar 2% hingga 12%.
Cakupan
Tahap pengujian mengukur ketahanan otentikasi wajah terutama terhadap faksimili wajah pengguna target. Ini tidak mengatasi serangan berbasis non-faksimili seperti penggunaan LED, atau pola yang bertindak sebagai cetakan utama. Meskipun hal ini belum terbukti efektif terhadap sistem autentikasi wajah berbasis kedalaman, tidak ada yang secara konseptual menghalangi hal ini untuk menjadi kenyataan. Ada kemungkinan dan masuk akal bahwa penelitian di masa depan akan menunjukkan hal ini. Pada titik ini, protokol ini akan direvisi untuk mencakup pengukuran ketahanan terhadap serangan-serangan ini.
Otentikasi sidik jari
Di Android 9, batasan ditetapkan pada ketahanan minimum terhadap PAI yang diukur dengan Tingkat Penerimaan Spoof (SAR) yang kurang dari atau sama dengan 7%. Alasan singkat mengapa 7% secara spesifik dapat ditemukan di postingan blog ini .
Proses evaluasi
Proses evaluasi terdiri dari dua tahap. Fase kalibrasi menentukan serangan presentasi optimal untuk solusi otentikasi sidik jari tertentu (yaitu posisi yang dikalibrasi). Fase pengujian menggunakan posisi yang dikalibrasi untuk melakukan beberapa serangan dan mengevaluasi berapa kali serangan berhasil. Produsen perangkat Android dan sistem biometrik harus menghubungi Android untuk mendapatkan panduan pengujian terbaru dengan mengirimkan formulir ini .
Fase kalibrasi
Ada tiga parameter otentikasi sidik jari yang perlu dioptimalkan untuk memastikan nilai optimal pada tahap pengujian: instrumen serangan presentasi (PAI), format presentasi, dan kinerja di seluruh keragaman subjek.
- PAI adalah spoof fisik, seperti sidik jari yang dicetak atau replika cetakan yang merupakan contoh media presentasi. Materi spoof berikut sangat disarankan
- Sensor sidik jari optik (FPS)
- Salin Kertas/Transparansi dengan tinta non-konduktif
- Knox agar-agar
- Cat Lateks
- Lem Elmer Semua
- FPS kapasitif
- Knox agar-agar
- Lem Kayu Interior Tukang Kayu Elmer
- Lem Elmer Semua
- Cat Lateks
- FPS ultrasonik
- Knox agar-agar
- Lem Kayu Interior Tukang Kayu Elmer
- Lem Elmer Semua
- Cat Lateks
- Sensor sidik jari optik (FPS)
- Format presentasi berkaitan dengan manipulasi lebih lanjut terhadap PAI atau lingkungan, dengan cara yang membantu spoofing. Misalnya, memperbaiki atau mengedit gambar sidik jari beresolusi tinggi sebelum membuat replika 3D.
- Performa di seluruh keragaman subjek sangat relevan untuk menyempurnakan algoritme. Menguji aliran kalibrasi pada subjek jenis kelamin, kelompok umur, dan ras/etnis sering kali dapat menunjukkan kinerja yang jauh lebih buruk pada segmen populasi global dan merupakan parameter penting untuk melakukan kalibrasi pada fase ini.
Menguji keberagaman
Pembaca sidik jari mungkin saja mempunyai kinerja yang berbeda-beda antar gender, kelompok umur, dan ras/etnis. Sebagian kecil populasi memiliki sidik jari yang sulit dikenali, sehingga variasi sidik jari harus digunakan untuk menentukan parameter optimal untuk pengenalan dan pengujian spoof.
Fase pengujian
Tahap pengujian adalah ketika kinerja keamanan biometrik diukur. Minimal, pengujian harus dilakukan dengan cara non-kooperatif yang berarti bahwa setiap sidik jari yang dikumpulkan dilakukan dengan mengangkatnya dari permukaan lain dan bukan meminta target untuk berpartisipasi aktif dalam pengumpulan sidik jarinya, seperti membuat cetakan kooperatif dari sidik jarinya. jari subjek. Yang terakhir ini diperbolehkan tetapi tidak diwajibkan.
Menghitung upaya dalam tahap pengujian
Satu upaya dihitung sebagai jeda antara menampilkan sidik jari (asli atau palsu) ke sensor, dan menerima umpan balik dari ponsel (baik peristiwa pembukaan kunci atau pesan yang terlihat oleh pengguna).
Setiap percobaan ketika ponsel tidak dapat memperoleh data yang cukup untuk mencoba mencocokkan tidak boleh dimasukkan dalam jumlah total percobaan yang digunakan untuk menghitung SAR.
Protokol evaluasi
Pendaftaran
Sebelum memulai tahap kalibrasi untuk otentikasi sidik jari, navigasikan ke pengaturan perangkat dan hapus semua profil biometrik yang ada. Setelah semua profil yang ada dihapus, daftarkan profil baru dengan sidik jari target yang akan digunakan untuk kalibrasi dan pengujian. Ikuti semua petunjuk di layar hingga profil berhasil didaftarkan.
Fase kalibrasi
FPS Optik
Ini mirip dengan fase kalibrasi ultrasonik dan kapasitif, tetapi dengan spesies PAI 2D dan 2.5D dari sidik jari pengguna target.
- Angkat salinan sidik jari yang tersembunyi dari suatu permukaan.
- Uji dengan spesies PAI 2D
- Tempatkan sidik jari yang terangkat pada sensor
- Uji dengan spesies PAI 2.5D.
- Buat PAI sidik jari
- Tempatkan PAI pada sensor
FPS ultrasonik
Kalibrasi untuk ultrasonik melibatkan pengangkatan salinan laten dari sidik jari target. Misalnya, hal ini dapat dilakukan dengan menggunakan sidik jari yang diangkat melalui bubuk sidik jari, atau salinan cetakan sidik jari dan mungkin mencakup sentuhan ulang manual pada gambar sidik jari untuk mendapatkan spoof yang lebih baik.
Setelah salinan laten sidik jari target diperoleh, dibuat PAI.
FPS kapasitif
Kalibrasi untuk kapasitif melibatkan langkah-langkah yang sama yang dijelaskan di atas untuk kalibrasi ultrasonik.
Fase pengujian
- Dapatkan setidaknya 10 orang unik untuk mendaftar menggunakan parameter yang sama dengan yang digunakan saat menghitung FRR/FAR
- Buat PAI untuk setiap orang
- SAR kemudian dapat diukur sebagai:
Iterasi diperlukan untuk mendapatkan sampel tingkat kesalahan yang valid secara statistik: asumsi kepercayaan 95% untuk semua di bawah, N besar
Margin Kesalahan | Iterasi tes diperlukan per subjek |
---|---|
1% | 9595 |
2% | 2401 |
3% | 1067 |
5% | 385 |
10% | 97 |
Waktu yang dibutuhkan (30 detik per percobaan, 10 subjek)
Margin kesalahan | Total waktu |
---|---|
1% | 799,6 jam |
2% | 200,1 jam |
3% | 88,9 jam |
5% | 32,1 jam |
10% | 8,1 jam |
Kami merekomendasikan untuk menargetkan margin kesalahan sebesar 5%, yang memberikan tingkat kesalahan sebenarnya dalam populasi sebesar 2% hingga 12%.
Cakupan
Proses ini disiapkan untuk menguji ketahanan otentikasi sidik jari terutama terhadap faksimili sidik jari pengguna target. Metodologi pengujian didasarkan pada biaya material saat ini, ketersediaan dan teknologi. Protokol ini akan direvisi untuk mencakup pengukuran ketahanan terhadap material dan teknik baru seiring dengan semakin praktisnya penerapannya.
Pertimbangan umum
Meskipun setiap modalitas memerlukan pengaturan pengujian yang berbeda, ada beberapa aspek umum yang berlaku untuk semuanya.
Uji perangkat keras sebenarnya
Metrik SAR/IAR yang dikumpulkan bisa menjadi tidak akurat ketika model biometrik diuji dalam kondisi ideal dan pada perangkat keras yang berbeda dari yang sebenarnya muncul pada perangkat seluler. Misalnya, model buka kunci suara yang dikalibrasi dalam ruang anechoic menggunakan pengaturan multi-mikrofon berperilaku sangat berbeda ketika digunakan pada satu perangkat mikrofon di lingkungan yang bising. Untuk mendapatkan metrik yang akurat, pengujian harus dilakukan pada perangkat sebenarnya dengan perangkat keras terpasang, dan gagal jika dilakukan dengan perangkat keras seperti yang terlihat pada perangkat.
Gunakan serangan yang diketahui
Sebagian besar modalitas biometrik yang digunakan saat ini telah berhasil dipalsukan, dan terdapat dokumentasi publik tentang metodologi serangan tersebut. Di bawah ini kami memberikan ikhtisar singkat tingkat tinggi tentang pengaturan pengujian untuk modalitas dengan serangan yang diketahui. Kami merekomendasikan penggunaan pengaturan yang dijelaskan di sini jika memungkinkan.
Antisipasi serangan baru
Untuk modalitas dimana perbaikan baru yang signifikan telah dilakukan, dokumen pengaturan pengujian mungkin tidak berisi pengaturan yang sesuai, dan mungkin tidak ada serangan publik yang diketahui. Modalitas yang ada mungkin juga memerlukan pengaturan pengujian yang disesuaikan setelah serangan baru ditemukan. Dalam kedua kasus tersebut, Anda perlu membuat pengaturan pengujian yang masuk akal. Silakan gunakan tautan Masukan Situs di bagian bawah halaman ini untuk memberi tahu kami jika Anda telah menyiapkan mekanisme wajar yang dapat ditambahkan.
Pengaturan untuk modalitas yang berbeda
Sidik jari
IAR | Tidak dibutuhkan. |
SAR |
|
Wajah dan Iris
IAR | Batas bawah akan ditangkap oleh SAR sehingga pengukuran secara terpisah tidak diperlukan. |
SAR |
|
Suara
IAR |
|
SAR |
|