बायोमेट्रिक अनलॉक सुरक्षा को मापना

एंड्रॉइड के साथ संगत माने जाने के लिए, डिवाइस कार्यान्वयन को एंड्रॉइड संगतता परिभाषा दस्तावेज़ (सीडीडी) में प्रस्तुत आवश्यकताओं को पूरा करना होगा। एंड्रॉइड सीडीडी वास्तुशिल्प सुरक्षा और स्पूफ़ेबिलिटी का उपयोग करके बायोमेट्रिक कार्यान्वयन की सुरक्षा का मूल्यांकन करता है।

  • वास्तुशिल्प सुरक्षा : कर्नेल या प्लेटफ़ॉर्म समझौता के विरुद्ध बायोमेट्रिक पाइपलाइन का लचीलापन। एक पाइपलाइन को सुरक्षित माना जाता है यदि कर्नेल और प्लेटफ़ॉर्म समझौता कच्चे बायोमेट्रिक डेटा को पढ़ने या प्रमाणीकरण निर्णय को प्रभावित करने के लिए पाइपलाइन में सिंथेटिक डेटा इंजेक्ट करने की क्षमता प्रदान नहीं करता है।
  • बायोमेट्रिक सुरक्षा प्रदर्शन : बायोमेट्रिक सुरक्षा प्रदर्शन को स्पूफ एक्सेप्टेंस रेट (एसएआर) , गलत स्वीकृति दर (एफएआर), और, जब लागू हो, बायोमेट्रिक की इम्पोस्टर एक्सेप्टेंस रेट (आईएआर) द्वारा मापा जाता है। एसएआर एंड्रॉइड 9 में पेश किया गया एक मीट्रिक है जो यह मापता है कि भौतिक प्रस्तुति हमले के खिलाफ बायोमेट्रिक कितना लचीला है। बायोमेट्रिक्स मापते समय आपको नीचे वर्णित प्रोटोकॉल का पालन करना होगा।

एंड्रॉइड बायोमेट्रिक सुरक्षा प्रदर्शन को मापने के लिए तीन प्रकार के मेट्रिक्स का उपयोग करता है।

  • स्पूफ स्वीकृति दर (एसएआर) : इस संभावना की मीट्रिक को परिभाषित करता है कि एक बायोमेट्रिक मॉडल पहले से रिकॉर्ड किए गए, ज्ञात अच्छे नमूने को स्वीकार करता है। उदाहरण के लिए, वॉयस अनलॉक के साथ यह किसी उपयोगकर्ता के फोन को रिकॉर्ड किए गए नमूने का उपयोग करके अनलॉक करने की संभावना को मापेगा: "ओके, गूगल" हम ऐसे हमलों को स्पूफ अटैक कहते हैं। इसे इंपोस्टर अटैक प्रेजेंटेशन मैच रेट (आईएपीएमआर) के रूप में भी जाना जाता है।
  • इम्पोस्टर एक्सेप्टेंस रेट (आईएआर) : इस संभावना की मीट्रिक को परिभाषित करता है कि एक बायोमेट्रिक मॉडल उस इनपुट को स्वीकार करता है जो एक ज्ञात अच्छे नमूने की नकल करने के लिए होता है। उदाहरण के लिए, स्मार्ट लॉक विश्वसनीय आवाज (वॉयस अनलॉक) तंत्र में, यह मापेगा कि उपयोगकर्ता की आवाज की नकल करने की कोशिश करने वाला कोई व्यक्ति (समान स्वर और उच्चारण का उपयोग करके) कितनी बार अपने डिवाइस को अनलॉक कर सकता है। हम ऐसे हमलों को इम्पोस्टर अटैक कहते हैं।
  • गलत स्वीकृति दर (एफएआर) : यह मेट्रिक्स को परिभाषित करता है कि कितनी बार एक मॉडल गलती से यादृच्छिक रूप से चुने गए गलत इनपुट को स्वीकार करता है। हालांकि यह एक उपयोगी उपाय है, यह यह मूल्यांकन करने के लिए पर्याप्त जानकारी प्रदान नहीं करता है कि मॉडल लक्षित हमलों के लिए कितना अच्छा है।

एजेंटों पर भरोसा करें

एंड्रॉइड 10 ट्रस्ट एजेंटों के व्यवहार को बदल देता है। ट्रस्ट एजेंट किसी डिवाइस को अनलॉक नहीं कर सकते, वे केवल उस डिवाइस के लिए अनलॉक अवधि बढ़ा सकते हैं जो पहले से ही अनलॉक है। एंड्रॉइड 10 में विश्वसनीय चेहरे को हटा दिया गया है।

बॉयोमीट्रिक कक्षाएं

बायोमेट्रिक सुरक्षा को वास्तुशिल्प सुरक्षा और स्पूफ़ेबिलिटी परीक्षणों के परिणामों का उपयोग करके वर्गीकृत किया गया है। एक बायोमेट्रिक कार्यान्वयन को कक्षा 3 (पूर्व में मजबूत) , कक्षा 2 , (पूर्व में कमजोर) , या कक्षा 1 (पूर्व में सुविधा) के रूप में वर्गीकृत किया जा सकता है। नीचे दी गई तालिका प्रत्येक बायोमेट्रिक वर्ग के लिए सामान्य आवश्यकताओं का वर्णन करती है।

अधिक विवरण के लिए, वर्तमान Android CDD देखें।

बायोमेट्रिक क्लास मेट्रिक्स बायोमेट्रिक पाइपलाइन प्रतिबंध
कक्षा 3
(पूर्व में मजबूत)
सभी PAI प्रजातियों का SAR: 0-7%

लेवल ए पीएआई प्रजाति का एसएआर:
<=7%

लेवल बी पीएआई प्रजातियों का एसएआर:
<=20%

किसी भी व्यक्तिगत पीएआई प्रजाति का एसएआर <= 40% (दृढ़ता से अनुशंसित <= 7%)

एफएआर: 1/50k

एफआरआर: 10%
सुरक्षित
  • प्राथमिक प्रमाणीकरण (जैसे पिन, पैटर्न, या पासवर्ड) पर फ़ॉलबैक से पहले 72 घंटे तक
  • किसी एपीआई को अनुप्रयोगों में प्रदर्शित किया जा सकता है (उदाहरण: बायोमेट्रिकप्रॉम्प्ट या FIDO2 एपीआई के साथ एकीकरण के माध्यम से)
  • बीसीआर जमा करना होगा
कक्षा 2
(पूर्व में कमजोर)
सभी PAI प्रजातियों का SAR: 7-20%

लेवल ए पीएआई प्रजाति का एसएआर:
<=20%

लेवल बी पीएआई प्रजातियों का एसएआर:
<=30%

किसी भी व्यक्तिगत पीएआई प्रजाति का एसएआर <= 40% (दृढ़ता से अनुशंसित <= 20%)

एफएआर: 1/50k

एफआरआर: 10%
सुरक्षित
  • प्राथमिक प्रमाणीकरण पर फ़ॉलबैक से 24 घंटे पहले तक
  • प्राथमिक प्रमाणीकरण पर वापस आने से पहले 4 घंटे का निष्क्रिय समयबाह्य या 3 गलत प्रयास
  • बायोमेट्रिकप्रॉम्प्ट के साथ एकीकृत हो सकता है, लेकिन कीस्टोर के साथ एकीकृत नहीं हो सकता (उदाहरण: ऐप ऑथ-बाउंड कुंजी जारी करने के लिए)
  • बीसीआर जमा करना होगा
वर्ग 1
(पूर्व में सुविधा)
सभी PAI प्रजातियों का SAR: 20-30%

लेवल ए पीएआई प्रजाति का एसएआर:
<=30%

लेवल बी पीएआई प्रजातियों का एसएआर:
<=40%

किसी भी व्यक्तिगत पीएआई प्रजाति का एसएआर <= 40% (दृढ़ता से अनुशंसित <= 30%)

एफएआर: 1/50k

एफआरआर: 10%
असुरक्षित/सुरक्षित
  • प्राथमिक प्रमाणीकरण पर फ़ॉलबैक से 24 घंटे पहले तक
  • प्राथमिक प्रमाणीकरण पर वापस आने से पहले 4 घंटे का निष्क्रिय समयबाह्य या 3 गलत प्रयास
  • किसी एपीआई को अनुप्रयोगों में उजागर नहीं किया जा सकता
  • एंड्रॉइड 11 से शुरू करके बीसीआर जमा करना होगा
  • Android 13 से प्रारंभ करके SAR का परीक्षण अवश्य करें
  • भविष्य में अस्थायी कक्षा ख़त्म हो सकती है

कक्षा 3 बनाम कक्षा 2 बनाम कक्षा 1 के तौर-तरीके

बायोमेट्रिक सुरक्षा कक्षाएं एक सुरक्षित पाइपलाइन की उपस्थिति और तीन स्वीकृति दरों - एफएआर, आईएआर और एसएआर के आधार पर सौंपी जाती हैं। ऐसे मामलों में जहां धोखेबाज हमला मौजूद नहीं है, हम केवल एफएआर और एसएआर पर विचार करते हैं।

सभी अनलॉक तौर-तरीकों के लिए किए जाने वाले उपायों के लिए एंड्रॉइड संगतता परिभाषा दस्तावेज़ (सीडीडी) देखें।

चेहरा और आईरिस प्रमाणीकरण

मूल्यांकन प्रक्रिया

मूल्यांकन प्रक्रिया दो चरणों से बनी है। अंशांकन चरण किसी दिए गए प्रमाणीकरण समाधान (जो कि अंशांकित स्थिति है) के लिए इष्टतम प्रस्तुति हमले को निर्धारित करता है। परीक्षण चरण कई हमलों को करने के लिए कैलिब्रेटेड स्थिति का उपयोग करता है और यह मूल्यांकन करता है कि हमला कितनी बार सफल हुआ। एंड्रॉइड डिवाइस और बायोमेट्रिक सिस्टम के निर्माताओं को इस फॉर्म को सबमिट करके नवीनतम परीक्षण मार्गदर्शन के लिए एंड्रॉइड से संपर्क करना चाहिए।

पहले कैलिब्रेटेड स्थिति निर्धारित करना महत्वपूर्ण है क्योंकि एसएआर को केवल सिस्टम पर कमजोरी के सबसे बड़े बिंदु के खिलाफ हमलों का उपयोग करके मापा जाना चाहिए।

अंशांकन चरण

चेहरे और आईरिस प्रमाणीकरण के लिए तीन पैरामीटर हैं जिन्हें परीक्षण चरण के लिए इष्टतम मान सुनिश्चित करने के लिए अंशांकन चरण के दौरान अनुकूलित करने की आवश्यकता है: प्रस्तुति आक्रमण उपकरण (पीएआई), प्रस्तुति प्रारूप, और विषय विविधता में प्रदर्शन।

चेहरा
  • प्रेजेंटेशन अटैक इंस्ट्रूमेंट (पीएआई) फिजिकल स्पूफ है। बायोमेट्रिक तकनीक की परवाह किए बिना, निम्नलिखित पीएआई प्रजातियां वर्तमान में दायरे में हैं:
    • 2डी पीएआई प्रजाति
      • तस्वीरें छपीं
      • मॉनिटर या फोन डिस्प्ले पर तस्वीरें
      • मॉनिटर या फ़ोन डिस्प्ले पर वीडियो
    • 3डी पीएआई प्रजाति
      • 3डी प्रिंटेड मास्क
  • प्रस्तुतिकरण प्रारूप पीएआई या पर्यावरण के आगे हेरफेर से संबंधित है, जो स्पूफिंग में सहायता करता है। कोशिश करने के लिए हेरफेर के कुछ उदाहरण यहां दिए गए हैं:
    • मुद्रित फ़ोटो को थोड़ा मोड़ना ताकि वह गालों पर मुड़े (इस प्रकार गहराई की थोड़ी नकल करना) कभी-कभी 2डी चेहरा प्रमाणीकरण समाधान को तोड़ने में काफी मदद कर सकता है।
    • स्पूफिंग में सहायता के लिए प्रकाश की बदलती स्थितियाँ पर्यावरण को संशोधित करने का एक उदाहरण है
    • लेंस पर धब्बा लगना, या थोड़ा गंदा होना
    • यह देखने के लिए कि क्या यह स्पूफ़ेबिलिटी को प्रभावित करता है, पोर्ट्रेट और लैंडस्केप मोड के बीच फ़ोन का ओरिएंटेशन बदलना
  • विषय विविधता (या इसकी कमी) में प्रदर्शन विशेष रूप से मशीन लर्निंग आधारित प्रमाणीकरण समाधानों के लिए प्रासंगिक है। विषय लिंग, आयु समूहों और नस्लों/जातीयताओं में अंशांकन प्रवाह का परीक्षण अक्सर वैश्विक आबादी के क्षेत्रों के लिए काफी खराब प्रदर्शन को प्रकट कर सकता है और इस चरण में अंशांकन के लिए एक महत्वपूर्ण पैरामीटर है।
स्पूफ परीक्षण का उद्देश्य यह परीक्षण करना है कि कोई सिस्टम वैध रीप्ले या प्रेजेंटेशन हमले को स्वीकार करता है या नहीं। यदि एंटी-स्पूफ या प्रेजेंटेशन अटैक डिटेक्शन (पीएडी) लागू नहीं किया गया था या अक्षम कर दिया गया था, तो बायोमेट्रिक सत्यापन प्रक्रिया के दौरान वैध बायोमेट्रिक दावे के रूप में पारित होने के लिए पीएआई प्रजाति पर्याप्त होनी चाहिए। एक पीएआई जो एंटी-स्पूफ या पीएडी कार्यक्षमता के बिना बायोमेट्रिक सत्यापन प्रक्रिया को पारित नहीं कर सकता है वह पीएआई के रूप में अमान्य है और उस पीएआई प्रजाति का उपयोग करने वाले सभी परीक्षण अमान्य हैं। स्पूफ परीक्षणों के संचालकों को यह प्रदर्शित करना चाहिए कि उनके परीक्षणों में प्रयुक्त पीएआई प्रजातियां इस मानदंड को पूरा करती हैं।
आँख की पुतली
  • प्रेजेंटेशन अटैक इंस्ट्रूमेंट (पीएआई) फिजिकल स्पूफ है। निम्नलिखित PAI प्रजातियाँ वर्तमान में दायरे में हैं:
    • चेहरों की मुद्रित तस्वीरें स्पष्ट रूप से आईरिस दिखाती हैं
    • मॉनिटर या फोन डिस्प्ले पर चेहरों की तस्वीरें/वीडियो जो आईरिस को स्पष्ट रूप से दिखाते हैं
    • कृत्रिम आँखें
  • प्रस्तुतिकरण प्रारूप पीएआई या पर्यावरण के आगे हेरफेर से संबंधित है, जो स्पूफिंग में सहायता करता है। उदाहरण के लिए, किसी मुद्रित फोटो के ऊपर या आंख के फोटो/वीडियो के प्रदर्शन पर कॉन्टैक्ट लेंस रखने से कुछ आईरिस वर्गीकरण प्रणालियों को मूर्ख बनाने में मदद मिलती है और आईरिस प्रमाणीकरण प्रणालियों के बायपास की दर में सुधार करने में मदद मिल सकती है।
  • विषय विविधता में प्रदर्शन विशेष रूप से मशीन लर्निंग आधारित प्रमाणीकरण समाधानों के लिए प्रासंगिक है। आईरिस आधारित प्रमाणीकरण के साथ, विभिन्न आईरिस रंगों में अलग-अलग वर्णक्रमीय विशेषताएं हो सकती हैं, और विभिन्न रंगों में परीक्षण वैश्विक आबादी के क्षेत्रों के लिए प्रदर्शन के मुद्दों को उजागर कर सकता है।
विविधता का परीक्षण

चेहरे और आईरिस मॉडल के लिए लिंग, आयु समूह और नस्ल/जातीयता के आधार पर अलग-अलग प्रदर्शन करना संभव है। प्रदर्शन में अंतराल को उजागर करने की संभावनाओं को अधिकतम करने के लिए विभिन्न चेहरों पर प्रस्तुति हमलों को कैलिब्रेट करें।

परीक्षण चरण

परीक्षण चरण तब होता है जब बायोमेट्रिक सुरक्षा प्रदर्शन को पिछले चरण से अनुकूलित प्रस्तुति हमले का उपयोग करके मापा जाता है।

परीक्षण चरण में प्रयासों की गिनती

एक एकल प्रयास को एक चेहरा प्रस्तुत करने (असली या नकली), और फोन से कुछ फीडबैक प्राप्त करने (या तो एक अनलॉक इवेंट या एक उपयोगकर्ता दृश्यमान संदेश) के बीच की खिड़की के रूप में गिना जाता है। कोई भी प्रयास जहां फोन मिलान का प्रयास करने के लिए पर्याप्त डेटा प्राप्त करने में असमर्थ है, उसे एसएआर की गणना करने के लिए उपयोग किए गए प्रयासों की कुल संख्या में शामिल नहीं किया जाना चाहिए।

मूल्यांकन प्रोटोकॉल

उपस्थिति पंजी

चेहरे या आईरिस प्रमाणीकरण के लिए अंशांकन चरण शुरू करने से पहले डिवाइस सेटिंग्स पर जाएं और सभी मौजूदा बायोमेट्रिक प्रोफाइल हटा दें। सभी मौजूदा प्रोफ़ाइल हटा दिए जाने के बाद, लक्ष्य चेहरे या आईरिस के साथ एक नई प्रोफ़ाइल नामांकित करें जिसका उपयोग अंशांकन और परीक्षण के लिए किया जाएगा। नया चेहरा या आईरिस प्रोफ़ाइल जोड़ते समय चमकदार रोशनी वाले वातावरण में होना महत्वपूर्ण है और डिवाइस 20 सेमी से 80 सेमी की दूरी पर लक्ष्य चेहरे के ठीक सामने ठीक से स्थित हो।

अंशांकन चरण

प्रत्येक पीएआई प्रजाति के लिए अंशांकन चरण निष्पादित करें क्योंकि विभिन्न प्रजातियों के अलग-अलग आकार और अन्य विशेषताएं होती हैं जो परीक्षण के लिए इष्टतम स्थितियों को प्रभावित कर सकती हैं। पीएआई तैयार करें.

चेहरा
  • नामांकन प्रवाह के समान प्रकाश व्यवस्था की स्थिति, कोण और दूरी के तहत नामांकित चेहरे का उच्च गुणवत्ता वाला फोटो या वीडियो लें।
  • भौतिक प्रिंटआउट के लिए:
    • एक प्रकार का पेपर मास्क बनाते हुए, चेहरे की रूपरेखा के साथ काटें।
    • लक्षित चेहरे की वक्रता की नकल करने के लिए मास्क को दोनों गालों पर मोड़ें
    • परीक्षक की आंखें दिखाने के लिए 'मास्क' में आंखों के छेद काटें - यह उन समाधानों के लिए उपयोगी है जो पलक झपकने को जीवंतता का पता लगाने के साधन के रूप में देखते हैं।
  • यह देखने के लिए सुझाए गए प्रस्तुति प्रारूप जोड़-तोड़ का प्रयास करें कि क्या वे अंशांकन चरण के दौरान सफलता की संभावनाओं को प्रभावित करते हैं
आँख की पुतली
  • नामांकित चेहरे का एक उच्च-रिज़ॉल्यूशन फ़ोटो या वीडियो लें, जिसमें नामांकन प्रवाह के समान प्रकाश स्थितियों, कोण और दूरी के तहत आईरिस स्पष्ट रूप से दिखाई दे।
  • यह देखने के लिए आंखों पर कॉन्टैक्ट लेंस के साथ और बिना कॉन्टैक्ट लेंस आज़माएं कि कौन सी विधि स्पूफ़ेबिलिटी बढ़ाती है

अंशांकन चरण का संचालन

संदर्भ पद
  • संदर्भ स्थिति : संदर्भ स्थिति पीएआई को डिवाइस के सामने उचित दूरी (20-80 सेमी) पर रखकर निर्धारित की जाती है, जहां पीएआई डिवाइस के दृश्य में स्पष्ट रूप से दिखाई देता है लेकिन उपयोग की जा रही कोई भी चीज़ (जैसे स्टैंड) पीएआई के लिए) दिखाई नहीं दे रहा है।
  • क्षैतिज संदर्भ तल : जबकि पीएआई संदर्भ स्थिति में है, डिवाइस और पीएआई के बीच का क्षैतिज तल क्षैतिज संदर्भ तल है।
  • ऊर्ध्वाधर संदर्भ तल : जबकि पीएआई संदर्भ स्थिति में है, डिवाइस और पीएआई के बीच ऊर्ध्वाधर तल ऊर्ध्वाधर संदर्भ तल है।
संदर्भ विमान
चित्र 1 : संदर्भ विमान
लंबवत चाप

संदर्भ स्थिति निर्धारित करें, फिर डिवाइस से संदर्भ स्थिति के समान दूरी बनाए रखते हुए एक ऊर्ध्वाधर चाप में पीएआई का परीक्षण करें। डिवाइस और क्षैतिज संदर्भ तल के बीच 10 डिग्री का कोण बनाते हुए PAI को उसी ऊर्ध्वाधर तल में उठाएं और फेस अनलॉक का परीक्षण करें।

पीएआई को 10 डिग्री की वृद्धि में बढ़ाना और परीक्षण करना जारी रखें जब तक कि पीएआई डिवाइस के दृश्य क्षेत्र में दिखाई न दे। डिवाइस को सफलतापूर्वक अनलॉक करने वाली किसी भी स्थिति को रिकॉर्ड करें। इस प्रक्रिया को दोहराएं लेकिन पीएआई को क्षैतिज संदर्भ तल के नीचे, नीचे की ओर घुमाते हुए। आर्क परीक्षणों के उदाहरण के लिए नीचे चित्र 3 देखें।

क्षैतिज चाप

पीएआई को संदर्भ स्थिति में लौटाएं, फिर ऊर्ध्वाधर संदर्भ विमान के साथ 10 डिग्री का कोण बनाने के लिए इसे क्षैतिज विमान के साथ ले जाएं। इस नई स्थिति में पीएआई के साथ ऊर्ध्वाधर चाप परीक्षण करें। पीएआई को क्षैतिज तल पर 10 डिग्री की वृद्धि में ले जाएं और प्रत्येक नई स्थिति में ऊर्ध्वाधर चाप परीक्षण करें।

क्षैतिज चाप के साथ परीक्षण

चित्र 1 : ऊर्ध्वाधर और क्षैतिज चाप के साथ परीक्षण

डिवाइस के बाएँ और दाएँ दोनों तरफ के साथ-साथ डिवाइस के ऊपर और नीचे आर्क परीक्षणों को 10 डिग्री की वृद्धि में दोहराया जाना चाहिए।

वह स्थिति जो सबसे विश्वसनीय अनलॉकिंग परिणाम देती है वह पीएआई प्रजातियों के प्रकार (उदाहरण के लिए, 2डी या 3डी पीएआई प्रजातियां) के लिए कैलिब्रेटेड स्थिति है।

परीक्षण चरण

अंशांकन चरण के अंत में प्रति पीएआई प्रजाति में एक अंशांकित स्थिति होनी चाहिए। यदि एक कैलिब्रेटेड स्थिति स्थापित नहीं की जा सकती है तो संदर्भ स्थिति का उपयोग किया जाना चाहिए। परीक्षण पद्धति 2डी और 3डी पीएआई दोनों प्रजातियों के परीक्षण के लिए सामान्य है।

  • नामांकित चेहरों में, जहां E>=10, और कम से कम 10 अद्वितीय चेहरे शामिल हैं।
    • चेहरा/आईरिस नामांकित करें
    • पिछले चरण से कैलिब्रेटेड स्थिति का उपयोग करते हुए, यू अनलॉक प्रयास करें, पिछले अनुभाग में वर्णित प्रयासों की गिनती करें, और जहां यू > = 10। सफल अनलॉक एस की संख्या रिकॉर्ड करें।
    • एसएआर को तब मापा जा सकता है:
$$ \displaystyle SAR = \frac{\displaystyle\sum_{i=1}^{E}{S_i} }{(U * E)}\ {* 100\%} $$

कहाँ:

  • ई = नामांकन की संख्या
  • यू = प्रति नामांकन अनलॉक प्रयासों की संख्या
  • सी = नामांकन के लिए सफल अनलॉक की संख्या I

त्रुटि दर के सांख्यिकीय रूप से मान्य नमूने प्राप्त करने के लिए आवश्यक पुनरावृत्तियाँ: नीचे दिए गए सभी के लिए 95% विश्वास धारणा, बड़ा एन

त्रुटि के मार्जिन प्रति विषय परीक्षण पुनरावृत्तियों की आवश्यकता है
1% 9595
2% 2401
3% 1067
5% 385
10% 97

आवश्यक समय (प्रति प्रयास 30 सेकंड, 10 विषय)

त्रुटि के मार्जिन कुल समय
1% 799.6 घंटे
2% 200.1 घंटे
3% 88.9 घंटे
5% 32.1 घंटे
10% 8.1 घंटे

हम 5% त्रुटि मार्जिन को लक्षित करने की अनुशंसा करते हैं, जो 2% से 12% की जनसंख्या में वास्तविक त्रुटि दर देता है।

दायरा

परीक्षण चरण मुख्य रूप से लक्ष्य उपयोगकर्ता के चेहरे की प्रतिकृति के विरुद्ध चेहरे प्रमाणीकरण के लचीलेपन को मापता है। यह गैर-प्रतिकृति आधारित हमलों जैसे एलईडी का उपयोग, या पैटर्न जो मुख्य प्रिंट के रूप में कार्य करते हैं, को संबोधित नहीं करता है। हालाँकि इन्हें अभी तक गहराई-आधारित चेहरा प्रमाणीकरण प्रणालियों के विरुद्ध प्रभावी नहीं दिखाया गया है, लेकिन ऐसा कुछ भी नहीं है जो वैचारिक रूप से इसे सच होने से रोकता है। यह संभव और प्रशंसनीय दोनों है कि भविष्य के शोध से यही पता चलेगा। इस बिंदु पर, इन हमलों के खिलाफ लचीलेपन को मापने को शामिल करने के लिए इस प्रोटोकॉल को संशोधित किया जाएगा।

फ़िंगरप्रिंट प्रमाणीकरण

एंड्रॉइड 9 में, बार को पीएआई के लिए न्यूनतम लचीलेपन पर सेट किया गया था, जिसे स्पूफ स्वीकृति दर (एसएआर) द्वारा मापा गया था जो कि 7% से कम या उसके बराबर है। विशेष रूप से 7% क्यों है इसका एक संक्षिप्त तर्क इस ब्लॉग पोस्ट में पाया जा सकता है।

मूल्यांकन प्रक्रिया

मूल्यांकन प्रक्रिया दो चरणों से बनी है। अंशांकन चरण किसी दिए गए फिंगरप्रिंट प्रमाणीकरण समाधान (अर्थात, कैलिब्रेटेड स्थिति) के लिए इष्टतम प्रस्तुति हमले को निर्धारित करता है। परीक्षण चरण कई हमलों को करने के लिए कैलिब्रेटेड स्थिति का उपयोग करता है और यह मूल्यांकन करता है कि हमला कितनी बार सफल हुआ। एंड्रॉइड डिवाइस और बायोमेट्रिक सिस्टम के निर्माताओं को इस फॉर्म को सबमिट करके नवीनतम परीक्षण मार्गदर्शन के लिए एंड्रॉइड से संपर्क करना चाहिए।

अंशांकन चरण

फ़िंगरप्रिंट प्रमाणीकरण के लिए तीन पैरामीटर हैं जिन्हें परीक्षण चरण के लिए इष्टतम मान सुनिश्चित करने के लिए अनुकूलित करने की आवश्यकता है: प्रस्तुति आक्रमण उपकरण (पीएआई), प्रस्तुति प्रारूप, और विषय विविधता में प्रदर्शन

  • पीएआई भौतिक स्पूफ है, जैसे मुद्रित उंगलियों के निशान या ढाली गई प्रतिकृति सभी प्रस्तुति मीडिया के उदाहरण हैं। निम्नलिखित स्पूफ सामग्रियों की पुरजोर अनुशंसा की जाती है
    • ऑप्टिकल फिंगरप्रिंट सेंसर (एफपीएस)
      • गैर-प्रवाहकीय स्याही के साथ कॉपी पेपर/पारदर्शिता
      • नॉक्स जिलेटिन
      • लेटेक्स रंग
      • एल्मर का गोंद सभी
    • कैपेसिटिव एफपीएस
      • नॉक्स जिलेटिन
      • एल्मर के बढ़ई का आंतरिक लकड़ी का गोंद
      • एल्मर का गोंद सभी
      • लेटेक्स रंग
    • अल्ट्रासोनिक एफपीएस
      • नॉक्स जिलेटिन
      • एल्मर के बढ़ई का आंतरिक लकड़ी का गोंद
      • एल्मर का गोंद सभी
      • लेटेक्स रंग
  • प्रस्तुतिकरण प्रारूप पीएआई या पर्यावरण के आगे हेरफेर से संबंधित है, जो स्पूफिंग में सहायता करता है। उदाहरण के लिए, 3डी प्रतिकृति बनाने से पहले फिंगरप्रिंट की उच्च रिज़ॉल्यूशन वाली छवि को सुधारना या संपादित करना।
  • विषय विविधता में प्रदर्शन एल्गोरिदम को ट्यून करने के लिए विशेष रूप से प्रासंगिक है। विषय लिंग, आयु समूहों और नस्लों/जातीयताओं में अंशांकन प्रवाह का परीक्षण अक्सर वैश्विक आबादी के क्षेत्रों के लिए काफी खराब प्रदर्शन को प्रकट कर सकता है और इस चरण में अंशांकन के लिए एक महत्वपूर्ण पैरामीटर है।
विविधता का परीक्षण

फ़िंगरप्रिंट रीडर के लिए लिंग, आयु समूह और नस्ल/जातीयता के आधार पर अलग-अलग प्रदर्शन करना संभव है। आबादी के एक छोटे प्रतिशत के पास उंगलियों के निशान हैं जिन्हें पहचानना मुश्किल है, इसलिए पहचान के लिए और स्पूफ परीक्षण में इष्टतम मापदंडों को निर्धारित करने के लिए विभिन्न प्रकार के उंगलियों के निशान का उपयोग किया जाना चाहिए।

परीक्षण चरण

परीक्षण चरण तब होता है जब बायोमेट्रिक सुरक्षा प्रदर्शन को मापा जाता है। कम से कम, परीक्षण असहयोगी तरीके से किया जाना चाहिए, जिसका अर्थ है कि एकत्र किए गए किसी भी फिंगरप्रिंट को किसी अन्य सतह से उठाकर किया जाता है, न कि लक्ष्य को अपने फिंगरप्रिंट के संग्रह में सक्रिय रूप से भाग लेने के लिए, जैसे कि सहकारी साँचा बनाना। विषय की उंगली. उत्तरार्द्ध की अनुमति है लेकिन आवश्यक नहीं है।

परीक्षण चरण में प्रयासों की गिनती

एक एकल प्रयास को सेंसर को फिंगरप्रिंट (वास्तविक या नकली) प्रस्तुत करने और फोन से कुछ फीडबैक प्राप्त करने (या तो एक अनलॉक इवेंट या उपयोगकर्ता द्वारा दिखाई देने वाला संदेश) के बीच की खिड़की के रूप में गिना जाता है।

कोई भी प्रयास जहां फोन मिलान का प्रयास करने के लिए पर्याप्त डेटा प्राप्त करने में असमर्थ है, उसे एसएआर की गणना करने के लिए उपयोग किए गए प्रयासों की कुल संख्या में शामिल नहीं किया जाना चाहिए।

मूल्यांकन प्रोटोकॉल

उपस्थिति पंजी

फ़िंगरप्रिंट प्रमाणीकरण के लिए अंशांकन चरण शुरू करने से पहले डिवाइस सेटिंग्स पर जाएँ और सभी मौजूदा बायोमेट्रिक प्रोफ़ाइल हटा दें। सभी मौजूदा प्रोफ़ाइल हटा दिए जाने के बाद, लक्ष्य फ़िंगरप्रिंट के साथ एक नई प्रोफ़ाइल नामांकित करें जिसका उपयोग अंशांकन और परीक्षण के लिए किया जाएगा। जब तक प्रोफ़ाइल सफलतापूर्वक नामांकित न हो जाए, तब तक स्क्रीन पर दिए गए सभी निर्देशों का पालन करें।

अंशांकन चरण

ऑप्टिकल एफपीएस

यह अल्ट्रासोनिक और कैपेसिटिव के अंशांकन चरणों के समान है, लेकिन लक्ष्य उपयोगकर्ता के फिंगरप्रिंट की 2डी और 2.5डी दोनों पीएआई प्रजातियों के साथ है।

  • फ़िंगरप्रिंट की एक गुप्त प्रतिलिपि को सतह से उठाएँ।
  • 2डी पीएआई प्रजातियों के साथ परीक्षण करें
    • उठाए गए फिंगरप्रिंट को सेंसर पर रखें
  • 2.5डी पीएआई प्रजातियों के साथ परीक्षण करें।
    • फ़िंगरप्रिंट का PAI बनाएं
    • पीएआई को सेंसर पर रखें
अल्ट्रासोनिक एफपीएस

अल्ट्रासोनिक के लिए कैलिब्रेटिंग में लक्ष्य फ़िंगरप्रिंट की एक गुप्त प्रतिलिपि उठाना शामिल है। उदाहरण के लिए, यह फ़िंगरप्रिंट पाउडर, या फ़िंगरप्रिंट की मुद्रित प्रतियों के माध्यम से उठाए गए फ़िंगरप्रिंट का उपयोग करके किया जा सकता है और इसमें बेहतर स्पूफ़ प्राप्त करने के लिए फ़िंगरप्रिंट छवि को मैन्युअल रूप से पुनः स्पर्श करना शामिल हो सकता है।

लक्ष्य फ़िंगरप्रिंट की गुप्त प्रतिलिपि प्राप्त होने के बाद, एक PAI बनाया जाता है।

कैपेसिटिव एफपीएस

कैपेसिटिव के लिए कैलिब्रेटिंग में अल्ट्रासोनिक कैलिब्रेशन के लिए ऊपर वर्णित समान चरण शामिल हैं।

परीक्षण चरण

  • एफआरआर/एफएआर की गणना करते समय उपयोग किए जाने वाले समान मापदंडों का उपयोग करके कम से कम 10 अद्वितीय लोगों को नामांकित करें
  • प्रत्येक व्यक्ति के लिए PAI बनाएं
  • एसएआर को तब मापा जा सकता है:
$$ \displaystyle SAR = \frac{\displaystyle\sum_{i=1}^{E}{S_i} }{(U * E)}\ {* 100\%} $$

त्रुटि दर के सांख्यिकीय रूप से मान्य नमूने प्राप्त करने के लिए आवश्यक पुनरावृत्तियाँ: नीचे दिए गए सभी के लिए 95% विश्वास धारणा, बड़ा एन

त्रुटि के मार्जिन प्रति विषय परीक्षण पुनरावृत्तियों की आवश्यकता है
1% 9595
2% 2401
3% 1067
5% 385
10% 97

आवश्यक समय (प्रति प्रयास 30 सेकंड, 10 विषय)

त्रुटि के मार्जिन कुल समय
1% 799.6 घंटे
2% 200.1 घंटे
3% 88.9 घंटे
5% 32.1 घंटे
10% 8.1 घंटे

हम 5% त्रुटि मार्जिन को लक्षित करने की अनुशंसा करते हैं, जो 2% से 12% की जनसंख्या में वास्तविक त्रुटि दर देता है।

दायरा

यह प्रक्रिया मुख्य रूप से लक्षित उपयोगकर्ता के फ़िंगरप्रिंट की प्रतिकृतियों के विरुद्ध फ़िंगरप्रिंट प्रमाणीकरण के लचीलेपन का परीक्षण करने के लिए स्थापित की गई है। परीक्षण पद्धति वर्तमान सामग्री लागत, उपलब्धता और प्रौद्योगिकी पर आधारित है। इस प्रोटोकॉल को नई सामग्रियों और तकनीकों के खिलाफ लचीलेपन को मापने के लिए संशोधित किया जाएगा क्योंकि वे निष्पादित करने के लिए व्यावहारिक हो जाएंगे।

सामान्य विचार

जबकि प्रत्येक तौर-तरीके के लिए एक अलग परीक्षण सेटअप की आवश्यकता होती है, कुछ सामान्य पहलू हैं जो उन सभी पर लागू होते हैं।

वास्तविक हार्डवेयर का परीक्षण करें

एकत्रित एसएआर/आईएआर मेट्रिक्स तब गलत हो सकते हैं जब बायोमेट्रिक मॉडल का परीक्षण आदर्श परिस्थितियों में और किसी मोबाइल डिवाइस पर वास्तव में दिखाई देने वाले हार्डवेयर से भिन्न हार्डवेयर पर किया जाता है। उदाहरण के लिए, वॉयस अनलॉक मॉडल जो मल्टी-माइक्रोफोन सेटअप का उपयोग करके एनीकोइक कक्ष में कैलिब्रेट किए जाते हैं, शोर वाले वातावरण में एकल माइक्रोफोन डिवाइस पर उपयोग किए जाने पर बहुत अलग व्यवहार करते हैं। सटीक मेट्रिक्स प्राप्त करने के लिए, हार्डवेयर स्थापित करने के साथ एक वास्तविक डिवाइस पर परीक्षण किया जाना चाहिए, और ऐसा न होने पर हार्डवेयर के साथ वैसा ही किया जाना चाहिए जैसा कि यह डिवाइस पर दिखाई देगा।

ज्ञात हमलों का प्रयोग करें

आज उपयोग में आने वाले अधिकांश बायोमेट्रिक तौर-तरीकों को सफलतापूर्वक धोखा दिया गया है, और हमले की पद्धति का सार्वजनिक दस्तावेज मौजूद है। नीचे हम ज्ञात हमलों के तौर-तरीकों के लिए परीक्षण सेटअप का एक संक्षिप्त उच्च-स्तरीय अवलोकन प्रदान करते हैं। जहां भी संभव हो हम यहां उल्लिखित सेटअप का उपयोग करने की सलाह देते हैं।

नए हमलों की आशा करें

उन तौर-तरीकों के लिए जहां महत्वपूर्ण नए सुधार किए गए हैं, परीक्षण सेटअप दस्तावेज़ में उपयुक्त सेटअप नहीं हो सकता है, और कोई ज्ञात सार्वजनिक हमला मौजूद नहीं हो सकता है। नए खोजे गए हमले के मद्देनजर मौजूदा तौर-तरीकों को भी अपने परीक्षण सेटअप की आवश्यकता हो सकती है। दोनों ही मामलों में आपको एक उचित परीक्षण सेटअप तैयार करना होगा। कृपया हमें यह बताने के लिए इस पृष्ठ के नीचे साइट फीडबैक लिंक का उपयोग करें कि क्या आपने कोई उचित तंत्र स्थापित किया है जिसे जोड़ा जा सकता है।

विभिन्न तौर-तरीकों के लिए सेटअप

अंगुली की छाप

आईएआर जरूरत नहीं।
एसएआर
  • लक्ष्य फ़िंगरप्रिंट के एक सांचे का उपयोग करके 2.5D PAI बनाएं।
  • माप सटीकता फ़िंगरप्रिंट मोल्ड की गुणवत्ता के प्रति संवेदनशील है। डेंटल सिलिकॉन एक अच्छा विकल्प है।
  • परीक्षण सेटअप को यह मापना चाहिए कि मोल्ड के साथ बनाया गया नकली फिंगरप्रिंट कितनी बार डिवाइस को अनलॉक करने में सक्षम है।

चेहरा और आईरिस

आईएआर निचली सीमा को एसएआर द्वारा कैप्चर किया जाएगा इसलिए इसे अलग से मापने की आवश्यकता नहीं है।
एसएआर
  • लक्ष्य के चेहरे की तस्वीरों के साथ परीक्षण करें। आईरिस के लिए, उपयोगकर्ता द्वारा सामान्य रूप से सुविधा का उपयोग करने की दूरी की नकल करने के लिए चेहरे को ज़ूम इन करने की आवश्यकता होगी।
  • तस्वीरें उच्च रिज़ॉल्यूशन वाली होनी चाहिए, अन्यथा परिणाम भ्रामक होंगे।
  • फ़ोटो को इस तरह प्रस्तुत नहीं किया जाना चाहिए जिससे पता चले कि वे छवियाँ हैं। उदाहरण के लिए:
    • छवि सीमाएँ शामिल नहीं की जानी चाहिए
    • यदि फ़ोटो फ़ोन पर है, तो फ़ोन स्क्रीन/बेज़ल दिखाई नहीं देने चाहिए
    • अगर कोई फोटो पकड़ रहा है तो उसके हाथ नहीं दिखने चाहिए
  • सीधे कोणों के लिए, फोटो को सेंसर को भरना चाहिए ताकि बाहर कुछ भी न देखा जा सके।
  • चेहरा और आईरिस मॉडल आम तौर पर अधिक अनुमेय होते हैं जब नमूना (चेहरा/आईरिस/फोटो) कैमरे के तीव्र कोण पर होता है (उपयोगकर्ता के उपयोग के मामले की नकल करने के लिए फोन को सीधे उनके सामने पकड़कर अपने चेहरे की ओर इशारा करते हुए) ). इस कोण पर परीक्षण करने से यह निर्धारित करने में मदद मिलेगी कि आपका मॉडल स्पूफिंग के लिए अतिसंवेदनशील है या नहीं।
  • परीक्षण सेटअप को यह मापना चाहिए कि चेहरे या आईरिस की छवि कितनी बार डिवाइस को अनलॉक करने में सक्षम है।

आवाज़

आईएआर
  • एक सेटअप का उपयोग करके परीक्षण करें जहां प्रतिभागी एक सकारात्मक नमूना सुनते हैं और फिर उसकी नकल करने का प्रयास करते हैं।
  • विभिन्न लिंगों और अलग-अलग उच्चारण वाले प्रतिभागियों के साथ मॉडल का परीक्षण करें ताकि उन किनारे वाले मामलों की कवरेज सुनिश्चित की जा सके जहां कुछ स्वर/उच्चारण का एफएआर अधिक है।
एसएआर
  • लक्ष्य की आवाज की रिकॉर्डिंग के साथ परीक्षण करें।
  • रिकॉर्डिंग यथोचित उच्च गुणवत्ता की होनी चाहिए, अन्यथा परिणाम भ्रामक होंगे।