Para serem consideradas compatíveis com o Android, as implementações de dispositivos precisam atender aos requisitos apresentados no Documento de definição de compatibilidade do Android (CDD). O CDD do Android avalia a segurança implementação biométrica usando segurança arquitetônica e falsificação.
- Segurança da arquitetura: a resiliência de um pipeline biométrico contra comprometimento do kernel ou da plataforma. Um pipeline é considerado seguro se os comprometimentos do kernel e da plataforma não conferirem a capacidade de ler dados brutos dados biométricos ou injetar dados sintéticos no pipeline para influenciar decisão de autenticação.
- Desempenho da segurança biométrica:segurança biométrica o desempenho é medido com base na Aceitação de spoofing, de taxa (SAR), taxa de aceitação falsa (FAR) e, quando aplicável, impostor Taxa de aceitação (IAR) da biometria. A SAR é uma métrica lançada no Android 9 para medir a resiliência de uma biometria contra um ataque de apresentação física. Ao medir a biometria, você precisa seguir os protocolos descritos abaixo.
O Android usa três tipos de métricas para medir o desempenho da segurança biométrica.
- Taxa de aceitação de spoofing (SAR, na sigla em inglês): define a métrica da chance de um modelo biométrico aceitar uma amostra conhecida e gravada anteriormente. Por exemplo, com o desbloqueio por voz, isso mediria as chances de desbloquear o smartphone de um usuário usando uma amostra gravada dele dizendo: "Ok Google". Chamamos esses ataques de ataques de spoofing. Também conhecida como taxa de correspondência de apresentação de ataque de impostor (IAPMR, na sigla em inglês).
- Taxa de aceitação do impostor (IAR, na sigla em inglês): define a métrica do chance de um modelo biométrico aceitar uma entrada destinada a imitar uma boa forma conhecida amostra. Por exemplo, no mecanismo de voz confiável (desbloqueio por voz) do Smart Lock, isso mediria a frequência com que alguém tenta imitar a voz de um usuário (usando tom e sotaque semelhantes) para desbloquear o dispositivo. Chamamos esses ataques de ataques de falsificação de identidade.
- Taxa de aceitação falsa (FAR, na sigla em inglês): define as métricas de como muitas vezes um modelo aceita erroneamente uma entrada incorreta escolhida aleatoriamente. Embora isso é uma medida útil, mas não fornece informações suficientes para avaliar como o modelo resiste bem a ataques direcionados.
Agentes de confiança
O Android 10 muda o comportamento dos agentes de confiança. Os agentes de confiança não podem desbloquear só poderão estender a duração do desbloqueio para um dispositivo que já esteja desbloqueada. O recurso Rosto de confiança foi descontinuado no Android 10.
Classes biométricas
A segurança biométrica é classificada usando os resultados dos testes de segurança de arquitetura e spoofability. Uma implementação biométrica pode ser classificada como Classe 3 (anteriormente Forte), Classe 2 (anteriormente Fraca) ou Classe 1 (anteriormente Conveniente). A tabela abaixo descreve requisitos gerais para cada classe biométrica.
Para mais detalhes, consulte a documentação do Android CDD.
Classe biométrica | Métricas | Pipeline biométrico | Restrições |
---|---|---|---|
Classe 3 (anteriormente Strong) |
SAR de todas as espécies de PAI: 0 a 7% SAR de espécies de PAI de nível A: <=7% SAR de espécies de PAI de nível B: <=20% SAR de qualquer espécie de PAI individual <= 40% (recomendado <= 7%) FAR: 1/50k FRR: 10% |
Seguro |
|
Classe 2 (anteriormente Fraco) |
SAR de todas as espécies de PAI: 7% a 20% SAR de espécies PAI de nível A: Menor ou igual a 20% SAR para espécies PAI de nível B: Menor ou igual a 30% SAR de qualquer espécie PAI individual <= 40% (altamente recomendado menos de 20%) FAR: 1/50 mil FR: 10% |
Seguro |
|
Classe 1 (antiga Conveniência) |
SAR de todas as espécies PAI: 20% a 30% SAR de espécies PAI de nível A: Menor ou igual a 30% SAR para espécies PAI de nível B: Menor ou igual a 40% SAR de qualquer espécie PAI individual <= 40% (altamente recomendado menos de 30%) FAR: 1/50 mil FR: 10% |
Não seguro ou protegido |
|
Modalidades de Classe 3, Classe 2 e Classe 1
As classes de segurança biométrica são atribuídas com base na presença de um pipeline seguro e nas três taxas de aceitação: FAR, IAR e SAR. Nos casos em que um um ataque de impostor não existe, consideramos apenas a FAR e a SAR.
Consulte a documentação do Documento de definição de compatibilidade (CDD, na sigla em inglês) das medidas a serem tomadas para todos desbloquear modalidades.
Autenticação facial e de íris
Processo de avaliação
O processo de avaliação é composto por duas fases. A fase de calibragem determina o ataque de apresentação ideal para uma determinada solução de autenticação (que é a posição calibrada). A fase de teste usa a posição calibrada para realizar vários ataques e avalia o número de vezes que o ataque foi bem-sucedido. Fabricantes de dispositivos Android e sistemas biométricos deve entrar em contato com o Android para receber orientações atualizadas sobre o teste enviando este formulário.
É importante determinar primeiro a posição calibrada, pois a SAR só devem ser medidos usando ataques contra o ponto mais fraco nos no sistema.
Fase de calibragem
Há três parâmetros para a autenticação de rosto e íris que precisam ser otimizados durante a fase de calibração para garantir valores ideais para a fase de teste: instrumento de ataque de apresentação (PAI, na sigla em inglês), formato de apresentação e desempenho em diferentes sujeitos.
FACE
|
IRIS
|
Diversidade de testes
É possível que os modelos de rosto e íris tenham desempenhos diferentes em gêneros, grupos etários e raças/etnias. Calibre os ataques de apresentação em várias faces para maximizar as chances de descobrir lacunas na performance.
Fase de teste
A fase de teste é quando o desempenho da segurança biométrica é medido usando o de apresentação otimizada da fase anterior.
Contagem de tentativas na fase de teste
Uma única tentativa é contada como o período entre a apresentação de um rosto (real ou falso) e o recebimento de algum feedback do smartphone (um evento de desbloqueio ou uma mensagem visível para o usuário). Todas as tentativas em que o smartphone não recebe dados suficientes para tentar uma correspondência não deve ser incluído no número total de tentativas para calcular a SAR.
Protocolo de avaliação
Registro
Antes de iniciar a fase de calibração para a autenticação facial ou da íris, acesse as configurações do dispositivo e remova todos os perfis biométricos. Depois que todos os perfis existentes forem removidos, registre um novo com o rosto ou íris alvo que serão usados para calibração e testes. É importante estar em um ambiente bem iluminado ao adicionar um novo perfil de rosto ou íris e que o dispositivo esteja posicionado corretamente na frente do rosto alvo a uma distância de 20 a 80 cm.
Fase de calibragem
Realize a fase de calibração para cada uma das espécies de PAI, porque espécies diferentes têm tamanhos e outras características que podem afetar as condições ideais para o teste. Prepare o PAI.
FACE
|
IRIS
|
Realizar a fase de calibragem
Posições de referência
- Posição de referência: a posição de referência é determinados colocando o PAI a uma distância apropriada (20-80 cm) à frente o dispositivo de modo em que a PAI esteja claramente visível no campo de visão dele mas qualquer outra coisa em uso (como um suporte para a PAI) não fica visível.
- Plano de referência horizontal: enquanto o PAI está na posição de referência, o plano horizontal entre o dispositivo e o PAI é o plano de referência horizontal.
- Plano de referência vertical: enquanto o PAI está na posição de referência, o plano vertical entre o dispositivo e o PAI é o plano de referência vertical.
Figura 1. Planos de referência.
Arco vertical
Determine a posição de referência e teste o PAI em um arco vertical mantendo a mesma distância do dispositivo que a posição de referência. Aumentar a PAI no mesmo plano vertical, criando um ângulo de 10 graus entre as dispositivo e plano de referência horizontal e teste o desbloqueio facial.
Continue a aumentar e testar o PAI em incrementos de 10 graus até que o PAI seja não ficará mais visível no campo de visão dos dispositivos. Registre todas as posições que desbloqueou o dispositivo. Repita esse processo, mas movendo o PAI em um arco para baixo, abaixo do plano de referência horizontal. Consulte a Figura 3 abaixo para conferir um exemplo dos testes de arco.
Arco horizontal
Retorne o PAI à posição de referência e mova-o ao longo do plano horizontal para criar um ângulo de 10 graus com o plano de referência vertical. Execute o teste de arco vertical com o PAI nesta nova posição. Mova o PAI ao longo do plano horizontal em incrementos de 10 graus e realize o teste de arco vertical em cada nova posição.
Figura 1. Teste no arco vertical e horizontal.
Os testes de arco precisam ser repetidos em incrementos de 10 graus para o lado esquerdo lado direito e acima e abaixo do dispositivo.
A posição que produz os resultados de desbloqueio mais confiáveis é a posição calibrada para o tipo de espécie PAI (por exemplo, espécies PAI 2D ou 3D).
Fase de teste
Ao final da fase de calibração, deve haver uma posição calibrada por espécie de PAI. Se não for possível estabelecer uma posição calibrada, use a posição de referência. A metodologia de teste é comum para testar espécies de PAI 2D e 3D.
- Em rostos registrados, em que E>= 10 e inclui pelo menos 10 rostos
únicos.
- Registrar rosto/íris
- Usando a posição calibrada da fase anterior, faça tentativas de desbloqueio U, contando as tentativas conforme descrito na seção anterior, e onde U >= 10. Registre o número de desbloqueios bem-sucedidos S:
- O SAR pode ser medido da seguinte forma:
Em que:
- E = o número de matrículas
- U = o número de tentativas de desbloqueio por registro
- Si = o número de desbloqueios bem-sucedidos para o registro i
Iterações necessárias para conseguir amostras estatisticamente válidas de taxas de erro: 95% suposição de confiança para todos abaixo, N grandes
Margem de erro | Iterações de teste necessárias por sujeito |
---|---|
1% | 9595 |
2% | 2401 |
3% | 1067 |
5% | 385 |
10% | 97 |
Tempo necessário (30 segundos por tentativa, 10 pessoas)
Margem de erro | Duração total |
---|---|
1% | 799,6 horas |
2% | 200,1 horas |
3% | 88,9 horas |
5% | 32,1 horas |
10% | 8,1 horas |
Recomendamos uma margem de erro de 5%, que proporciona uma taxa de erro real a população de 2% a 12%.
Escopo
A fase de teste mede a resiliência da autenticação facial principalmente em relação a fac-símiles do rosto do usuário de destino. Ele não atende a chamadas de não fax baseados em ataques, como o uso de LEDs ou padrões que atuam como pegadas principais. Embora eles ainda não tenham sido comprovados como eficazes contra sistemas de autenticação facial baseados em profundidade, não há nada que impeça conceitualmente que isso aconteça. É possível e plausível que pesquisas futuras mostrem esse resultado. Neste ponto, este protocolo será revisado para incluir medir a resiliência contra esses ataques.
Autenticação por impressão digital
No Android 9, a barra foi definida com uma resiliência mínima para PAIs, medida por uma taxa de aceitação de falsificação (SAR, na sigla em inglês) menor ou igual a 7%. Uma breve explicação do motivo pelo qual 7% especificamente, podem ser encontradas neste postagem do blog.
Processo de avaliação
O processo de avaliação é composto por duas fases. O fase de calibração determina o valor de apresentação para determinada solução de autenticação por impressão digital (ou seja, a posição calibrada). A fase de teste usa a posição calibrada para realizar vários ataques e avalia o número de vezes que o ataque foi bem-sucedido. Os fabricantes de dispositivos Android e sistemas biometrias precisam entrar em contato com o Android para receber as orientações de teste mais atualizadas. Para isso, envie este formulário.
Fase de calibração
Há três parâmetros para a autenticação por impressão digital otimizada para garantir os valores ideais para a fase de teste: a apresentação instrumento de ataque (PAI), formato de apresentação e desempenho em todas diversidade
- A PAI é a falsificação física, como impressões
digitais impressas ou uma réplica moldada, que são exemplos de mídia de apresentação. Os
materiais de falsificação a seguir são altamente recomendados
- Sensores ópticos de impressão digital (FPS)
- Papel de cópia/transparência com tinta não condutora
- Knox Gelatin
- Tinta látex
- Elmer's Glue All
- QPS capacitivo
- Knox gelatina
- Cola de madeira para interiores da Elmer's Carpenter
- Elmer's Glue tudo
- Tinta látex
- QPS ultrassônico
- Knox gelatina
- Cola de madeira para interiores da Elmer's Carpenter
- Elmer's Glue tudo
- Tinta látex
- Sensores ópticos de impressão digital (FPS)
- O formato de apresentação se refere a mais manipulação do PAI ou do ambiente, de uma forma que ajude a falsificação. Por exemplo, o retoque ou editar uma imagem de alta resolução de uma impressão digital antes de criar o 3D réplica.
- A performance na diversidade de assuntos é especialmente relevante para ajustar o algoritmo. Testar o fluxo de calibração entre gêneros de assunto, faixas etárias e raças/etnias podem revelar significativamente piores o desempenho de segmentos da população global e é um parâmetro importante para calibrar nesta fase.
Diversidade de testes
É possível que os leitores de impressão digital tenham um desempenho diferente em cada gênero, faixas etárias e raças/etnias. Uma pequena porcentagem da população tem impressões digitais difíceis de reconhecer, portanto, uma variedade de impressões digitais deve ser usado para determinar os parâmetros ideais para reconhecimento e para imitação testes.
Fase de teste
A fase de teste é quando o desempenho da segurança biométrica é medido. Em um No mínimo, os testes devem ser feitos de maneira não cooperativa, ou seja, qualquer as impressões digitais coletadas são feitas tirando-as de outra superfície enquanto em vez de fazer com que o alvo participe ativamente da coleta impressão digital, como fazer um molde cooperativo do dedo da pessoa. O último é permitido, mas não obrigatório.
Contar tentativas na fase de teste
Uma única tentativa é contabilizada como o período entre a apresentação de uma impressão digital (real ou falsificada) ao sensor e o recebimento de algum feedback do smartphone (um evento de desbloqueio ou uma mensagem visível para o usuário).
As tentativas em que o smartphone não consegue coletar dados suficientes para tentar uma correspondência não devem ser incluídas no número total de tentativas usadas para calcular a SAR.
Protocolo de avaliação
Registro
Antes de iniciar a fase de calibração para a autenticação por impressão digital, navegue até as configurações do dispositivo e remova todos os perfis biométricos. Afinal de contas perfis existentes forem removidos, registre um novo perfil com o destino impressão digital que será usada para calibração e teste. Siga todas as instruções na tela até que o perfil seja registrado.
Fase de calibragem
QPS óptico
Isso é semelhante às fases de calibração dos sensores ultrassônico e capacitivo, mas com espécies PAI 2D e 2,5D da impressão digital do usuário-alvo.
- Eleve uma cópia latente da impressão digital de uma superfície.
- Testar com espécies de PAI 2D
- Coloque a impressão digital levantada no sensor
- Teste com espécies de PAI 2.5D.
- Criar uma PAI da impressão digital
- Colocar o PAI no sensor
QPS ultrassônico
A calibragem para ultrassom envolve a extração de uma cópia latente da impressão digital alvo. Por exemplo, isso pode ser feito usando impressões digitais coletadas com pó para impressão digital ou cópias impressas de uma impressão digital e pode incluir retoques manuais da imagem da impressão digital para obter uma falsificação melhor.
Depois que a cópia latente da impressão digital de destino é obtida, uma PAI é feita.
QPS capacitivo
A calibração capacitiva envolve as mesmas etapas descritas acima para a calibração ultrassônica.
Fase de teste
- Faça com que pelo menos 10 pessoas diferentes se inscrevam usando os mesmos parâmetros usados ao calcular a FRR/FAR
- Criar PAIs para cada pessoa
- A SAR pode ser medida como:
Iterações necessárias para conseguir amostras estatisticamente válidas de taxas de erro: suposição de confiança de 95% para todos os valores abaixo, N grande
Margem de erro | Iterações de teste necessárias por sujeito |
---|---|
1% | 9595 |
2% | 2401 |
3% | 1067 |
5% | 385 |
10% | 97 |
Tempo necessário (30 segundos por tentativa, 10 pessoas)
Margem de erro | Duração total |
---|---|
1% | 799,6 horas |
2% | 200,1 horas |
3% | 88,9 horas |
5% | 32,1 horas |
10% | 8,1 horas |
Recomendamos uma margem de erro de 5%, que proporciona uma taxa de erro real a população de 2% a 12%.
Escopo
Esse processo é configurado para testar a resiliência da autenticação por impressão digital principalmente por fax com a impressão digital do usuário-alvo. Os testes é baseada nos custos atuais de materiais, disponibilidade e tecnologia. Esse protocolo será revisado para incluir a medição da resiliência em relação a novos materiais e técnicas à medida que se tornarem práticos de executar.
Considerações comuns
Embora cada modalidade exija uma configuração de teste diferente, há algumas que se aplicam a todas elas.
Testar o hardware real
As métricas de SAR/IAR coletadas podem ser imprecisas quando os modelos biométricos são testados em condições ideais e em hardware diferente do que realmente apareceria em um dispositivo móvel. Por exemplo, modelos de desbloqueio por voz que são calibrados em uma câmara anecóica usando um conjunto com vários microfones se comportam de maneira muito diferente quando usada em um único microfone e em um ambiente barulhento. Para para capturar métricas precisas, os testes devem ser realizados em um dispositivo real com do hardware instalado. Caso isso aconteça com o hardware, o dispositivo.
Usar ataques conhecidos
A maioria das modalidades biométricas em uso atualmente foram falsificadas, e existe documentação pública da metodologia de ataque. Confira a seguir visão geral de alto nível das configurações de teste para modalidades com ataques conhecidos. Qa use a configuração descrita aqui sempre que possível.
Prever novos ataques
Para modalidades em que foram feitas novas melhorias significativas, o teste de configuração do Terraform pode não conter uma configuração adequada, e nenhum ataque público conhecido pode existem. As modalidades atuais também podem precisar de ajustes na configuração do teste após um ataque recém-descoberto. Em ambos os casos, você precisa criar uma configuração de teste razoável. Use o site Link de feedback na parte inferior desta página para informar se você configurou uma um mecanismo razoável que pode ser adicionado.
Configurações para diferentes modalidades
Impressão digital
IAR | Não é necessário. |
SAR |
|
Rosto e íris
IAR | O limite inferior será capturado pelo SAR, portanto, não é necessário medir isso separadamente. |
SAR |
|
Voz
IAR |
|
SAR |
|