Pour être considérées comme compatibles avec Android, les implémentations d'appareils doivent répondre aux exigences présentées dans le document de définition de compatibilité Android (CDD) . Le CDD Android évalue la sécurité d'une implémentation biométrique à l'aide de la sécurité architecturale et de l'usurpation d'identité .
- Sécurité architecturale : La résilience d'un pipeline biométrique contre la compromission du noyau ou de la plate-forme. Un pipeline est considéré comme sécurisé si les compromis du noyau et de la plate-forme ne confèrent pas la capacité de lire des données biométriques brutes ou d'injecter des données synthétiques dans le pipeline pour influencer la décision d'authentification.
- Performances de sécurité biométriques : Les performances de sécurité biométriques sont mesurées par le Spoof Acceptance Rate (SAR) , le False Acceptance Rate (FAR) et, le cas échéant, le Imposter Acceptance Rate (IAR) de la biométrie. Le SAR est une métrique introduite dans Android 9 pour mesurer la résilience d'une biométrie contre une attaque de présentation physique. Lors de la mesure de la biométrie, vous devez suivre les protocoles décrits ci-dessous.
Android utilise trois types de métriques pour mesurer les performances de la sécurité biométrique.
- Spoof Acceptance Rate (SAR) : Définit la métrique de la probabilité qu'un modèle biométrique accepte un bon échantillon connu précédemment enregistré. Par exemple, avec le déverrouillage vocal, cela mesurerait les chances de déverrouiller le téléphone d'un utilisateur en utilisant un échantillon enregistré d'eux disant : "Ok, Google". Nous appelons de telles attaques Spoof Attacks . Également connu sous le nom de taux de correspondance de présentation d'attaque d'imposteur (IAPMR).
- Imposter Acceptance Rate (IAR) : définit la mesure de la probabilité qu'un modèle biométrique accepte une entrée destinée à imiter un bon échantillon connu. Par exemple, dans le mécanisme de voix de confiance Smart Lock (déverrouillage de la voix), cela mesurerait la fréquence à laquelle une personne essayant d'imiter la voix d'un utilisateur (en utilisant un ton et un accent similaires) peut déverrouiller son appareil. Nous appelons ces attaques des attaques d' imposteurs .
- Taux de fausses acceptations (FAR) : Définit les mesures de la fréquence à laquelle un modèle accepte par erreur une entrée incorrecte choisie au hasard. Bien qu'il s'agisse d'une mesure utile, elle ne fournit pas suffisamment d'informations pour évaluer dans quelle mesure le modèle résiste aux attaques ciblées.
Agents de confiance
Android 10 modifie le comportement des agents de confiance. Les agents de confiance ne peuvent pas déverrouiller un appareil, ils peuvent uniquement prolonger la durée de déverrouillage d'un appareil déjà déverrouillé. Le visage de confiance est obsolète dans Android 10.
Classes biométriques
La sécurité biométrique est classée à l'aide des résultats des tests de sécurité architecturale et d'usurpation d'identité. Une implémentation biométrique peut être classée dans la classe 3 (anciennement forte) , la classe 2 (anciennement faible) ou la classe 1 (anciennement pratique) . Le tableau ci-dessous décrit chaque classe pour les nouveaux appareils Android.
Classe biométrique | Métrique | Pipeline biométrique | Contraintes |
---|---|---|---|
Classe 3 (anciennement fort) | DAS : 0-7 % LOIN : 1/50k FRR : 10 % | Sécurisé |
|
Classe 2 (anciennement faible) | DAS : 7-20 % LOIN : 1/50k FRR : 10 % | Sécurisé |
|
Classe 1 (anciennement Commodité) | DAS : > 20 % LOIN : 1/50k FRR : 10 % | Non sécurisé/sécurisé |
|
Modalités de classe 3 vs classe 2 vs classe 1
Les classes de sécurité biométriques sont attribuées en fonction de la présence d'un pipeline sécurisé et des trois taux d'acceptation - FAR, IAR et SAR. Dans les cas où une attaque d'imposteur n'existe pas, nous ne considérons que le FAR et le SAR.
Voir le document de définition de compatibilité Android (CDD) pour les mesures à prendre pour toutes les modalités de déverrouillage.
Authentification du visage et de l'iris
Processus d'évaluation
Le processus d'évaluation se compose de deux phases. La phase de calibrage détermine l'attaque de présentation optimale pour une solution d'authentification donnée (c'est-à-dire la position calibrée). La phase de test utilise la position calibrée pour effectuer plusieurs attaques et évalue le nombre de fois que l'attaque a réussi. Les fabricants d'appareils Android et de systèmes biométriques doivent contacter Android pour obtenir les conseils de test les plus récents en envoyant ce formulaire .
Il est important de déterminer d'abord la position calibrée car le SAR ne doit être mesuré qu'en utilisant des attaques contre le plus grand point de faiblesse du système.
Phase d'étalonnage
Trois paramètres d'authentification du visage et de l'iris doivent être optimisés pendant la phase d'étalonnage afin de garantir des valeurs optimales pour la phase de test : l'instrument d'attaque de présentation (PAI), le format de présentation et les performances dans la diversité des sujets.
VISAGE
|
IRIS
|
Tester la diversité
Il est possible que les modèles de visage et d'iris fonctionnent différemment selon les sexes, les groupes d'âge et les races/ethnies. Calibrez les attaques de présentation sur une variété de visages pour maximiser les chances de découvrir des lacunes dans les performances.
Phase d'essai
La phase de test correspond à la mesure des performances de sécurité biométrique à l'aide de l'attaque de présentation optimisée de la phase précédente.
Comptage des tentatives en phase de test
Une seule tentative est comptée comme la fenêtre entre la présentation d'un visage (réel ou falsifié) et la réception de commentaires du téléphone (soit un événement de déverrouillage, soit un message visible par l'utilisateur). Toute tentative où le téléphone est incapable d'obtenir suffisamment de données pour tenter une correspondance ne doit pas être incluse dans le nombre total de tentatives utilisées pour calculer le SAR.
Protocole d'évaluation
Inscription
Avant de commencer la phase d'étalonnage pour l'authentification du visage ou de l'iris, accédez aux paramètres de l'appareil et supprimez tous les profils biométriques existants. Une fois tous les profils existants supprimés, enregistrez un nouveau profil avec le visage cible ou l'iris qui sera utilisé pour l'étalonnage et les tests. Il est important d'être dans un environnement très éclairé lors de l'ajout d'un nouveau profil de visage ou d'iris et que l'appareil soit correctement situé directement devant le visage cible à une distance de 20 cm à 80 cm.
Phase d'étalonnage
Effectuez la phase d'étalonnage pour chacune des espèces PAI car différentes espèces ont des tailles différentes et d'autres caractéristiques qui peuvent affecter les conditions optimales pour les tests. Préparer le PAI.
VISAGE
|
IRIS
|
Conduite de la phase de calibrage
Positions de référence
- Position de référence : la position de référence est déterminée en plaçant le PAI à une distance appropriée (20-80 cm) devant l'appareil de manière à ce que le PAI soit clairement visible dans la vue de l'appareil, mais tout autre élément utilisé (comme un support pour le PAI) n'est pas visible.
- Plan de référence horizontal : Lorsque le PAI est en position de référence, le plan horizontal entre l'appareil et le PAI est le plan de référence horizontal.
- Plan de référence vertical : Lorsque le PAI est en position de référence, le plan vertical entre l'appareil et le PAI est le plan de référence vertical.

Arc vertical
Déterminez la position de référence puis testez le PAI dans un arc vertical en maintenant la même distance de l'appareil que la position de référence. Soulevez le PAI dans le même plan vertical, en créant un angle de 10 degrés entre l'appareil et le plan de référence horizontal et testez le déverrouillage du visage.
Continuez à augmenter et à tester le PAI par incréments de 10 degrés jusqu'à ce que le PAI ne soit plus visible dans le champ de vision de l'appareil. Enregistrez toutes les positions qui ont réussi à déverrouiller l'appareil. Répétez ce processus mais en déplaçant le PAI dans un arc vers le bas, sous le plan de référence horizontal. Voir la figure 3 ci-dessous pour un exemple des tests d'arc.
Arc horizontal
Ramenez le PAI à la position de référence, puis déplacez-le le long du plan horizontal pour créer un angle de 10 degrés avec le plan de référence vertical. Effectuez le test d'arc vertical avec le PAI dans cette nouvelle position. Déplacez le PAI le long du plan horizontal par incréments de 10 degrés et effectuez le test d'arc vertical dans chaque nouvelle position.
Les tests d'arc doivent être répétés par incréments de 10 degrés pour les côtés gauche et droit de l'appareil ainsi qu'au-dessus et en dessous de l'appareil.
La position qui donne les résultats de déverrouillage les plus fiables est la position calibrée pour le type d'espèce PAI (par exemple, espèce PAI 2D ou 3D).
Phase de test
À la fin de la phase de calibrage, il devrait y avoir une position calibrée par espèce de PAI. Si une position calibrée ne peut pas être établie, la position de référence doit être utilisée. La méthodologie de test est commune pour tester les espèces PAI 2D et 3D.
- Parmi les visages inscrits, où E>= 10, et comprend au moins 10 visages uniques.
- Inscrire le visage/l'iris
- En utilisant la position calibrée de la phase précédente, effectuez U tentatives de déverrouillage, en comptant les tentatives comme décrit dans la section précédente, et où U >= 10. Enregistrez le nombre de déverrouillages réussis S .
- Le DAS peut alors être mesuré comme suit :
Où:
- E = le nombre d'inscriptions
- U = le nombre de tentatives de déverrouillage par inscription
- Si = le nombre de déverrouillages réussis pour l'inscription i
Itérations nécessaires pour obtenir des échantillons statistiquement valides de taux d'erreur : hypothèse de confiance de 95 % pour tous les éléments ci-dessous, grand N
Marge d'erreur | Itérations de test requises par sujet |
---|---|
1% | 9595 |
2% | 2401 |
3% | 1067 |
5% | 385 |
dix% | 97 |
Temps requis (30sec par tentative, 10 sujets)
Marge d'erreur | Temps total |
---|---|
1% | 799,6 heures |
2% | 200,1 heures |
3% | 88,9 heures |
5% | 32,1 heures |
dix% | 8,1 heures |
Nous recommandons de cibler une marge d'erreur de 5 %, ce qui donne un taux d'erreur réel dans la population de 2 % à 12 %.
Portée
La phase de test mesure la résilience de l'authentification faciale principalement par rapport aux fac-similés du visage de l'utilisateur cible. Il ne traite pas les attaques non basées sur la télécopie telles que l'utilisation de LED ou de modèles qui agissent comme des impressions principales. Bien que ceux-ci ne se soient pas encore avérés efficaces contre les systèmes d'authentification faciale basés sur la profondeur, rien n'empêche conceptuellement que cela soit vrai. Il est à la fois possible et plausible que des recherches futures montrent que c'est le cas. À ce stade, ce protocole sera révisé pour inclure la mesure de la résilience contre ces attaques.
Authentification par empreinte digitale
Dans Android 9, la barre a été fixée à une résilience minimale aux PAI, telle que mesurée par un taux d'acceptation des usurpations (SAR) inférieur ou égal à 7 %. Une brève explication de la raison pour laquelle 7% spécifiquement peut être trouvée dans ce billet de blog .
Processus d'évaluation
Le processus d'évaluation se compose de deux phases. La phase de calibrage détermine l'attaque de présentation optimale pour une solution d'authentification d'empreintes digitales donnée (c'est-à-dire la position calibrée). La phase de test utilise la position calibrée pour effectuer plusieurs attaques et évalue le nombre de fois que l'attaque a réussi. Les fabricants d'appareils Android et de systèmes biométriques doivent contacter Android pour obtenir les conseils de test les plus récents en envoyant ce formulaire .
Phase d'étalonnage
Trois paramètres d'authentification par empreinte digitale doivent être optimisés pour garantir des valeurs optimales pour la phase de test : l'instrument d'attaque de présentation (PAI), le format de présentation et les performances dans la diversité des sujets.
- Le PAI est la contrefaçon physique, comme les empreintes digitales imprimées ou une réplique moulée sont tous des exemples de supports de présentation. Les matériaux d'usurpation suivants sont fortement recommandés
- Capteurs optiques d'empreintes digitales (FPS)
- Copie papier/transparent avec encre non conductrice
- Knox Gélatine
- Peinture au latex
- Elmer's Glue Tout
- FPS capacitif
- Knox Gélatine
- Colle à bois d'intérieur Elmer's Carpenter's
- Elmer's Glue Tout
- Peinture au latex
- FPS à ultrasons
- Knox Gélatine
- Colle à bois d'intérieur Elmer's Carpenter's
- Elmer's Glue Tout
- Peinture au latex
- Capteurs optiques d'empreintes digitales (FPS)
- Le format de présentation concerne une manipulation ultérieure du PAI ou de l'environnement, d'une manière qui facilite l'usurpation d'identité. Par exemple, retoucher ou éditer une image haute résolution d'une empreinte digitale avant de créer la réplique 3D.
- Les performances dans la diversité des sujets sont particulièrement pertinentes pour ajuster l'algorithme. Tester le flux d'étalonnage entre les sexes, les groupes d'âge et les races/ethnies des sujets peut souvent révéler des performances nettement inférieures pour des segments de la population mondiale et constitue un paramètre important à étalonner dans cette phase.
Tester la diversité
Il est possible que les lecteurs d'empreintes digitales fonctionnent différemment selon le sexe, les groupes d'âge et les races/ethnies. Un petit pourcentage de la population a des empreintes digitales difficiles à reconnaître, donc une variété d'empreintes digitales doit être utilisée pour déterminer les paramètres optimaux pour la reconnaissance et dans les tests d'usurpation.
Phase de test
La phase de test correspond à la mesure des performances de sécurité biométrique. Au minimum, les tests doivent être effectués de manière non coopérative, ce qui signifie que toutes les empreintes digitales collectées le sont en les soulevant d'une autre surface au lieu de faire participer activement la cible à la collecte de ses empreintes digitales, par exemple en fabriquant un moule coopératif du doigt du sujet. Cette dernière est autorisée mais pas obligatoire.
Comptage des tentatives en phase de test
Une seule tentative est comptée comme la fenêtre entre la présentation d'une empreinte digitale (réelle ou usurpée) au capteur et la réception d'un retour du téléphone (soit un événement de déverrouillage, soit un message visible par l'utilisateur).
Toute tentative où le téléphone est incapable d'obtenir suffisamment de données pour tenter une correspondance ne doit pas être incluse dans le nombre total de tentatives utilisées pour calculer le SAR.
Protocole d'évaluation
Inscription
Avant de commencer la phase d'étalonnage pour l'authentification par empreinte digitale, accédez aux paramètres de l'appareil et supprimez tous les profils biométriques existants. Une fois tous les profils existants supprimés, inscrivez un nouveau profil avec l'empreinte digitale cible qui sera utilisée pour l'étalonnage et les tests. Suivez toutes les instructions à l'écran jusqu'à ce que le profil soit inscrit avec succès.
Phase d'étalonnage
FPS optique
Ceci est similaire aux phases d'étalonnage des ultrasons et capacitifs, mais avec des espèces PAI 2D et 2,5D de l'empreinte digitale de l'utilisateur cible.
- Soulevez une copie latente de l'empreinte digitale d'une surface.
- Test avec des espèces PAI 2D
- Placez l'empreinte digitale relevée sur le capteur
- Test avec des espèces PAI 2.5D.
- Créer un PAI de l'empreinte digitale
- Placer le PAI sur le capteur
FPS à ultrasons
L'étalonnage pour les ultrasons implique la levée d'une copie latente de l'empreinte digitale cible. Par exemple, cela peut être fait en utilisant des empreintes digitales levées via de la poudre d'empreintes digitales ou des copies imprimées d'une empreinte digitale et peut inclure une retouche manuelle de l'image de l'empreinte digitale pour obtenir une meilleure usurpation.
Une fois la copie latente de l'empreinte digitale cible obtenue, un PAI est créé.
FPS capacitif
L'étalonnage pour le capacitif implique les mêmes étapes décrites ci-dessus pour l'étalonnage par ultrasons.
Phase de test
- Obtenez au moins 10 personnes uniques à inscrire en utilisant les mêmes paramètres que ceux utilisés lors du calcul du FRR/FAR
- Créer des PAI pour chaque personne
- Le DAS peut alors être mesuré comme suit :
Itérations nécessaires pour obtenir des échantillons statistiquement valides de taux d'erreur : hypothèse de confiance de 95 % pour tous les éléments ci-dessous, grand N
Marge d'erreur | Itérations de test requises par sujet |
---|---|
1% | 9595 |
2% | 2401 |
3% | 1067 |
5% | 385 |
dix% | 97 |
Temps requis (30sec par tentative, 10 sujets)
Marge d'erreur | Temps total |
---|---|
1% | 799,6 heures |
2% | 200,1 heures |
3% | 88,9 heures |
5% | 32,1 heures |
dix% | 8,1 heures |
Nous recommandons de cibler une marge d'erreur de 5 %, ce qui donne un taux d'erreur réel dans la population de 2 % à 12 %.
Portée
Ce processus est configuré pour tester la résilience de l'authentification par empreinte digitale principalement par rapport aux fac-similés de l'empreinte digitale de l'utilisateur cible. La méthodologie de test est basée sur les coûts actuels des matériaux, la disponibilité et la technologie. Ce protocole sera révisé pour inclure la mesure de la résilience contre les nouveaux matériaux et techniques à mesure qu'ils deviennent pratiques à exécuter.
Considérations courantes
Bien que chaque modalité nécessite une configuration de test différente, il existe quelques aspects communs qui s'appliquent à toutes.
Testez le matériel réel
Les métriques SAR/IAR collectées peuvent être inexactes lorsque les modèles biométriques sont testés dans des conditions idéales et sur un matériel différent de celui qui apparaîtrait réellement sur un appareil mobile. Par exemple, les modèles de déverrouillage vocal qui sont calibrés dans une chambre anéchoïque à l'aide d'une configuration à plusieurs microphones se comportent très différemment lorsqu'ils sont utilisés sur un seul microphone dans un environnement bruyant. Afin de capturer des métriques précises, les tests doivent être effectués sur un appareil réel avec le matériel installé, et à défaut avec le matériel tel qu'il apparaîtrait sur l'appareil.
Utiliser des attaques connues
La plupart des modalités biométriques utilisées aujourd'hui ont été usurpées avec succès et il existe une documentation publique sur la méthodologie d'attaque. Ci-dessous, nous fournissons un bref aperçu de haut niveau des configurations de test pour les modalités avec des attaques connues. Nous vous recommandons d'utiliser la configuration décrite ici dans la mesure du possible.
Anticipez les nouvelles attaques
Pour les modalités où de nouvelles améliorations significatives ont été apportées, le document de configuration de test peut ne pas contenir de configuration appropriée et aucune attaque publique connue ne peut exister. Les modalités existantes peuvent également avoir besoin de leur configuration de test à la suite d'une attaque récemment découverte. Dans les deux cas, vous devrez proposer une configuration de test raisonnable. Veuillez utiliser le lien Commentaires sur le site au bas de cette page pour nous faire savoir si vous avez mis en place un mécanisme raisonnable qui peut être ajouté.
Configurations pour différentes modalités
Empreinte digitale
RAI | Pas besoin. |
DAS |
|
Visage et Iris
RIA | La limite inférieure sera capturée par SAR, il n'est donc pas nécessaire de la mesurer séparément. |
DAS |
|
Voix
RAI |
|
DAS |
|