Para serem consideradas compatíveis com Android, as implementações de dispositivos devem atender aos requisitos apresentados no Documento de definição de compatibilidade do Android (CDD) . O Android CDD avalia a segurança de uma implementação biométrica usando segurança arquitetônica e falsificação .
- Segurança arquitetônica : A resiliência de um pipeline biométrico contra comprometimento do kernel ou da plataforma. Um pipeline é considerado seguro se os comprometimentos do kernel e da plataforma não conferirem a capacidade de ler dados biométricos brutos ou de injetar dados sintéticos no pipeline para influenciar a decisão de autenticação.
- Desempenho de segurança biométrica : O desempenho de segurança biométrica é medido pela Taxa de aceitação de falsificação (SAR) , Taxa de aceitação falsa (FAR) e, quando aplicável, Taxa de aceitação de impostor (IAR) da biometria. SAR é uma métrica introduzida no Android 9 para medir a resiliência de uma biometria contra um ataque de apresentação física. Ao medir a biometria você precisa seguir os protocolos descritos abaixo.
O Android usa três tipos de métricas para medir o desempenho da segurança biométrica.
- Taxa de aceitação de falsificação (SAR) : define a métrica da chance de um modelo biométrico aceitar uma amostra válida previamente registrada. Por exemplo, com o desbloqueio por voz, isso mediria as chances de desbloquear o telefone de um usuário usando uma amostra gravada dele dizendo: "Ok, Google" Chamamos esses ataques de Ataques Falsificados . Também conhecido como Impostor Attack Presentation Match Rate (IAPMR).
- Taxa de aceitação do impostor (IAR) : define a métrica da chance de um modelo biométrico aceitar entrada que se destina a imitar uma amostra válida. Por exemplo, no mecanismo de voz confiável (desbloqueio por voz) do Smart Lock , isso mediria a frequência com que alguém que tenta imitar a voz de um usuário (usando tom e sotaque semelhantes) pode desbloquear seu dispositivo. Chamamos esses ataques de Ataques Impostores .
- Taxa de aceitação falsa (FAR) : define as métricas de quantas vezes um modelo aceita erroneamente uma entrada incorreta escolhida aleatoriamente. Embora esta seja uma medida útil, não fornece informações suficientes para avaliar até que ponto o modelo resiste a ataques direcionados.
Agentes de confiança
O Android 10 muda o comportamento dos agentes de confiança. Os Agentes de Confiança não podem desbloquear um dispositivo, eles só podem estender a duração do desbloqueio de um dispositivo que já esteja desbloqueado. O rosto confiável está obsoleto no Android 10.
Aulas Biométricas
A segurança biométrica é classificada usando os resultados dos testes de segurança arquitetônica e falsificação. Uma implementação biométrica pode ser classificada como Classe 3 (anteriormente Forte) , Classe 2 (anteriormente Fraca) ou Classe 1 (anteriormente Conveniência) . A tabela abaixo descreve os requisitos gerais para cada classe biométrica.
Para obter mais detalhes, consulte o CDD atual do Android .
Aula Biométrica | Métricas | Pipeline Biométrico | Restrições |
---|---|---|---|
Classe 3 (anteriormente Forte) | SAR de todas as espécies PAI: 0-7% SAR de espécies PAI Nível A: <=7% SAR de espécies PAI Nível B: <=20% SAR de qualquer espécie PAI individual <= 40% (altamente recomendado <= 7%) DISTÂNCIA: 1/50k TRF: 10% | Seguro |
|
Classe 2 (anteriormente fraco) | SAR de todas as espécies PAI: 7-20% SAR de espécies PAI Nível A: <=20% SAR de espécies PAI Nível B: <=30% SAR de qualquer espécie PAI individual <= 40% (altamente recomendado <= 20%) DISTÂNCIA: 1/50k TRF: 10% | Seguro |
|
Classe 1 (anteriormente Conveniência) | SAR de todas as espécies PAI: 20-30% SAR de espécies PAI Nível A: <=30% SAR de espécies PAI Nível B: <=40% SAR de qualquer espécie PAI individual <= 40% (altamente recomendado <= 30%) DISTÂNCIA: 1/50k TRF: 10% | Inseguro/Seguro |
|
Modalidades Classe 3 vs. Classe 2 vs. Classe 1
As classes de segurança biométrica são atribuídas com base na presença de um pipeline seguro e nas três taxas de aceitação – FAR, IAR e SAR. Nos casos em que não existe ataque impostor, consideramos apenas o FAR e o SAR.
Consulte o Documento de Definição de Compatibilidade do Android (CDD) para conhecer as medidas a serem tomadas para todas as modalidades de desbloqueio.
Autenticação de rosto e íris
Processo de avaliação
O processo de avaliação é composto por duas fases. A fase de calibração determina o ataque de apresentação ideal para uma determinada solução de autenticação (que é a posição calibrada). A fase de teste utiliza a posição calibrada para realizar múltiplos ataques e avalia o número de vezes que o ataque foi bem-sucedido. Os fabricantes de dispositivos Android e sistemas biométricos devem entrar em contato com o Android para obter orientações de teste mais atualizadas enviando este formulário .
É importante primeiro determinar a posição calibrada porque a SAR só deve ser medida usando ataques contra o maior ponto fraco do sistema.
Fase de calibração
Existem três parâmetros para autenticação facial e de íris que precisam ser otimizados durante a fase de calibração para garantir valores ideais para a fase de teste: instrumento de ataque de apresentação (PAI), formato de apresentação e desempenho em toda a diversidade de assuntos.
FACE
|
ÍRIS
|
Testando a diversidade
É possível que os modelos de rosto e íris tenham desempenho diferente entre gêneros, faixas etárias e raças/etnias. Calibre ataques de apresentação em diversas faces para maximizar as chances de descobrir lacunas no desempenho.
Fase de Teste
A fase de teste ocorre quando o desempenho da segurança biométrica é medido usando o ataque de apresentação otimizado da fase anterior.
Contando tentativas na fase de teste
Uma única tentativa é contada como o intervalo entre a apresentação de um rosto (real ou falsificado) e o recebimento de algum feedback do telefone (seja um evento de desbloqueio ou uma mensagem visível do usuário). Quaisquer tentativas em que o telefone não consiga obter dados suficientes para tentar uma correspondência não devem ser incluídas no número total de tentativas usadas para calcular o SAR.
Protocolo de avaliação
Inscrição
Antes de iniciar a fase de calibração para autenticação facial ou de íris, navegue até as configurações do dispositivo e remova todos os perfis biométricos existentes. Após a remoção de todos os perfis existentes, registre um novo perfil com a face ou íris alvo que será usado para calibração e teste. É importante estar num ambiente bem iluminado ao adicionar uma nova face ou perfil de íris e que o dispositivo esteja devidamente situado diretamente em frente da face alvo, a uma distância de 20 cm a 80 cm.
Fase de calibração
Execute a fase de calibração para cada uma das espécies PAI porque diferentes espécies têm diferentes tamanhos e outras características que podem afetar as condições ideais para testes. Prepare o PAI.
FACE
|
ÍRIS
|
Conduzindo a fase de calibração
Posições de referência
- Posição de referência : A posição de referência é determinada colocando o PAI a uma distância apropriada (20-80 cm) na frente do dispositivo, de forma que o PAI seja claramente visível na visão do dispositivo, mas qualquer outra coisa que esteja sendo usada (como um suporte para o PAI) não é visível.
- Plano de referência horizontal : Enquanto o PAI está na posição de referência, o plano horizontal entre o dispositivo e o PAI é o plano de referência horizontal.
- Plano de referência vertical : Enquanto o PAI está na posição de referência, o plano vertical entre o dispositivo e o PAI é o plano de referência vertical.
Arco vertical
Determine a posição de referência e teste o PAI em um arco vertical mantendo a mesma distância do dispositivo que a posição de referência. Levante o PAI no mesmo plano vertical, criando um ângulo de 10 graus entre o dispositivo e o plano de referência horizontal e teste o desbloqueio facial.
Continue a elevar e testar o PAI em incrementos de 10 graus até que o PAI não esteja mais visível no campo de visão do dispositivo. Registre todas as posições que desbloquearam o dispositivo com sucesso. Repita este processo, mas movendo o PAI em um arco descendente, abaixo do plano de referência horizontal. Veja a figura 3 abaixo para ver um exemplo de testes de arco.
Arco horizontal
Retorne o PAI à posição de referência e mova-o ao longo do plano horizontal para criar um ângulo de 10 graus com o plano de referência vertical. Realize o teste de arco vertical com o PAI nesta nova posição. Mova o PAI ao longo do plano horizontal em incrementos de 10 graus e realize o teste de arco vertical em cada nova posição.
Os testes de arco precisam ser repetidos em incrementos de 10 graus para os lados esquerdo e direito do dispositivo, bem como para cima e para baixo do dispositivo.
A posição que produz os resultados de desbloqueio mais confiáveis é a posição calibrada para o tipo de espécie PAI (por exemplo, espécies PAI 2D ou 3D).
Fase de testes
No final da fase de calibração deverá haver uma posição calibrada por espécie PAI. Se uma posição calibrada não puder ser estabelecida, então a posição de referência deverá ser usada. A metodologia de teste é comum para testar espécies PAI 2D e 3D.
- Entre faces inscritas, onde E>= 10, e inclui pelo menos 10 faces únicas.
- Inscrever rosto/íris
- Utilizando a posição calibrada da fase anterior, execute U tentativas de desbloqueio, contando as tentativas conforme descrito na seção anterior, e onde U >= 10. Registre o número de desbloqueios bem-sucedidos S .
- A SAR pode então ser medida como:
Onde:
- E = o número de matrículas
- U = o número de tentativas de desbloqueio por inscrição
- Si = o número de desbloqueios bem-sucedidos para inscrição i
Iterações necessárias para obter amostras estatisticamente válidas de taxas de erro: suposição de confiança de 95% para todos abaixo, N grande
Margem de erro | Iterações de teste necessárias por assunto |
---|---|
1% | 9595 |
2% | 2401 |
3% | 1067 |
5% | 385 |
10% | 97 |
Tempo necessário (30 segundos por tentativa, 10 disciplinas)
Margem de erro | Tempo total |
---|---|
1% | 799,6 horas |
2% | 200,1 horas |
3% | 88,9 horas |
5% | 32,1 horas |
10% | 8,1 horas |
Recomendamos atingir uma margem de erro de 5%, o que dá uma taxa de erro real na população de 2% a 12%.
Escopo
A fase de teste mede a resiliência da autenticação facial principalmente contra fac-símiles do rosto do usuário alvo. Ele não aborda ataques não baseados em fac-símile, como o uso de LEDs ou padrões que atuam como impressões principais. Embora ainda não tenha sido demonstrado que estes sejam eficazes contra sistemas de autenticação facial baseados em profundidade, não há nada que impeça conceitualmente que isso seja verdade. É possível e plausível que pesquisas futuras mostrem que este é o caso. Neste ponto, este protocolo será revisto para incluir a medição da resiliência contra estes ataques.
Autenticação de impressão digital
No Android 9, o padrão foi definido como uma resiliência mínima aos PAIs, medida por uma taxa de aceitação de falsificação (SAR) menor ou igual a 7%. Uma breve justificativa do motivo pelo qual 7% especificamente pode ser encontrada nesta postagem do blog .
Processo de avaliação
O processo de avaliação é composto por duas fases. A fase de calibração determina o ataque de apresentação ideal para uma determinada solução de autenticação de impressão digital (ou seja, a posição calibrada). A fase de teste utiliza a posição calibrada para realizar múltiplos ataques e avalia o número de vezes que o ataque foi bem-sucedido. Os fabricantes de dispositivos Android e sistemas biométricos devem entrar em contato com o Android para obter orientações de teste mais atualizadas enviando este formulário .
Fase de calibração
Existem três parâmetros para autenticação de impressão digital que precisam ser otimizados para garantir valores ideais para a fase de teste: o instrumento de ataque de apresentação (PAI), formato de apresentação e desempenho em toda a diversidade de assuntos.
- O PAI é a paródia física, como impressões digitais impressas ou uma réplica moldada são exemplos de mídia de apresentação. Os seguintes materiais falsos são fortemente recomendados
- Sensores ópticos de impressão digital (FPS)
- Papel de cópia/transparência com tinta não condutora
- Gelatina Knox
- Tinta látex
- Cola de Elmer tudo
- FPS capacitivo
- Gelatina Knox
- Cola para madeira para interior de carpinteiro Elmer's
- Cola de Elmer tudo
- Tinta látex
- FPS ultrassônico
- Gelatina Knox
- Cola para madeira para interior de carpinteiro Elmer's
- Cola de Elmer tudo
- Tinta látex
- Sensores ópticos de impressão digital (FPS)
- O formato de apresentação refere-se à manipulação adicional do PAI ou do ambiente, de forma a auxiliar na falsificação. Por exemplo, retocar ou editar uma imagem de alta resolução de uma impressão digital antes de criar a réplica 3D.
- O desempenho na diversidade de assuntos é especialmente relevante para ajustar o algoritmo. Testar o fluxo de calibração entre os sexos, grupos etários e raças/etnias pode muitas vezes revelar um desempenho substancialmente pior para segmentos da população global e é um parâmetro importante para calibrar nesta fase.
Testando a diversidade
É possível que os leitores de impressões digitais tenham um desempenho diferente entre gêneros, faixas etárias e raças/etnias. Uma pequena percentagem da população tem impressões digitais que são difíceis de reconhecer, pelo que uma variedade de impressões digitais deve ser utilizada para determinar os parâmetros óptimos para reconhecimento e em testes de falsificação.
Fase de testes
A fase de teste é quando o desempenho da segurança biométrica é medido. No mínimo, os testes devem ser feitos de uma forma não cooperativa, o que significa que quaisquer impressões digitais recolhidas são feitas levantando-as de outra superfície, em vez de ter o alvo a participar ativamente na recolha das suas impressões digitais, tal como fazer um molde cooperativo do dedo do sujeito. Este último é permitido, mas não obrigatório.
Contando tentativas na fase de teste
Uma única tentativa é contada como o intervalo entre a apresentação de uma impressão digital (real ou falsificada) ao sensor e o recebimento de algum feedback do telefone (seja um evento de desbloqueio ou uma mensagem visível do usuário).
Quaisquer tentativas em que o telefone não consiga obter dados suficientes para tentar uma correspondência não devem ser incluídas no número total de tentativas usadas para calcular o SAR.
Protocolo de avaliação
Inscrição
Antes de iniciar a fase de calibração para autenticação de impressão digital, navegue até as configurações do dispositivo e remova todos os perfis biométricos existentes. Após a remoção de todos os perfis existentes, registre um novo perfil com a impressão digital alvo que será usada para calibração e teste. Siga todas as instruções na tela até que o perfil seja registrado com sucesso.
Fase de calibração
FPS óptico
Isso é semelhante às fases de calibração ultrassônica e capacitiva, mas com espécies PAI 2D e 2,5D da impressão digital do usuário alvo.
- Retire uma cópia latente da impressão digital de uma superfície.
- Teste com espécies PAI 2D
- Coloque a impressão digital levantada no sensor
- Teste com espécies PAI 2,5D.
- Crie um PAI da impressão digital
- Coloque o PAI no sensor
FPS ultrassônico
A calibração ultrassônica envolve o levantamento de uma cópia latente da impressão digital alvo. Por exemplo, isto pode ser feito utilizando impressões digitais levantadas através de pó de impressão digital ou cópias impressas de uma impressão digital e pode incluir retoque manual da imagem da impressão digital para obter uma melhor falsificação.
Após a obtenção da cópia latente da impressão digital alvo, é feito um PAI.
FPS capacitivo
A calibração capacitiva envolve as mesmas etapas descritas acima para calibração ultrassônica.
Fase de testes
- Faça com que pelo menos 10 pessoas únicas se inscrevam usando os mesmos parâmetros usados no cálculo do FRR/FAR
- Crie PAIs para cada pessoa
- A SAR pode então ser medida como:
Iterações necessárias para obter amostras estatisticamente válidas de taxas de erro: suposição de confiança de 95% para todos abaixo, N grande
Margem de erro | Iterações de teste necessárias por assunto |
---|---|
1% | 9595 |
2% | 2401 |
3% | 1067 |
5% | 385 |
10% | 97 |
Tempo necessário (30 segundos por tentativa, 10 disciplinas)
Margem de erro | Tempo total |
---|---|
1% | 799,6 horas |
2% | 200,1 horas |
3% | 88,9 horas |
5% | 32,1 horas |
10% | 8,1 horas |
Recomendamos atingir uma margem de erro de 5%, o que dá uma taxa de erro real na população de 2% a 12%.
Escopo
Este processo é configurado para testar a resiliência da autenticação de impressão digital principalmente contra fac-símiles da impressão digital do usuário alvo. A metodologia de teste é baseada nos custos atuais de materiais, disponibilidade e tecnologia. Este protocolo será revisado para incluir a medição da resiliência contra novos materiais e técnicas à medida que sua execução se tornar prática.
Considerações comuns
Embora cada modalidade exija uma configuração de teste diferente, existem alguns aspectos comuns que se aplicam a todas elas.
Teste o hardware real
As métricas SAR/IAR coletadas podem ser imprecisas quando os modelos biométricos são testados sob condições idealizadas e em hardware diferente do que realmente apareceriam em um dispositivo móvel. Por exemplo, modelos de desbloqueio por voz calibrados em uma câmara anecóica usando uma configuração de vários microfones se comportam de maneira muito diferente quando usados em um único dispositivo de microfone em um ambiente barulhento. Para capturar métricas precisas, os testes devem ser realizados em um dispositivo real com o hardware instalado e, na falta disso, com o hardware tal como apareceria no dispositivo.
Use ataques conhecidos
A maioria das modalidades biométricas em uso hoje foram falsificadas com sucesso e existe documentação pública da metodologia de ataque. Abaixo, fornecemos uma breve visão geral de alto nível das configurações de teste para modalidades com ataques conhecidos. Recomendamos usar a configuração descrita aqui sempre que possível.
Antecipe novos ataques
Para modalidades onde novas melhorias significativas foram feitas, o documento de configuração de teste pode não conter uma configuração adequada e pode não existir nenhum ataque público conhecido. As modalidades existentes também podem precisar de configuração de teste ajustada após um ataque recém-descoberto. Em ambos os casos, você precisará criar uma configuração de teste razoável. Use o link Feedback do site na parte inferior desta página para nos informar se você configurou um mecanismo razoável que pode ser adicionado.
Configurações para diferentes modalidades
Impressão digital
IAR | Não é necessário. |
RAE |
|
Rosto e íris
IAR | O limite inferior será capturado pelo SAR, portanto, não é necessário medir isso separadamente. |
RAE |
|
Voz
IAR |
|
RAE |
|