बायोमेट्रिक अनलॉक की सुरक्षा का आकलन करना

Android के साथ काम करने के लिए, डिवाइस लागू करने के लिए ज़रूरी है कि Android के साथ काम करने की परिभाषा के दस्तावेज़ (सीडीडी) में दी गई ज़रूरी शर्तें. Android CDD, आर्किटेक्चरल सुरक्षा का इस्तेमाल करके बायोमेट्रिक तरीके को लागू करना और झूठे नाम से मेल भेजने की क्षमता.

  • आर्किटेक्चर से जुड़ी सुरक्षा: यह बायोमेट्रिक प्रोसेस की उस क्षमता को दिखाता है जिससे यह, कर्नेल या प्लैटफ़ॉर्म के हैक होने से बच पाती है. किसी पाइपलाइन को सुरक्षित माना जाता है, अगर कोर और प्लैटफ़ॉर्म के समझौते से, पुष्टि करने के फ़ैसले पर असर डालने के लिए, रॉ बायोमेट्रिक डेटा को पढ़ने या पाइपलाइन में सिंथेटिक डेटा इंजेक्ट करने की सुविधा नहीं मिलती.
  • बायोमेट्रिक सुरक्षा की परफ़ॉर्मेंस: बायोमेट्रिक सुरक्षा की परफ़ॉर्मेंस का आकलन, नकली आइडेंटिटी स्वीकार करने की दर (एसएआर), गलत आइडेंटिटी स्वीकार करने की दर (एफ़एआर), और बायोमेट्रिक के लिए, लागू होने पर, झूठी आइडेंटिटी स्वीकार करने की दर (आईएआर) से किया जाता है. एसएआर एक मेट्रिक है, जिसे Android 9 में पेश किया गया था. इससे यह मेज़र किया जाता है कि फ़िज़िकल प्रज़ेंटेशन अटैक के ख़िलाफ़ बायोमेट्रिक कितने असरदार हैं. बायोमेट्रिक्स की गिनती करते समय, आपको नीचे दिए गए प्रोटोकॉल का पालन करना होगा.

बायोमेट्रिक सुरक्षा को मापने के लिए, Android तीन तरह की मेट्रिक का इस्तेमाल करता है परफ़ॉर्मेंस.

  • स्पूफ़ स्वीकार करने की दर (एसएआर): इससे यह पता चलता है कि बायोमेट्रिक मॉडल, पहले से रिकॉर्ड किया गया और सही के तौर पर पहचाना गया सैंपल स्वीकार करेगा या नहीं. उदाहरण के लिए, वॉइस अनलॉक की सुविधा का इस्तेमाल करके, यह पता लगाया जा सकता है कि किसी व्यक्ति के फ़ोन को "Ok, Google" बोलकर रिकॉर्ड किए गए सैंपल का इस्तेमाल करके अनलॉक किया जा सकता है या नहीं. हम ऐसे हमलों को स्पूफ़ हमले कहते हैं. इसे इंपोस्टर अटैक प्रज़ेंटेशन मैच रेट (IAPMR) भी कहा जाता है.
  • Imपोस्टर की मंज़ूरी की दर (आईएआर): इससे इस बात की संभावना है कि बायोमेट्रिक मॉडल ऐसे इनपुट को स्वीकार करे जिसका मकसद किसी जाने-पहचाने सामान की नकल करना हो सैंपल. उदाहरण के लिए, Smart Lock की भरोसेमंद आवाज़ (आवाज़ से अनलॉक करने की सुविधा) की सुविधा में, यह मेट्रिक यह मेज़र करेगी कि कोई व्यक्ति उपयोगकर्ता की आवाज़ (मिलती-जुलती टोन और उच्चारण का इस्तेमाल करके) की नकल करके, कितनी बार उसका डिवाइस अनलॉक कर सकता है. बुध ऐसे हमलों को कॉल करें गुमराह करने वाले हमले.
  • गलत स्वीकार करने की दर (एफ़एआर): इससे मेट्रिक के बारे में पता चलता है कि अक्सर, कोई मॉडल गलती से कोई भी गलत इनपुट स्वीकार कर लेता है. यह एक काम का मेज़र है, लेकिन इससे यह पता नहीं चलता कि टारगेट किए गए हमलों के लिए मॉडल कितना कारगर है.

भरोसेमंद एजेंट

Android 10, भरोसेमंद एजेंट के काम करने के तरीके को बदल देता है. भरोसेमंद एजेंट तो वे पहले से मौजूद किसी डिवाइस के लिए ही अनलॉक की अवधि बढ़ा सकते हैं अनलॉक किया गया. Android 10 में, 'फ़ोन मालिक का चेहरा' सुविधा काम नहीं करती.

बायोमेट्रिक क्लास

बायोमेट्रिक सिक्योरिटी को अलग-अलग कैटगरी में, आर्किटेक्चरल तरीके से मिले नतीजों के आधार पर बांटा गया है सुरक्षा और स्पूफ़ेबिलिटी टेस्ट हैं. बायोमेट्रिक तरीके को क्लास 3 (पहले इसे स्ट्रॉन्ग), क्लास 2 (पहले इसे वीक) या क्लास 1 (पहले इसे कंवेंनिएंस) कहा जाता था. नीचे दी गई टेबल में, हर बायोमेट्रिक क्लास के लिए ज़रूरी शर्तों के बारे में बताया गया है.

ज़्यादा जानकारी के लिए, मौजूदा Android सीडीडी.

बायोमेट्रिक क्लास मेट्रिक बायोमेट्रिक पाइपलाइन कंस्ट्रेंट
क्लास 3
(पहले इसे 'स्ट्रॉन्ग' कहा जाता था)		 सभी PAI प्रजातियों का एसएआर: 0-7%

लेवल A की PAI प्रजातियों का एसएआर:
<=7%

लेवल B की PAI प्रजातियों का एसएआर:
<=20%

किसी भी PAI प्रजाति का एसएआर <= 40% (इसका सुझाव दिया जाता है कि यह <= 7% हो)

एफ़एआर: 1/50 हज़ार

एफ़आरआर: 10%		 सुरक्षित
  • प्राथमिक प्रमाणीकरण में वापस आने से पहले 72 घंटे (जैसे कि पिन, पैटर्न या पासवर्ड)
  • ऐप्लिकेशन को एपीआई दिखा सकता है. उदाहरण के लिए, BiometricPrompt या FIDO2 API के साथ इंटिग्रेशन के ज़रिए
  • बीसीआर सबमिट करना ज़रूरी है
क्लास 2
(पहले इसे वीक कहा जाता था)		 पीएआई की सभी प्रजातियों का SAR: 7-20%

अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है लेवल A PAI प्रजाति का SAR:
20%से कम या ज़्यादा

अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है लेवल बी पीएआई की प्रजातियों का एसएआर:

से 30%से कम
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है किसी भी एक पीएआई प्रजाति का एसएआर <= 40% (खास तौर पर सुझाया जाता है <= 20%)

अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है एफ़एआर: 1/50 हज़ार

अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है फ़्रांस: 10%		 सुरक्षित
  • मुख्य पुष्टि करने के तरीके पर फ़ॉलबैक होने में 24 घंटे लग सकते हैं
  • चार घंटे तक कोई गतिविधि न होने पर टाइम आउट होना या मुख्य पुष्टि करने के लिए, तीन बार गलत कोशिशें करना
  • इसे BiometricPrompt के साथ इंटिग्रेट किया जा सकता है, लेकिन इसे कीस्टोर के साथ इंटिग्रेट नहीं किया जा सकता. उदाहरण के लिए, ऐप्लिकेशन के लिए पुष्टि करने वाली कुंजियों को रिलीज़ करने के लिए
  • बीसीआर सबमिट करना ज़रूरी है
क्लास 1
(पहले इसे एट्रिब्यूट के नाम से जाना जाता था)		 पीएआई की सभी प्रजातियों का एसएआर: 20-30%

अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है लेवल A PAI प्रजाति का SAR:

से 30%से कम
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है लेवल बी पीएआई की प्रजातियों का एसएआर:
<=40%

अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है किसी भी एक पीएआई प्रजाति का एसएआर <= 40% (खास तौर पर सुझाया जाता है <= 30%)

अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है एफ़एआर: 1/50 हज़ार

अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है फ़्रांस: 10%		 सुरक्षित या असुरक्षित
  • प्राथमिक प्रमाणीकरण में फ़ॉलबैक से पहले 24 घंटे तक
  • चार घंटे तक कोई गतिविधि न होने पर टाइम आउट होना या मुख्य पुष्टि करने के लिए, तीन बार गलत कोशिशें करना
  • ऐप्लिकेशन के लिए एपीआई एक्सपोज़ नहीं किया जा सकता
  • Android 11 से, बीसीआर सबमिट करना ज़रूरी है
  • Android 13 से, SAR की जांच करना ज़रूरी है
  • आने वाले समय में, अस्थायी क्लास बंद हो सकती है

क्लास 3 बनाम क्लास 2 बनाम क्लास 1 मोडलिटी

बायोमेट्रिक सिक्योरिटी क्लास, पाइपलाइन और स्वीकार करने की तीन दरें - एफ़एआर, आईएआर, और एसएआर. ऐसे मामलों में जहां एक इंपोस्टर अटैक मौजूद नहीं है. हम सिर्फ़ एफ़एआर और एसएआर को ही मानते हैं.

Android सभी के लिए लागू होने वाले उपायों के बारे में, कम्पैटिबिलिटी डेफ़िनिशन दस्तावेज़ (सीडीडी) मोडलिटी अनलॉक करें.

चेहरे और आईरिस की पहचान करके पुष्टि करना

आकलन की प्रक्रिया

आकलन करने की प्रोसेस दो चरणों की है. कैलिब्रेशन फ़ेज़, किसी दिए गए ऑथेंटिकेशन सलूशन के लिए सबसे सही प्रज़ेंटेशन अटैक तय करता है. इसे कैलिब्रेट की गई पोज़िशन भी कहा जाता है. टेस्ट फ़ेज़ में, एक से ज़्यादा हमले करने के लिए कैलिब्रेट की गई पोज़िशन का इस्तेमाल किया जाता है. साथ ही, यह भी पता लगाया जाता है कि हमले कितनी बार कामयाब हुए. Android डिवाइसों और बायोमेट्रिक सिस्टम बनाने वाली कंपनियों को जांच से जुड़े सबसे नए दिशा-निर्देश पाने के लिए, यह फ़ॉर्म सबमिट करके Android से संपर्क करना चाहिए.

सबसे पहले कैलिब्रेट की गई पोज़िशन तय करना ज़रूरी है, क्योंकि SAR का आकलन सिर्फ़ सिस्टम की सबसे कमज़ोर जगह पर होने वाले हमलों का इस्तेमाल करके किया जाना चाहिए.

कैलिब्रेशन का चरण

चेहरे और आइरिस की पुष्टि के लिए तीन पैरामीटर होना ज़रूरी है कैलिब्रेशन फ़ेज़ के दौरान ऑप्टिमाइज़ किया गया, ताकि जांच के लिए सबसे सही वैल्यू मिल सके फ़ेज़: प्रज़ेंटेशन अटैक इंस्ट्रुमेंट (PAI), प्रज़ेंटेशन फ़ॉर्मैट, और अलग-अलग विषयों पर परफ़ॉर्मेंस.

FACE
  • प्रज़ेंटेशन अटैक इंस्ट्रुमेंट (पीएआई) शारीरिक स्पूफ़. फ़िलहाल, पीएआई की ये प्रजातियां अपने दायरे में हैं, चाहे बायोमेट्रिक टेक्नोलॉजी कोई भी हो:
    • 2D PAI प्रजाति
      • प्रिंट की गई फ़ोटो
      • मॉनिटर या फ़ोन के डिसप्ले पर फ़ोटो
      • मॉनिटर या फ़ोन के डिसप्ले पर वीडियो
    • 3D PAI प्रजातियां
      • 3D प्रिंटेड मास्क
  • प्रज़ेंटेशन फ़ॉर्मैट, पीएआई या एनवायरमेंट में बदलाव करने से जुड़ा है. ऐसा स्पूफ़िंग में मदद करने के लिए किया जाता है. डेटा में बदलाव करने के कुछ उदाहरण यहां दिए गए हैं:
    • प्रिंट की गई फ़ोटो को थोड़ा मोड़कर, गालों पर कर्व (थोड़ी-बहुत गहराई की नकल करके) बनाने से, कभी-कभी 2D फ़ेस की पुष्टि करने वाले तरीकों को तोड़ने में काफ़ी मदद मिल सकती है.
    • स्पूफ़िंग में मदद करने के लिए, आस-पास के माहौल में बदलाव करना, रोशनी की अलग-अलग स्थितियों का एक उदाहरण है
    • लेंस पर थोड़ा-सा दाग-धब्बे हटाना या गंदा होना
    • फ़ोन के ओरिएंटेशन को पोर्ट्रेट और लैंडस्केप मोड के बीच बदलकर यह देखना कि इससे स्पूफ़ करने की सुविधा पर असर पड़ता है या नहीं
  • अलग-अलग विषयों के आधार पर परफ़ॉर्मेंस (या विषय में होने वाली कमी यह खास तौर पर, मशीन लर्निंग पर आधारित ऑथेंटिकेशन के लिए काम का है समाधान. विषय के लिंग, उम्र समूहों के हिसाब से कैलिब्रेशन फ़्लो की जांच करना, और नस्ल/नृजनता अक्सर काफ़ी खराब प्रदर्शन दिखा सकती है दुनिया भर की जनसंख्या के सेगमेंट बनाते हैं और यह एक अहम पैरामीटर है, इस चरण में कैलिब्रेट करें.
स्पूफ़ टेस्टिंग का मकसद यह जांचना है कि कोई सिस्टम, मान्य रिप्ले या प्रज़ेंटेशन अटैक को स्वीकार करता है या नहीं. अगर एंटी-स्पूफ़ या प्रज़ेंटेशन अटैक डिटेक्शन (PAD) लागू नहीं किया गया है या बंद है, तो बायोमेट्रिक वेरिफ़िकेशन की प्रोसेस के दौरान, पीएआई स्पेसिज़ को मान्य बायोमेट्रिक दावे के तौर पर स्वीकार किया जाना चाहिए. अगर कोई पीएआई, एंटी-स्पूफ़ या पीएडी फ़ंक्शन के बिना बायोमेट्रिक पुष्टि की प्रोसेस को पास नहीं कर पाता है, तो उसे पीएआई के तौर पर अमान्य माना जाता है. साथ ही, उस पीएआई टाइप का इस्तेमाल करके किए गए सभी टेस्ट अमान्य माने जाते हैं. स्पूफ़ टेस्ट करने वाले लोगों को यह दिखाना चाहिए कि उनके टेस्ट में इस्तेमाल की गई PAI प्रजाति, इस शर्त को पूरा करती है.
आइरिस
  • प्रज़ेंटेशन अटैक इंस्ट्रुमेंट (पीएआई) शारीरिक स्पूफ़. फ़िलहाल, इन पीएआई प्रजातियों को दायरे में रखा गया है:
    • प्रिंट की गई ऐसी फ़ोटो जिनमें आइरिस के चेहरे साफ़ तौर पर दिख रहे हैं
    • मॉनिटर या फ़ोन के डिसप्ले पर चेहरों की फ़ोटो/वीडियो, जो साफ़ तौर पर दिख रहे हों आइरिस
    • प्रॉस्थेटिक आंखें
  • प्रज़ेंटेशन फ़ॉर्मैट, पीएआई या एनवायरमेंट में बदलाव करने से जुड़ा है. ऐसा स्पूफ़िंग में मदद करने के लिए किया जाता है. उदाहरण के लिए, किसी प्रिंट की हुई फ़ोटो के ऊपर या आंख की फ़ोटो/वीडियो दिखाने से, आइरिस की कैटगरी को बेवकूफ़ी बनाने में मदद मिलती है इसके अलावा, आइरिस ऑथेंटिकेशन को बायपास करने की दर भी बढ़ा सकता है सिस्टम.
  • अलग-अलग विषयों में परफ़ॉर्मेंस को खास तौर पर ये टूल, मशीन लर्निंग पर आधारित ऑथेंटिकेशन सलूशन के बारे में बताते हैं. पुष्टि करने के लिए, आईरिस के रंग के आधार पर, अलग-अलग रंगों के आईरिस की स्पेक्ट्रल विशेषताएं अलग-अलग हो सकती हैं. साथ ही, अलग-अलग रंगों की जांच करने से, दुनिया भर के लोगों के सेगमेंट के लिए, परफ़ॉर्मेंस से जुड़ी समस्याओं को हाइलाइट किया जा सकता है.

विविधता की जांच करना

चेहरे और आईरिस के मॉडल, अलग-अलग जेंडर, उम्र समूहों, और नस्लों/जातीयताओं के हिसाब से अलग-अलग तरीके से काम कर सकते हैं. अलग-अलग तरह के चेहरों पर प्रज़ेंटेशन अटैक को कैलिब्रेट करें, ताकि परफ़ॉर्मेंस में अंतर का पता लगाने की संभावना बढ़ाई जा सके.

टेस्ट फ़ेज़

टेस्ट फ़ेज़ में, बायोमेट्रिक सुरक्षा की परफ़ॉर्मेंस को पिछले फ़ेज़ में ऑप्टिमाइज़ किए गए प्रज़ेंटेशन अटैक का इस्तेमाल करके मेज़र किया जाता है.

टेस्ट के चरण में कोशिशों की संख्या

चेहरे को स्क्रीन पर दिखाने के बीच के समय को एक बार में ही गिना जाता है (असल या स्पूफ़ किया गया है), और फ़ोन से कुछ फ़ीडबैक लिया गया है (या तो अनलॉक इवेंट या उपयोगकर्ता को दिखने वाला मैसेज). ऐसी कोई भी कोशिश जिसमें फ़ोन को ज़रूरत के मुताबिक डेटा नहीं मिल पा रहा हो जितनी बार कोशिश की जा चुकी है, उसे शामिल करने की कोशिशों की कुल संख्या में शामिल नहीं किया जाना चाहिए एसएआर की गणना करने के लिए.

इवैलुएशन प्रोटोकॉल

सेट अप

चेहरे या आईरिस की मदद से पुष्टि करने की सुविधा को कैलिब्रेट करने से पहले, डिवाइस की सेटिंग पर जाएं और सभी मौजूदा बायोमेट्रिक प्रोफ़ाइलें हटाएं. सभी मौजूदा प्रोफ़ाइलें हटाने के बाद, एक नई प्रोफ़ाइल जिसका इस्तेमाल कैलिब्रेशन और जांच के लिए किया जाएगा. हां नया चेहरा या आइरिस जोड़ते समय तेज़ रोशनी वाले माहौल में रहना ज़रूरी है प्रोफ़ाइल और डिवाइस टारगेट के सामने ठीक से रखा गया हो चेहरा 20 सें॰मी॰ से 80 सें॰मी॰ के बीच रखें.

कैलिब्रेशन का फ़ेज़

हर पीएआई प्रजाति के लिए कैलिब्रेशन फ़ेज़ को पूरा करें, क्योंकि अलग-अलग प्रजातियों के अलग-अलग साइज़ और अन्य विशेषताएं होती हैं. इनसे टेस्टिंग के लिए सबसे सही स्थितियों पर असर पड़ सकता है. पीएआई तैयार करें.

FACE
  • इसके नीचे, रजिस्टर किए गए चेहरे की अच्छी क्वालिटी की फ़ोटो या वीडियो लें वही लाइटिंग कंडिशन, ऐंगल, और दूरी, जो रजिस्टर करने के फ़्लो में हो.
  • प्रिंटआउट के लिए:
    • चेहरे की आउटलाइन के हिसाब से काटें, ताकि पेपर मास्क बन जाए.
    • टारगेट किए गए चेहरे की वक्रता की नकल करने के लिए, मास्क को दोनों गाल पर मोड़ें
    • टेस्टर की आंखें दिखाने के लिए, मास्क से आंखों के छेद करें - यह काम का है के लिए समाधान दिया गया है.
  • प्रज़ेंटेशन फ़ॉर्मैट में सुझाए गए बदलाव आज़माकर देखें कि क्या इनसे कैलिब्रेशन के दौरान, एआई के काम करने के तरीके पर असर पड़ता है
IRIS
  • रजिस्टर किए गए चेहरे की ज़्यादा रिज़ॉल्यूशन वाली फ़ोटो या वीडियो लें. इसमें, रजिस्टर करने के दौरान इस्तेमाल की गई लाइट, ऐंगल, और दूरी के हिसाब से, आईरिस साफ़ तौर पर दिखना चाहिए.
  • आंखों पर कॉन्टैक्ट लेंस के साथ और बिना लेंस के, दोनों तरह से आज़माकर देखें कि किस तरीके से झूठी पहचान बनाने की संभावना बढ़ती है

कैलिब्रेशन फ़ेज़ करें

रेफ़रंस पोज़िशन
  • रेफ़रंस पोज़िशन: रेफ़रंस पोज़िशन तय करने के लिए, पीएआई को डिवाइस के सामने सही दूरी (20 से 80 सेंटीमीटर) पर इस तरह से रखा जाता है कि वह डिवाइस के व्यू में साफ़ तौर पर दिखे, लेकिन इस्तेमाल किया जा रहा कोई और आइटम (जैसे, पीएआई के लिए स्टैंड) न दिखे.
  • हॉरिज़ॉन्टल रेफ़रंस प्लेन: जब पीएआई, रेफ़रंस के लिए, डिवाइस और पीएआई के बीच हॉरिज़ॉन्टल प्लेन की जगह बदलें हॉरिज़ॉन्टल रेफ़रंस प्लेन.
  • वर्टिकल रेफ़रंस प्लेन: जब पीएआई, रेफ़रंस पोज़िशन में होता है, तब डिवाइस और पीएआई के बीच का वर्टिकल प्लेन, वर्टिकल रेफ़रंस प्लेन होता है.
रेफ़रंस प्लेन

पहला डायग्राम. रेफ़रंस प्लेन.

वर्टिकल आर्क

संदर्भ स्थिति पता करें और फिर लंबवत चाप में PAI का परीक्षण करें डिवाइस से रेफ़रंस की पोज़िशन के बराबर दूरी बनाए रखना. सही कॉन्टेंट को बढ़ावा देना एक ही वर्टिकल प्लेन में PAI को देखते हुए, और हॉरिज़ॉन्टल रेफ़रंस प्लेन से साइन इन करें और फ़ेस अनलॉक की जांच करें.

पीएआई को 10 डिग्री की बढ़ोतरी में तब तक बढ़ाना और टेस्ट करना जारी रखें, जब तक कि पीएआई अब डिवाइस फ़ील्ड ऑफ़ व्यू में नहीं दिखाई देगा. डिवाइस को अनलॉक करने वाली सभी पोज़िशन रिकॉर्ड करें. इस प्रोसेस को दोहराएं, लेकिन पीएआई को क्षैतिज रेफ़रंस प्लेन के नीचे, नीचे की ओर वाले आर्क में ले जाएं. ऐर्क टेस्ट का उदाहरण देखने के लिए, नीचे दिया गया तीसरा चित्र देखें.

हॉरिज़ॉन्टल आर्क

पीएआई को रेफ़रंस पोज़िशन पर वापस लाएं और फिर इसे हॉरिज़ॉन्टल पर ले जाएं प्लेन के लिए, वर्टिकल रेफ़रंस प्लेन से 10 डिग्री का कोण बनाया जाता है. यह करें इस नई पोज़िशन में PAI के साथ वर्टिकल आर्क टेस्ट. पीएआई को हॉरिज़ॉन्टल प्लेन के साथ 10 डिग्री के अंतराल पर घुमाएं और हर नई पोज़िशन में वर्टिकल आर्क टेस्ट करें.

हॉरिज़ॉन्टल आर्क के साथ टेस्ट करना

पहला डायग्राम. वर्टिकल और हॉरिज़ॉन्टल आर्क पर टेस्ट किया जा रहा है.

आर्क टेस्ट को डिवाइस की बाईं और दाईं ओर, साथ ही ऊपर और नीचे, 10 डिग्री के अंतराल पर दोहराना होगा.

अनलॉक करने के सबसे भरोसेमंद नतीजे देने वाली स्थिति है अलग-अलग तरह के पीएआई की प्रजातियों के लिए कैलिब्रेट की गई पोज़िशन (उदाहरण के लिए, पीएआई की 2D या 3D प्रजाति).

टेस्ट करने का चरण

कैलिब्रेशन के फ़ेज़ के आखिर में, हर PAI प्रजाति के लिए एक कैलिब्रेट की गई पोज़िशन होनी चाहिए. अगर कैलिब्रेट की गई पोज़िशन तय नहीं की जा सकती, तो रेफ़रंस पोज़िशन का इस्तेमाल किया जाना चाहिए. जांच का तरीका आम है 2D और 3D PAI प्रजातियों का परीक्षण करने के लिए किया जाता है.

  • रजिस्टर किए गए सभी फ़ेस में, जहां E>= 10 होता है और जिसमें कम से कम 10 यूनीक होते हैं चेहरे.
    • चेहरा/आइरिस रजिस्टर करें
    • पिछले चरण की कैलिब्रेटेड पोज़िशन का इस्तेमाल करके, U को अनलॉक करने की कोशिशें की जा सकती हैं. जहां U >= 10 है. अनलॉक किए गए डिवाइसों की संख्या रिकॉर्ड करें S.
    • इसके बाद, एसएआर को इस तरह से मापा जा सकता है:
$$ \displaystyle SAR = \frac{\displaystyle\sum_{i=1}^{E}{S_i} }{(U * E)}\ {* 100\%} $$

कहाँ:

  • E = रजिस्ट्रेशन की संख्या
  • U = हर रजिस्ट्रेशन के लिए, अनलॉक करने की कोशिशों की संख्या
  • Si = रजिस्टर करने के लिए, i नंबर वाले डिवाइस को अनलॉक करने की संख्या

गड़बड़ी की दरों के आंकड़ों के हिसाब से मान्य सैंपल पाने के लिए, ज़रूरी दोहराव: यहां दिए गए सभी मामलों के लिए 95% कॉन्फ़िडेंस के साथ, बड़े N का अनुमान

मार्जिन ऑफ़ एरर हर विषय के लिए बार-बार टेस्ट करना ज़रूरी है
1% 9595
2% 2401
3% 1067
5% 385
10% 97

ज़रूरी समय (हर कोशिश में 30 सेकंड, 10 विषय)

गड़बड़ी का मार्जिन सुनने का कुल समय
1% 799.6 घंटे
2% 200.1 घंटे
3% 88.9 घंटे
5% 32.1 घंटे
10% 8.1 घंटे

हमारा सुझाव है कि आप 5% मार्जिन ऑफ़ एरर को टारगेट करें, जो गड़बड़ी की सही दर की जनसंख्या 2% से 12% के बीच है.

दायरा

जांच के चरण में मुख्य रूप से, चेहरे की पहचान करने के लिए की जाने वाली पहचान का पता लगाया जाता है टारगेट किए गए उपयोगकर्ता के चेहरे पर मौजूद यौन भावनाएं भड़काने वाली इमेज. यह फ़ैक्सिमाइल के अलावा, अन्य तरीकों से होने वाले हमलों से बचाने में मदद नहीं करता. जैसे, एलईडी का इस्तेमाल करना या मुख्य प्रिंट के तौर पर काम करने वाले पैटर्न. हालांकि, अब तक यह साबित नहीं हुआ है कि ये टेक्नोलॉजी, डीप फ़ेस के आधार पर पुष्टि करने वाले सिस्टम के मुकाबले असरदार हैं. हालांकि, ऐसा नहीं है कि ये टेक्नोलॉजी, डीप फ़ेस के आधार पर पुष्टि करने वाले सिस्टम के मुकाबले असरदार नहीं हैं. आने वाले समय में की जाने वाली रिसर्च में, यह जानकारी दी जा सकती है और यह काम भी किया जा सकता है अब यह मामला है. इसके बाद, इस प्रोटोकॉल में बदलाव किया जाएगा, ताकि इन हमलों से निपटने के लिए उठाए जाने वाले कदमों का आकलन किया जा रहा है.

फ़िंगरप्रिंट प्रमाणीकरण

Android 9 में, पीएआई के लिए कम से कम रेज़िलिएंस तय किया गया था. इसे स्पूफ़ स्वीकार करने की दर (एसएआर) से मेज़र किया जाता है. यह दर 7% से कम या उसके बराबर होनी चाहिए. एक संक्षिप्त कारण, जिसकी वजह से 7% खास तौर पर, इस ब्लॉग पोस्ट.

आकलन की प्रक्रिया

आकलन की प्रोसेस दो चरणों में होती है. कॉन्टेंट बनाने कैलिब्रेशन फ़ेज़ से पता चलता है कि दिए गए फ़िंगरप्रिंट की पुष्टि करने वाले समाधान के लिए प्रज़ेंटेशन अटैक (यानी, कैलिब्रेट की गई स्थिति है). टेस्ट फ़ेज़ में कई हमले करने के लिए कैलिब्रेट की गई पोज़िशन की पुष्टि करता है. साथ ही, कितनी बार यह हमला हुआ. Android डिवाइसों और बायोमेट्रिक सिस्टम बनाने वाली कंपनियों को जांच से जुड़े सबसे नए दिशा-निर्देश पाने के लिए, Android से संपर्क करना चाहिए. इसके लिए, उन्हें यह फ़ॉर्म सबमिट करना होगा.

कैलिब्रेशन का फ़ेज़

फ़िंगरप्रिंट की पुष्टि करने के लिए तीन पैरामीटर होने चाहिए टेस्टिंग फ़ेज़ के लिए सबसे सही वैल्यू पक्का करने के लिए ऑप्टिमाइज़ किया गया: प्रज़ेंटेशन अटैक इंस्ट्रुमेंट (पीएआई), प्रज़ेंटेशन का फ़ॉर्मैट, और पूरे विषय के लिए परफ़ॉर्मेंस विविधता

  • पीएआई, फ़िज़िकल स्पूफ़ होता है. जैसे, प्रिंट किए गए उंगलियों के निशान या ढाला गया डुप्लीकेट, ये सभी प्रज़ेंटेशन मीडिया के उदाहरण हैं. कॉन्टेंट बनाने नीचे दिए गए स्पूफ़ मटीरियल का इस्तेमाल करने का सुझाव दिया जाता है
    • ऑप्टिकल फ़िंगरप्रिंट सेंसर (एफ़पीएस)
      • नॉन-कंडक्टिव इंक के साथ पेपर/पारदर्शिता कॉपी करें
      • Knox Gelatin
      • लेटेक्स पेंट
      • Elmer's Glue All
    • कैपेसिटिव एफ़पीएस
      • Knox Gelatin
      • एल्मर का कारपेंटर्स इंटीरियर वुड ग्लू
      • एल्मर ग्लू ऑल
      • लेटेक्स पेंट
    • अल्ट्रासोनिक एफ़पीएस
      • Knox Gelatin
      • एल्मर का कारपेंटर्स इंटीरियर वुड ग्लू
      • एल्मर ग्लू ऑल
      • लेटेक्स पेंट
  • प्रज़ेंटेशन का फ़ॉर्मैट, अलग-अलग तरह के कॉन्टेंट में बदलाव करने से जुड़ा है पीएआई या एनवायरमेंट के हिसाब से बनाया जा सकता है. इससे झूठे नाम से मेल भेजने में मदद मिलती है. उदाहरण के लिए, फ़ोटो की क्वालिटी में सुधार या 3D बनाने से पहले फ़िंगरप्रिंट की हाई रिज़ॉल्यूशन वाली इमेज में बदलाव करें नकली कॉपी बनाएं.
  • अलग-अलग विषयों के हिसाब से परफ़ॉर्मेंस, खास तौर पर काम की होती है एल्गोरिदम को ट्यून करने में काफ़ी समय लगता है. अलग-अलग लिंग के लोगों के लिए कैलिब्रेशन फ़्लो की जांच करना, उम्र समूह और नस्ल/जाति से जुड़ी जानकारी अक्सर काफ़ी खराब होती है दुनिया भर की जनसंख्या के सेगमेंट की परफ़ॉर्मेंस के बारे में जानकारी. यह एक अहम पैरामीटर है कैलिब्रेट हो रहा है.
विविधता की जांच करना

यह मुमकिन है कि फ़िंगरप्रिंट रीडर अलग-अलग परफ़ॉर्मेंस दें. लिंग, उम्र समूह, और नस्ल/प्रजातियां. कुछ लोगों के फ़िंगरप्रिंट को पहचानना मुश्किल होता है. इसलिए, पहचान करने और स्पूफ़ की जांच करने के लिए, अलग-अलग फ़िंगरप्रिंट का इस्तेमाल किया जाना चाहिए.

टेस्ट करने का चरण

टेस्ट फ़ेज़ में, बायोमेट्रिक सिक्योरिटी की परफ़ॉर्मेंस को मेज़र किया जाता है. कम से कम, जांच को बिना सहयोग के किया जाना चाहिए. इसका मतलब है कि इकट्ठा किए गए किसी भी फ़िंगरप्रिंट को किसी दूसरी सतह से उठाकर लिया जाना चाहिए. इसके बजाय, टारगेट को अपने फ़िंगरप्रिंट को इकट्ठा करने में सक्रिय रूप से हिस्सा लेना चाहिए, जैसे कि व्यक्ति की उंगली का मोल्ड बनाना. कॉन्टेंट बनाने बाद की अनुमति है, लेकिन यह ज़रूरी नहीं है.

टेस्ट के चरण में कोशिशों की संख्या

फ़िंगरप्रिंट दिखाने के बीच के समय को एक बार में ही गिना जाता है (असली या झूठे नाम से भेजा गया) और फ़ोन से सुझाव लेना (अनलॉक इवेंट या उपयोगकर्ता को दिखने वाला मैसेज).

अगर फ़ोन को मैच करने के लिए ज़रूरत के मुताबिक डेटा नहीं मिलता है, तो उन कोशिशों को SAR का हिसाब लगाने के लिए इस्तेमाल की गई कुल कोशिशों की संख्या में शामिल नहीं किया जाना चाहिए.

इवैलुएशन प्रोटोकॉल

सेट अप

फ़िंगरप्रिंट की पुष्टि करने के लिए, कैलिब्रेशन का फ़ेज़ शुरू करने से पहले, डिवाइस की सेटिंग पर जाएं और सभी मौजूदा बायोमेट्रिक प्रोफ़ाइलें हटाएं. आखिरकार मौजूदा प्रोफ़ाइलें हटा दी गई हैं. टारगेट के साथ कोई नई प्रोफ़ाइल रजिस्टर करें फ़िंगरप्रिंट का इस्तेमाल कैलिब्रेशन और जांच के लिए किया जाएगा. सभी का अनुसरण करें जब तक प्रोफ़ाइल रजिस्टर नहीं हो जाती, तब तक आपको स्क्रीन के निर्देश दिखेंगे.

कैलिब्रेशन का फ़ेज़

ऑप्टिकल एफ़पीएस

यह अल्ट्रासोनिक और कैपेसिटिव कैलब्रेशन के फ़ेज़ से मिलता-जुलता है. हालांकि, इसमें टारगेट किए गए उपयोगकर्ता के फ़िंगरप्रिंट के 2D और 2.5D PAI स्पेसिज़, दोनों का इस्तेमाल किया जाता है.

  • फ़िंगरप्रिंट की गुप्त कॉपी को सतह से हटाएं.
  • 2D PAI प्रजातियों की मदद से परीक्षण करना
    • लिफ़्ट की गई उंगली को सेंसर पर रखें
  • 2.5D PAI प्रजाति के साथ टेस्ट करें.
    • फ़िंगरप्रिंट का पीएआई बनाना
    • पीएआई को सेंसर पर रखें
अल्ट्रासोनिक एफ़पीएस

अल्ट्रासोनिक के लिए कैलिब्रेट में टारगेट की लेटेंट कॉपी को हटाना होता है फ़िंगरप्रिंट. उदाहरण के लिए, ऐसा करने के लिए इसके ज़रिए हटाए गए फ़िंगरप्रिंट का इस्तेमाल किया जा सकता है फ़िंगरप्रिंट पाउडर या फ़िंगरप्रिंट की प्रिंट की गई कॉपी. इन्हें मैन्युअल तरीके से भी उपलब्ध कराया जा सकता है बेहतर स्पूफ़ पाने के लिए फ़िंगरप्रिंट इमेज को फिर से छूता है.

टारगेट फ़िंगरप्रिंट की लатент कॉपी मिलने के बाद, एक पीएआई बनाया जाता है.

कैपेसिटिव एफ़पीएस

कैपेसिटिव सेंसर को कैलिब्रेट करने के लिए, ऊपर बताए गए वही चरण अपनाए जाते हैं जो अल्ट्रासोनिक सेंसर को कैलिब्रेट करने के लिए अपनाए जाते हैं.

टेस्टिंग का फ़ेज़

  • एफ़आरआर/एफ़एआर का हिसाब लगाते समय इस्तेमाल किए गए पैरामीटर का इस्तेमाल करके, कम से कम 10 यूनीक लोगों को रजिस्टर करें
  • हर व्यक्ति के लिए पीआई बनाना
  • इसके बाद, एसएआर को इस तरह से मापा जा सकता है:
$$ \displaystyle SAR = \frac{\displaystyle\sum_{i=1}^{E}{S_i} }{(U * E)}\ {* 100\%} $$

गड़बड़ी की दरों के आंकड़ों के हिसाब से मान्य सैंपल पाने के लिए, ज़रूरी दोहराव: यहां दिए गए सभी मामलों के लिए 95% कॉन्फ़िडेंस के साथ, बड़े N का अनुमान

मार्जिन ऑफ़ एरर हर विषय के लिए बार-बार टेस्ट करना ज़रूरी है
1% 9595
2% 2401
3% 1067
5% 385
10% 97

ज़रूरी समय (हर कोशिश 30 सेकंड, 10 विषय)

मार्जिन ऑफ़ एरर सुनने का कुल समय
1% 799.6 घंटे
2% 200.1 घंटे
3% 88.9 घंटे
5% 32.1 घंटे
10% 8.1 घंटे

हमारा सुझाव है कि आप 5% मार्जिन ऑफ़ एरर को टारगेट करें, जो गड़बड़ी की सही दर की जनसंख्या 2% से 12% के बीच है.

दायरा

इस प्रोसेस को फ़िंगरप्रिंट की पुष्टि करने की क्षमता का पता लगाने के लिए सेटअप किया गया है मुख्य तौर पर, टारगेट उपयोगकर्ता के फ़िंगरप्रिंट की फ़ैसिलिटी पर असर डालता हो. टेस्टिंग यह तरीका, सामग्री की मौजूदा लागत, उपलब्धता, और टेक्नोलॉजी पर आधारित है. इस प्रोटोकॉल में बदलाव किया जाएगा, ताकि नए कॉन्टेंट और तकनीकों के लिए, सुरक्षा के स्तर का आकलन किया जा सके. ऐसा तब किया जाएगा, जब उन्हें लागू करना आसान हो जाएगा.

आम तौर पर ध्यान देने वाली बातें

हर मोडैलिटी के लिए, टेस्ट का अलग सेटअप ज़रूरी होता है. हालांकि, कुछ सामान्य बातें सभी पर लागू होती हैं.

असली हार्डवेयर की जांच करें

इकट्ठा की गई SAR/IAR मेट्रिक गलत हो सकती हैं. ऐसा तब होता है, जब बायोमेट्रिक मॉडल की जांच, आदर्श परिस्थितियों में और मोबाइल डिवाइस पर दिखने वाले हार्डवेयर के बजाय, किसी दूसरे हार्डवेयर पर की जाती है. उदाहरण के लिए, आवाज़ से अनलॉक करने की सुविधा के ऐसे मॉडल जिन्हें एक से ज़्यादा माइक्रोफ़ोन वाले सेटअप का इस्तेमाल करके, ऐनेकोइक चेंबर में कैलिब्रेट किया गया है, शोरगुल वाले माहौल में एक माइक्रोफ़ोन वाले डिवाइस पर इस्तेमाल करने पर, बहुत अलग तरीके से काम करते हैं. सटीक मेट्रिक कैप्चर करने के लिए, टेस्ट को किसी ऐसे डिवाइस पर किया जाना चाहिए जिसमें हार्डवेयर इंस्टॉल हो. अगर ऐसा नहीं है, तो डिवाइस पर दिखने वाले हार्डवेयर के साथ टेस्ट किया जाना चाहिए.

पहले से मालूम हमलों का इस्तेमाल करें

फ़िलहाल, इस्तेमाल में मौजूद ज़्यादातर बायोमेट्रिक मोड को स्पूफ़ किया जा चुका है. साथ ही, हमले के तरीके का सार्वजनिक दस्तावेज़ भी मौजूद है. नीचे हमने, पहले से किए गए हमलों के टेस्ट सेटअप के बारे में पूरी जानकारी. हमारा सुझाव है कि जहां भी हो सके, यहां बताए गए सेटअप का इस्तेमाल करें.

नए हमलों का अनुमान लगाना

जिन मोड में नए और अहम सुधार किए गए हैं उनके लिए, हो सकता है कि जांच के सेटअप दस्तावेज़ में सही सेटअप न हो. साथ ही, हो सकता है कि कोई सार्वजनिक हमला न हुआ हो. नए तरीके से खोजे गए हमले की वजह से, मौजूदा तरीकों के टेस्ट सेटअप को भी ट्यून करने की ज़रूरत पड़ सकती है. दोनों ही मामलों में, आपको एक सही टेस्ट सेटअप करना होगा. कृपया साइट का इस्तेमाल करें इस पेज में सबसे नीचे मौजूद फ़ीडबैक लिंक पर क्लिक करें, ताकि हमें पता चल सके कि आपने जिसे जोड़ा जा सकता है.

अलग-अलग मोड के लिए सेटअप

फ़िंगरप्रिंट

आईएआर ज़रूरी नहीं है.
SAR
  • टारगेट फ़िंगरप्रिंट के मोल्ड का इस्तेमाल करके 2.5D पीएआई बनाएं.
  • मेज़रमेंट कितना सटीक होगा, यह फ़िंगरप्रिंट के मोल्ड की क्वालिटी पर निर्भर करता है. डेंटल सिलिकॉन अच्छा विकल्प है.
  • टेस्ट सेटअप से यह मेज़र किया जाना चाहिए कि मॉल्ड की मदद से बनाए गए नकली फ़िंगरप्रिंट से डिवाइस कितनी बार अनलॉक हो पाता है.

चेहरा और आइरिस

आईएआर निचली सीमा को एसएआर की मदद से कैप्चर किया जाएगा. इसलिए, इसे अलग से मापना की ज़रूरत नहीं है.
SAR
  • टारगेट किए गए व्यक्ति के चेहरे की फ़ोटो से जांच करें. आईरिस के लिए, चेहरे को ज़ूम इन करना होगा, ताकि उस दूरी की नकल की जा सके जिस पर आम तौर पर उपयोगकर्ता इस सुविधा का इस्तेमाल करता है.
  • फ़ोटो का रिज़ॉल्यूशन हाई होना चाहिए. ऐसा न होने पर, नतीजे गुमराह करने वाले होंगे.
  • फ़ोटो को इस तरह से नहीं दिखाया जाना चाहिए कि यह पता चल जाए कि वे इमेज हैं. उदाहरण के लिए:
    • इमेज के बॉर्डर शामिल नहीं होने चाहिए
    • अगर फ़ोटो किसी फ़ोन की है, तो फ़ोन की स्क्रीन/बेज़ल दिखने चाहिए
    • अगर कोई व्यक्ति फ़ोटो पकड़े हुए है, तो उसके हाथ नहीं दिखने चाहिए
  • सीधे ऐंगल के लिए, फ़ोटो में सेंसर पूरा भरा होना चाहिए, ताकि बाहर का कुछ भी न दिखे.
  • आम तौर पर, चेहरे और आईरिस के मॉडल तब ज़्यादा सटीक होते हैं, जब सैंपल (चेहरा/आईरिस/फ़ोटो) कैमरे के हिसाब से ऐक्यूट ऐंगल पर हो. ऐसा इसलिए होता है, ताकि उपयोगकर्ता के फ़ोन को सीधे सामने रखकर, अपने चेहरे पर फ़ोकस करने के उदाहरण की नकल की जा सके. इस ऐंगल पर टेस्ट करने से यह पता लगाने में मदद मिलेगी कि आपका मॉडल अक्सर स्पूफ़िंग (झूठे नाम से मेल भेजना) की जा सकती है.
  • टेस्ट सेटअप को यह मेज़र करना चाहिए कि चेहरे या आइरिस की इमेज कितनी बार दिखती है डिवाइस को अनलॉक कर सकते हैं.

आवाज़

आईएआर
  • ऐसे सेटअप का इस्तेमाल करके टेस्ट करें जिसमें हिस्सा लेने वाले लोगों को कोई सकारात्मक सैंपल सुनाया जाए और फिर उसी की नकल करने के लिए कहा जाए.
  • अलग-अलग लिंग के लोगों और अलग-अलग लोगों के साथ मॉडल को टेस्ट करें उच्चारण के चिह्नों का इस्तेमाल किया जाता है, ताकि कुछ स्वर/उच्चारणों के साथ किनारों के केस का कवरेज मिल सके FAR ज़्यादा होते हैं.
SAR
  • टारगेट की आवाज़ की रिकॉर्डिंग की मदद से टेस्ट करें.
  • रिकॉर्डिंग की क्वालिटी अच्छी होनी चाहिए. ऐसा न होने पर, आपको गलत नतीजे मिल सकते हैं.