Biyometrik Kilit Açma Güvenliğini Ölçme

Cihaz uygulamalarının Android ile uyumlu sayılması için Android Uyumluluk Tanımı Belgesinde (CDD) sunulan gereksinimleri karşılaması gerekir. Android CDD, mimari güvenlik ve yanıltıcılık kullanarak biyometrik uygulamanın güvenliğini değerlendirir.

  • Mimari güvenlik : Biyometrik bir boru hattının çekirdek veya platform güvenliğinin ihlaline karşı dayanıklılığı. Çekirdek ve platformdaki uzlaşmalar, ham biyometrik verileri okuma veya kimlik doğrulama kararını etkilemek için ardışık düzene sentetik veriler ekleme yeteneği vermiyorsa, bir işlem hattı güvenli kabul edilir.
  • Biyometrik güvenlik performansı : Biyometrik güvenlik performansı, biyometrinin Sahte Kabul Oranı (SAR) , Yanlış Kabul Oranı (FAR) ve uygun olduğunda Sahtekar Kabul Oranı (IAR) ile ölçülür. SAR, biyometrinin fiziksel sunum saldırısına karşı ne kadar dayanıklı olduğunu ölçmek için Android 9'da tanıtılan bir ölçümdür. Biyometriyi ölçerken aşağıda açıklanan protokolleri izlemeniz gerekir.

Android, biyometrik güvenlik performansını ölçmek için üç tür ölçüm kullanır.

  • Sahte Kabul Oranı (SAR) : Bir biyometrik modelin önceden kaydedilmiş, bilinen iyi bir örneği kabul etme şansının ölçüsünü tanımlar. Örneğin, sesle kilit açma özelliğiyle bu, bir kullanıcının telefonunun kilidini, "Tamam, Google" diyerek kaydedilen bir örneğini kullanarak açma şansını ölçer. Bu tür saldırılara Sahte Saldırılar adını veriyoruz. Sahtekar Saldırı Sunumu Eşleşme Oranı (IAPMR) olarak da bilinir.
  • Sahtekar Kabul Oranı (IAR) : Biyometrik bir modelin, bilinen iyi bir örneği taklit etmesi amaçlanan girdiyi kabul etme şansının ölçüsünü tanımlar. Örneğin, Smart Lock güvenilir ses (sesle kilit açma) mekanizmasında bu, bir kullanıcının sesini taklit etmeye çalışan birinin (benzer ton ve aksan kullanarak) cihazının kilidini ne sıklıkla açabildiğini ölçer. Bu tür saldırılara Sahtekar Saldırıları adını veriyoruz.
  • Yanlış Kabul Oranı (FAR) : Bir modelin rastgele seçilen bir yanlış girişi ne sıklıkla yanlışlıkla kabul ettiğinin metriklerini tanımlar. Bu yararlı bir önlem olsa da modelin hedefli saldırılara karşı ne kadar dayanıklı olduğunu değerlendirmek için yeterli bilgi sağlamaz.

Güven acenteleri

Android 10, Trust Agent'ların davranış şeklini değiştiriyor. Trust Agent'lar bir cihazın kilidini açamaz; yalnızca kilidi açılmış olan bir cihazın kilit açma süresini uzatabilirler. Güvenilir yüz, Android 10'da kullanımdan kaldırılmıştır.

Biyometrik Sınıflar

Biyometrik güvenlik, mimari güvenlik ve yanıltıcılık testlerinden elde edilen sonuçlar kullanılarak sınıflandırılır. Biyometrik bir uygulama Sınıf 3 (eski adıyla Güçlü) , Sınıf 2 (eski adıyla Zayıf) veya Sınıf 1 (eski adıyla Kolaylık) olarak sınıflandırılabilir. Aşağıdaki tabloda her biyometrik sınıf için genel gereksinimler açıklanmaktadır.

Daha fazla ayrıntı için geçerli Android CDD'sine bakın.

Biyometrik Sınıf Metrikler Biyometrik Boru Hattı Kısıtlamalar
3. Sınıf
(eski adıyla Strong)
Tüm PAI türlerinin SAR'ı: %0-7

A Düzeyi PAI türlerinin SAR'ı:
<=%7

B Düzeyi PAI türlerinin SAR'ı:
<=%20

Herhangi bir PAI türünün SAR'ı <= %40 (şiddetle tavsiye edilir <= %7)

UZAK: 1/50k

FRR: %10
Güvenli
  • Birincil kimlik doğrulamasına geri dönüşten (PIN, desen veya şifre gibi) 72 saate kadar
  • Bir API'yi uygulamalara sunabilir (örneğin: BiometricPrompt veya FIDO2 API'leriyle entegrasyon aracılığıyla)
  • BCR sunulmalıdır
Sınıf 2
(eski adıyla Zayıf)
Tüm PAI türlerinin SAR'ı: %7-20

A Düzeyi PAI türlerinin SAR'ı:
<=%20

B Düzeyi PAI türlerinin SAR'ı:
<=%30

Herhangi bir PAI türünün SAR'ı <= %40 (şiddetle tavsiye edilir <= %20)

UZAK: 1/50k

FRR: %10
Güvenli
  • Birincil kimlik doğrulamasına geri dönüşten 24 saat öncesine kadar
  • 4 saatlik boşta kalma zaman aşımı VEYA birincil kimlik doğrulamasına geri dönmeden önce 3 hatalı deneme
  • BiometricPrompt ile entegre olabilir ancak anahtar deposuyla entegre olamaz (örneğin: uygulama kimlik doğrulamasına bağlı anahtarları serbest bırakmak için)
  • BCR sunulmalıdır
1. sınıf
(eski adıyla Kolaylık)
Tüm PAI türlerinin SAR'ı: %20-30

A Düzeyi PAI türlerinin SAR'ı:
<=%30

B Düzeyi PAI türlerinin SAR'ı:
<=%40

Herhangi bir PAI türünün SAR'ı <= %40 (şiddetle tavsiye edilir <= %30)

UZAK: 1/50k

FRR: %10
Güvensiz/Güvenli
  • Birincil kimlik doğrulamasına geri dönüşten 24 saat öncesine kadar
  • 4 saatlik boşta kalma zaman aşımı VEYA birincil kimlik doğrulamasına geri dönmeden önce 3 hatalı deneme
  • Bir API uygulamalara gösterilemez
  • Android 11'den itibaren BCR gönderilmelidir
  • Android 13'ten itibaren SAR testi yapılmalı
  • Geçici sınıf gelecekte ortadan kalkabilir

Sınıf 3 ve Sınıf 2 ve Sınıf 1 yöntemleri

Biyometrik güvenlik sınıfları, güvenli bir boru hattının varlığına ve üç kabul oranına (FAR, IAR ve SAR) göre atanır. Sahtekarlık saldırısının olmadığı durumlarda yalnızca FAR ve SAR'ı dikkate alırız.

Tüm kilit açma yöntemleri için alınması gereken önlemler için Android Uyumluluk Tanımı Belgesine (CDD) bakın.

Yüz ve iris kimlik doğrulaması

Değerlendirme süreci

Değerlendirme süreci iki aşamadan oluşmaktadır. Kalibrasyon aşaması, belirli bir kimlik doğrulama çözümü (yani kalibre edilmiş konum) için en uygun sunum saldırısını belirler. Test aşaması, birden fazla saldırı gerçekleştirmek için kalibre edilmiş konumu kullanır ve saldırının kaç kez başarılı olduğunu değerlendirir. Android cihaz ve biyometrik sistem üreticilerinin, en güncel test kılavuzu için bu formu göndererek Android ile iletişime geçmesi gerekir.

İlk olarak kalibre edilmiş konumu belirlemek önemlidir çünkü SAR yalnızca sistemdeki en büyük zayıf noktaya yapılan saldırılar kullanılarak ölçülmelidir.

Kalibrasyon aşaması

Test aşaması için en uygun değerleri sağlamak üzere kalibrasyon aşamasında optimize edilmesi gereken yüz ve iris kimlik doğrulaması için üç parametre vardır: sunum saldırı aracı (PAI), sunum formatı ve konu çeşitliliği genelinde performans.

YÜZ
  • Sunum saldırı aracı (PAI) fiziksel sahtekarlıktır. Biyometrik teknolojiden bağımsız olarak aşağıdaki PAI türleri şu anda kapsam dahilindedir:
    • 2D PAI türleri
      • Basılı fotoğraflar
      • Monitördeki veya telefon ekranındaki fotoğraflar
      • Monitördeki veya telefon ekranındaki videolar
    • 3D PAI türleri
      • 3D baskılı maskeler
  • Sunum formatı, sahteciliğe yardımcı olacak şekilde PAI'nin veya ortamın daha fazla manipülasyonu ile ilgilidir. İşte deneyebileceğiniz bazı manipülasyon örnekleri:
    • Basılı fotoğrafları yanaklardan kıvrılacak şekilde hafifçe katlamak (böylece derinliği hafifçe taklit etmek) bazen 2D yüz kimlik doğrulama çözümlerinin kırılmasına büyük ölçüde yardımcı olabilir.
    • Değişen aydınlatma koşulları, sahteciliğe yardımcı olmak için ortamın değiştirilmesine bir örnektir
    • Lensin hafifçe lekelenmesi veya kirlenmesi
    • Sahteciliği etkileyip etkilemediğini görmek için telefonun yönünü dikey ve yatay modlar arasında değiştirme
  • Konu çeşitliliğindeki performans (veya bunun eksikliği) özellikle makine öğrenimi tabanlı kimlik doğrulama çözümleriyle ilgilidir. Kalibrasyon akışının cinsiyetler, yaş grupları ve ırklar/etnik kökenler arasında test edilmesi genellikle küresel nüfusun bazı kesimleri için önemli ölçüde daha kötü performansı ortaya çıkarabilir ve bu aşamada kalibre edilmesi gereken önemli bir parametredir.
Sahtekarlık testinin amacı, bir sistemin geçerli bir tekrar veya sunum saldırısını kabul edip etmediğini test etmektir. Sahteciliği önleme veya sunum saldırısı algılama (PAD) uygulanmadıysa veya devre dışı bırakıldıysa, PAI türlerinin biyometrik doğrulama süreci sırasında geçerli bir biyometrik iddia olarak geçmek için yeterli olması gerekir. Sahteciliği önleme veya PAD işlevselliği olmadan biyometrik doğrulama sürecini geçemeyen bir PAI, PAI olarak geçersizdir ve bu PAI türlerini kullanan tüm testler geçersizdir. Sahte testlerin yürütücüleri, testlerinde kullanılan PAI türlerinin bu kriterleri karşıladığını göstermelidir.
İRİS
  • Sunum saldırı aracı (PAI) fiziksel sahtekarlıktır. Aşağıdaki PAI türleri şu anda kapsam dahilindedir:
    • İrisin açıkça görüldüğü yüzlerin basılı fotoğrafları
    • Bir monitörde veya telefon ekranında irisi açıkça gösteren yüz fotoğrafları/videoları
    • Protez gözler
  • Sunum formatı, sahteciliğe yardımcı olacak şekilde PAI'nin veya ortamın daha fazla manipülasyonu ile ilgilidir. Örneğin, basılı bir fotoğrafın üzerine veya gözün bir fotoğraf/video ekranının üzerine kontakt lens yerleştirmek, bazı iris sınıflandırma sistemlerini yanıltmaya yardımcı olur ve iris kimlik doğrulama sistemlerinin baypas oranını artırmaya yardımcı olabilir.
  • Konu çeşitliliğindeki performans özellikle makine öğrenimi tabanlı kimlik doğrulama çözümleriyle ilgilidir. İris tabanlı kimlik doğrulamayla, farklı iris renkleri farklı spektral özelliklere sahip olabilir ve farklı renkler arasında yapılan testler, küresel nüfusun bazı kesimleri için performans sorunlarını vurgulayabilir.
Çeşitliliğin test edilmesi

Yüz ve iris modellerinin cinsiyetlere, yaş gruplarına ve ırklara/etnik kökenlere göre farklı performans göstermesi mümkündür. Performanstaki boşlukları ortaya çıkarma şansını en üst düzeye çıkarmak için çeşitli yüzlerdeki sunum saldırılarını kalibre edin.

Test Aşaması

Test aşaması, önceki aşamadaki optimize edilmiş sunum saldırısı kullanılarak biyometrik güvenlik performansının ölçüldüğü aşamadır.

Test aşamasında denemeleri sayma

Tek bir deneme, bir yüzün sunulması (gerçek veya sahte) ile telefondan bazı geri bildirimlerin alınması (bir kilit açma olayı veya kullanıcının görebileceği bir mesaj) arasındaki pencere olarak sayılır. Telefonun bir eşleşme girişiminde bulunmak için yeterli veriyi alamadığı herhangi bir deneme, SAR'ı hesaplamak için kullanılan toplam deneme sayısına dahil edilmemelidir.

Değerlendirme protokolü

Kayıt

Yüz veya iris kimlik doğrulaması için kalibrasyon aşamasına başlamadan önce cihaz ayarlarına gidin ve mevcut tüm biyometrik profilleri kaldırın. Mevcut tüm profiller kaldırıldıktan sonra, kalibrasyon ve test için kullanılacak hedef yüz veya iris ile yeni bir profil kaydedin. Yeni bir yüz veya iris profili eklenirken iyi aydınlatılmış bir ortamda olunması ve cihazın hedef yüzün tam önüne 20 ila 80 cm mesafede düzgün bir şekilde konumlandırılması önemlidir.

Kalibrasyon aşaması

Farklı türlerin farklı boyutları ve test için en uygun koşulları etkileyebilecek diğer özellikleri olduğundan, PAI türlerinin her biri için kalibrasyon aşamasını gerçekleştirin. PAI'yi hazırlayın.

YÜZ
  • Kayıt akışıyla aynı aydınlatma koşulları, açı ve mesafe altında kayıtlı yüzün yüksek kaliteli bir fotoğrafını veya videosunu çekin.
  • Fiziksel çıktılar için:
    • Bir tür kağıt maskesi oluşturarak yüzün dış hatlarını kesin.
    • Hedef yüzün eğriliğini taklit etmek için maskeyi her iki yanaktan bükün
    • Testi yapan kişinin gözlerini göstermek için 'maskede' göz delikleri kesin; bu, canlılık algılama aracı olarak göz kırpmayı arayan çözümler için kullanışlıdır.
  • Kalibrasyon aşamasında başarı şansını etkileyip etkilemediğini görmek için önerilen sunum formatı işlemlerini deneyin
İRİS
  • Kayıt akışıyla aynı aydınlatma koşulları, açı ve mesafe altında irisi açıkça gösteren, kayıtlı yüzün yüksek çözünürlüklü bir fotoğrafını veya videosunu çekin.
  • Hangi yöntemin sahteciliği artırdığını görmek için gözlerinize kontak lens takarak veya takmadan deneyin

Kalibrasyon aşamasının yürütülmesi

Referans pozisyonları
  • Referans konumu : Referans konumu, PAI'nin cihazın önünde, PAI'nin cihazın görünümünde açıkça görülebileceği ancak kullanılan herhangi bir şeyin (stand gibi) açıkça görülebileceği şekilde uygun bir mesafeye (20-80 cm) yerleştirilmesiyle belirlenir. PAI için) görünmez.
  • Yatay referans düzlemi : PAI referans konumundayken, cihaz ile PAI arasındaki yatay düzlem yatay referans düzlemidir.
  • Dikey referans düzlemi : PAI referans konumundayken, cihaz ile PAI arasındaki dikey düzlem dikey referans düzlemidir.
Referans düzlemleri
Şekil 1 : Referans düzlemleri
Dikey yay

Referans konumunu belirleyin ve ardından cihaza referans konumuyla aynı mesafeyi koruyarak PAI'yi dikey bir yayda test edin. PAI'yi aynı dikey düzlemde yükseltin, cihaz ile yatay referans düzlemi arasında 10 derecelik bir açı oluşturun ve yüz kilidini test edin.

PAI artık cihazın görüş alanında görünmeyene kadar PAI'yi 10 derecelik artışlarla yükseltmeye ve test etmeye devam edin. Cihazın kilidini başarıyla açan tüm konumları kaydedin. Bu işlemi tekrarlayın ancak PAI'yi yatay referans düzleminin altına doğru bir yay çizerek hareket ettirin. Ark testlerinin bir örneği için aşağıdaki şekil 3'e bakın.

Yatay yay

PAI'yi referans konumuna döndürün ve ardından dikey referans düzlemiyle 10 derecelik bir açı oluşturacak şekilde yatay düzlem boyunca hareket ettirin. PAI bu yeni konumdayken dikey ark testini gerçekleştirin. PAI'yi yatay düzlem boyunca 10 derecelik artışlarla hareket ettirin ve her yeni konumda dikey yay testini gerçekleştirin.

Yatay yay boyunca test etme

Şekil 1 : Dikey ve yatay yay boyunca test etme

Ark testlerinin cihazın hem sol hem sağ tarafının yanı sıra cihazın üstü ve altı için 10 derecelik artışlarla tekrarlanması gerekir.

En güvenilir kilit açma sonuçlarını veren konum, PAI türlerinin türüne (örneğin, 2D veya 3D PAI türleri) göre kalibre edilmiş konumdur .

Test aşaması

Kalibrasyon aşamasının sonunda PAI türü başına bir kalibre edilmiş konum bulunmalıdır. Kalibre edilmiş bir konum belirlenemiyorsa referans konumu kullanılmalıdır. Test metodolojisi hem 2D hem de 3D PAI türlerini test etmek için ortaktır.

  • E>= 10 olan ve en az 10 benzersiz yüz içeren kayıtlı yüzler arasında.
    • Yüzü/irisin kaydedilmesi
    • Önceki aşamadan kalibre edilmiş konumu kullanarak, önceki bölümde açıklandığı gibi ve U >= 10 olduğunda denemeleri sayarak U kilit açma denemeleri gerçekleştirin. Başarılı kilit açma sayısını kaydedin S .
    • SAR daha sonra şu şekilde ölçülebilir:
$$ \displaystyle SAR = \frac{\displaystyle\sum_{i=1}^{E}{S_i} }{(U * E)}\ {* 100\%} $$

Nerede:

  • E = kayıt sayısı
  • U = kayıt başına kilit açma denemelerinin sayısı
  • Si = i kaydı için başarılı kilit açma sayısı

İstatistiksel olarak geçerli hata oranları örnekleri elde etmek için yinelemeler gerekir: Aşağıdakilerin tümü için %95 güven varsayımı, büyük N

Hata Marjı Konu başına gerekli test yinelemeleri
%1 9595
%2 2401
%3 1067
%5 385
%10 97

Gereken süre (girişim başına 30 saniye, 10 konu)

Hata payı Toplam zaman
%1 799,6 saat
%2 200,1 saat
%3 88,9 saat
%5 32.1 saat
%10 8,1 saat

Popülasyonda %2 ila %12 arasında gerçek hata oranı veren %5'lik bir hata marjını hedeflemenizi öneririz.

Kapsam

Test aşaması, yüz kimlik doğrulamanın öncelikle hedef kullanıcının yüzünün kopyalarına karşı dayanıklılığını ölçer. LED'lerin kullanılması veya ana baskı işlevi gören desenler gibi faks tabanlı olmayan saldırılara yönelik değildir. Bunların derinlik tabanlı yüz kimlik doğrulama sistemlerine karşı etkili olduğu henüz gösterilmese de kavramsal olarak bunun doğru olmasını engelleyen hiçbir şey yoktur. Gelecekteki araştırmaların durumun böyle olduğunu göstermesi hem mümkün hem de makuldür. Bu noktada bu protokol, bu saldırılara karşı dayanıklılığın ölçülmesini de içerecek şekilde revize edilecektir.

Parmak izi kimlik doğrulaması

Android 9'da çıta, %7'den düşük veya buna eşit bir Sahte Kabul Oranı (SAR) ile ölçülen PAI'lere karşı minimum dayanıklılığa ayarlandı. Bu blog yazısında neden özellikle %7'nin bulunabileceğinin kısa bir açıklaması.

Değerlendirme süreci

Değerlendirme süreci iki aşamadan oluşmaktadır. Kalibrasyon aşaması, belirli bir parmak izi kimlik doğrulama çözümü (yani kalibre edilmiş konum) için en uygun sunum saldırısını belirler. Test aşaması, birden fazla saldırı gerçekleştirmek için kalibre edilmiş konumu kullanır ve saldırının kaç kez başarılı olduğunu değerlendirir. Android cihaz ve biyometrik sistem üreticilerinin, en güncel test kılavuzu için bu formu göndererek Android ile iletişime geçmesi gerekir.

Kalibrasyon aşaması

Test aşaması için en uygun değerleri sağlamak üzere optimize edilmesi gereken parmak izi kimlik doğrulaması için üç parametre vardır: sunum saldırı aracı (PAI), sunum formatı ve konu çeşitliliği genelinde performans

  • PAI , basılı parmak izleri veya kalıplanmış bir kopya gibi fiziksel sahtekarlığın tümü sunum ortamı örnekleridir. Aşağıdaki sahte materyaller şiddetle tavsiye edilir
    • Optik parmak izi sensörleri (FPS)
      • İletken olmayan mürekkepli Kopya Kağıdı/Şeffaf
      • Knox Jelatin
      • Lateks boya
      • Elmer Tutkalı Hepsi
    • Kapasitif FPS
      • Knox Jelatin
      • Elmer's Carpenter's Interior Ahşap Tutkalı
      • Elmer Tutkalı Hepsi
      • Lateks boya
    • Ultrasonik FPS
      • Knox Jelatin
      • Elmer's Carpenter's Interior Ahşap Tutkalı
      • Elmer Tutkalı Hepsi
      • Lateks boya
  • Sunum formatı, sahteciliğe yardımcı olacak şekilde PAI'nin veya ortamın daha fazla manipülasyonu ile ilgilidir. Örneğin, 3D kopyayı oluşturmadan önce bir parmak izinin yüksek çözünürlüklü görüntüsünü rötuşlamak veya düzenlemek.
  • Konu çeşitliliğindeki performans özellikle algoritmanın ayarlanmasıyla ilgilidir. Kalibrasyon akışının cinsiyetler, yaş grupları ve ırklar/etnik kökenler arasında test edilmesi genellikle küresel nüfusun bazı kesimleri için önemli ölçüde daha kötü performansı ortaya çıkarabilir ve bu aşamada kalibre edilmesi gereken önemli bir parametredir.
Çeşitliliğin test edilmesi

Parmak izi okuyucularının cinsiyet, yaş grupları ve ırk/etnik kökene göre farklı performans göstermesi mümkündür. Nüfusun küçük bir yüzdesinin tanınması zor parmak izleri vardır, bu nedenle tanıma ve sahtekarlık testlerinde en uygun parametreleri belirlemek için çeşitli parmak izleri kullanılmalıdır.

Test aşaması

Test aşaması biyometrik güvenlik performansının ölçüldüğü aşamadır. En azından test, işbirlikçi olmayan bir şekilde yapılmalıdır; bu, hedefin işbirlikçi bir kalıp oluşturmak gibi parmak izlerinin toplanmasına aktif olarak katılmasının aksine, toplanan parmak izlerinin başka bir yüzeyden kaldırılmasıyla yapılması anlamına gelir. deneğin parmağı. İkincisine izin verilir ancak gerekli değildir.

Test aşamasında denemeleri sayma

Tek bir deneme, sensöre bir parmak izi sunulması (gerçek veya sahte) ile telefondan bir miktar geri bildirim (kilit açma olayı veya kullanıcı tarafından görülebilen bir mesaj) alınması arasındaki pencere olarak sayılır.

Telefonun bir eşleşme girişiminde bulunmak için yeterli veriyi alamadığı herhangi bir deneme, SAR'ı hesaplamak için kullanılan toplam deneme sayısına dahil edilmemelidir.

Değerlendirme protokolü

Kayıt

Parmak izi kimlik doğrulaması için kalibrasyon aşamasına başlamadan önce cihaz ayarlarına gidin ve mevcut tüm biyometrik profilleri kaldırın. Mevcut tüm profiller kaldırıldıktan sonra, kalibrasyon ve test için kullanılacak hedef parmak izini içeren yeni bir profili kaydedin. Profil başarıyla kaydedilene kadar ekrandaki tüm talimatları izleyin.

Kalibrasyon aşaması

Optik FPS

Bu, ultrasonik ve kapasitif kalibrasyon aşamalarına benzer, ancak hedef kullanıcının parmak izinin hem 2D hem de 2.5D PAI türleri vardır.

  • Parmak izinin gizli bir kopyasını bir yüzeyden kaldırın.
  • 2D PAI türleriyle test edin
    • Kaldırılan parmak izini sensöre yerleştirin
  • 2.5D PAI türleri ile test edin.
    • Parmak izinin PAI'sini oluşturun
    • PAI'yi sensöre yerleştirin
Ultrasonik FPS

Ultrasonik için kalibrasyon, hedef parmak izinin gizli bir kopyasının kaldırılmasını içerir. Örneğin, bu, parmak izi tozuyla kaldırılan parmak izleri veya bir parmak izinin basılı kopyaları kullanılarak yapılabilir ve daha iyi bir sahtecilik elde etmek için parmak izi görüntüsüne manuel olarak yeniden dokunulmasını içerebilir.

Hedef parmak izinin gizli kopyası alındıktan sonra PAI yapılır.

Kapasitif FPS

Kapasitif kalibrasyon, yukarıda ultrasonik kalibrasyon için açıklanan adımların aynısını içerir.

Test aşaması

  • FRR/FAR hesaplanırken kullanılan parametrelerin aynısını kullanarak en az 10 benzersiz kişinin kaydolmasını sağlayın
  • Her kişi için PAI'ler oluşturun
  • SAR daha sonra şu şekilde ölçülebilir:
$$ \displaystyle SAR = \frac{\displaystyle\sum_{i=1}^{E}{S_i} }{(U * E)}\ {* 100\%} $$

İstatistiksel olarak geçerli hata oranları örnekleri elde etmek için yinelemeler gerekir: Aşağıdakilerin tümü için %95 güven varsayımı, büyük N

Hata Marjı Konu başına gerekli test yinelemeleri
%1 9595
%2 2401
%3 1067
%5 385
%10 97

Gereken süre (girişim başına 30 saniye, 10 konu)

Hata payı Toplam zaman
%1 799,6 saat
%2 200,1 saat
%3 88,9 saat
%5 32.1 saat
%10 8,1 saat

Popülasyonda %2 ila %12 arasında gerçek hata oranı veren %5'lik bir hata marjını hedeflemenizi öneririz.

Kapsam

Bu işlem, parmak izi kimlik doğrulamasının dayanıklılığını öncelikle hedef kullanıcının parmak izinin kopyalarına karşı test etmek için ayarlanmıştır. Test metodolojisi mevcut malzeme maliyetlerine, kullanılabilirliğe ve teknolojiye dayanmaktadır. Bu protokol, uygulanması pratik hale geldikçe yeni malzeme ve tekniklere karşı dayanıklılığın ölçülmesini içerecek şekilde revize edilecektir.

Ortak hususlar

Her yöntem farklı bir test kurulumu gerektirse de hepsi için geçerli olan birkaç ortak husus vardır.

Gerçek donanımı test edin

Biyometrik modeller ideal koşullar altında ve bir mobil cihazda gerçekte göründüğünden farklı bir donanım üzerinde test edildiğinde, toplanan SAR/IAR ölçümleri hatalı olabilir. Örneğin, çoklu mikrofon kurulumu kullanılarak yankısız bir odada kalibre edilen sesle kilit açma modelleri, gürültülü bir ortamda tek bir mikrofon cihazında kullanıldığında çok farklı davranır. Doğru ölçümleri yakalamak için testler, donanımın kurulu olduğu gerçek bir cihaz üzerinde gerçekleştirilmeli ve bu başarısız olursa, donanımın cihazda göründüğü haliyle yapılması gerekir.

Bilinen saldırıları kullan

Günümüzde kullanılan biyometrik yöntemlerin çoğu başarılı bir şekilde sahteleştirilmiştir ve saldırı metodolojisine ilişkin kamuya açık belgeler mevcuttur. Aşağıda, bilinen saldırılara sahip yöntemlere yönelik test kurulumlarına ilişkin kısa, üst düzey bir genel bakış sunuyoruz. Mümkün olan her yerde burada özetlenen kurulumu kullanmanızı öneririz.

Yeni saldırıları önceden tahmin edin

Önemli yeni iyileştirmelerin yapıldığı yöntemler için test kurulum belgesi uygun bir kurulum içermeyebilir ve bilinen bir genel saldırı mevcut olmayabilir. Mevcut yöntemlerin de yeni keşfedilen bir saldırının ardından test kurulumlarının ayarlanması gerekebilir. Her iki durumda da makul bir test kurulumu bulmanız gerekecektir. Eklenebilecek makul bir mekanizma kurup kurmadığınızı bize bildirmek için lütfen bu sayfanın altındaki Site Geri Bildirimi bağlantısını kullanın.

Farklı yöntemler için kurulumlar

Parmak izi

IAR Gerekli değil.
SAR
  • Hedef parmak izinin bir kalıbını kullanarak 2.5D PAI oluşturun.
  • Ölçüm doğruluğu parmak izi kalıbının kalitesine duyarlıdır. Diş silikonu iyi bir seçimdir.
  • Test kurulumu, kalıpla oluşturulan sahte parmak izinin cihazın kilidini ne sıklıkla açabildiğini ölçmelidir.

Yüz ve İris

IAR Alt sınır SAR tarafından yakalanacağı için bunun ayrı olarak ölçülmesine gerek yoktur.
SAR
  • Hedefin yüzünün fotoğraflarıyla test edin. İris için, kullanıcının normalde bu özelliği kullanacağı mesafeyi taklit etmek amacıyla yüzün yakınlaştırılması gerekecektir.
  • Fotoğraflar yüksek çözünürlüklü olmalıdır, aksi halde sonuçlar yanıltıcı olabilir.
  • Fotoğraflar, görsel olduklarını ortaya çıkaracak şekilde sunulmamalıdır. Örneğin:
    • resim kenarlıkları dahil edilmemelidir
    • fotoğraf telefondaysa telefonun ekranı/çerçeveleri görünmemelidir
    • eğer birisi fotoğrafı tutuyorsa elleri görünmemelidir
  • Düz açılarda fotoğraf sensörü doldurmalıdır, böylece dışarıda başka hiçbir şey görülmez.
  • Yüz ve iris modelleri, örnek (yüz/iris/fotoğraf) kameraya dar bir açıda olduğunda genellikle daha hoşgörülüdür (bir kullanıcının telefonu düz önünde tutması ve yüzünü yukarı doğrultması gibi bir kullanım durumunu taklit etmek için) ). Bu açıda test yapmak, modelinizin sahteciliğe karşı duyarlı olup olmadığını belirlemenize yardımcı olacaktır.
  • Test kurulumu, yüz veya iris görüntüsünün cihazın kilidini ne sıklıkla açabildiğini ölçmelidir.

Ses

IAR
  • Katılımcıların pozitif bir örnek duyduğu ve ardından onu taklit etmeye çalıştığı bir kurulum kullanarak test edin.
  • Bazı tonlamaların/vurguların daha yüksek FAR'a sahip olduğu uç durumların kapsandığından emin olmak için modeli cinsiyetler ve farklı aksanlar arasındaki katılımcılarla test edin.
SAR
  • Hedefin sesinin kayıtlarıyla test edin.
  • Kaydın makul derecede yüksek kalitede olması gerekir, aksi takdirde sonuçlar yanıltıcı olacaktır.