דף זה תורגם על ידי Cloud Translation API.

מדידת האבטחה של ביטול נעילה ביומטרי

כדי להבטיח תאימות ל-Android, הטמעות המכשירים צריכות לעמוד בדרישות הדרישות המוצגות במסמך הגדרת התאימות ל-Android (CDD). CDD של Android מעריך את האבטחה של הטמעה ביומטרית באמצעות אבטחה ארכיטקטונית ויכולת זיופים.

אבטחה ארכיטקטונית: העמידות של צינור עיבוד נתונים ביומטרי מפני פגיעה בליבה או בפלטפורמה. צינור עיבוד נתונים נחשב למאובטח אם פרצות בליבה (kernel) והפלטפורמה לא מעניקות את היכולת לקרוא נתונים גולמיים או להחדיר נתונים ביומטריים לצינור עיבוד הנתונים כדי להשפיע על החלטה בנוגע לאימות.
ביצועי האבטחה הביומטרית: הביצועים של האבטחה הביומטרית נמדדים לפי שיעור הקבלה של זיוף (SAR), שיעור הקבלה השגוי (FAR) ושיעור הקבלה של מתחזה (IAR) של המידע הביומטרי, במקרים הרלוונטיים. המדד SAR הוצג ב-Android 9 כדי למדוד את עמידות המידע הביומטרי מפני התקפת זיוף פיזית. כשמודדים מאפיינים ביומטריים, צריך לפעול לפי הפרוטוקולים שמפורטים בהמשך.

ב-Android נעשה שימוש בשלושה סוגי מדדים כדי למדוד אבטחה ביומטרית או של ביצועים.

שיעור קבלת זיוף (SAR): מגדיר את המדד יש סיכוי שמודל ביומטרי מקבל דגימה טובה וידועה שכבר תועדה. לדוגמה, עם ביטול נעילה באמצעות הקול, היית רוצה למדוד את הסיכויים לביטול נעילה של טלפון של משתמש עם דגימה מוקלטת שלהם שאומרת: "Ok, Google" אנחנו מכנים את כוללת מתקפות מזויפות. הנתון הזה נקרא גם 'שיעור ההתאמה של הצגת התקפת התחזות' (IAPMR).
שיעור אישור מתחזה (IAR): מגדיר את המדד של הסיכוי שמודל ביומטרי יקבל קלט שנועד לחקות דגימה טובה ידועה. לדוגמה, במנגנון של Smart Lock לביטול נעילה באמצעות קול מהימן, המערכת תמדוד את התדירות שבה מישהו שמנסה לחקות את הקול של המשתמש (באמצעות טון ומבטא דומים) יכול לבטל את הנעילה של המכשיר. אנחנו מכנים את התקיפות האלה התקפות התחזות.
שיעור קבלה שווא (FAR): מגדיר את המדדים של לרוב המודל מקבל בטעות קלט שגוי שנבחר באופן אקראי. אומנם זה הוא אמצעי שימושי, הוא לא מספק מספיק מידע כדי להעריך איך המודל עומד בפני מתקפות ממוקדות.

סביבות אמינות

מערכת Android 10 משנה את אופן הפעולה של נציגים מהימנים. סביבות אמינות לא יכולות לבטל את נעילת המכשיר, אלא רק להאריך את משך הזמן שבו המכשיר לא נעול. התכונה 'פנים מהימנות' הוצאה משימוש ב-Android 10.

סיווגים של מידע ביומטרי

אבטחה ביומטרית מסווגת באמצעות התוצאות מהארכיטקטורה בדיקות אבטחה וזיוף. ניתן לסווג זיהוי ביומטרי בתור Class 3 (לשעבר Strong), Class 2 (לשעבר חלש) או Class 1 (לשעבר נוחות). בטבלה הבאה מפורטות הדרישות הכלליות לכל סוג של נתונים ביומטריים.

לפרטים נוספים, ראו את הגרסה העדכנית של Android CDD.

סיווג ביומטרי	מדדים	צינור עיבוד נתונים ביומטריה	אילוצים
כיתה 3 (לשעבר Strong)	SAR של כל המינים של PAI: 0-7% SAR של מינים של PAI ברמה A: <=7% SAR של מינים של PAI ברמה B: <=20% SAR של כל מין ספציפי של PAI <= 40% (מומלץ מאוד <= 7%) FAR: 1/50k FRR: 10%	מאובטח	עד 72 שעות לפני מעבר לאימות הראשי (כמו קוד אימות, קו ביטול נעילה או סיסמה) יכולה לחשוף ממשק API לאפליקציות (לדוגמה, באמצעות שילוב עם ממשקי ה-API של BiometricPrompt או FIDO2) חובה לשלוח BCR
כיתה 2 (לשעבר 'חלש')	SAR של כל מיני ה-PAI: 7-20% SAR של מיני PAI ברמה A: <=20% SAR של מיני PAI ברמה B: <=30% SAR של כל מין PAI ספציפי <= 40% (מומלץ מאוד <= 20%) FAR: 1/50k FRR: 10%	מאובטח	עד 24 שעות לפני חזרה לאימות ראשי זמן קצוב לפעילות ללא פעילות של 4 שעות או 3 ניסיונות שגויים לפני מעבר לאימות הראשי אפשר להשתלב עםBimetricPrompt, אבל לא ניתן לשלב עם מאגר מפתחות (למשל: כדי לפרסם מפתחות שקשורים לאימות האפליקציה) חובה לשלוח BCR
סיווג 1 (לשעבר 'נוחות')	SAR מכל המינים של PAI: 20-30% SAR של מינים PAI ברמה A: <=30% SAR של מינים PAI ברמה B: <=40% ה-SAR של כל מין PAI בודד <= 40% (מומלץ מאוד <= 30%) FAR: 1/50k צרפת: 10%	לא מאובטח או מאובטח	עד 24 שעות לפני חזרה לאימות ראשי זמן קצוב לתפוגה של 4 שעות ללא פעילות או 3 ניסיונות שגויים לפני החזרה אימות ראשי אי אפשר לחשוף ממשק API לאפליקציות חובה לשלוח BCR החל מ-Android 11 חובה לבדוק SAR החל מ-Android 13 ייתכן שהכיתה הזמנית תצא משימוש בעתיד

סיווג ביומטרי

מדדים

צינור עיבוד נתונים ביומטריה

אילוצים

כיתה 3
(לשעבר Strong)

SAR של כל המינים של PAI: 0-7%

SAR של מינים של PAI ברמה A:
<=7%

SAR של מינים של PAI ברמה B:
<=20%

SAR של כל מין ספציפי של PAI <= 40% (מומלץ מאוד <= 7%)

FAR: 1/50k

FRR: 10%

מאובטח

עד 72 שעות לפני מעבר לאימות הראשי (כמו קוד אימות, קו ביטול נעילה או סיסמה)

יכולה לחשוף ממשק API לאפליקציות (לדוגמה, באמצעות שילוב עם ממשקי ה-API של BiometricPrompt או FIDO2)

חובה לשלוח BCR

כיתה 2
(לשעבר 'חלש')

SAR של כל מיני ה-PAI: 7-20%

SAR של מיני PAI ברמה A:
<=20%

SAR של מיני PAI ברמה B:
<=30%

SAR של כל מין PAI ספציפי <= 40% (מומלץ מאוד <= 20%)

FAR: 1/50k

FRR: 10%

מאובטח

עד 24 שעות לפני חזרה לאימות ראשי

זמן קצוב לפעילות ללא פעילות של 4 שעות או 3 ניסיונות שגויים לפני מעבר לאימות הראשי

אפשר להשתלב עםBimetricPrompt, אבל לא ניתן לשלב עם מאגר מפתחות (למשל: כדי לפרסם מפתחות שקשורים לאימות האפליקציה)

חובה לשלוח BCR

סיווג 1
(לשעבר 'נוחות')

SAR מכל המינים של PAI: 20-30%

SAR של מינים PAI ברמה A:
<=30%

SAR של מינים PAI ברמה B:
<=40%

ה-SAR של כל מין PAI בודד <= 40% (מומלץ מאוד <= 30%)

FAR: 1/50k

צרפת: 10%

לא מאובטח או מאובטח

עד 24 שעות לפני חזרה לאימות ראשי

זמן קצוב לתפוגה של 4 שעות ללא פעילות או 3 ניסיונות שגויים לפני החזרה אימות ראשי

אי אפשר לחשוף ממשק API לאפליקציות

חובה לשלוח BCR החל מ-Android 11

חובה לבדוק SAR החל מ-Android 13

ייתכן שהכיתה הזמנית תצא משימוש בעתיד

שיטות מודל של סיווג 3 לעומת סיווג 2 לעומת סיווג 1

הסיווג של אבטחה ביומטרית נקבע על סמך נוכחות צינור עיבוד נתונים מאובטח ושלושת שיעורי הקבלה – FAR,‏ IAR ו-SAR. במקרים שבהם לא מתרחשת התקפת התחזות, אנחנו מביאים בחשבון רק את FAR ואת SAR.

לצפייה ב-Android מסמך הגדרת תאימות (CDD) כדי שהמדדים שיינקטו לגבי כל המשתמשים יהיו לבטל את הנעילה של שיטות.

אימות פנים ו קשתית העין

תהליך ההערכה

תהליך ההערכה מורכב משני שלבים. שלב הכיול קובע עבור פתרון אימות נתון (כלומר ). בשלב הבדיקה נעשה שימוש ב לביצוע מספר מתקפות, והערכה של מספר הפעמים הצלחת לבצע את ההתקפה. יצרנים של מכשירי Android ומערכות ביומטריות צריכים לשלוח את הטופס הזה כדי ליצור קשר עם Android ולקבל את ההנחיות העדכניות ביותר לבדיקה.

חשוב קודם לקבוע את המיקום הכיול, כי מדידת ה-SAR צריך למדוד רק באמצעות מתקפות נגד נקודת החולשה הגדולה ביותר במערכת.

שלב הכיול

יש שלושה פרמטרים לאימות הפנים והאיריס שצריך לבצע להם אופטימיזציה בשלב הבקרה כדי להבטיח ערכים אופטימליים בשלב הבדיקה: כלי להתקפת הצגה (PAI), פורמט הצגה וביצועים במגוון נושאים.

פנים

הכלי להתקפה על מצגת (PAI) הוא זיוף פיזי. המינים הבאים של PAI נמצאים כרגע בהיקף. ללא קשר לטכנולוגיה הביומטרית:
- מינים של PAI דו-ממדי
  - תמונות מודפסות
  - תמונות על צג או מסך טלפון
  - סרטונים בצג או במסך הטלפון
- סוגים של PAI בתלת-ממד
  - מסיכות מודפסות בתלת-ממד
פורמט המצגת מתייחס שעברו מניפולציה ב-PAI או בסביבה באופן שמסייע לזיוף. הנה כמה דוגמאות לפעולות מניפולציה שאפשר לנסות:
- לקפל מעט תמונות שהודפסו כך שיתאימו לצורת הלחיים (ולכן לחקות מעט את העומק) יכול לפעמים לסייע מאוד לשבור פנים דו-ממדיות פתרונות לאימות חשבונות.
- תנאי תאורה משתנים הם דוגמה לשינוי הסביבה כדי לסייע בזיוף
- מריחה או לכלוך קל של העדשה
- שינוי כיוון הטלפון בין המצבים 'לאורך' ו'לרוחב' כדי לראות אם זה משפיע על היכולת לזייף אותו
ביצועים במגוון נושאים (או היעדר הוא רלוונטי במיוחד לאימות מבוסס למידת מכונה ולבסוף על solutions. בדיקת תהליך ההתאמה בין המינים, קבוצות הגיל והגזעים/הקבוצות האתניות של הנבדקים יכולה לעיתים קרובות לחשוף ביצועים גרועים יותר באופן משמעותי בפלחים של האוכלוסייה הגלובלית, וזוהי פרמטר חשוב שצריך לבצע לו התאמה בשלב הזה.

בדיקת התחזות נועדה לבדוק אם מערכת מקבלת התקפת שחזור או התקפת הצגה תקינה. הסוג של PAI צריך להיות מספיק כדי לעבור כטענת אימות ביומטרי תקפה במהלך תהליך אימות ביומטרי, אם לא הופעלה או הושבתה זיהוי התקפות זיוף או התקפות הצגה (PAD). אם אסימון PAI לא יכול לעבור תהליך אימות ביומטרי בלי פונקציונליות של אמצעי נגד זיופים או PAD, הוא לא תקף בתור אסימון PAI וכל הבדיקות שמשתמשות בסוג הזה של אסימון PAI לא תקפות. מוליכים של בדיקות מזויפות מראים שמיני PAI שמשמשים בבדיקות שלהם עומדים בקריטריונים האלה.

IRIS

כלי ההתקפה על הצג (PAI) הוא התחזות פיזית. סוגי ה-PAI הבאים נכללים כרגע בהיקף:
- תמונות מודפסות של פנים שבהן אפשר לראות בבירור את האישון
- תמונות או סרטונים של פנים שמופיעות בבירור בצג או בטלפון אירוס
- עיניים תותבות
פורמט ההצגה קשור לזיוף נוסף של ה-PAI או הסביבה, באופן שעוזר לזיוף. לדוגמה, הצבת עדשת מגע מעל תמונה מודפסת או מעל המסך של תמונה או סרטון של העין עוזרת להטעות מערכות מסוימות של סיווג איריס, ויכולה לשפר את שיעור עקיפת מערכות אימות איריס.
ביצועים במגוון נושאים רלוונטיים במיוחד לפתרונות אימות שמבוססים על למידת מכונה. עם אירוס מבוסס אימות, צבעים שונים של קשתית העין יכולים להיות בעלי ספקטרל שונה מאפיינים שונים, ובדיקה בצבעים שונים יכולה בביצועים של פלחים באוכלוסייה ברחבי העולם.

בדיקת המגוון

יכול להיות שהביצועים של מודלים לזיהוי פנים וזיהוי קשתית העין יהיו שונים בין המינים, קבוצות הגיל, הגזעים או הקבוצות האתניות. איך מאזנים התקפות על הצגה במגוון פנים כדי להגדיל את הסיכוי לזהות פערים בביצועים

שלב הבדיקה

בשלב הבדיקה נמדדים הביצועים של האבטחה הביומטרית באמצעות התקפת הצגה (presentation attack) שעברה אופטימיזציה מהשלב הקודם.

ספירת ניסיונות בשלב הבדיקה

ניסיון יחיד נספר כחלון בין הצגת פנים (אמיתיות או זיוף), ולקבל משוב מהטלפון (אירוע ביטול נעילה או הודעה גלויה למשתמש). ניסיונות שבהם הטלפון לא יכול לקבל מספיק נתונים כדי לנסות להתאים לא צריכים להיכלל במספר הכולל של הניסיונות שנעשה בהם שימוש כדי לחשב את SAR.

פרוטוקול ההערכה

הרשמה

לפני התחלת שלב הכיול לאימות פנים או קשתית העין יש לעבור אל הגדרות המכשיר ולהסיר את כל הפרופילים הביומטריים הקיימים. אחרי שמסירים את כל הפרופילים הקיימים, צריך לרשום פרופיל חדש עם פנים או קשתית העין שישמשו לכיול ובדיקה. חשוב להיות בסביבה מוארת היטב כשמוסיפים פרופיל פנים או פרופיל קשתית חדש, ולוודא שהמכשיר ממוקם בצורה נכונה ישירות מול הפנים של היעד במרחק של 20 עד 80 ס"מ.

שלב הכיול

ביצוע שלב הכיול עבור כל אחד ממיני ה-PAI כי לזנים שונים יש גדלים שונים מאפיינים שעשויים להשפיע על התנאים האופטימליים לבדיקה. הכנת ה-PAI.

FACE

מצלמים תמונה או סרטון באיכות גבוהה של הפנים של המשתמש שנרשם, באותו זווית, מרחק ותנאי תאורה כמו בתהליך ההרשמה.
להדפסות פיזיות:
- חותכים את קווי המתאר של הפנים ויוצרים מסכת נייר מסוגים שונים.
- יש לכופף את המסכה בשתי הלחיים כדי לחקות את העקומה של פני הצילום
- חותכים חורים לעיניים במסכה כדי להראות את העיניים של הבודק – זה מועיל פתרונות שכוללים מצמוץ כאמצעי לזיהוי מצב חיים.
כדאי לנסות את השינויים המוצעים לפורמט המצגת כדי לראות אם משפיעה על סיכויי ההצלחה בשלב הכיול

IRIS מצלמים תמונה או סרטון ברזולוציה גבוהה של הפנים הרשומות ומראה בבירור את קשתית העין באותם תנאי תאורה, זווית מרחק במהלך הרישום. כדאי לנסות עם ובלי עדשות מגע מעל העיניים כדי לראות באיזו שיטה מגדיל את הסיכויים לזיוף

ביצוע שלב הכיול

מיקומי הפניות

המיקום של קובץ העזר: מיקום ההפניה הוא עליך למקם את PAI במרחק מתאים (20-80 ס"מ) לפני במכשיר באופן שבו PAI נראה בבירור בתצוגה של המכשיר אבל כל דבר אחר שנעשה בו שימוש (כגון מעמד PAI) לא גלוי.
מישור הפניה אופקי: בזמן שה-PAI נמצא את המישור האופקי בין המכשיר לבין ה-PAI הוא מישור הפניה אופקי.
מישור הפניה אנכי: כשהPAI נמצא בהפניה את המישור האנכי בין המכשיר לבין ה-PAI הוא מישור הפניה.

איור 1. מטוסים לדוגמה.

קשת אנכית

קובעים את מיקום ההפניה ואז בודקים את PAI בקשת אנכית שמירה על אותו מרחק מהמכשיר כמו מיקום ההפניה. מעלים את ה-PAI באותו מישור אנכי, יוצרים זווית של 10 מעלות בין המכשיר לבין מישור העזרה האופקי ובודקים את שחרור הנעילה באמצעות זיהוי הפנים.

ממשיכים להרים ולבדוק את ה-PAI בצעדים של 10 מעלות עד שהוא לא גלוי יותר בשדה הראייה של המכשיר. מתעדים את כל המיקומים שבהם נעילת המכשיר בוטלה. חוזרים על התהליך הזה, אבל מעבירים את PAI קשת למטה, מתחת למישור ההפניה האופקי. באיור 3 שבהמשך אפשר לראות לדוגמה של בדיקות הארקייד.

קשת אופקית

מחזירים את ה-PAI למיקום העזרה ומזיזים אותו במישור האופקי כדי ליצור זווית של 10 מעלות עם מישור העזרה האנכי. מבצעים את הבדיקה של קשת אנכי עם ה-PAI במיקום החדש. מזיזים את ה-PAI במישן האופקי בצעדים של 10 מעלות ומבצעים את בדיקת הקשת האנכית בכל מיקום חדש.

בדיקה לאורך הקשת האופקית

איור 1. בדיקה לאורך הקשת האנכית והאופקית.

יש לחזור על בדיקות הקשת במרווחים של 10 מעלות בצד שמאל ואת הצד הימני של המכשיר, וגם מעל ומתחת למכשיר.

המיקום שמניב את תוצאות הנעילה המהימנות ביותר הוא מיקום מכויל לסוג של מודל PAI (לדוגמה, מינים דו-ממדיים או תלת-ממדיים של PAI).

שלב הבדיקה

בסיום שלב הבקרה, צריכה להיות עמדה אחת שמותאמת לכל מין של PAI. אם לא ניתן לקבוע מיקום מכויל, צריך להשתמש במיקום העזר. מתודולוגיית הבדיקה נפוצה לבדיקת מין PAI דו-ממדי וגם תלת-ממדי.

בין קבוצות פנים רשומות, שבהן E>= 10, וכולל לפחות 10 ייחודיות פנים.
- רישום פנים או קשתית העין
- באמצעות המיקום המכייל מהשלב הקודם, לבצע U ניסיונות לביטול הנעילה, תוך ספירת הניסיונות כפי שמתואר הקטע הקודם, וכאשר U >= 10. מתעדים את מספר פעולות ביטול הנעילה שהסתיימו בהצלחה S.
- לאחר מכן, אפשר למדוד את SAR באופן הבא:

$$ \displaystyle SAR = \frac{\displaystyle\sum_{i=1}^{E}{S_i} }{(U * E)}\ {* 100\%} $$

איפה:

E = מספר ההרשמות
U = מספר הניסיונות לביטול הנעילה לכל הרשמה
Si = מספר ביטולי הנעילה שבוצעו בהצלחה להרשמה i

חזרות נדרשות כדי לקבל דגימות תקפות מבחינה סטטיסטית של שיעורי שגיאות: הנחת סמך של 95% לכל מה שמופיע בהמשך, N גדול

שולי השגיאה	מספר החזרות הנדרש של הבדיקה לכל נושא
1%	9595
2%	2401
3%	1067
5%	385
10%	97

משך הזמן הנדרש (30 שניות לכל ניסיון, 10 נושאים)

מרווח הטעות	הזמן הכולל
1%	799.6 שעות
2%	200.1 שעות
3%	88.9 שעות
5%	32.1 שעות
10%	8.1 שעות

מומלץ לטרגט מרווח טעות של 5%, מה שנותן שיעור שגיאות אמיתי אוכלוסיית 2% עד 12%.

היקף

בשלב הבדיקה נמדדת החוסן של אימות הפנים בעיקר כנגד הפקסים של פניו של משתמש היעד. הוא לא כולל פקס שמבוססות על התקפות כמו שימוש בנורות LED, או דפוסים שמשמשים כהדפסות ראשיות. אמנם עדיין לא הוכח שהן יעילות מול מערכות אימות פנים מבוססות-עומק, אבל אין מבחינה מושגית מניעה לכך. זה אפשרי וגם מתקבל על הדעת שבמחקר עתידי במקרה כזה. בשלב הזה, הפרוטוקול הזה ישתנה כך שיכלול מדידה של עמידות מפני ההתקפות האלה.

אימות בטביעת אצבע

ב-Android 9, רמת העמידה המינימלית בפני PAI נקבעה לפי שיעור הקבלה של זיופים (SAR) שקטן מ-7% או שווה לו. הסבר קצר לגבי הבחירה ב-7% באופן ספציפי מופיע בפוסט הזה בבלוג.

תהליך ההערכה

תהליך ההערכה מורכב משני שלבים. השלב של הכיול קובע את התקפת ההצגה האופטימלית לפתרון נתון של אימות בטביעת אצבע (כלומר, המיקום המכויל). שלב הבדיקה משתמש את המיקום המכוייל לביצוע מתקפות מרובות, והערכה של מספר מספר הפעמים שההתקפה הצליחה. יצרנים של מכשירים עם Android ומערכות ביומטריות צריכים לשלוח את הטופס הזה כדי ליצור קשר עם Android ולקבל הנחיות עדכניות לבדיקה.

שלב הכיול

יש שלושה פרמטרים של אימות טביעת אצבע שצריך לבצע אופטימיזציה שלהם כדי להבטיח ערכים אופטימליים בשלב הבדיקה: כלי ההתקפה על הצגה (PAI), פורמט הצגה וביצועים במגוון נושאים.

ה-PAI הוא התחזות פיזית, למשל טביעות אצבע מודפסות או עותק מודל. מומלץ מאוד להשתמש בחומרים הבאים לזיוף
- חיישני טביעות אצבע אופטיים (FPS)
  - נייר העתקה או שקף עם דיו לא מוליך
  - Knox Gelatin
  - צבע לטקס
  - דבק פלסטי של אלמר
- FPS קיבולי
  - Knox Gelatin
  - דבק עץ לנגרר הפנימי של אלמר
  - דבק פלסטי של אלמר
  - צבע לטקס
- FPS אולטראסוניים
  - ג'לטין נוקס
  - דבק עץ לנגרר הפנימי של אלמר
  - דבק פלסטי של אלמר
  - צבע לטקס
פורמט המצגת מתייחס למניפולציה נוספת של את PAI או את הסביבה, באופן שעוזר לזיוף. לדוגמה, ריטוש או עריכת תמונה ברזולוציה גבוהה של טביעת אצבע לפני יצירת התלת-ממד רפליקה.
הביצועים במגוון נושאים רלוונטיים במיוחד לשיפור האלגוריתם. בדיקת תהליך הבקרה לפי מגדר, קבוצות גיל וגזעים/קבוצות אתניות של הנבדקים יכולה לעיתים קרובות לחשוף ביצועים גרועים יותר בפלחים של האוכלוסייה הגלובלית, וזו פרמטר חשוב שצריך לבצע לו כיול בשלב הזה.

בדיקת המגוון התרבותי

יכול להיות שהביצועים של קוראי טביעות האצבע ישתנו בהתאם למגדר, לקבוצות גיל ולגזע או לאתניות. לאחוז קטן מהאוכלוסייה יש טביעות אצבע שקשה לזהות, לכן צריך להשתמש במגוון טביעות אצבע כדי לקבוע את הפרמטרים האופטימליים לזיהוי ולבדיקת זיופים.

שלב הבדיקה

בשלב הבדיקה נמדדים הביצועים של האבטחה הביומטרית. בשלב מינימלית, יש לבצע את הבדיקה בדרך לא שיתופית, כלומר טביעות האצבע שנאספות נעשות על ידי הרמתן ממשטח אחר, במקום שהיעד ישתתף באופן פעיל באיסוף של טביעת אצבע, למשל יצירת תבנית קואופרטיבית של האצבע של המושא. השימוש באפשרות השנייה מותר, אבל לא חובה.

ספירת הניסיונות בשלב הבדיקה

ניסיון יחיד נספר כחלון הזמן שבין הצגת טביעת אצבע (אמיתית או מזויפת) לחיישן לבין קבלת משוב כלשהו מהטלפון (אירוע של ביטול נעילה או הודעה שגלויה למשתמש).

כל ניסיון שבו הטלפון לא יכול להשיג מספיק נתונים כדי לנסות להתאים אותו לא ייכללו במספר הניסיונות הכולל לחישוב SAR.

פרוטוקול הערכה

הרשמה

לפני התחלת שלב הכיול לאימות טביעת אצבע, יש לנווט בהגדרות המכשיר ולהסיר את כל הפרופילים הביומטריים הקיימים. אחרי הסרת כל הפרופילים הקיימים, צריך לרשום פרופיל חדש עם טביעת האצבע של היעד שתשמש לכיוון ולבדיקה. פועלים לפי כל ההוראות במסך עד שהפרופיל נרשם.

שלב הכיול

FPS אופטי

זה דומה לשלבי הכיול של על-קולי וקיבולי, אבל גם בדור PAI דו-ממדי וגם ב-2.5D של טביעת האצבע של משתמש היעד.

להרים עותק סמוי של טביעת האצבע מפני שטח.
בדיקה עם מינים של PAI דו-ממדיים
- מניחים את טביעת האצבע שמורמת על החיישן
בדיקה עם מינים של PAI ב-2.5D.
- יצירת PAI של טביעת האצבע
- מניחים את PAI על החיישן

על-קולי (FPS)

כיול למכשיר על-קולי כולל הרמת עותק לטנטי של המטרה טביעת אצבע. לדוגמה, ניתן לבצע זאת באמצעות טביעות אצבע שהוסרו באמצעות טביעת אצבע או עותקים מודפסים של טביעת אצבע, ועשויים לכלול טביעת אצבע ריטוש מחדש בתמונה של טביעת האצבע כדי להשיג זיוף טוב יותר.

אחרי שמקבלים את העותק הלא פעיל של טביעת האצבע של היעד, יוצרים PAI.

FPS קיבולי

כיול הקיבולי כולל את אותם השלבים שמתוארים למעלה, כיול על-קולי.

שלב הבדיקה

אפשר לבקש מ-10 אנשים ייחודיים לפחות להירשם עם אותם פרמטרים שהשתמשת בהם בזמן החישוב של ה-FRR/FAR
יצירת פרטי PAI לכל אדם
לאחר מכן ניתן למדוד את ערך ה-SAR באופן הבא:

$$ \displaystyle SAR = \frac{\displaystyle\sum_{i=1}^{E}{S_i} }{(U * E)}\ {* 100\%} $$

איטרציות נדרשות כדי לקבל דגימות תקפות מבחינה סטטיסטית של שיעורי שגיאות: 95% הנחת הסמך לכל הבאים, N גדולה

שולי השגיאה	מספר החזרות הנדרש של הבדיקה לכל נושא
1%	9595
2%	2401
3%	1067
5%	385
10%	97

הזמן הנדרש (30 שניות לכל ניסיון, 10 נושאים)

שולי השגיאה	הזמן הכולל
1%	799.6 שעות
2%	200.1 שעות
3%	88.9 שעות
5%	32.1 שעות
10%	8.1 שעות

מומלץ לטרגט מרווח טעות של 5%, מה שנותן שיעור שגיאות אמיתי אוכלוסיית 2% עד 12%.

היקף

התהליך הזה מוגדר כדי לבדוק את העמידות של אימות טביעת האצבע בעיקר מפני עותקים צילום של טביעת האצבע של משתמש היעד. הבדיקה מבוססת על עלויות החומרים, הזמינות והטכנולוגיה הנוכחיות. הפרוטוקול הזה ישתנה כך שיכלול מדידה של עמידות בפני חומרים וטכניקות חדשים, כשהפעולה שלהם תהיה מעשית.

שיקולים נפוצים

לכל שיטת בדיקה יש הגדרות שונות, אבל יש כמה היבטים משותפים לכל השיטות.

בדיקת החומרה עצמה

מדדי ה-SAR/IAR שנאספו עשויים להיות לא מדויקים כשבודקים מודלים ביומטריים בתנאים אידיאליים ובחומרה שונה מכפי שהיא הייתה יופיעו במכשיר נייד. לדוגמה, מודלים של ביטול נעילה קולי שמותאמים בתא אקוסטי באמצעות הגדרה של כמה מיקרופונים מתנהגים בצורה שונה מאוד כשמשתמשים בהם במכשיר עם מיקרופון יחיד בסביבה רועשת. כדי לתעד מדדים מדויקים, לבצע את הבדיקות במכשיר אמיתי והכשל בחומרה, כפי שהיא תופיע במכשיר.

שימוש בהתקפות ידועות

רוב השיטות הביומטריות שבשימוש כיום זוהו בהצלחה, וקיימת תיעוד ציבורי של שיטת ההתקפה. בהמשך מופיעה סקירה כללית קצרה של הגדרות הבדיקה של שיטות עם התקפות ידועות. רביעי מומלץ להשתמש בהגדרות שמתוארות כאן ככל האפשר.

צפי למתקפות חדשות

עבור שיטות שבהן בוצעו שיפורים חדשים ומשמעותיים, הבדיקה ייתכן שמסמך ההגדרה לא מכיל הגדרה מתאימה, ושלא תהיה מתקפה ציבורית ידועה קיימים. ייתכן שגם שיטות בדיקה קיימות יצטרכו לכוונן את הגדרת הבדיקה לאחר מתקפה חדשה שהתגלתה. בשני המקרים, תצטרכו להגדיר בדיקה באופן סביר. אם הגדרת מנגנון סביר שאפשר להוסיף, אפשר להשתמש בקישור משוב על האתר שבתחתית הדף הזה כדי להודיע לנו על כך.

הגדרות לסוגים שונים

טביעת אצבע‏

IAR	אין צורך.
SAR	יוצרים PAI 2.5D באמצעות תבנית של טביעת האצבע של היעד. מידת הדיוק במדידה רגישה לאיכות של טביעת האצבע עובש. סיליקון שיניים הוא אפשרות טובה. הגדרת הבדיקה אמורה למדוד את התדירות שבה נוצרה טביעת אצבע מזויפת עם התבנית יכולה לבטל את הנעילה של המכשיר.

IAR

אין צורך.

SAR

יוצרים PAI 2.5D באמצעות תבנית של טביעת האצבע של היעד.
מידת הדיוק במדידה רגישה לאיכות של טביעת האצבע עובש. סיליקון שיניים הוא אפשרות טובה.
הגדרת הבדיקה אמורה למדוד את התדירות שבה נוצרה טביעת אצבע מזויפת עם התבנית יכולה לבטל את הנעילה של המכשיר.

פנים וקשתית

IAR	הגבול התחתון יתועד על ידי SAR, לכן מדידה בנפרד לא מתבצעת הדרושים.
SAR	כדאי לבדוק את התכונה באמצעות תמונות של הפנים של היעד. עבור קשתית העין, הפנים להיות מוגדל כדי לחקות את המרחק שבדרך כלל משתמש . התמונות צריכות להיות ברזולוציה גבוהה, אחרת התוצאות יהיו מטעות. אסור להציג תמונות באופן שחושף שהן תמונות. לדוגמה: אין לכלול מסגרות של תמונות אם התמונה היא בטלפון, מסך הטלפון או הצג שלו לא צריכים להיות גלוי אם מישהו מחזיק את התמונה, לא צריך לראות את הידיים שלו בזוויות ישרות, התמונה צריכה למלא את החיישן, כך שאף דבר אחר לא מבחוץ. מודלים של פנים ואירוס (פ משתמש מחזיק את הטלפון ישר מולו ומצביע מול הפנים שלהם). בדיקה מהזווית הזו תעזור לכם לקבוע אם המודל שלכם חשוף לזיוף. הגדרת הבדיקה אמורה למדוד את התדירות שבה תמונה של הפנים או של האישון מצליחה לבטל את נעילת המכשיר.

IAR

הגבול התחתון יתועד על ידי SAR, לכן מדידה בנפרד לא מתבצעת הדרושים.

SAR

כדאי לבדוק את התכונה באמצעות תמונות של הפנים של היעד. עבור קשתית העין, הפנים להיות מוגדל כדי לחקות את המרחק שבדרך כלל משתמש .
התמונות צריכות להיות ברזולוציה גבוהה, אחרת התוצאות יהיו מטעות.
אסור להציג תמונות באופן שחושף שהן תמונות. לדוגמה:
- אין לכלול מסגרות של תמונות
- אם התמונה היא בטלפון, מסך הטלפון או הצג שלו לא צריכים להיות גלוי
- אם מישהו מחזיק את התמונה, לא צריך לראות את הידיים שלו
בזוויות ישרות, התמונה צריכה למלא את החיישן, כך שאף דבר אחר לא מבחוץ.
מודלים של פנים ואירוס (פ משתמש מחזיק את הטלפון ישר מולו ומצביע מול הפנים שלהם). בדיקה מהזווית הזו תעזור לכם לקבוע אם המודל שלכם חשוף לזיוף.
הגדרת הבדיקה אמורה למדוד את התדירות שבה תמונה של הפנים או של האישון מצליחה לבטל את נעילת המכשיר.

קול

IAR	בדיקה באמצעות הגדרה שבה המשתתפים שומעים דגימה חיובית ואז לנסות לחקות אותו. לבדוק את המודל עם משתתפים ממגדרים שונים ועם הטעמה כדי להבטיח כיסוי של מקרי קצה שבהם יש כמה אינטונציה או הטעמה FAR גבוה יותר.
SAR	בודקים עם הקלטות של קול היעד. האיכות של ההקלטה צריכה להיות גבוהה למדי, אחרת התוצאות יהיו מטעות.