כדי להיחשב תואם ל-Android, יישומי מכשירים חייבים לעמוד בדרישות המוצגות במסמך הגדרת התאימות של Android (CDD) . ה-CDD של Android מעריך את האבטחה של מימוש ביומטרי באמצעות אבטחה ארכיטקטונית וזיוף .
- אבטחה אדריכלית : החוסן של צינור ביומטרי נגד התפשרות של ליבה או פלטפורמה. צינור נחשב למאובטח אם פשרות ליבה ופלטפורמה אינן מעניקות את היכולת לקרוא נתונים ביומטריים גולמיים או להחדיר נתונים סינתטיים לצינור כדי להשפיע על החלטת האימות.
- ביצועי אבטחה ביומטריים : ביצועי אבטחה ביומטריים נמדדים לפי שיעור קבלה מזויף (SAR) , שיעור קבלה כוזבת (FAR), ובמידת הצורך, שיעור קבלה מתחזה (IAR) של הביומטרי. SAR הוא מדד שהוצג באנדרואיד 9 כדי למדוד את מידת הגמישות של ביומטרי נגד התקפת מצגת פיזית. בעת מדידת ביומטריה עליך לעקוב אחר הפרוטוקולים המתוארים להלן.
אנדרואיד משתמשת בשלושה סוגים של מדדים למדידת ביצועי אבטחה ביומטריים.
- שיעור קבלת זיוף (SAR) : מגדיר את המדד של הסיכוי שמודל ביומטרי יקבל מדגם טוב שהוקלט קודם לכן. לדוגמה, עם ביטול נעילה קולי זה ימדוד את הסיכויים לבטל את הנעילה של הטלפון של משתמש באמצעות דוגמה מוקלטת שלו באומרם: "אוקי, גוגל" אנו קוראים להתקפות כאלה זיוף התקפות . ידוע גם בשם קצב התאמה של מתקפה מתחזה (IAPMR).
- שיעור קבלה מתחזה (IAR) : מגדיר את המדד של הסיכוי שמודל ביומטרי מקבל קלט שנועד לחקות מדגם טוב ידוע. לדוגמה, במנגנון הקול המהימן של Smart Lock (ביטול נעילה קולי), זה ימדוד באיזו תדירות מישהו שמנסה לחקות קול של משתמש (באמצעות טון ומבטא דומים) יכול לבטל את נעילת המכשיר שלו. אנו קוראים להתקפות מסוג זה, התקפות מתחזה .
- שיעור קבלה שגוי (FAR) : מגדיר את המדדים של התדירות שבה מודל מקבל בטעות קלט שגוי שנבחר באקראי. אמנם זהו מדד שימושי, אך הוא אינו מספק מידע מספיק כדי להעריך עד כמה המודל עומד בפני התקפות ממוקדות.
סוכני אמון
אנדרואיד 10 משנה את אופן ההתנהגות של סוכני אמון. סוכני אמון לא יכולים לפתוח מכשיר, הם יכולים רק להאריך את משך ביטול הנעילה עבור מכשיר שכבר לא נעול. פנים מהימנות הוצא משימוש באנדרואיד 10.
שיעורי ביומטריה
אבטחה ביומטרית מסווגת באמצעות תוצאות מבחני האבטחה האדריכלית והזיוף. מימוש ביומטרי יכול להיות מסווג כ- Class 3 (לשעבר Strong) , Class 2 , (לשעבר Weak) או Class 1 (לשעבר Convenience) . הטבלה שלהלן מתארת דרישות כלליות לכל מחלקה ביומטרית.
לפרטים נוספים, עיין ב- CDD הנוכחי של Android .
שיעור ביומטרי | מדדים | צינור ביומטרי | אילוצים |
---|---|---|---|
כיתה 3 (לשעבר חזק) | SAR של כל מיני PAI: 0-7% SAR של מינים PAI ברמה A: <=7% SAR של מיני PAI ברמה B: <=20% SAR של כל מיני PAI בודדים <= 40% (מומלץ בחום <= 7%) רחוק: 1/50 אלף FRR: 10% | לבטח |
|
כיתה 2 (לשעבר חלש) | SAR של כל מיני PAI: 7-20% SAR של מינים PAI ברמה A: <=20% SAR של מיני PAI ברמה B: <=30% SAR של כל מיני PAI בודדים <= 40% (מומלץ בחום <= 20%) רחוק: 1/50 אלף FRR: 10% | לבטח |
|
כיתה 1 (לשעבר נוחות) | SAR של כל מיני PAI: 20-30% SAR של מינים PAI ברמה A: <=30% SAR של מיני PAI ברמה B: <=40% SAR של כל מיני PAI בודדים <= 40% (מומלץ בחום <= 30%) רחוק: 1/50 אלף FRR: 10% | לא בטוח/ מאובטח |
|
שיטות מחלקה 3 מול מחלקה 2 לעומת כיתה 1
מחלקות אבטחה ביומטריות מוקצות על סמך נוכחות של צינור מאובטח ושלושת שיעורי הקבלה - FAR, IAR ו-SAR. במקרים בהם לא קיימת מתקפת מתחזה, אנו רואים רק את ה-FAR וה-SAR.
עיין במסמך הגדרת תאימות אנדרואיד (CDD) עבור האמצעים שיש לנקוט עבור כל אופני הנעילה.
אימות פנים וקשתית העין
תהליך הערכה
תהליך ההערכה מורכב משני שלבים. שלב הכיול קובע את מתקפת המצגת האופטימלית עבור פתרון אימות נתון (כלומר המיקום המכויל). שלב הבדיקה משתמש במיקום המכויל לביצוע התקפות מרובות ומעריך את מספר הפעמים שהתקיפה הצליחה. יצרנים של מכשירי אנדרואיד ומערכות ביומטריות צריכים ליצור קשר עם אנדרואיד לקבלת הנחיות הבדיקה העדכניות ביותר על ידי שליחת טופס זה .
חשוב לקבוע תחילה את המיקום המכויל מכיוון שיש למדוד את ה-SAR רק באמצעות התקפות נגד נקודת החולשה הגדולה ביותר במערכת.
שלב הכיול
ישנם שלושה פרמטרים לאימות הפנים והקשתית שיש לבצע אופטימיזציה במהלך שלב הכיול כדי להבטיח ערכים אופטימליים לשלב הבדיקה: מכשיר התקפת מצגת (PAI), פורמט מצגת וביצועים על פני מגוון הנושאים.
פָּנִים
|
קַשׁתִית
|
בדיקת גיוון
דגמי הפנים והקשתית יכולים להופיע בצורה שונה בין מגדרים, קבוצות גיל וגזעים/עדות. כייל התקפות מצגות על פני מגוון פנים כדי למקסם את הסיכוי לחשוף פערים בביצועים.
שלב הבדיקה
שלב הבדיקה הוא כאשר ביצועי אבטחה ביומטריים נמדדים באמצעות מתקפת המצגת האופטימלית מהשלב הקודם.
ספירת ניסיונות בשלב המבחן
ניסיון בודד נספר כחלון בין הצגת פנים (אמיתיות או מזויפות), לבין קבלת משוב כלשהו מהטלפון (או אירוע ביטול נעילה או הודעה גלויה למשתמש). כל ניסיונות שבהם הטלפון לא מצליח לקבל מספיק נתונים כדי לנסות התאמה, לא צריך להיכלל במספר הכולל של הניסיונות המשמשים לחישוב SAR.
פרוטוקול הערכה
הַרשָׁמָה
לפני תחילת שלב הכיול עבור אימות פנים או קשתית, נווט להגדרות המכשיר והסר את כל הפרופילים הביומטריים הקיימים. לאחר הסרת כל הפרופילים הקיימים, רשום פרופיל חדש עם פני המטרה או הקשתית שישמשו לכיול ובדיקה. חשוב להיות בסביבה מוארת בעת הוספת פרופיל פנים או קשתית חדש ושהמכשיר ממוקם כראוי ישירות מול פני המטרה במרחק של 20 ס"מ עד 80 ס"מ.
שלב הכיול
בצע את שלב הכיול עבור כל אחד ממיני ה-PAI כי למינים שונים יש גדלים שונים ומאפיינים אחרים שעשויים להשפיע על התנאים האופטימליים לבדיקה. הכן את ה-PAI.
פָּנִים
|
קַשׁתִית
|
ביצוע שלב הכיול
עמדות התייחסות
- מיקום התייחסות : מיקום הייחוס נקבע על ידי הצבת ה-PAI במרחק מתאים (20-80 ס"מ) מול המכשיר, באופן שבו ה-PAI נראה בבירור בעיני המכשיר אך כל דבר אחר שנמצא בשימוש (כגון מעמד עבור ה-PAI) אינו גלוי.
- מישור התייחסות אופקי : בעוד ה-PAI נמצא במיקום הייחוס, המישור האופקי בין המכשיר ל-PAI הוא מישור הייחוס האופקי.
- מישור התייחסות אנכי : בעוד ה-PAI נמצא במיקום הייחוס, המישור האנכי בין המכשיר ל-PAI הוא מישור הייחוס האנכי.
קשת אנכית
קבע את מיקום הייחוס ולאחר מכן בדוק את ה-PAI בקשת אנכית תוך שמירה על אותו מרחק מהמכשיר כמו מיקום הייחוס. הרם את ה-PAI באותו מישור אנכי, יצירת זווית של 10 מעלות בין המכשיר למישור הייחוס האופקי ובדוק את פתיחת הנעילה.
המשך להעלות ולבדוק את ה-PAI במרווחים של 10 מעלות עד שה-PAI לא נראה עוד בשדה הראייה של המכשירים. הקלט כל עמדות שפתחו בהצלחה את המכשיר. חזור על תהליך זה אך הזזת ה-PAI בקשת מטה, מתחת למישור הייחוס האופקי. ראה איור 3 להלן לדוגמא של בדיקות הקשת.
קשת אופקית
החזר את ה-PAI למצב הייחוס ואז הזיז אותו לאורך המישור האופקי כדי ליצור זווית של 10 מעלות עם מישור הייחוס האנכי. בצע את בדיקת הקשת האנכית עם ה-PAI במיקום חדש זה. הזיזו את ה-PAI לאורך המישור האופקי במרווחים של 10 מעלות ובצעו את בדיקת הקשת האנכית בכל מיקום חדש.
יש לחזור על בדיקות הקשת במרווחים של 10 מעלות הן בצד שמאל והן בצד ימין של המכשיר וכן מעל ומתחת למכשיר.
המיקום שמניב את תוצאות פתיחת הנעילה המהימנות ביותר הוא המיקום המכויל עבור סוג מיני PAI (לדוגמה, מיני PAI דו-ממדיים או תלת-ממדיים).
שלב הבדיקות
בסוף שלב הכיול צריכה להיות עמדה מכוילת אחת לכל מין PAI. אם לא ניתן לקבוע מיקום מכויל, יש להשתמש במיקום הייחוס. מתודולוגיית הבדיקה נפוצה לבדיקת מיני PAI דו-ממדיים וגם תלת-ממדיים.
- על פני פרצופים רשומים, כאשר E>= 10, וכולל לפחות 10 פרצופים ייחודיים.
- רשום פנים/איריס
- באמצעות המיקום המכויל מהשלב הקודם, בצע ניסיונות פתיחה של U , ספירת ניסיונות כמתואר בסעיף הקודם, והיכן U >= 10. רשום את מספר פתיחת הנעילה המוצלחת S .
- לאחר מכן ניתן למדוד את ה-SAR כך:
איפה:
- E = מספר הנרשמים
- U = מספר ניסיונות ביטול הנעילה לכל הרשמה
- Si = מספר ביטול הנעילה המוצלח להרשמה i
חזרות הנדרשות כדי להשיג מדגמים תקפים סטטיסטית של שיעורי שגיאה: הנחת ביטחון של 95% עבור הכל למטה, N גדול
מרווח שגיאה | נדרשות איטרציות מבחן לכל נושא |
---|---|
1% | 9595 |
2% | 2401 |
3% | 1067 |
5% | 385 |
10% | 97 |
הזמן הנדרש (30 שניות לניסיון, 10 נבדקים)
מרווח הטעות | זמן כולל |
---|---|
1% | 799.6 שעות |
2% | 200.1 שעות |
3% | 88.9 שעות |
5% | 32.1 שעות |
10% | 8.1 שעות |
אנו ממליצים לכוון למרווח שגיאה של 5%, הנותן שיעור שגיאות אמיתי באוכלוסייה של 2% עד 12%.
תְחוּם
שלב הבדיקה מודד את העמידות של אימות פנים בעיקר מול פקסימיליות של פני משתמש היעד. הוא אינו מטפל בהתקפות שאינן מבוססות פקסימיליות, כגון שימוש ב-LED, או דפוסים המשמשים כהדפסים ראשיים. למרות שעדיין לא הוכח כי אלה יעילים נגד מערכות אימות פנים מבוססות עומק, אין שום דבר שמונע מכך מבחינה רעיונית מלהיות נכון. זה אפשרי וגם סביר שמחקר עתידי יראה שזה המצב. בשלב זה, פרוטוקול זה יעודכן כך שיכלול מדידת החוסן מפני התקפות אלו.
אימות טביעת אצבע
באנדרואיד 9, הרף נקבע על עמידות מינימלית ל-PAIs כפי שנמדד על ידי שיעור קבלת זיוף (SAR) הנמוך או שווה ל-7%. נימוק קצר מדוע 7% ספציפית ניתן למצוא בפוסט זה בבלוג .
תהליך הערכה
תהליך ההערכה מורכב משני שלבים. שלב הכיול קובע את מתקפת המצגת האופטימלית עבור פתרון נתון לאימות טביעת אצבע (כלומר, המיקום המכויל). שלב הבדיקה משתמש במיקום המכויל לביצוע התקפות מרובות ומעריך את מספר הפעמים שהתקיפה הצליחה. יצרנים של מכשירי אנדרואיד ומערכות ביומטריות צריכים ליצור קשר עם אנדרואיד לקבלת הנחיות הבדיקה העדכניות ביותר על ידי שליחת טופס זה .
שלב הכיול
ישנם שלושה פרמטרים לאימות טביעת אצבע שיש לבצע אופטימיזציה כדי להבטיח ערכים אופטימליים לשלב הבדיקה: מכשיר התקפת המצגת (PAI), פורמט המצגת וביצועים על פני מגוון הנושאים
- ה-PAI הוא הזיוף הפיזי, כגון טביעות אצבע מודפסות או העתק יצוק הם כולם דוגמאות למדיה של מצגת. חומרי הזיוף הבאים מומלצים בחום
- חיישני טביעת אצבע אופטיים (FPS)
- נייר העתקה/שקף עם דיו לא מוליך
- נוקס ג'לטין
- צבע לטקס
- הדבק של אלמר הכל
- FPS קיבולי
- נוקס ג'לטין
- דבק עץ פנימי של נגר אלמר
- הדבק של אלמר הכל
- צבע לטקס
- FPS אולטרסאונד
- נוקס ג'לטין
- דבק עץ פנימי של נגר אלמר
- הדבק של אלמר הכל
- צבע לטקס
- חיישני טביעת אצבע אופטיים (FPS)
- פורמט המצגת מתייחס למניפולציה נוספת של ה-PAI או הסביבה, באופן המסייע לזיוף. לדוגמה, ריטוש או עריכה של תמונה ברזולוציה גבוהה של טביעת אצבע לפני יצירת העתק התלת-ממד.
- ביצועים על פני מגוון נושאים רלוונטיים במיוחד לכוונון האלגוריתם. בדיקת זרימת הכיול על פני מגדרים, קבוצות גיל וגזעים/אתניות עלולה לעתים קרובות לחשוף ביצועים גרועים יותר באופן משמעותי עבור חלקי האוכלוסייה העולמית, והיא פרמטר חשוב לכיול בשלב זה.
בדיקת גיוון
זה אפשרי עבור קוראי טביעות האצבע לבצע ביצועים שונים על פני מגדר, קבוצות גיל וגזעים/אתניות. לאחוז קטן מהאוכלוסייה יש טביעות אצבע שקשה לזהות, ולכן יש להשתמש במגוון טביעות אצבע לקביעת הפרמטרים האופטימליים לזיהוי ובבדיקת זיוף.
שלב הבדיקות
שלב הבדיקה הוא כאשר נמדדים ביצועי האבטחה הביומטריים. לכל הפחות, הבדיקה צריכה להיעשות באופן לא שיתופי, כלומר כל טביעת אצבע שנאספת נעשית על ידי הרמתן ממשטח אחר, בניגוד להשתתפות פעילה של המטרה באיסוף טביעת האצבע שלהם, כגון יצירת תבנית שיתופית של האצבע של הנבדק. האחרון מותר אך אינו חייב.
ספירת ניסיונות בשלב המבחן
ניסיון בודד נספר כחלון בין הצגת טביעת אצבע (אמיתית או מזויפת) לחיישן, לבין קבלת משוב כלשהו מהטלפון (או אירוע ביטול נעילה או הודעה גלויה למשתמש).
כל ניסיונות שבהם הטלפון לא מצליח לקבל מספיק נתונים כדי לנסות התאמה, לא צריך להיכלל במספר הכולל של הניסיונות המשמשים לחישוב SAR.
פרוטוקול הערכה
הַרשָׁמָה
לפני תחילת שלב הכיול לאימות טביעת אצבע נווט להגדרות המכשיר והסר את כל הפרופילים הביומטריים הקיימים. לאחר הסרת כל הפרופילים הקיימים, רשום פרופיל חדש עם טביעת האצבע של היעד שתשמש לכיול ובדיקה. עקוב אחר כל ההנחיות על המסך עד שהפרופיל נרשם בהצלחה.
שלב הכיול
FPS אופטי
זה דומה לשלבי הכיול של אולטרסאונד וקיבוציטיבי, אבל עם מיני 2D ו-2.5D PAI של טביעת האצבע של משתמש היעד.
- הרם עותק סמוי של טביעת האצבע ממשטח.
- בדיקה עם מיני PAI דו-ממדיים
- הנח את טביעת האצבע המורמת על החיישן
- בדיקה עם מיני 2.5D PAI.
- צור PAI של טביעת האצבע
- הנח את ה-PAI על החיישן
FPS אולטרסאונד
כיול לאולטרסוני כולל הרמת עותק סמוי של טביעת האצבע של המטרה. לדוגמה, זה עשוי להיעשות באמצעות טביעות אצבע המונפות באמצעות אבקת טביעת אצבע, או עותקים מודפסים של טביעת אצבע ועשויים לכלול נגיעה ידנית מחדש של תמונת טביעת האצבע כדי להשיג זיוף טוב יותר.
לאחר שהושג העותק הסמוי של טביעת האצבע של המטרה, נעשה PAI.
FPS קיבולי
כיול עבור קיבולי כרוך באותם שלבים שתוארו לעיל עבור כיול קולי.
שלב הבדיקות
- קבל לפחות 10 אנשים ייחודיים להירשם באמצעות אותם פרמטרים המשמשים בעת חישוב ה-FRR/FAR
- צור PAIs עבור כל אדם
- לאחר מכן ניתן למדוד את ה-SAR כך:
חזרות הנדרשות כדי להשיג מדגמים תקפים סטטיסטית של שיעורי שגיאה: הנחת ביטחון של 95% עבור הכל למטה, N גדול
מרווח שגיאה | נדרשות איטרציות מבחן לכל נושא |
---|---|
1% | 9595 |
2% | 2401 |
3% | 1067 |
5% | 385 |
10% | 97 |
הזמן הנדרש (30 שניות לניסיון, 10 נבדקים)
מרווח הטעות | זמן כולל |
---|---|
1% | 799.6 שעות |
2% | 200.1 שעות |
3% | 88.9 שעות |
5% | 32.1 שעות |
10% | 8.1 שעות |
אנו ממליצים לכוון למרווח שגיאה של 5%, הנותן שיעור שגיאות אמיתי באוכלוסייה של 2% עד 12%.
תְחוּם
תהליך זה מתוכנן כדי לבדוק את העמידות של אימות טביעת אצבע בעיקר מול פקסימיליות של טביעת האצבע של משתמש היעד. מתודולוגיית הבדיקה מבוססת על עלויות החומר הנוכחיות, זמינות וטכנולוגיה. פרוטוקול זה ישוקן כך שיכלול מדידת גמישות מול חומרים וטכניקות חדשות ככל שיהפכו מעשיים לביצוע.
שיקולים נפוצים
למרות שכל אופציה דורשת הגדרת בדיקה שונה, ישנם כמה היבטים משותפים החלים על כולם.
בדוק את החומרה בפועל
מדדי SAR/IAR שנאספו עלולים להיות לא מדויקים כאשר דגמים ביומטריים נבדקים בתנאים אידיאלים ועל חומרה שונה מזו שהייתה מופיעה בפועל במכשיר נייד. לדוגמה, דגמי ביטול נעילה קוליים המכוילים בתא אנקו באמצעות מערך ריבוי מיקרופונים מתנהגים בצורה שונה מאוד כאשר משתמשים במכשיר מיקרופון בודד בסביבה רועשת. על מנת ללכוד מדדים מדויקים, יש לבצע בדיקות במכשיר בפועל עם החומרה מותקנת, ואם לא עם החומרה כפי שהיא תופיע במכשיר.
השתמש בהתקפות ידועות
רוב השיטות הביומטריות בשימוש היום זויפו בהצלחה, וקיים תיעוד ציבורי של מתודולוגיית התקיפה. להלן אנו מספקים סקירה קצרה ברמה גבוהה של הגדרות בדיקה עבור אופנים עם התקפות ידועות. אנו ממליצים להשתמש בהגדרות המתוארות כאן בכל מקום אפשרי.
צפו להתקפות חדשות
עבור אופנים שבהם בוצעו שיפורים משמעותיים חדשים, ייתכן שמסמך הגדרת הבדיקה לא יכיל הגדרה מתאימה, וייתכן שלא תהיה התקפה ציבורית ידועה. שיטות קיימות עשויות להזדקק גם להגדרות הבדיקה שלהן בעקבות התקפה שהתגלתה לאחרונה. בשני המקרים תצטרך להמציא הגדרת בדיקה סבירה. אנא השתמש בקישור משוב האתר בתחתית דף זה כדי ליידע אותנו אם הגדרת מנגנון סביר שניתן להוסיף.
הגדרות עבור אופנים שונים
טביעת אצבע
IAR | לא נחוץ. |
SAR |
|
פנים ואיריס
IAR | הגבול התחתון ייקלט על ידי SAR ולכן אין צורך במדידה בנפרד. |
SAR |
|
קוֹל
IAR |
|
SAR |
|