Agar dianggap kompatibel dengan Android, implementasi perangkat harus memenuhi persyaratan yang disajikan dalam Android Compatibility Definition Document (CDD) . CDD Android 10 mengevaluasi keamanan implementasi biometrik menggunakan keamanan arsitektur dan spoofability .
- Keamanan arsitektural : Ketahanan pipa biometrik terhadap kompromi kernel atau platform. Pipeline dianggap aman jika kompromi kernel dan platform tidak memberikan kemampuan untuk membaca data biometrik mentah atau menyuntikkan data sintetis ke dalam pipeline untuk memengaruhi keputusan otentikasi.
- Kinerja keamanan biometrik : Kinerja keamanan biometrik diukur dengan Tingkat Penerimaan Spoof (SAR) , Tingkat Penerimaan Palsu (FAR), dan, jika berlaku, Tingkat Penerimaan Penipu (IAR) dari biometrik. SAR adalah metrik yang diperkenalkan di Android 9 untuk mengukur seberapa tangguh biometrik terhadap serangan presentasi fisik. Saat mengukur biometrik, Anda harus mengikuti protokol yang dijelaskan di bawah ini.
Android menggunakan tiga jenis metrik untuk mengukur kinerja keamanan biometrik.
- Spoof Acceptance Rate (SAR) : Mendefinisikan metrik Peluang model biometrik menerima sampel baik yang telah direkam sebelumnya. Misalnya, dengan membuka kunci suara, ini akan mengukur peluang membuka kunci ponsel pengguna menggunakan sampel rekaman mereka yang mengatakan: "Ok, Google" Kami menyebut serangan tersebut sebagai Serangan Spoof . Juga dikenal sebagai Tingkat Kecocokan Presentasi Serangan Penipu (IAPMR).
- Imposter Acceptance Rate (IAR) : Menentukan metrik peluang model biometrik menerima input yang dimaksudkan untuk meniru sampel bagus yang diketahui. Misalnya, dalam mekanisme suara tepercaya Smart Lock (pembuka kunci suara), ini akan mengukur seberapa sering seseorang yang mencoba meniru suara pengguna (menggunakan nada dan aksen yang serupa) dapat membuka kunci perangkat mereka. Kami menyebut serangan seperti itu sebagai Serangan Penipu .
- False Acceptance Rate (FAR) : Mendefinisikan metrik seberapa sering model secara keliru menerima input salah yang dipilih secara acak. Meskipun ini adalah ukuran yang berguna, itu tidak memberikan informasi yang cukup untuk mengevaluasi seberapa baik model bertahan terhadap serangan yang ditargetkan.
Agen kepercayaan
Android 10 mengubah cara Agen Tepercaya berperilaku. Agen Tepercaya tidak dapat membuka kunci perangkat, mereka hanya dapat memperpanjang durasi buka kunci untuk perangkat yang telah dibuka kuncinya. Wajah tepercaya tidak digunakan lagi di Android 10.
Kelas Biometrik
Keamanan biometrik diklasifikasikan menggunakan hasil dari keamanan arsitektur dan tes spoofability. Implementasi biometrik dapat diklasifikasikan sebagai Kelas 3 (sebelumnya Kuat) , Kelas 2 , (sebelumnya Lemah) , atau Kelas 1 (sebelumnya Kenyamanan) . Tabel di bawah menjelaskan setiap kelas untuk perangkat Android 11 baru.
Kelas Biometrik | Metrik | Pipa Biometrik | Kendala |
---|---|---|---|
Kelas 3 (sebelumnya Kuat) | SAR: 0-7% JAUH: 1/50k FRR: 10% | Aman |
|
Kelas 2 (sebelumnya Lemah) | SAR: 7-20% JAUH: 1/50k FRR: 10% | Aman |
|
Kelas 1 (sebelumnya Kenyamanan) | SAR: >20% JAUH: 1/50k FRR: 10% | Tidak Aman/Aman |
|
Kelas 3 vs. Kelas 2 vs. Kelas 1 modalitas
Kelas keamanan biometrik ditetapkan berdasarkan keberadaan jalur pipa yang aman dan tiga tingkat penerimaan - FAR, IAR, dan SAR. Dalam kasus di mana serangan penipu tidak ada, kami hanya mempertimbangkan FAR dan SAR.
Lihat Dokumen Definisi Kompatibilitas Android (CDD) untuk langkah-langkah yang harus diambil untuk semua modalitas buka kunci.
Otentikasi wajah dan iris
Proses evaluasi
Proses evaluasi terdiri dari dua tahap. Fase kalibrasi menentukan serangan presentasi yang optimal untuk solusi otentikasi yang diberikan (yaitu posisi yang dikalibrasi). Fase pengujian menggunakan posisi yang dikalibrasi untuk melakukan beberapa serangan dan mengevaluasi berapa kali serangan berhasil. Produsen perangkat Android dan sistem biometrik harus menghubungi Android untuk mendapatkan panduan pengujian terbaru dengan mengirimkan formulir ini .
Penting untuk terlebih dahulu menentukan posisi yang dikalibrasi karena SAR hanya boleh diukur menggunakan serangan terhadap titik kelemahan terbesar pada sistem.
Fase kalibrasi
Ada tiga parameter untuk otentikasi wajah dan iris yang perlu dioptimalkan selama fase kalibrasi untuk memastikan nilai optimal untuk fase pengujian: instrumen serangan presentasi (PAI), format presentasi, dan kinerja di seluruh keragaman subjek.
WAJAH
|
IRIS
|
Menguji keragaman
Model wajah dan iris dimungkinkan untuk tampil berbeda antar jenis kelamin, kelompok usia, dan ras/etnis. Kalibrasi serangan presentasi di berbagai wajah untuk memaksimalkan peluang mengungkap kesenjangan dalam kinerja.
Fase Uji
Fase pengujian adalah ketika kinerja keamanan biometrik diukur menggunakan serangan presentasi yang dioptimalkan dari fase sebelumnya.
Menghitung upaya dalam fase pengujian
Satu upaya dihitung sebagai jendela antara menampilkan wajah (nyata atau palsu), dan menerima beberapa umpan balik dari telepon (baik peristiwa membuka kunci atau pesan yang terlihat oleh pengguna). Setiap percobaan di mana telepon tidak dapat memperoleh data yang cukup untuk mencoba mencocokkan tidak boleh dimasukkan dalam jumlah total percobaan yang digunakan untuk menghitung SAR.
Protokol evaluasi
Pendaftaran
Sebelum memulai fase kalibrasi untuk autentikasi wajah atau iris, navigasikan ke pengaturan perangkat dan hapus semua profil biometrik yang ada. Setelah semua profil yang ada dihapus, daftarkan profil baru dengan wajah atau iris target yang akan digunakan untuk kalibrasi dan pengujian. Penting untuk berada di lingkungan yang terang benderang saat menambahkan wajah baru atau profil iris dan perangkat ditempatkan dengan benar tepat di depan wajah target pada jarak 20 cm hingga 80 cm.
Fase kalibrasi
Lakukan tahap kalibrasi setidaknya dua kali: setidaknya sekali untuk spesies PAI 2D dan setidaknya sekali untuk spesies PAI 3D. Fase ini menentukan, minimal, posisi terkalibrasi untuk spesies PAI 2D dan posisi terkalibrasi untuk spesies PAI 3D. Kalibrasi untuk setiap spesies dianjurkan, meskipun tidak diperlukan. Siapkan PAInya.
WAJAH
|
IRIS
|
Melakukan fase kalibrasi
Posisi referensi
- Posisi referensi : Posisi referensi ditentukan dengan menempatkan PAI pada jarak yang sesuai (20-80cm) di depan perangkat sedemikian rupa sehingga PAI terlihat jelas dalam pandangan perangkat tetapi apa pun yang digunakan (seperti dudukan untuk PAI) tidak terlihat.
- Bidang referensi horizontal : Saat PAI berada pada posisi referensi, bidang horizontal antara perangkat dan PAI adalah bidang referensi horizontal.
- Bidang referensi vertikal : Ketika PAI berada pada posisi referensi, bidang vertikal antara perangkat dan PAI adalah bidang referensi vertikal.
Busur vertikal
Tentukan posisi referensi kemudian uji PAI dalam busur vertikal dengan menjaga jarak yang sama dari perangkat sebagai posisi referensi. Naikkan PAI pada bidang vertikal yang sama, buat sudut 10 derajat antara perangkat dan bidang referensi horizontal dan uji face unlock.
Lanjutkan untuk menaikkan dan menguji PAI dalam peningkatan 10 derajat hingga PAI tidak lagi terlihat di bidang pandang perangkat. Rekam posisi apa pun yang berhasil membuka kunci perangkat. Ulangi proses ini tetapi gerakkan PAI dalam busur ke bawah, di bawah bidang referensi horizontal. Lihat gambar 3 di bawah untuk contoh uji busur.
Busur horizontal
Kembalikan PAI ke posisi referensi kemudian gerakkan sepanjang bidang horizontal untuk membuat sudut 10 derajat dengan bidang referensi vertikal. Lakukan uji busur vertikal dengan PAI di posisi baru ini. Pindahkan PAI di sepanjang bidang horizontal dalam peningkatan 10 derajat dan lakukan uji busur vertikal di setiap posisi baru.
Tes busur perlu diulang dalam peningkatan 10 derajat untuk sisi kiri dan kanan perangkat serta di atas dan di bawah perangkat.
Posisi yang memberikan hasil unlocking paling andal adalah posisi terkalibrasi untuk jenis spesies PAI (misalnya, spesies PAI 2D atau 3D).
Fase pengujian
Pada akhir fase kalibrasi harus ada dua posisi terkalibrasi , satu untuk spesies PAI 2D dan satu untuk spesies PAI 3D. Jika posisi terkalibrasi tidak dapat ditetapkan, maka posisi referensi harus digunakan. Metodologi pengujian umum untuk menguji spesies PAI 2D dan 3D.
- Di seluruh wajah yang terdaftar, di mana E>= 10, dan mencakup setidaknya 10 wajah unik.
- Daftarkan wajah/iris
- Dengan menggunakan posisi terkalibrasi dari fase sebelumnya, lakukan upaya membuka kunci U , hitung upaya seperti yang dijelaskan di bagian sebelumnya, dan di mana U >= 10. Catat jumlah pembukaan kunci yang berhasil S .
- SAR kemudian dapat diukur sebagai:
Di mana:
- E = jumlah pendaftaran
- U = jumlah upaya membuka kunci per pendaftaran
- Si = jumlah unlock yang berhasil untuk pendaftaran i
Iterasi yang diperlukan untuk mendapatkan sampel tingkat kesalahan yang valid secara statistik: asumsi kepercayaan 95% untuk semua di bawah, N . besar
Margin Kesalahan | Uji iterasi diperlukan per mata pelajaran |
---|---|
1% | 9595 |
2% | 2401 |
3% | 1067 |
5% | 385 |
10% | 97 |
Waktu yang dibutuhkan (30 detik per percobaan, 10 mata pelajaran)
Margin kesalahan | Total waktu |
---|---|
1% | 799,6 jam |
2% | 200.1 jam |
3% | 88,9 jam |
5% | 32,1 jam |
10% | 8.1 jam |
Kami merekomendasikan menargetkan margin kesalahan 5%, yang memberikan tingkat kesalahan sebenarnya dalam populasi 2% hingga 12%.
Cakupan
Tahap pengujian mengukur ketahanan autentikasi wajah terutama terhadap faksimili wajah pengguna target. Itu tidak mengatasi serangan berbasis non-faksimili seperti menggunakan LED, atau pola yang bertindak sebagai cetakan utama. Meskipun ini belum terbukti efektif terhadap sistem otentikasi wajah berbasis kedalaman, tidak ada yang secara konseptual mencegah hal ini menjadi kenyataan. Ada kemungkinan dan masuk akal bahwa penelitian di masa depan akan menunjukkan hal ini. Pada titik ini, protokol ini akan direvisi untuk mencakup pengukuran ketahanan terhadap serangan ini.
Otentikasi sidik jari
Di Android 9, bilah disetel pada ketahanan minimum terhadap PAI yang diukur dengan Tingkat Penerimaan Spoof (SAR) yang kurang dari atau sama dengan 7%. Alasan singkat mengapa 7% secara khusus dapat ditemukan di posting blog ini .
Proses evaluasi
Proses evaluasi terdiri dari dua tahap. Fase kalibrasi menentukan serangan presentasi yang optimal untuk solusi otentikasi sidik jari yang diberikan (yaitu, posisi yang dikalibrasi). Fase pengujian menggunakan posisi yang dikalibrasi untuk melakukan beberapa serangan dan mengevaluasi berapa kali serangan berhasil. Produsen perangkat Android dan sistem biometrik harus menghubungi Android untuk mendapatkan panduan pengujian terbaru dengan mengirimkan formulir ini .
Fase kalibrasi
Ada tiga parameter untuk otentikasi sidik jari yang perlu dioptimalkan untuk memastikan nilai optimal untuk fase pengujian: instrumen serangan presentasi (PAI), format presentasi, dan kinerja di seluruh keragaman subjek
- PAI adalah spoof fisik, seperti sidik jari yang dicetak atau replika yang dicetak adalah contoh media presentasi. Bahan spoof berikut sangat disarankan
- Sensor sidik jari optik (FPS)
- Salin Kertas/Transparansi dengan tinta non-konduktif
- Knox Gelatin
- Cat Lateks
- Lem Elmer Semua
- FPS kapasitif
- Knox Gelatin
- Lem Kayu Interior Elmer's Carpenter
- Lem Elmer Semua
- Cat Lateks
- FPS ultrasonik
- Knox Gelatin
- Lem Kayu Interior Elmer's Carpenter
- Lem Elmer Semua
- Cat Lateks
- Sensor sidik jari optik (FPS)
- Format presentasi berhubungan dengan manipulasi lebih lanjut dari PAI atau lingkungan, dengan cara yang membantu spoofing. Misalnya, retouching atau mengedit gambar resolusi tinggi dari sidik jari sebelum membuat replika 3D.
- Performa di seluruh keragaman subjek sangat relevan untuk menyetel algoritme. Menguji aliran kalibrasi lintas jenis kelamin subjek, kelompok usia, dan ras/etnis sering kali dapat mengungkapkan kinerja yang jauh lebih buruk untuk segmen populasi global dan merupakan parameter penting untuk dikalibrasi dalam fase ini.
Menguji keragaman
Pembaca sidik jari dapat bekerja secara berbeda lintas jenis kelamin, kelompok usia, dan ras/etnis. Sebagian kecil dari populasi memiliki sidik jari yang sulit dikenali, sehingga sidik jari yang bervariasi harus digunakan untuk menentukan parameter yang optimal untuk pengenalan dan dalam pengujian spoof.
Fase pengujian
Tahap pengujian adalah ketika kinerja keamanan biometrik diukur. Minimal, pengujian harus dilakukan dengan cara non-kooperatif yang berarti bahwa setiap sidik jari yang dikumpulkan dilakukan dengan mengangkatnya dari permukaan lain sebagai lawan dari membuat target berpartisipasi aktif dalam pengumpulan sidik jari mereka, seperti membuat cetakan kooperatif dari sidik jari mereka. jari subjek. Yang terakhir diperbolehkan tetapi tidak diperlukan.
Menghitung upaya dalam fase pengujian
Satu upaya dihitung sebagai jendela antara menghadirkan sidik jari (nyata atau palsu) ke sensor, dan menerima beberapa umpan balik dari telepon (baik peristiwa membuka kunci atau pesan yang terlihat oleh pengguna).
Setiap percobaan di mana telepon tidak dapat memperoleh data yang cukup untuk mencoba mencocokkan tidak boleh dimasukkan dalam jumlah total percobaan yang digunakan untuk menghitung SAR.
Protokol evaluasi
Pendaftaran
Sebelum memulai fase kalibrasi untuk otentikasi sidik jari, navigasikan ke pengaturan perangkat dan hapus semua profil biometrik yang ada. Setelah semua profil yang ada dihapus, daftarkan profil baru dengan sidik jari target yang akan digunakan untuk kalibrasi dan pengujian. Ikuti semua petunjuk di layar hingga profil berhasil didaftarkan.
Fase kalibrasi
FPS optik
Ini mirip dengan fase kalibrasi ultrasonik dan kapasitif, tetapi dengan spesies PAI 2D dan 2.5D dari sidik jari pengguna target.
- Angkat salinan sidik jari laten dari permukaan.
- Uji dengan spesies PAI 2D
- Tempatkan sidik jari yang diangkat pada sensor
- Uji dengan spesies PAI 2.5D.
- Buat PAI sidik jari
- Tempatkan PAI pada sensor
FPS ultrasonik
Kalibrasi untuk ultrasonik melibatkan pengangkatan salinan laten dari sidik jari target. Misalnya, ini dapat dilakukan dengan menggunakan sidik jari yang diangkat melalui bubuk sidik jari, atau salinan sidik jari yang dicetak dan mungkin termasuk sentuhan ulang gambar sidik jari secara manual untuk mendapatkan spoof yang lebih baik.
Setelah salinan laten sidik jari target diperoleh, PAI dibuat.
FPS kapasitif
Kalibrasi untuk kapasitif melibatkan langkah yang sama yang dijelaskan di atas untuk kalibrasi ultrasonik.
Fase pengujian
- Dapatkan setidaknya 10 orang unik untuk mendaftar menggunakan parameter yang sama yang digunakan saat menghitung FRR/FAR
- Buat PAI untuk setiap orang
- SAR kemudian dapat diukur sebagai:
Iterasi yang diperlukan untuk mendapatkan sampel tingkat kesalahan yang valid secara statistik: asumsi kepercayaan 95% untuk semua di bawah, N . besar
Margin Kesalahan | Uji iterasi diperlukan per mata pelajaran |
---|---|
1% | 9595 |
2% | 2401 |
3% | 1067 |
5% | 385 |
10% | 97 |
Waktu yang dibutuhkan (30 detik per percobaan, 10 mata pelajaran)
Margin kesalahan | Total waktu |
---|---|
1% | 799,6 jam |
2% | 200.1 jam |
3% | 88,9 jam |
5% | 32,1 jam |
10% | 8.1 jam |
Kami merekomendasikan menargetkan margin kesalahan 5%, yang memberikan tingkat kesalahan sebenarnya dalam populasi 2% hingga 12%.
Cakupan
Proses ini diatur untuk menguji ketahanan otentikasi sidik jari terutama terhadap faksimili sidik jari pengguna target. Metodologi pengujian didasarkan pada biaya bahan saat ini, ketersediaan dan teknologi. Protokol ini akan direvisi untuk memasukkan pengukuran ketahanan terhadap bahan dan teknik baru saat menjadi praktis untuk dilaksanakan.
Pertimbangan umum
Meskipun setiap modalitas memerlukan pengaturan pengujian yang berbeda, ada beberapa aspek umum yang berlaku untuk semuanya.
Uji perangkat keras yang sebenarnya
Metrik SAR/IAR yang dikumpulkan dapat menjadi tidak akurat ketika model biometrik diuji dalam kondisi ideal dan pada perangkat keras yang berbeda dari yang sebenarnya muncul pada perangkat seluler. Misalnya, model buka kunci suara yang dikalibrasi di ruang anechoic menggunakan pengaturan multi-mikrofon berperilaku sangat berbeda saat digunakan pada satu perangkat mikrofon di lingkungan yang bising. Untuk menangkap metrik yang akurat, pengujian harus dilakukan pada perangkat yang sebenarnya dengan perangkat keras terpasang, dan gagal dengan perangkat keras seperti yang akan muncul pada perangkat.
Gunakan serangan yang diketahui
Sebagian besar modalitas biometrik yang digunakan saat ini telah berhasil dipalsukan, dan dokumentasi publik tentang metodologi serangan ada. Di bawah ini kami memberikan ikhtisar tingkat tinggi singkat tentang penyiapan pengujian untuk modalitas dengan serangan yang diketahui. Sebaiknya gunakan pengaturan yang diuraikan di sini jika memungkinkan.
Antisipasi serangan baru
Untuk modalitas di mana peningkatan baru yang signifikan telah dibuat, dokumen pengaturan pengujian mungkin tidak berisi pengaturan yang sesuai, dan mungkin tidak ada serangan publik yang diketahui. Modalitas yang ada mungkin juga memerlukan pengaturan pengujian yang disetel setelah serangan yang baru ditemukan. Dalam kedua kasus, Anda harus membuat pengaturan pengujian yang masuk akal. Silakan gunakan tautan Umpan Balik Situs di bagian bawah halaman ini untuk memberi tahu kami jika Anda telah menyiapkan mekanisme yang masuk akal yang dapat ditambahkan.
Pengaturan untuk modalitas yang berbeda
Sidik jari
IAR | Tidak dibutuhkan. |
SAR |
|
Wajah dan Iris
IAR | Batas bawah akan ditangkap oleh SAR sehingga pengukuran ini tidak diperlukan secara terpisah. |
SAR |
|
Suara
IAR |
|
SAR |
|