演示攻擊檢測(PAD)技術在生物識別系統中越來越重要,並且越來越多地實施。然而,這項技術似乎仍然是比該領域大多數其他大多數人更普遍的誤解和混亂的主題。
除了供應商的通常相互競爭的主張外,還存在不精確的術語,並且已經開發了對標準的測試,對測試的確切確認的困惑感到困惑。
Paynter-Krigman的Stephanie Schuckers賦予了工程科學教授,克拉克森大學(Clarkson University)的識別技術研究中心(CITER)主任,在PAD標準的發展中發揮了關鍵作用,並表示,儘管有一些不清楚的消息傳遞,但行業努力增加了對生物識別欺騙攻擊問題的關注,這是一種積極的發展。
ISO/IEC的標準以及Android以及德國聯邦信息安全辦公室(BSI)使用的基於常見標準的標準。有測試實驗室,包括IBETA質量保證這是由NIST以及世界各地的ISO標準測試的認可。這IDIAP研究所,,,,唱片和銀行卡測試中心(模型)等是獲得各種標準測試的認可。
什麼不同
這ISO/IEC 30107 PAD標準舒克斯說,這是朝著全球認可該問題的重要一步,但由於對PAD標準的合規性測試的一些早期營銷開始,混亂開始進入市場。缺乏確切的測試表現出的明確性,導致一些錯誤的說法,即解決方案已獲得NIST認證,或者甚至可以證明某些標準的認證。
ISO標準並未說出通過或失敗的原因,並且有意寫入足夠的模糊性以允許靈活性。舒克斯指出,標準不能預見所有可能的應用程序及其需求。通過確定測試原理而不准確指定什麼構成足夠的有效性,該標準可用於開發測試,以考慮新的攻擊以及新穎應用程序的不同需求以及現有攻擊的不斷發展需求。
這些級別實際上不是ISO 30107的一部分。舒克爾實際上與Elaine Newton一起開創了級別,作為NIST文檔的一部分(沙發-B)。 Fido聯盟的標准採用了被認為是三個複雜度的描述的水平,並採用了類似的想法,並對每個標準都使用了類似的想法。
Schuckers為NIST文檔做出了貢獻的桌子背後的想法是為新興領域提供一些結構,以超越ISO標準的模糊性和靈活性和實際評估。
ISO標準是指他們進行的努力和專業知識的“攻擊潛力”。
Schuckers說:“也許我們甚至沒有測試最高水平,因為進行測試確實很昂貴,也許只有一個民族國家才能實施這種攻擊。”
伊貝塔已發出信件1級和2級欺騙攻擊,但是生物識別更新已經看到了Ibeta對3級測試的主張,該實驗室尚未開發出3級協議。Facetec'livese.com列出了五個級別的欺騙攻擊,其中最高的兩個級別與編輯解密的3D圖像和相機進料注射攻擊有關。
舒克斯說,FIDO聯盟是具有特定授權的國際機構,重點是建立開放式身份驗證的規範,因此在相同的基礎上,它與像Ibeta這樣的證明不同,因為它涉及更全面的評估。
為生物識別供應商創建一個公平的競爭環境
她解釋說:“如果您對安全性和績效有標準和要求,那麼您可以在其中獲得認證,以創建一個公平的競爭環境,以便您可以相信所使用的東西。”
這些規格還包括對ISO/IEC 19795的測試,這意味著以錯誤的接受率(FAR)和錯誤拒絕率(FRR)的形式測量生物識別精度。
舒克斯說:“這是一個集成的測試,這是大區別的出現,是它擁有所有這些指標; false Accept,False拒絕和PAD,我們同時對其進行了測試。” “我們引進了現場主題,然後我們也做欺騙。”
這樣可以防止供應商通過拒絕大量身份驗證嘗試來簡單地將其算法調整為測試。
Schuckers建議:“如果您是客戶,那麼對於您來說,請索要報告很重要,因此您可以看到那是什麼,並確保他們不會對測試進行調整。”
在IBETA測試中,錯誤匹配率和非匹配率(FMR和FNMR)包含在測試報告中,但在字母中不包括IT發出的供應商,其中包含攻擊性呈現分類錯誤率(APCER)和BONA驗證介紹分類錯誤率(BPCER)數據。
舒克斯指出,認證是關於能力,但也是共同點。
在某些情況下,舒克斯將其稱為“認證之戰”,但她強調,不同的標準和認證基本上是在不同領域實現的,以實現相同的整體目標。獨立檢查欺騙攻擊預防索賠是好的。
舒克斯談到整個生物識別行業時說:“我們希望在那裡進行墊子,我們希望對墊子進行獨立測試。”
認證和標準不僅彼此不同,而且還必須隨著時間的流逝而發展。
墊測試的未來
Schuckers指出,甚至幾年前都沒有考慮到它適合這些水平?一旦任何給定的攻擊都位於表明發動攻擊的風險或困難程度的水平中,其背後的技術就會繼續發展,並且必須重新審視。
Schuckers評估說:“攻擊本身將迅速改變進行攻擊的容易,但是這種方法論,我認為我們已經通過ISO標準迭代了一種非常普遍的想法。” “因為儘管Fido和Ibeta之間存在差異,但我會說,它們並沒有大不相同。它們仍然遵循相同的結構,這是基於ISO。這很棒;這是我們想要的。”
讓供應商同意標準並服從測試的工作只是任務的一部分,因為這種不斷的演變,舒克爾人認為雙方,收養和進化,繼續在2021年繼續前進。
“使測試很難的是不可能涵蓋系統可能面臨的攻擊範圍。”
該帖子於2021年1月14日東部凌晨8:47更新,以澄清Livess.com與FaceTec相關。
文章主題
生物識別檢測|生物識別測試|生物識別技術|FIDO聯盟|伊比塔|IDIAP|ISO標準|ISO/IEC 30107-3|nist|演示攻擊檢測|欺騙檢測|斯蒂芬妮·舒克斯(Stephanie Schuckers)
