歐盟網絡安全局,恩尼薩,已經發布了一份報告,概述了遠程身份證明(RIDP)的良好實踐,因為歐盟進行了數字化轉型,該數字轉型將在很大程度上依賴生物識別技術,數字身份和可靠的遠程身份驗證服務。
該報告明智地標題為“遠程ID證明良好實踐”,這表明了歐洲社會和經濟的數字化的一般轉變,這是由於在大流行有關的限製過程中突然需要遠程身份驗證的需求加速了,從而導致了“強烈轉變時期”。它說:“鎖定和其他公共衛生安全措施,“強調了良好調節和標準化的遠程身份識別流程的重要性,以及可信賴的數字身份,公共和私營部門組織可能會依靠這些身份。 ”
隨著Eidas 2.0的到來,承諾向所有歐盟公民提供安全,透明的訪問歐盟數字身份錢包(EUDIW)和其他數字服務,歐洲正處於目標設定的目標方面,歐洲委員會的目標是為“安全,安全,可持續和以人為中心的數字化轉型”設定具體目標。根據Enisa的說法,這有助於“安全可靠的身份驗證服務,可以按大規模和經濟高效的方式進行部署,這是“單個數字市場中電子交易的關鍵推動力”。
在一個受到深層攻擊和注射攻擊困擾的世界中,所有這些都帶有犯罪潛力的烏雲。 Enisa說,攻擊景觀的最新發展激發了其報告。它說,欺詐技術可能使RIDP方法不可靠,利益相關者想知道如何牢固地基於既定的良好實踐。埃薩(Enisa立法節奏。 ”
為此,該報告確定了關鍵目標:提高利益相關者的意識,幫助快速變化的威脅格局中的風險分析實踐,並為更強大的RIDP對策的發展做出貢獻。
在數字ID法規的糾結網絡中出現了新的威脅
該報告以前的指南為基礎:“為了將新型的威脅和更廣泛的生態系統關注帶到前景。”信息和數據分析在其中尤其要曝光的新型威脅零。第一個是生物特徵介紹,注射攻擊反對人類主體的臉。第二個是針對一個的演示和注射攻擊身份文檔。根據報告,“考慮了與進攻和防禦性方面的深層攻擊和相關方法有關的性質和發展的考慮。” (這項研究將其重點限制在面對生物識別方面,不包括語音或指紋等其他方式。)
該報告說:“新穎威脅的速度和復雜性需要修訂的防禦心態,結合預防和偵探方法。”新型攻擊的出現,例如高質量的深擊,以及允許擴展和自動化的計算資源和工具的可用性,使響應框架比以往任何時候都更為重要。
Enisa的名義良好實踐涉及環境,程序,組織和技術控制的領域。它專門與“與RIDP的證據驗證和信息約束階段發生的身份文件有關的攻擊有關”,它指出:“捍衛身份文檔的兩個最突出的良好實踐是各種身份文檔註冊表中的狀態查找以及掃描近場通信(NFC)芯片(可用的地方)。 ”
它認識到實現存在障礙。有互操作性和缺乏中央身份文檔註冊表的複雜問題,以及歐盟私人實體的NFC芯片方法的合法性。它說:“不一致的NFC閱讀狀態可以被認為是歐盟跨越更廣泛的監管景觀的一部分,這與對身份證明的偏遠性質及其所能提供的保證水平有關。”
生物識別注射攻擊,深泡沫觸發警報
該報告包含了在生物識別表現攻擊和數據注射攻擊中使用的儀器,方法和策略類型的全面概述。它的發現,“深層演示和注射攻擊是最難緩解最難緩解的前兩種生物特徵攻擊類型”預示著現實模糊的進一步發展,並可能更有效的深層進攻路徑,例如“解散”,例如“將面部身份的生成過程脫離姿勢控製過程,這兩者都由一個人執行,這兩種過程都在生成對抗網絡(gan),允許產生可自定義且完全可控制的結果,具有高質量的質量和自然的面部運動。 ”
ENISA報告說,憑藉保持傳統反欺騙方法的能力,並因此無法通過傳統的反欺騙方法發現,這是“是基於深度學習的綜合的下一步。”換句話說,讓自己的守衛放下是不明智的,就像對方正在達到新水平的技術和犯罪能力一樣。
總而言之,答案回應了舊的甲殼蟲樂隊歌曲:聚在一起 - 政策和法規,標準化,數據集中,威脅檢測和防禦。 Enisa說:“考慮到最近的技術進步比以往任何時候都更加明顯,需要最大程度地降低複合物,並在歐洲一級設定統一的要求和RIDP方法。”
此外,它建議,保持鬆動。 “避免描述特定技術要求或解決方案的技術中立方法,而是設定特定的績效標準,將導致更加靈活,可調節和有彈性的標準,其壽命較長,並且在每時每刻的技術和威脅格局的當前狀態保持最新狀態。”
