演示攻击检测(PAD)技术在生物识别系统中越来越重要,并且越来越多地实施。然而,这项技术似乎仍然是比该领域大多数其他大多数人更普遍的误解和混乱的主题。
除了供应商的通常相互竞争的主张外,还存在不精确的术语,并且已经开发了对标准的测试,对测试的确切确认的困惑感到困惑。
Paynter-Krigman的Stephanie Schuckers赋予了工程科学教授,克拉克森大学(Clarkson University)的识别技术研究中心(CITER)主任,在PAD标准的发展中发挥了关键作用,并表示,尽管有一些不清楚的消息传递,但行业努力增加了对生物识别欺骗攻击问题的关注,这是一种积极的发展。
ISO/IEC的标准以及Android以及德国联邦信息安全办公室(BSI)使用的基于常见标准的标准。有测试实验室,包括IBETA质量保证这是由NIST以及世界各地的ISO标准测试的认可。这IDIAP研究所,,,,唱片和银行卡测试中心(模型)等是获得各种标准测试的认可。
什么不同
这ISO/IEC 30107 PAD标准舒克斯说,这是朝着全球认可该问题的重要一步,但由于对PAD标准的合规性测试的一些早期营销开始,混乱开始进入市场。缺乏确切的测试表现出的明确性,导致一些错误的说法,即解决方案已获得NIST认证,或者甚至可以证明某些标准的认证。
ISO标准并未说出通过或失败的原因,并且有意写入足够的模糊性以允许灵活性。舒克斯指出,标准不能预见所有可能的应用程序及其需求。通过确定测试原理而不准确指定什么构成足够的有效性,该标准可用于开发测试,以考虑新的攻击以及新颖应用程序的不同需求以及现有攻击的不断发展需求。
这些级别实际上不是ISO 30107的一部分。舒克尔实际上与Elaine Newton一起开创了级别,作为NIST文档的一部分(沙发-B)。 Fido联盟的标准采用了被认为是三个复杂度的描述的水平,并采用了类似的想法,并对每个标准都使用了类似的想法。
Schuckers为NIST文档做出了贡献的桌子背后的想法是为新兴领域提供一些结构,以超越ISO标准的模糊性和灵活性和实际评估。
ISO标准是指他们进行的努力和专业知识的“攻击潜力”。
Schuckers说:“也许我们甚至没有测试最高水平,因为进行测试确实很昂贵,也许只有一个民族国家才能实施这种攻击。”
伊贝塔已发出信件1级和2级欺骗攻击,但是生物识别更新已经看到了Ibeta对3级测试的主张,该实验室尚未开发出3级协议。Facetec'livese.com列出了五个级别的欺骗攻击,其中最高的两个级别与编辑解密的3D图像和相机进料注射攻击有关。
舒克斯说,FIDO联盟是具有特定授权的国际机构,重点是建立开放式身份验证的规范,因此在相同的基础上,它与像Ibeta这样的证明不同,因为它涉及更全面的评估。
为生物识别供应商创建一个公平的竞争环境
她解释说:“如果您对安全性和绩效有标准和要求,那么您可以在其中获得认证,以创建一个公平的竞争环境,以便您可以相信所使用的东西。”
这些规格还包括对ISO/IEC 19795的测试,这意味着以错误的接受率(FAR)和错误拒绝率(FRR)的形式测量生物识别精度。
舒克斯说:“这是一个集成的测试,这是大区别的出现,是它拥有所有这些指标; false Accept,False拒绝和PAD,我们同时对其进行了测试。” “我们引进了现场主题,然后我们也做欺骗。”
这样可以防止供应商通过拒绝大量身份验证尝试来简单地将其算法调整为测试。
Schuckers建议:“如果您是客户,那么对于您来说,请索要报告很重要,因此您可以看到那是什么,并确保他们不会对测试进行调整。”
在IBETA测试中,错误匹配率和非匹配率(FMR和FNMR)包含在测试报告中,但在字母中不包括IT发出的供应商,其中包含攻击性呈现分类错误率(APCER)和BONA验证介绍分类错误率(BPCER)数据。
舒克斯指出,认证是关于能力,但也是共同点。
在某些情况下,舒克斯将其称为“认证之战”,但她强调,不同的标准和认证基本上是在不同领域实现的,以实现相同的整体目标。独立检查欺骗攻击预防索赔是好的。
舒克斯谈到整个生物识别行业时说:“我们希望在那里进行垫子,我们希望对垫子进行独立测试。”
认证和标准不仅彼此不同,而且还必须随着时间的流逝而发展。
垫测试的未来
Schuckers指出,甚至几年前都没有考虑到它适合这些水平?一旦任何给定的攻击都位于表明发动攻击的风险或困难程度的水平中,其背后的技术就会继续发展,并且必须重新审视。
Schuckers评估说:“攻击本身将迅速改变进行攻击的容易,但是这种方法论,我认为我们已经通过ISO标准迭代了一种非常普遍的想法。” “因为尽管Fido和Ibeta之间存在差异,但我会说,它们并没有大不相同。它们仍然遵循相同的结构,这是基于ISO。这很棒;这是我们想要的。”
让供应商同意标准并服从测试的工作只是任务的一部分,因为这种不断的演变,舒克尔人认为双方,收养和进化,继续在2021年继续前进。
“使测试很难的是不可能涵盖系统可能面临的攻击范围。”
该帖子于2021年1月14日东部凌晨8:47更新,以澄清Livess.com与FaceTec相关。
文章主题
生物识别检测|生物识别测试|生物识别技术|FIDO联盟|伊比塔|IDIAP|ISO标准|ISO/IEC 30107-3|nist|演示攻击检测|欺骗检测|斯蒂芬妮·舒克斯(Stephanie Schuckers)
