ГОСТ Р 54412-2019 (ISO/IEC TR 24741:2018). Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Общие положения и примеры применения

11.3 Атаки на биометрическое предъявление (спуфинг)

Несмотря на методы защиты биометрических данных, еще с 70-х гг. XX в. хорошо известно, что биометрические устройства можно обмануть с помощью подделок (см. [61] - [63]). "Спуфинг" - это термин, который широко используется в литературе для описания способа подделки биометрических характеристик другого лица с целью быть распознанным в качестве этого лица. Термин "атака на биометрическое предъявление" указывает на то, что может быть сделано с биометрическим предъявлением с целью нарушения запланированной деятельности биометрической системы (см. [63]).

Выделяют два основных типа атаки на биометрическое предъявление:

- когда лицо намеревается быть распознанным в качестве иного лица, которым оно не является;

- когда лицо намеревается не быть распознанным в качестве определенного лица, известного системе, и таким образом скрывает свои биометрические характеристики.

В обоих случаях это лицо именуют "самозванец".

Для того чтобы быть признанным биометрической системой в качестве другого лица, самозванец может совершить атаку на биометрический сканер, принуждая другое лицо предъявить свои биометрические характеристики или имитируя другое лицо. В случае принудительной атаки биометрические характеристики субъекта биометрических данных передаются биометрическому сканеру без его разрешения. Это может быть выполнено силовым или другим способом. При атаке имитацией лицо изменяет свои биологические или физические характеристики, например внешний вид, для того чтобы соответствовать зарегистрированному субъекту данных. Индивид может также скрывать или маскировать свои биометрические характеристики, для того чтобы избежать распознавания. Например, в системе распознавания лиц маскировка может быть осуществлена за счет кепки и солнечных очков для сокрытия лица. Индивид может также искажать свои биометрические характеристики, например, нанося клей на пальцы или надевая контактные линзы или линзы с рисунком. Подделать биометрические характеристики другого лица сложнее, чем маскировать собственные биометрические характеристики, но тем не менее это вполне возможно.

Способы мошенничества в сфере биометрии лица, отпечатков пальцев и РОГ описываются во многих исследованиях (см. [29], [65] - [69]). Испытания на обнаружение атаки на биометрическое предъявление (испытания на возможность быть введенным мошенником в заблуждение) возможны в нескольких биометрических технологиях, например: в случае систем распознавания диктора мошенничество можно значительно затруднить, если при авторизации субъекту будет необходимо произнести цифры, которые в случайном порядке выбираются компьютером; систем распознавания по РОГ можно проверять наличие колебаний зрачка; систем распознавания по отпечаткам пальцев можно проверять кровоток. Вероятность мошенничества может быть снижена посредством применения совокупности множества биометрических характеристик (например, отпечатки десяти пальцев или РОГ и лицо) наряду с работой обученных операторов.