ГОСТ Р 58624.3-2019 (ИСО/МЭК 30107-3:2017). Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний

Введение

 

Предъявление артефакта или биометрической характеристики индивида подсистеме сбора биометрических данных с целью нарушения намеченной политики биометрической системы называется атакой на биометрическое предъявление. Область применения серии стандартов ГОСТ Р 58624 ограничена методами автоматического обнаружения атак на биометрическое предъявление, осуществляемыми субъектами сбора биометрических данных в процессе биометрического предъявления и сбора соответствующих биометрических характеристик. Данные методы называются методами обнаружения атаки на биометрическое предъявление (ОАБП).

Как и методы биометрического распознавания, методы ОАБП подвержены ложноположительным и ложноотрицательным результатам. В случае ложноположительного результата система ошибочно классифицирует надлежащее биометрическое предъявление как атаку, тем самым снижая эффективность системы, а в случае ложноотрицательного результата система ошибочно классифицирует атаку на биометрическое предъявление как надлежащее биометрическое предъявление, в результате чего происходит нарушение безопасности. Поэтому решение об использовании биометрической системой конкретного метода ОАБП будет зависеть от ее применения и компромисса между уровнем безопасности и эффективности.

Настоящий стандарт устанавливает:

- термины, относящиеся к испытаниям ОАБП и протоколам испытаний;

- принципы и методы оценки эксплуатационных характеристик методов ОАБП, включая метрики.

Настоящий стандарт предназначен для разработчиков методов ОАБП и/или для испытательных лабораторий, планирующих проводить оценки эффективности методов ОАБП.

Терминология и методы эксплуатационных испытаний, а также методология статистического анализа в биометрии регламентированы в серии стандартов ГОСТ Р ИСО/МЭК 19795-1-2007. В качестве эксплуатационных характеристик биометрических систем используются такие метрики, как вероятность ложного допуска, ВЛД <*>, вероятность ложного недопуска, ВЛНД <**> и вероятность отказа биометрической регистрации, ВОБР <***>. Терминология и методы эксплуатационных испытаний, а также методология статистического анализа в биометрии лишь частично применимы к оценке методов ОАБП ввиду значительных фундаментальных различий между концепцией эксплуатационных испытаний в биометрии и концепцией испытаний методов ОАБП. Фундаментальные различия заключаются в следующем:

--------------------------------

<*> false accept rate, FAR.

<**> false reject rate, FRR.

<***> failure-to-enrol rate, FTE.

 

a) статистическая значимость.

В биометрических эксплуатационных испытаниях применяют статистически значимое количество субъектов, представляющих целевую группу пользователей. Вероятности ошибок не будут значительно отличаться при существенном увеличении числа участников или привлечении другой группы субъектов. Как правило, при проведении большего числа измерений увеличивается точность вероятностей ошибок.

В испытаниях ОАБП многие биометрические модальности могут подвергаться атакам большого или неопределенного числа видов потенциальных инструментов атаки на биометрическое предъявление (ИАБП). В таких случаях сложно или даже невозможно построить исчерпывающую модель всех возможных ИАБП. Следовательно, невозможно найти репрезентативный набор видов ИАБП для оценки, поэтому измеренные вероятности ошибок одного набора ИАБП не могут считаться применимыми к другому набору.

Виды ИАБП представляют собой источник систематических изменений в испытаниях. Различные ИАБП могут иметь значимо различные вероятности ошибок. Кроме того, в пределах любого вида ИАБП будут наблюдаться случайные различия между экземплярами серии ИАБП. Число биометрических предъявлений, необходимых для статистически значимых испытаний, будет линейно масштабироваться с учетом числа видов ИАБП. В пределах каждого вида ИАБП неопределенность, связанная с оценкой вероятности ошибок ИАБП, будет зависеть от числа испытуемых артефактов и числа индивидов.

Пример - В дактилоскопии известно много потенциальных материалов для создания артефактов, и при атаке возможно использование любого из этих материалов или сочетания материалов, с помощью которых можно предъявить характеристики отпечатка пальца биометрическому сканеру. Поскольку такие свойства артефакта, как продолжительность эксплуатации, толщина, влажность, температура, скорость смешивания и технология производства, могут оказать значительное влияние на результат метода ОАБП, легко определить десятки тысяч видов ИАБП с использованием существующих материалов. Для корректного статистического анализа потребуются сотни тысяч биометрических предъявлений, и даже в этом случае вероятности ошибок не могут быть перенесены на следующий набор новых материалов;

b) сравнимость результатов испытаний по всем системам.

В эксплуатационных испытаниях биометрических систем для сравнения различных биометрических систем или разных конфигураций могут быть использованы вероятности ошибок, рассчитанные на основе одной и той же выборки биометрических образцов на конкретном приложении. Общепринятыми являются понятия "лучше" и "хуже".

В то же время при использовании вероятностей ошибок для сравнения методов ОАБП такой термин, как "лучше", может в значительной степени зависеть от конкретного приложения.

Пример - В сценарии испытаний с 10 видами ИАБП (представляемых 100 раз) система 1 обнаруживает 90% предъявлений атаки, а система 2 - 85%. Система 1 фиксирует все предъявления девяти видов ИАБП, но не все предъявления 10-го вида ИАБП. Система 2 обнаруживает 85% всех видов ИАБП. Какая система лучше? С точки зрения безопасности система 1 хуже, чем система 2, так как обнаружение уязвимости 10-го вида ИАБП сориентирует злоумышленника постоянно использовать этот метод для обмана устройства сбора биометрических данных. Однако если злоумышленники лишены возможности применять 10-й вид ИАБП, то система 1 будет лучше, чем система 2, поскольку отдельные вероятности ошибок показывают, что можно обмануть систему 2 всеми видами ИАБП;

c) согласованность.

Многие эксплуатационные испытания биометрических систем относятся к приложениям, когда поведение субъектов является согласованным, например при контроле доступа. Ошибки вследствие неправильной работы являются скорее следствием нехватки знаний, опыта или руководства, а не намерения. Несогласованность поведения значительной части группы не является частью соответствующей "биометрической модели" и сделает вероятности ошибок практически бесполезными для эксплуатационных испытаний биометрических систем.

Испытания ОАБП включают субъекты, поведение которых не является согласованным. Злоумышленники попытаются найти и использовать любую уязвимость биометрической системы, обходя или воздействуя на ее предполагаемое функционирование. Типы атак на биометрическое предъявление, определяемые опытом и знаниями экспериментатора, могут значительно изменить вероятностные характеристики успешности атак. Следовательно, сложно определить процедуры испытания, которые измеряют вероятности ошибок в виде, характеризующем согласованное поведение;

d) автоматические испытания.

В эксплуатационных испытаниях биометрических систем часто возможны испытания алгоритмов сравнения с использованием баз данных с устройств или датчиков похожего качества. Производительность может быть измерена в технологических испытаниях с использованием ранее собранной выборки образцов в соответствии с ГОСТ Р ИСО/МЭК 19795-1.

При испытаниях ОАБП может быть недостаточно данных биометрического сканера (например, цифровых изображений отпечатков пальцев). Биометрические системы с методами ОАБП часто содержат дополнительные датчики для обнаружения специфических свойств биометрической характеристики. Следовательно, база данных, собранная ранее для конкретной биометрической системы или конфигурации, может не подходить для другой биометрической системы или конфигурации. Даже незначительные изменения в оборудовании или программном обеспечении могут сделать предыдущие измерения непригодными. Нецелесообразно хранить многовариантные синхронизированные сигналы ОАБП и воспроизводить их в автоматических испытаниях, поэтому в автоматическом режиме часто испытания не задействованы при проведении испытаний и оценке методов ОАБП;

e) качество и производительность.

В эксплуатационных испытаниях биометрических систем производительность, как правило, напрямую зависит от качества биометрических данных. Использование образцов низкого качества приводит к высоким вероятностям ошибок, а применение образцов высокого качества - к снижению вероятностей ошибок. Следовательно, показатели качества часто используются при повышении эксплуатационных характеристик (в зависимости от приложения).

Несмотря на то что при испытаниях ОАБП низкое качество биометрических данных может привести к неудовлетворительному результату артефакта, основания предполагать определенный уровень качества артефактов отсутствуют. Образцы артефактов могут демонстрировать качество лучшее, чем образцы биометрических характеристик человека. При отсутствии модели навыка злоумышленника корректным (по крайней мере, в оценке безопасности) будет предполагать сценарий "наихудшего случая", когда злоумышленник всегда использует наилучшее возможное качество. В этом случае можно определить гарантированную минимальную вероятность обнаружения для конкретного набора испытаний, уменьшая при этом число необходимых испытаний. Затем проводят балльную оценку потенциала нападения успешных артефактов (усилия и опыт для необходимого качества).

На основе различий, приведенных в перечислениях a) - e), могут быть сделаны следующие общие примечания относительно вероятностей ошибок и метрик, относящихся к методам ОАБП:

- виды ОАБП должны быть проанализированы и оценены по отдельности;

- вероятность ошибок классификации предъявлений атаки, отличная от 0%, демонстрирует только то, что ОАБП может быть успешным. Другой экспериментатор может обеспечить более высокую или более низкую вероятность ошибок классификации предъявлений атаки. Кроме того, обучение определению соответствующих материалов и параметров предъявления может повысить вероятность ошибки классификации предъявления атаки для этого вида ИАБП. Опыт и знания экспериментатора, а также наличие необходимых ресурсов являются важными факторами при проведении испытаний ОАБП и учитываются в процессе сравнения или анализа производительности;

- вероятности ошибок для методов ОАБП определены конкретным контекстом метода ОАБП, набором видов ИАБП, приложением, методом испытаний и экспериментатором. Вероятности ошибок для методов ОАБП не обязательно как сопоставимы с аналогичными испытаниями, так и воспроизводимы в разных испытательных лабораториях.