この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
導入
従来の生体認証アクセス制御システムでは、登録データベースを侵害する敵が、そこに登録されている個人の生成生体認証データにアクセスする可能性があります。生体認証システムがプレゼンテーション攻撃やリプレイ攻撃に対して脆弱な場合、敵対者が登録データベースにアクセスした後に個人になりすましてシステムにアクセスする可能性があるため、これは望ましくありません。さらに、生体認証登録データベースに保護されていないテンプレートが含まれており、同じ生体認証モダリティが複数のアプリケーションで採用されている場合、攻撃者はそれらのアプリケーション間で個人のアカウントをリンクする可能性があります (相互照合)
登録データベースに保存されるバイオメトリック テンプレートは、個人の生物学的および行動的特徴から導出されるバイオメトリック特徴の参照セットです。システムの実装で許可されている場合は、侵害されたことがわかっている生体認証登録を取り消し、限られた回数だけ更新することができます。ただし、個人から抽出できる固有の生体認証の数は限られているため、新しいクレジット カード番号やパスワードのように、生体認証の登録を取り消して無制限に再発行することはできません。登録データベースに保存されている生体認証登録記録の侵害は深刻な問題です。したがって、侵害のリスクを軽減するための方法と手順が必要です。
安全な生体認証認証
バイオメトリクス研究コミュニティは、個人のバイオメトリクス特徴をアクセス制御デバイスに平文で直接保存する必要なく、バイオメトリクス検証を可能にするために多大な努力を費やしてきました。これは、「生体認証テンプレート保護」、「生体認証情報保護」、または単に「安全な生体認証」と呼ばれる新しい方法の開発につながりました。この文書では、「生体認証テンプレート保護」という用語が使用されています。
この戦略の背後にある理論的根拠は、生体認証の特徴を直接保存する代わりに、アクセス制御システムが生体認証の特徴から一部のデータを抽出し、この抽出されたデータをデバイスに保存するということです。生体認証検証フェーズ中に、システムはアクセスを求める個人からプローブ生体認証サンプルを受け取ります。次に、システムはプローブの生体認証サンプルと派生データを組み合わせて、生体認証の検証決定を生成します。派生データの主な特性は、登録段階で取得された基礎となる生体認証の特徴に関する情報がほとんど、またはまったく明らかにならないことです。
したがって、アクセス制御デバイスが敵対者によって侵害された場合、派生データのみが敵対者の手に渡りますが、これによって敵対者はデータベースに登録されている個人の生体特徴を回復することはできません。この戦略により、データベースに登録されている個人のプライバシーが保護されることは明らかです。
さらに、敵対者が偽のプローブ生体認証サンプルを提供してシステムにアクセス、つまりログインしようとした場合、適切に設計された安全な生体認証システムでは、偽のプローブ生体認証サンプルと派生保存データを組み合わせると、生体認証が行われます。検証失敗。したがって、この戦略はデータベースに登録されている個人の秘密を保護します。
新しい指標の理論的根拠
生体認証テンプレートの保護を実現するにはいくつかの方法があります。これらの方法の一部は ISO/IEC 24745:2011 に記載されています。派生データの構築に使用された方法に関係なく、生体認証テンプレート保護システムを評価する場合は、次の質問をする必要があります。
- a)システムが本物の個人を拒否し、偽者を受け入れる確率はどれくらいですか?これは、あらゆる生体認証システムについて尋ねられる当然の質問です。偽不一致率 (FNMR) と偽一致率 (FMR) は、登録が行われる従来の生体認証システムのこのパフォーマンスを測定します。生体認証の特徴は、プローブの生体認証の特徴と照合されます。生体認証テンプレート保護システムもこれらのメトリクスを継承しますが、メトリクスの測定方法はテンプレート保護アルゴリズムの特定の実現に応じて異なる場合があります。
- b)登録された個人のデータベースに関する何らかの知識で強化された攻撃者が、登録された個人の 1 人であることを正常に検証できる確率はどれくらいですか?
- c)攻撃者は、アクセス制御デバイスを侵害し、派生 (保存) された登録情報を盗むことによって、どの程度の情報を取得できますか?従来の生体認証システムでは、敵は、保存された生体認証テンプレートまたは保存された特徴ベクトルの形で重要な情報を取得する可能性があります。生体認証テンプレート保護システムの目標は、保存された派生データから登録された個人に関する多くの情報が漏洩しないようにすることです。
- d) 1 つ以上のアクセス制御デバイスを侵害し、そこに保存されているデータを盗んだ攻撃者が、アクセス制御デバイスでの検証に成功するために入手した情報を使用する確率はどれくらいですか?
これらの質問は、生体認証テンプレート保護システムの精度、機密性、プライバシーを評価するための基礎を形成します。これにより、従来の生体認証システムの評価にはこれまで関連付けられていなかった一連の新しい測定基準が導入されます。
標準化の必要性
生体認証テンプレート保護の傘下には、ファジーボールトベースのシステム、安全なスケッチベースのシステム、キャンセル可能な生体認証システム、安全なマルチパーティ計算ベースのシステムなど、いくつかのアーキテクチャがあります。上記で提起された疑問はさまざまな生体認証テンプレート保護アーキテクチャにも当てはまります。そのため、異なるアーキテクチャに基づくシステムを比較するための共通の基盤が提供されます。この文書の目的は、テンプレート保護ベースの生体認証および識別システムを評価するための新しい指標を指定することです。理論的および経験的な定義は、第 8 項で各指標に提供されます。
Introduction
In conventional biometric access control systems, an adversary who compromises an enrolment database may gain access to the generative biometric data of the individuals enrolled therein. This is undesirable because, if the biometric system is vulnerable to presentation attacks or replay attacks, the adversary could impersonate an individual and gain access to the system after gaining access to the enrolment database. Furthermore, if the biometric enrolment databases contain unprotected templates and the same biometric modality is adopted in multiple applications, the adversary could link the accounts of the individual across those applications (cross-matching).
A biometric template stored in an enrolment database is a reference set of biometric features derived from the biological and behavioural characteristics of an individual. If the system implementation allows it, a biometric enrolment that is known to have been compromised may be revoked and renewed a limited number of times. However, the number of unique biometrics that can be extracted from an individual is limited and thus biometric enrolments cannot be revoked and then re-issued an unlimited number of times like new credit card numbers or passwords. The compromise of biometric enrolment records stored in an enrolment database is a serious issue. Therefore, methods and procedures to mitigate the risk of compromise are needed.
Secure biometric verification
The biometrics research community has invested significant effort in enabling biometric verification without directly needing to store an individual’s biometric features in the clear at the access control device. This has led to the development of new methods referred to as “biometric template protection”, “biometric information protection”, or simply “secure biometrics”. In this document, the term “biometric template protection” is used.
The rationale behind this strategy is that, instead of storing the biometric features directly, the access control system derives some data from the biometric features and stores this derived data on the device. During the biometric verification phase, the system receives a probe biometric sample from the individual seeking access. Then, the system combines the probe biometric sample and the derived data and generates a biometric verification decision. The main property of the derived data is that it reveals little or no information about the underlying biometric characteristic that was captured during the enrolment phase.
Thus, if the access control device is compromised by an adversary, only the derived data falls into the hands of the adversary, but this does not enable the adversary to recover the biometric characteristics of the individuals enrolled in the database. Clearly, this strategy protects the privacy of the individuals enrolled in the database.
Further, if an adversary attempts to gain access, i.e. to log in, to the system by providing a fake probe biometric sample, then in a well-designed secure biometric system, combining the fake probe biometric sample with the derived stored data results in biometric verification failure. Thus, this strategy protects the secrecy of the individuals enrolled in the database.
Rationale for new metrics
There are several ways in which biometric template protection can be realized. Some of these methods are described in ISO/IEC 24745:2011. Regardless of the method employed to construct the derived data, the following questions must be asked when evaluating a biometric template protection system:
- a) What is the probability that the system rejects genuine individuals and accepts imposters? This is a natural question to ask of any biometric verification system. The metrics, False Non-Match Rate (FNMR) and False Match Rate (FMR) measure this performance [ISO/IEC 19795-1] for the conventional biometric system in which enrolment biometric features are matched against probe biometric features. A biometric template protection system will also inherit these metrics, though the method of measuring them may vary depending upon the particular realization of the template protection algorithm.
- b) What is the probability that an adversary enhanced with some knowledge about the database of enrolled individuals can be successfully verified as one of those enrolled?
- c) How much information can an adversary obtain by compromising an access control device and stealing the derived (stored) enrolment information? In conventional biometric systems, the adversary may obtain significant information, in the form of the stored biometric template, or the stored feature vector. The goal of biometric template protection systems is to ensure that the stored derived data does not leak much information about the enrolled individuals.
- d) What is the probability that an adversary, having successfully compromised one or more access control devices and having stolen the data stored on them, uses the information gained to be successfully verified at an access control device?
These questions form the basis for evaluating the accuracy, secrecy, and privacy of a biometric template protection system, which introduces a new set of metrics not previously associated with evaluating traditional biometric systems.
Necessity for standardization
There are several architectures under the umbrella of biometric template protection, e.g., fuzzy vault-based systems, secure sketch-based systems, cancellable biometric systems, secure multiparty computation-based systems, etc. It is necessary to define key metrics that not only answer the questions posed above, but also apply to a wide variety of biometric template protection architectures, thereby providing a common basis for comparison of systems based on different architectures. The goal of this document is to specify new metrics for evaluating template protection-based biometric verification and identification systems. Theoretical and empirical definitions are provided for each metric in Clause 8.