Как снимают отпечатки сетчатки
Месяц назад журналист издания Forbes наглядно продемонстрировал (не)надёжность биометрической защиты в устройствах потребительского класса. Для теста он заказал гипсовую 3D-копию своей головы, после чего попытался с помощью этой модели разблокировать смартфоны пяти моделей: LG G7 ThinQ, Samsung S9, Samsung Note 8, OnePlus 6 и iPhone X.
Гипсовой копии оказалось достаточно для снятия блокировки четырёх из пяти протестированных моделей. Хотя iPhone не поддался на обманку (он сканирует в ИК-диапазоне), но эксперимент показал, что распознавание лиц — не самый надёжный метод защиты конфиденциальной информации. В общем, как и многие другие методы биометрии.
В комментарии представители «пострадавших» компаний сказали, что распознавание лиц делает разблокировку телефонов «удобной», но для «самого высокого уровня биометрической аутентификации» рекомендуется применять сканер отпечатка пальца или радужной оболочки глаза.
Эксперимент также показал, что для реального взлома недостаточно пары фотографий жертвы, потому что они не позволят создать полноценную 3D-копию черепа. Для изготовления приемлемого прототипа требуется съёмка с нескольких углов при хорошем освещении. С другой стороны, благодаря социальным сетям сейчас есть возможность получить большое количество подобного фото- и видеоматериала, а разрешение камер увеличивается с каждым годом.
Другие методы биометрической защиты тоже не лишены уязвимостей.
Системы для сканирования отпечатков пальцев получили распространение в 90-е годы — и тут же подверглись атаке.
В начале 2000-х хакеры отточили механизм изготовления искусственных силиконовых копий по имеющемуся рисунку. Если наклеить тонкую плёнку на собственный палец, то можно обмануть практически любую систему, даже с другими сенсорами, которая проверяет температуру человеческого тела и удостоверяется, что к сканеру приложен палец живого человека, а не распечатка.
Классическим руководством по изготовлению искусственных отпечатков считается руководство Цутому Мацумото от 2002 года. Там подробно объясняется, как обработать отпечаток пальца жертвы с помощью графитового порошка или паров цианоакрилата (суперклей), как затем обработать фотографию перед изготовлением формы и, наконец, изготовить выпуклую маску с помощью желатина, латексного молочка или клея для дерева.
Изготовление желатиновой плёнки с дактилоскопическим рисунком по контурной пресс-форме с отпечатком пальца. Источник: инструкция Цутому Мацумото
Самая большая сложность в этой процедуре — скопировать настоящий отпечаток пальца. Говорят, самые качественные отпечатки остаются на стеклянных поверхностях и дверных ручках. Но в наше время появился ещё один способ: разрешение некоторых фотографий позволяет восстановить рисунок прямо с фотографии.
В 2017 году сообщалось о проекте исследователей из Национального института информатики Японии. Они доказали возможность воссоздания рисунка отпечатка пальца с фотографий, сделанных цифровым фотоаппаратом с расстояния в три метра. Ещё в 2014 году на хакерской конференции Chaos Communication Congress продемонстрировали отпечатки пальцев министра обороны Германии, воссозданные по официальным фотографиям высокого разрешения из открытых источников.
Кроме сканирования отпечатков пальцев и распознавания лиц, в современных смартфонах пока массово не используются иные методы биометрической защиты, хотя теоретическая возможность есть. Некоторые из этих методов прошли экспериментальную проверку, другие внедрены в коммерческую эксплуатацию в различных приложениях, в том числе сканирование сетчатки глаза, верификация по голосу и по рисунку вен на ладони.
Но у всех методов биометрической защиты есть одна фундаментальная уязвимость: в отличие от пароля, свои биометрические характеристики практически невозможно заменить. Если ваши отпечатки пальцев слили в открытый доступ — вы их уже не поменяете. Это, можно сказать, пожизненная уязвимость.
«По мере того, как разрешение камеры становится выше, становится возможным рассматривать объекты меньшего размера, такие как отпечаток пальца или радужная оболочка. […] Как только вы делитесь ими в социальных сетях, можете попрощаться. В отличие от пароля, вы не можете изменить свои пальцы. Так что это информация, которую вы должны защитить». — Исао Эчизен, профессор Национального института информатики Японии
Стопроцентной гарантии не даёт никакой метод биометрической защиты. При тестировании каждой системы указываются в том числе следующие параметры:
- точность (несколько видов);
- процент ложноположительных срабатываний (ложная тревога);
- процент ложноотрицательных срабатываний (пропуск события).
Ни одна система не демонстрирует точность 100% с нулевым показателем ложноположительных и ложноотрицательных срабатываний, даже в оптимальных лабораторных условиях.
Эти параметры зависят друг от друга. За счёт настроек системы можно, к примеру, увеличить точность распознавания до 100% — но тогда увеличится и количество ложноположительных срабатываний. И наоборот, можно уменьшить количество ложноположительных срабатываний до нуля — но тогда пострадает точность.
Очевидно, сейчас многие методы защиты легко поддаются взлому по той причине, что производители в первую очередь думают об удобстве использования, а не о надёжности. Другими словами, у них в приоритете минимальное количество ложноположительных срабатываний.
Как и в экономике, в информационной безопасности тоже есть понятие экономической целесообразности. Пусть стопроцентной защиты не существует. Но защитные меры соотносятся с ценностью самой информации. В общем, принцип примерно такой, что стоимость усилий по взлому для хакера должна превосходить ценность для него той информации, которую он желает получить. Чем больше соотношение — тем более прочная защита.
Если взять пример с гипсовой копией головы для обмана системы типа Face ID, то она обошлась журналисту Forbes примерно в $380. Соответственно, такую технологию имеет смысл применять для защиты информации стоимостью менее $380. Для защиты копеечной информации это отличная технология защиты, а для корпоративных торговых секретов — никудышная технология, так что всё относительно. Получается, что в каждом конкретном случае нужно оценивать минимально допустимую степень защиты. Например, распознавание лиц в сочетании с паролем — как двухфакторная аутентификация — уже на порядок повышает степень защиты, по сравнению только с распознаванием лиц или только одним паролем.
В общем, взломать можно любую защиту. Вопрос в стоимости усилий.
Источник
Аутентификация по радужной оболочке глаза — одна из биометрических технологий, используемая для проверки подлинности личности.
Детальное изображение радужной оболочки
Тип биометрической технологии, который рассматривается в данной статье, использует физиологический параметр — уникальность радужной оболочки глаза. На данный момент этот тип является одним из наиболее эффективных способов для идентификации и дальнейшей аутентификации личности [1].
История[править | править код]
Несмотря на то, что биометрические технологии (в частности, использование радужной оболочки глаза для идентификации человека) только начинают набирать популярность, первые открытия в этой области были совершены ещё в конце тридцатых годов прошлого века.
- Первым о том, что человеческий глаз и его радужную оболочку можно использовать для распознавания личности, задумался американский глазной хирург, Франк Бурш, ещё в 1936 году [2] .
- Но его идею и разработки удалось запатентовать только в 1987 году. Сделал это уже не сам Бурш, а офтальмологи, не имеющие собственных разработок — Леонард Флом и Аран Сафир[2].
- В 1989 году Л. Флом и А. Сафир решили обратиться за помощью к Джону Даугману, для того, чтобы тот разработал теорию и алгоритмы распознавания. Впоследствии, именно Джона Даугмана принято считать родоначальником этого метода биометрической аутентификации [2].
- В 1990 году Джон Даугман впервые разработал практический метод кодирования структур радужной оболочки. Запатентован метод был немного позже, в 1993 году [2].
- На этом история развития биометрической аутентификации по радужной оболочке не заканчивается. Начиная с 2002 года Даугман выпустил ещё несколько статей, каждая из которых более полно раскрывает и развивает данную технологию. Опубликованные статьи: Epigenetic randomness, complexity, and singularity of human iris patterns (2001), Gabor wavelets and statistical pattern recognition (2002), The importance of being random: Statistical principles of iris recognition (2003), Probing the uniqueness and randomness of IrisCodes: Results from 200 billion iris pair comparisons (2006), New methods in iris recognition (2007), Information Theory and the IrisCode (2015).
Радужная оболочка как биометрический параметр[править | править код]
В данном случае в качестве физиологического параметра рассматривается радужная оболочка — круглая пластинка с хрусталиком в центре, одна из трёх составляющих сосудистой (средней) оболочки глаза.
Строение человеческого глаза
Находится радужная оболочка между роговицей и хрусталиком и выполняет функцию своеобразной естественной диафрагмы, регулирующей поступление света в глаз. Радужная оболочка пигментирована, и именно количество пигмента определяет цвет глаз человека [3] .
По своей структуре радужная оболочка состоит из эластичной материи — трабекулярной сети. Это сетчатое образование, которое сформировывается к концу восьмого месяца беременности. Трабекулярная сеть состоит из углублений, гребенчатых стяжек, борозд, колец, морщин, веснушек, сосудов и других черт. Благодаря такому количеству составляющих «узор» сети довольно случаен, что ведёт к большой вероятности уникальности радужной оболочки. Даже у близнецов этот параметр не совпадает полностью [4].
Несмотря на то, что радужная оболочка глаза может менять свой цвет вплоть до полутора лет с момента рождения, узор траберкулярной сети остаётся неизменным в течение всей жизни человека. Исключением считается получение серьёзной травмы и хирургическое вмешательство [4].
Благодаря своему расположению радужная оболочка является довольно защищённой частью органа зрения, что делает её прекрасным биометрическим параметром.
Принцип работы[править | править код]
Большинство работающих в настоящее время систем и технологий идентификации по радужной оболочке глаза основаны на принципах, предложенных Дж. Даугманом в статье «High confidence visual recognition of persons by a test of statistical independence»[5] .
Полярная система координат
Процесс распознавания личности с помощью радужной оболочки глаза можно условно разделить на три основных этапа: получение цифрового изображения, сегментация и параметризация. Ниже будет рассмотрен каждый из этих этапов более подробно.
Получение изображения[править | править код]
Процесс аутентификации начинается с получения детального изображения глаза человека. Изображение для дальнейшего анализа стараются сделать в высоком качестве, но это не обязательно. Радужная оболочка настолько уникальный параметр, что даже нечёткий снимок даст достоверный результат. Для этой цели используют монохромную CCD камеру с неяркой подсветкой, которая чувствительна к инфракрасному излучению. Обычно делают серию из нескольких фотографий из-за того, что зрачок чувствителен к свету и постоянно меняет свой размер. Подсветка ненавязчива, а серия снимков делается буквально за несколько секунд. Затем из полученных фотографий выбирают одну или несколько и приступают к сегментации [6].
Сегментация[править | править код]
Сегментация занимается разделением изображения внешней части глаза на отдельные участки (сегменты). В процессе сегментации на полученной фотографии прежде всего находят радужную оболочку, определяют внутреннюю границу (около зрачка) и внешнюю границу (граница со склерой). После этого находят границы верхнего и нижнего века, а также исключают случайное наложение ресниц или блики (от очков, например) [7] .
Точность, с которой определяются границы радужки, даже если они частично скрыты веками, очень важна. Любая неточность в обнаружении, моделировании и дальнейшем представлении радужки могут привести к дальнейшим сбоям и несоответствиям [7].
После определение границ изображение радужки необходимо нормализовать. Это не совсем очевидный, но необходимый шаг, призванный компенсировать изменения размеров зрачка. В частных случаях нормализация представляет собой переход в полярную систему координат. Применил и описал это в своих ранних работах Джон Даугман [5]. После нормализации при помощи псевдо-полярных координат выделенная область изображения переходит в прямоугольник, и происходит оценка радиуса и центра радужки[8].
Параметризация[править | править код]
В ходе параметризации радужной оболочки из нормализованного изображения выделяют контрольную область. К каждой точке выбранной области применяют двухмерные волны Габора (можно применять и другие фильтры, но принцип остаётся таким же) для того, чтобы извлечь фазовую информацию. Несомненным плюсом фазовой составляющей является то, что она, в отличие от амплитудной информации, не зависит от контраста изображения и освещения [9].
Полученная фаза обычно квантуется 2 битами, но можно использовать и другое количество. Итоговая длина описания радужной оболочки, таким образом, зависит от количества точек, в которых находят фазовую информацию, и количества битов, необходимых для кодирования. В итоге мы получаем шаблон радужной оболочки, который побитно будет сверяться с другими шаблонами в процессе аутентификации. Мерой, с помощью которой определяется степень различия двух радужных оболочек, является расстояние Хэмминга[9].
Практическое применение[править | править код]
Некоторые страны уже начали разрабатывать программу, частью которого будет являться биометрическая аутентификация по радужной оболочке глаза. Планируется, что с помощью этого нововведения будет решена проблема поддельных паспортов и других удостоверений личности. Второй целью является автоматизация прохождения паспортного контроля и таможенного досмотра при въезде в страну с помощью биометрических паспортов[10].
В Великобритании с 2004 года действовал не менее сложный по реализации проект — IRIS (Iris Recognition Immigration System). В рамках этой программы около миллиона туристов из-за рубежа, часто путешествующие в Великобританию, могли не предоставлять свои документы в аэропортах для удостоверения личности. Вместо этого специальная видеокамера сверяла их радужную оболочку глаза с уже сформированной базой. В 2013 году от этого проекта отказались в пользу биометрических паспортов, куда заносится информация и о радужной оболочке глаза [10].
Особенности и отличия от аналогов[править | править код]
Для того, чтобы та или иная характеристика человека была признана биометрическим параметром, она должна соответствовать пяти специально разработанным критериям: всеобщность, уникальность, постоянство, измеряемость и приемлемость.
Всеобщность радужной оболочки не вызывает сомнения. Также из клинических исследований выявлена её уникальность и стабильность [11]. Что касается измеряемости, то этот пункт подтверждён одним только существованием статей и публикаций Дж. Даугмана [5][12][13]. Последний пункт, вопрос о приемлемости, всегда будет открытым, так как зависит от мнения общества.
Таблица сравнения биометрических методов аутентификации, где H — High, M — Medium, L — Low [14]:
Название | Всеобщность | Уникальность | Постоянство | Измеряемость | Приемлемость |
---|---|---|---|---|---|
Радужная оболочка | H | H | H | M | L |
Сетчатка | H | H | M | L | L |
Отпечатки пальцев | M | H | H | M | M |
На данный момент ещё не создана биометрическая технология, которая полностью соответствовала бы всем пяти пунктам. Но радужная оболочка является одним из немногих параметров, которые отвечают большинству[15].
Точность метода[править | править код]
В биометрии при расчёте точности метода учитываются ошибки первого и второго рода (FAR и FRR) [16].
FAR (False Acceptance Rate) — вероятность ложного допуска объекта.
FRR (False Rejection Rate) — вероятность ложного отклонения объекта.
Эти два понятия тесно связаны, так как уменьшение одной ошибки ведёт к увеличению другой. Поэтому разработчики биометрических систем стараются прийти к некому балансу между FAR и FRR [17].
Одним из методов определения точности системы, который задействует ошибки первого и второго рода, является метод построения ROC-кривой.
ROC-кривая — это графическое представления зависимости между характеристиками FAR и FRR при варьировании порога чувствительности (threshhold) [18]. Порог чувствительности определяет, как близко должен находиться текущий образец к шаблону, чтобы считать их совпадающими. Таким образом, если выбран небольшой порог, то возрастает количество ложных допусков, но уменьшается вероятность ложного отклонения объекта. Соответственно, при выборе высокого порога всё происходит наоборот [17].
Иногда вводят новый параметр – EER.
EER (Equal Error Rate) — величина, которая характеризует уровень ошибок биометрического метода, при котором значения FAR и FRR равны . Чем меньше этот параметр, тем точнее система. Значение ERR узнают с помощью выше описанной ROC-кривой [19].
Что касается точности, непосредственно, аутентификации по радужной оболочке, то хорошим источник служит книга «Handbook of Iris Recognition». В данной работе описан эксперимент, в котором сравнивали несколько видов биометрических технологий. Исходя из этих исследований, точность аутентификации по радужной оболочке достигает 90% [20].
В ходе другой работы, выяснили, что значение FAR данного метода при определённых условиях может принимать значения от 1% и ниже, а значение FRR неизменно и стремится к нулю (0.00001%) [21].
В свою очередь, значения FAR и FRR непосредственно зависят от процессов получения и обработки изображения радужной оболочки. Большую роль в этом играют фильтры, применяемые в процессе сегментации. Из таблицы, которая представлена ниже, можно увидеть, как смена одного фильтра влияет на конечный результат [22].
Таблица параметров FAR(%), FRR(%) и EER(%) в зависимости от выбора фильтра[22]:
Название | FAR(%) | FRR(%) | EER(%) |
---|---|---|---|
Фильтр Габора (Gabor) | 0.001 | 0.12 | 0.11 |
Фильтр Добеши (Daubechies) | 0.001 | 2.98 | 0.2687 |
Фильтр Хаара (Haar) | 0.0 | 17.75 | 2.9 |
Сравнение с аутентификацией по сетчатке[править | править код]
Чаще всего люди путают такие физиологические параметры, как сетчатка и радужная оболочка глаза. Ещё чаще они объединяют два понятия в одно. Это огромное заблуждение, так как метод аутентификации по сетчатке включает в себя изучение глазного дна. Из-за длительности этого процесса и большого размера установки данный вид аутентификации сложно назвать общедоступным и удобным. В этом биометрическая аутентификация по сетчатке проигрывает аутентификации по радужной оболочке[23].
Примечания[править | править код]
- ↑ Р. М. Болл и др., 2007, p. 23: «Эти биометрические параметры считаются наиболее совершенными, и ожидается, что в скором времени они будут широко применяться.».
- ↑ 1 2 3 4 Khalid Saeed et al, 2012, p. 44.
- ↑ Алексеев В.Н. и др., 2008, p. 18.
- ↑ 1 2 Anil Jain et al, 2006, p. 105 — 106.
- ↑ 1 2 3 J. Daugman, 1993.
- ↑ Anil Jain et al, 2011, p. 144.
- ↑ 1 2 J. Daugman, 2007, p. 1167.
- ↑ Khalid Saeed et al, 2012, p. 52 — 53.
- ↑ 1 2 J. Daugman, 2004, p. 22 — 23.
- ↑ 1 2 J. Daugman, 2007, january, p. 1927.
- ↑ Р. М. Болл и др., 2007, p. 60.
- ↑ J. Daugman, 2004.
- ↑ J. Daugman, 2007.
- ↑ Anil Jain et al, 2004.
- ↑ Р. М. Болл и др., 2007, p. 22.
- ↑ Rajesh M. et al, 2014, p. 3.
- ↑ 1 2 Anil Jain et al, 2004, p. 6.
- ↑ A. J. Mansfield et al, 2002, p. 7 — 8.
- ↑ Rajesh M. et al, 2014, p. 5.
- ↑ Mark J. Burge et al, 2013.
- ↑ Dr. Chander Kant et al, 2011.
- ↑ 1 2 José Ruiz-Shulcloper et al, 2008, p. 91 — 92.
- ↑ Р. М. Болл и др., 2007, p. 23.
Литература[править | править код]
- L. Flom, A. Safir US Patent 4641349
- Р. М. Болл, Дж. Х. Коннел, Ш. Панканти, Н. К. Ратха, Э. У. Сеньор. Руководство по биометрии. — М.: Техносфера, 2007. — С. 20 — 63. — 368 с. — ISBN 978-5-94836-109-3.
- Khalid Saeed, Tomomasa Nagashima. Chapter 3. Iris Pattern Recognition with a New Mathematical Model to Its Rotation Detection // Biometrics and Kansei Engineering. — Springer Science & Business Media, 2012. — P. 43 — 65. — 276 p. — ISBN 978-1-461-45607-0.
- Anil Jain, Arun A. Ross, Karthik Nandakumar. Chapter 4 Iris Recognition // Introduction to Biometrics.. — Springer Science & Business Media, 2011. — P. 141-175. — 276 p. — ISBN 978-0-387-77326-1.
- Rajesh M. Bodade, Sanjay Talbar. Introduction to Iris Recognition // Iris Analysis for Biometric Recognition Systems. — Springer, 2014. — P. 3 — 5. — 109 p. — ISBN 978-8-132-21853-1.
- Anil Jain, Ruud Bolle, Sharath Pankanti. Recognising Persons by Their Iris Patterns // Biometrics: Personal Identification in Networked Society. — Springer Science & Business Media, 2006. — P. 102 — 122. — 411 p.
- José Ruiz-Shulcloper, Walter Kropatsch. An Alternative Image Representation Model for Iris Recognition // Progress in Pattern Recognition, Image Analysis and Applications. — Springer Science & Business Media, 2008. — P. 86 — 93. — 814 p.
- A. J. Mansfield, J. L. Wayman. Definitions // Best Practices in Testing and Reporting Performance of Biometric Devices: Version 2.01. — Centre for Mathematics and Scientific Computing, National Physical Laboratory, 2002. — P. 7 — 8. — 32 p.
- Mark J. Burge, Kevin Bowyer. Fusion of Face and Iris Biometrics // Handbook of Iris Recognition. — Springer-Verlag London, 2013. — P. 234. — 399 p.
- J. Daugman. High confidence visual recognition of persons by a test of statistical independence (англ.) // IEEE Transactions on Pattern Analysis and Machine Intelligence. — 1993. — Vol. 15, no. 11. — P. 1148 — 1161.
- J. Daugman. How iris recognition works (англ.) // IEEE Transactionson Circuits and Systems for Video Technology. — 2004. — Vol. 14, no. 1. — P. 21 — 30.
- J. Daugman. New Methods in Iris Recognition (англ.) // IEEE Trans. Systems, Man, and Cybernetics. — 2007. — Vol. 37, no. 5. — P. 1167 — 1175.
- J. Daugman. Probing the Uniqueness and Randomness of IrisCodes: Results From 200 Billion Iris Pair Comparisons (англ.) // IEEE Transactionson Circuits and Systems for Video Technology. — 2007, january. — Vol. 94, no. 11. — P. 1927 — 1935.
- Anil Jain, Arun Ross and Salil Prabhakar. An Introduction to Biometric Recognition (англ.) // IEEE Transactions on Circuits and Systems for Video Technology. — 2004. — Vol. 14, no. 1. — P. 4 — 20.
- Dr. Chander Kant, Sachin Gupta. Iris Recognition: The Safest Biometric (англ.) // An International Journal of Engineering Sciences ISSN. — 2011. — Vol. 4. — P. 265 — 273.
- Алексеев В.Н., Астахов Ю.С., Басинский С.Н. Глава 2. Анатомия органа зрения // Офтальмология: Учебник для студ. мед. вузов / Е.А.Егоров. — М.: ГЭОТАР-Медиа, 2008. — С. 12 — 29. — 240 с.
- Павельева Е. А., Крылов А. С. Алгоритм сравнения изображений радужной оболочки глаза на основе ключевых точек (рус.) // Информатика и её применения. — 2011. — Т. 5, № 1. — С. 68 — 72.
Источник