Accuracy Limits as a Barrier to Biometric System Security

要約

生体認証システムは、認証 (つまり、主張されている身元を確認するための 1 対 1 の照合) や識別 (つまり、データベース内の対象者を見つけるための 1 対多の照合) などの身元確認と識別に広く使用されています。
照合プロセスは、新しい生体認証テンプレートと登録されたテンプレートの間の類似性または非類似性の測定に依存します。
誤一致率 FMR は、このようなシステムの精度と信頼性を評価するための重要な指標です。
この論文では、FMR に基づいて生体認証システムを分析し、主に 2 つの貢献を行っています。
まず、攻撃者がデータベース内の任意のユーザーになりすますことを目的とした、対象外の攻撃について調査します。
攻撃者がユーザーになりすますのに成功するまでに必要な試行回数を決定し、一定レベルのセキュリティを維持するために必要な重要な母集団サイズ (つまり、データベース内の最大ユーザー数) を導き出します。
さらに、データベースのサイズが増大するにつれて、対象外の攻撃に対する耐性を確保するために必要な重要な FMR 値を計算します。
次に、生体認証の誕生日の問題を再検討して、データベース内の 2 人のユーザーが衝突する (つまり、お互いになりすます) 確率のおおよその正確な確率を評価します。
この分析に基づいて、特定の確率で発生する衝突の可能性を制限するために必要な臨界母集団サイズと臨界 FMR 値の両方を導き出します。
これらのしきい値は、特に大規模な生体認証データベースにおいて、なりすましや衝突のリスクを軽減するシステムを設計するための洞察を提供します。
私たちの調査結果は、現在の生体認証システムは、小規模なデータベースであっても、対象外の攻撃に対して適切なセキュリティ レベルを達成するのに十分な精度を提供できないことを示しています。
さらに、最先端のシステムは、特にデータベースのサイズが増大するにつれて、生体認証の誕生日の問題に対処する上で重大な課題に直面しています。

要約(オリジナル)

Biometric systems are widely used for identity verification and identification, including authentication (i.e., one-to-one matching to verify a claimed identity) and identification (i.e., one-to-many matching to find a subject in a database). The matching process relies on measuring similarities or dissimilarities between a fresh biometric template and enrolled templates. The False Match Rate FMR is a key metric for assessing the accuracy and reliability of such systems. This paper analyzes biometric systems based on their FMR, with two main contributions. First, we explore untargeted attacks, where an adversary aims to impersonate any user within a database. We determine the number of trials required for an attacker to successfully impersonate a user and derive the critical population size (i.e., the maximum number of users in the database) required to maintain a given level of security. Furthermore, we compute the critical FMR value needed to ensure resistance against untargeted attacks as the database size increases. Second, we revisit the biometric birthday problem to evaluate the approximate and exact probabilities that two users in a database collide (i.e., can impersonate each other). Based on this analysis, we derive both the approximate critical population size and the critical FMR value needed to bound the likelihood of such collisions occurring with a given probability. These thresholds offer insights for designing systems that mitigate the risk of impersonation and collisions, particularly in large-scale biometric databases. Our findings indicate that current biometric systems fail to deliver sufficient accuracy to achieve an adequate security level against untargeted attacks, even in small-scale databases. Moreover, state-of-the-art systems face significant challenges in addressing the biometric birthday problem, especially as database sizes grow.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google