Dictionary Attacks on Speaker Verification

要約

この論文では、話者検証に対する辞書攻撃を提案します。これは、話者母集団の大部分を偶然に一致させることを目的とした新しい攻撃ベクトルです。
さまざまな音声表現と脅威モデルで使用できる攻撃の一般的な定式化を紹介します。
攻撃者は敵対的最適化を使用して、シード音声サンプルとプロキシ母集団の間の話者埋め込みの生の類似性を最大化します。
得られたマスター ボイスは、未知の母集団の中の自明ではない部分の人々と一致することに成功しています。
私たちのアプローチで得られた敵対的波形は、誤警報率が 1% になるように調整された厳密な決定しきい値で、ターゲット システムに登録されている女性の 69% と男性の 38% を平均して一致させることができます。
ブラックボックスボイスクローニングシステムで攻撃を使用することにより、最も困難な状況で効果的で、スピーカーエンコーダー間で転送可能なマスターボイスを取得します。
また、この攻撃が複数回の試行と組み合わされると、これらのシステムのセキュリティに関する深刻な問題がさらに発生する可能性があることも示しています。

要約(オリジナル)

In this paper, we propose dictionary attacks against speaker verification – a novel attack vector that aims to match a large fraction of speaker population by chance. We introduce a generic formulation of the attack that can be used with various speech representations and threat models. The attacker uses adversarial optimization to maximize raw similarity of speaker embeddings between a seed speech sample and a proxy population. The resulting master voice successfully matches a non-trivial fraction of people in an unknown population. Adversarial waveforms obtained with our approach can match on average 69% of females and 38% of males enrolled in the target system at a strict decision threshold calibrated to yield false alarm rate of 1%. By using the attack with a black-box voice cloning system, we obtain master voices that are effective in the most challenging conditions and transferable between speaker encoders. We also show that, combined with multiple attempts, this attack opens even more to serious issues on the security of these systems.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google