バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · template...
TRANSCRIPT
![Page 1: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/1.jpg)
バイオメトリクス・セキュリティの
最新動向
日立製作所 横浜研究所 高橋 健太,村上 隆夫
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved. 1
![Page 2: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/2.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
バイオメトリクス認証システム
生体情報を照合することで本人を認証し,何らかの資産に対するアクセス制御を行う.
セキュリティ設計の基本概念
資産の定義 ⇒ 脅威の識別 ⇒ 対策の立案
バイオメトリクス認証システムが守るべき資産は何か?
2
照合
認可 認証
特徴 抽出
センサ
![Page 3: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/3.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
バイオメトリクス認証システムの資産と脅威
3
照合
資産①: アクセス対象資産 脅威の種類: - 一般的なITシステムの脅威 - 一般的な物理システムの脅威 - バイオメトリクス特有の脅威
(他人受入)
認可 認証
特徴 抽出
センサ
![Page 4: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/4.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
バイオメトリクス認証システムの資産と脅威
4
照合
資産①: アクセス対象資産 脅威の種類: - 一般的なITシステムの脅威 - 一般的な物理システムの脅威 - バイオメトリクス特有の脅威
(他人受入)
認可 認証
資産②: 生体認証データ 脅威の種類: - 漏洩,改ざんなど
脅威の程度/影響範囲: - 生体特徴は破棄・更新不能 - 他システムの安全性にも影響 - プライバシ問題
特徴 抽出
センサ
![Page 5: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/5.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
本講演のスコープ
5
照合
資産①: アクセス対象資産 脅威の種類: - 一般的なITシステムの脅威 - 一般的な物理システムの脅威 - バイオメトリクス特有の脅威
(他人受入)
認可 認証
資産②: 生体認証データ 脅威の種類: - 漏洩,改ざんなど
脅威の程度/影響範囲: - 生体特徴は破棄・更新不能 - 他システムの安全性にも影響 - プライバシ問題
Template Protection 他人受入対策 (特に Wolf/Lamb 対策)
特徴 抽出
センサ
![Page 6: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/6.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
目次
Template Protection の最新動向
テンプレート保護の必要性と,テンプレート管理モデル
テンプレート保護型生体認証技術の分類と研究例
将来の方向性: Public Biometric Infrastructure (PBI)
他人受入対策(Wolf / Lamb 対策)の最新動向
FARでは測れない脅威・脆弱性, Wolf / Lamb とは?
Wolf/Lambに対する安全性の評価尺度
Wolf/Lamb対策技術
まとめ
6
![Page 7: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/7.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
生体情報の保護の必要性
法的問題/プライバシの問題
生体情報は個人を識別可能: 個人情報
人種・民族・健康状態などを特定できる可能性: センシティブ情報
安全性の問題
生体情報漏洩
→ 物理的偽造,電子的偽造などの脅威が発生
生体情報は生涯不変の特徴
→ 漏洩しても破棄・更新できない
生体情報を安全に保護しつつ活用することが重要
7
![Page 8: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/8.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
金融機関における生体情報保護の必要性
FISCガイドライン 『金融機関等コンピュータシステムの安全性対策基準・解説書第8版』(2011年3月)
【技35-1】 生体認証の特性を考慮し、必要な安全対策を検討すること。 生体認証の導入と運用にあたっては、技術の最新動向等に留意し、 その特性を十分考慮し、必要な安全対策を検討すること。 考慮すべき特性: 1.認証精度 2.代替措置手続き 3.否認防止 4.不正認証(なりすまし)等防止 5.テンプレート保護技術 「取り消し可能なバイオメトリクス認証」(Cancellable biometrics) など技術動向を考慮することが望ましい。
8
![Page 9: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/9.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
生体情報(テンプレート)の管理モデル
Store on Card (SOC)
カード内に格納して,ユーザ自身が管理する.
銀行ATMにおいて主流
Store on Device (SOD)
センサ/認証装置/認証端末(PC)内に保管
小規模入退管理装置,携帯端末/PCログイン等で多く使われる
Store on Server (SOS)
サーバ上で一括管理.
サーバ側で照合する場合と,配信して端末内照合する場合あり
企業内情報システム,大規模入退管理等で使われる
クラウドサービスとの親和性が高い
9
![Page 10: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/10.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
SOC/SODモデルにおける生体情報保護
センサ
ICカード (耐タンパチップ)
認証端末
照合 OK/NG
テンプレート
認証生体情報
カード/デバイス内照合 テンプレートをICカード内に格納して利用者が管理
認証時に取得した生体情報をカード内でテンプレート(登録特徴データ)と照合
利点 ハードウェアの耐タンパ性により生体情報を保護
ユーザ自身で生体情報を管理するためプライバシの問題が軽減
10
![Page 11: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/11.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
SOC/SODモデルの課題
センサ
ICカード (耐タンパチップ)
認証端末
照合 OK/NG
テンプレート
認証生体情報
安全性の課題
テンプレートの管理をサービス提供者側でコントロールできない
テンプレートの安全性がICカードの耐タンパ性のみに依存
利便性・コストの課題
ICカードの発行、回収、破棄、更新、再発行など運用管理コストが大きい
11
![Page 12: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/12.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
SOSモデルにおける従来の生体情報保護
クライアント
照合
OK/NG
暗号化 テンプレートDB
暗号化認証生体情報
サーバ
復号鍵
復号鍵の使用は
管理者のみに制限 (運用的対策に依存)
センサ
暗号化+運用管理
テンプレートを暗号化しサーバ側DBで集中管理.復号鍵はサーバ側で管理.
照合時にはテンプレートと認証生体情報をサーバ側の鍵で復号して比較.
利点
テンプレートの管理をサービス提供者側でコントロール可能.
サーバへのアクセス制御,管理者の教育等の運用による保護が可能.
ICカードの発行、管理コストが不要
12
![Page 13: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/13.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
「サーバ認証+暗号化」の問題点
クライアント
照合
OK/NG
暗号化 テンプレート
サーバ
復号鍵
復号鍵の使用は
管理者のみに制限 (運用的対策に依存)
照合時を狙った 高度な攻撃
不正な管理者
センサ
暗号化認証生体情報
内部不正に よる流出
安全性の問題点 不正な管理者がテンプレートを復号化し、漏洩/なりすましに利用可能
サーバ管理者権限を盗用した攻撃者も同様の攻撃が可能
一旦事故が発生すると,大規模漏洩に繋がる可能性あり
運用上の問題点
テンプレートの安全性が鍵管理/サーバ運用・保守に大きく依存するため、管理者やオペレータの強固な認証が必要となるなど、運用上の負担が大きい
13
![Page 14: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/14.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
SOSにおける新たな生体情報保護 テンプレート保護型生体認証技術
生体情報をサーバに対して秘匿したまま認証
- サーバ管理者の過失・内部不正による生体情報漏洩を防止
- 利用者のプライバシを保護
生体情報の安全性をアルゴリズムレベルで確保
- ⇔ カード内照合: 安全性をハードウェア(耐タンパチップ)に依存
- ⇔ 暗号化+運用管理: 安全性をサーバの運用管理に依存
14
テンプレート保護型生体認証のスキーム(ISO/IEC 24745 より)
![Page 15: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/15.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
研究開発・標準化動向
研究動向 ここ10年余り,企業・大学等の研究機関において研究開発が活発化
欧州ではFP7(第7次枠組計画)において,テンプレート保護技術の研究開発を目的としたTURBINEプロジェクト(2008/2~2011/1)が実施
製品化動向 一部の技術は既に実用化フェーズに入りつつある
日立,蘭 GenKey(PrivID) など
標準化動向 ISO/IEC JTC1/SC27: 24745, “Biometric template protection”
ISO/IEC JTC1/SC37: WD 30136, “Performance Testing of Template Protection Schemes” (2012/10 NP)
ITU-T/SG17: X.1091, “A guideline for evaluating telebiometric template protection techniques”
15
![Page 16: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/16.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
テンプレート保護技術の分類
16
テンプレート保護型
生体認証技術
Cancelable Biometrics
(暗号化/ハッシュ化
したまま照合)
Biometric Cryptosystems
(生体情報への
秘密情報の埋込/抽出)
Feature Transformation
(距離保存変換)
Homomorphic
Encryption-based
(準同型暗号利用)
ZeroBIO
(ゼロ知識証明利用)
ECC-based
(誤り訂正符号利用)
Statistical Quantization
(統計的量子化)
![Page 17: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/17.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
クライアント
Cancelable Biometrics
生体情報を変換(暗号化 or ハッシュ化)したまま照合
変換パラメータ(鍵,salt など)を変更することで
生体情報を変更することなくテンプレートを破棄・更新可能
17
登録
認証 利用者
認証サーバ
センサ/ 特徴抽出
変換 X’→F’P(X’)
X’ 生体情報 照合 OK/NG
センサ/ 特徴抽出
変換 X→FP(X)
X
生体情報
Cancelable Template
P
![Page 18: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/18.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Feature Transformation の例 Correlation Invariant Random Filtering [Takahashi, et.al., BTAS2009]
有限体上の離散フーリエ変換(NTT: Number Theoretic Transform)を利用
精度保存性と情報理論的安全性を有する
a
クライアント サーバ
認証フロー 登録フロー
相互相関関数
18
上下左右反転 &
2次元NTT
認証用画像 b
2次元 逆NTT
要素毎乗算
T◦ V=A◦ B
最大値探索 閾値判定
OK/NG
a*b
B
除算毎除算
V=B◦ K-1 認証用
変換画像
V=B◦ K-1
2次元NTT
テンプレート
Cancelable Template
T=A◦ K A
画素毎乗算
T=A◦ K
ランダムフィルタ (パラメータ)
K
逆NTT
ランダム画像
復元不可能 0 padding
![Page 19: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/19.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
クライアント
「近さ」のゼロ知識証明プロトコル (尾形, 他, SITA2006) 対象とする生体認証方式
生体情報: ベクトル X=(X1,X2,・・・,Xn)
生体情報X,Yが「近い」 ≡ max(|Xi – Yi|) ≦ m
登録時: 登録生体情報 X=(X1,・・・,Xn) のコミットメント {E(Xi,Ri)} をサーバに登録
乱数 {Ri} を利用者に発行
認証時: 照合生体情報 X’ = (X1’,・・・,Xn’) の各 Xi’ が区間 [Xi-θ,Xi+θ]に含まれることをゼロ知識証明(「区間のゼロ知識証明」を利用)
ZeroBIO の例
登録
認証
センサ/ 特徴抽出
暗号化 X→E(X,R)
乱数R 生成
X
R
生体情報
利用者
認証サーバ
T=E(X,R) T
センサ/ 特徴抽出
X’≒Xの ゼロ知識証明
X’
R
生体情報 X’≒Xの 検証
OK/NG ゼロ知識証明
19
![Page 20: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/20.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Homomorphic Encryption-based の例
2-DNF準同型暗号に基く秘匿距離計算(Hattori, et.al, IPSJ2012)
準同型公開鍵暗号(BGN方式など)を利用
計算サーバが,生体情報の暗号文同士の準同型演算により距離の暗号文を計算
復号サーバが,距離の暗号文を復号化し,しきい値と比較して判定
計算サーバ,復号サーバは結託しない前提
20
クライアント
センサ/ 特徴抽出
利用者 生体情報
復号サーバ
計算サーバ
鍵ペア生成
秘密鍵
暗号化
公開鍵
登録フロー 認証フロー 距離復号化 判定
秘匿距離計算 (準同型演算)
距離
距離
暗号化 特徴量
暗号化テンプレート
![Page 21: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/21.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Biometric Encryption 登録時,生体情報に秘密情報を埋め込み,補助情報(Helper Data)を生成
認証時,生体情報を用いて補助情報から秘密情報を取り出す
誤り訂正符号などを用いて,生体情報の誤差を補正しつつ秘密情報を復元
秘密情報としてパスワードや鍵を用いることも可能
+ ③誤り訂正符号
エンコード
②埋め込み
(秘密情報S) (登録生体) (補助情報)
登録処理 (秘密埋込み)
①秘密情報生成, ハッシュ値保存
21
ハッシュ値 H(S)
- (補助情報) (認証生体)
① デコード 秘密復元
(秘密情報S’)
②ハッシュ値 比較
認証処理 (秘密復元)
ハッシュ値 H(S)
![Page 22: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/22.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Fuzzy Commitment (A. Juel, et. al., 1999)
特徴量X,X’の距離がハミング距離で与えられる場合に,
誤り訂正符号を用いて秘密鍵を生成するアルゴリズム.
登録時:
Xと同じビット長の誤り訂正符号C={Ci}から符号語をランダムに選択し秘密情報Sとする
補助情報: R=XS
認証時(鍵復元時):
X’R=S(XX’) を誤り訂正してSを生成
01100…. 秘密情報 S
(誤り訂正符号語)
10110…. 補助情報 R
11010…. 虹彩コード X
ハミング重み小(X,X’が近い) なら正しく誤り訂正可能
登録時
10010…. 虹彩コード X’
00100…. Ci (XX’)
10110…. 補助情報 R
Ci (XX’)
01100…. 秘密情報 S
誤り訂正
認証時
ECC-based の例
22
![Page 23: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/23.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Statistical Quantization の例
23
統計的AD変換 (柴田 他, 情処論文誌2004)
生体情報Xは独立なn個の値xiからなるベクトルX=(X1,...,Xn)とする
各Xiの量子化幅を複数の登録生体情報から統計的に学習
統計解析処理 特徴分布データ
隆線方向
頻度
隆線ブロックX
隆線方向(度) 出力値
下限 上限
0 29 101
30 59 000
60 89 010
90 119 111
120 149 011
150 179 001
真の分布
特徴抽出処理
・真の分布以外は適当に決める ・出力値は出力させたいパスワードの値
・統計解析により,分布の下限,上限を推定 ・例えば正規分布を仮定して3σを利用する
・一つの生体情報が複数持つ特徴を抽出する.
・例えば特定の方向を持つ隆線ブロックなど ・複数のサンプルから特徴抽出
指紋A
指紋A
その他の指紋
![Page 24: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/24.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
課題・研究動向
24
Cancelable Biometrics
(暗号化/ハッシュ化
したまま照合)
Biometric Cryptosystems
(生体情報への
秘密情報の埋込/抽出)
Feature Transformation
(距離保存変換)
Homomorphic
Encryption-based
(準同型暗号利用)
ZeroBIO
(ゼロ知識証明利用)
ECC-based
(誤り訂正符号利用)
Statistical Quantization
(統計的量子化)
プロトコル,システムモデル
など含めて発展,成熟.
実用化フェーズ
暗号分野で発展
効率化,実データ適用
が課題
効率化,実データ適用
が課題
暗号分野で発展
鍵交換プロトコル,
電子署名など提案
精度/安全性が課題
共通課題: 評価指標の確立 ⇒ ISO/IEC WD 30136
![Page 25: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/25.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
認証モデルの変遷とテンプレート保護技術の役割
認証モデル: クローズド型 → 集中(TTP)型 → 分散(オープン)型
テンプレート: 「保護」から「公開」へ
公開テンプレートに基く認証基盤: Public Biometrics Infrastructure
25
個別システム内 で閉じた認証
パスワード認証
TTPによる認証と 認証結果の配布
Kerberos認証 共通鍵暗号
分散型の認証
PKI 公開鍵暗号 電子署名
? TTP型生体認証
(クラウド/認証連携) キャンセラブル認証
従来の生体認証 パターン認識 生体認証
持物認証 記憶認証
スケーラビリティ/オープン化
認証方式 要素技術
凡例
利便性・確実性
PBI バイオメトリック暗号 バイオメトリック署名
![Page 26: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/26.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
テンプレート公開型生体認証基盤(PBI) 生体情報を「秘密鍵」とするPKI. カードやPWによる鍵管理不要
複数のシステム/サービスが公開テンプレートを共通利用可能.
サービス毎に生体情報を登録する必要がなく、「初対面」の相手に対しても認証可能
各サービス提供者は登録運用やテンプレート管理が不要.運用コストを大幅に低減可能
26
住民基本台帳カード
利用者
一方向性 変換
公開 テンプレート
発行
バイオメトリック登録局
証明書 発行
リポジトリ
公開テンプレート 証明書
便利で確実な 本人確認
パスワードレス ID管理
1回だけ初期登録
生体情報は復元不可能 (セキュリティ・プライバシ保護)
国民ID基盤
決済サービス
・パスワードレス電子決済 ・「手ぶら」クレジット決済
クラウド/ID管理
・パスワードレスID管理 ・企業システム/ワークフロー
様々なサービスで共通利用可能
・新興国: カードレス(低コスト)国民ID ・先進国: バリアフリー,プライバシ保護型国民ID
安全・安心な 利用者認証
![Page 27: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/27.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
[署名生成] + ③誤り訂正符号
エンコード
②鍵埋め込み
( Sの秘密鍵) ( Sの公開鍵) (署名時生体 =秘密鍵)
① S.鍵ペア生成
④S.署名生成
(署名)
署名の度に生成する ワンタイム鍵ペア
ワンタイム鍵と ユーザの紐付けを保証
ワンタイム鍵による 文書の完全性保証
PBIを実現するための要素技術の研究動向 バイオメトリック暗号: 生体情報に基く認証付き鍵交換(Dodis,et.al., CRYPTO’06)
バイオメトリック署名: 生体情報を秘密鍵とする電子署名
秘密鍵に曖昧さを許す電子署名: Fuzzy Signature (Yoneyama, et.al., SCIS2012)
Fuzzy Signature の拡張と安全性証明 (Takahashi,et.al., SCIS2013)
27
+ ③線形符号 エンコード
②鍵埋め込み
( Sの秘密鍵) ( Sの公開鍵)
①S.鍵ペア生成
[鍵生成]
(公開鍵)
[署名検証]
- ③線形符号
デコード
② 差分計算
(差分秘密鍵) ①署名検証
④準同型演算 ( Sの公開鍵)
⑤ 比較
ワンタイム鍵により 文書の完全性を検証
ワンタイム鍵と ユーザの紐付けを検証
誤り訂正処理により 誤差を吸収
公開テンプレート⇒生体情報 は計算困難 (一方向性)
※ S: 既存の署名 アルゴリズム
(登録生体 =秘密鍵)
![Page 28: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/28.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
目次
Template Protection の最新動向
テンプレート保護の必要性と,テンプレート管理モデル
テンプレート保護型生体認証技術の分類と研究例
将来の方向性: Public Biometric Infrastructure (PBI)
他人受入対策(Wolf / Lamb 対策)の最新動向
FARでは測れない脅威・脆弱性, Wolf / Lamb とは?
Wolf/Lambに対する安全性の評価尺度
Wolf/Lamb対策技術
まとめ
28
![Page 29: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/29.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
アクセス対象資産に関する脅威・脆弱性(他人受入)
他人受入 権限を持たないユーザの資産へのアクセスを許してしまう
一般的には,FAR(他人受入率)が評価指標として用いられる
FARだけでは測れない脅威・脆弱性 人工物などを用いたなりすまし攻撃(Presentation Attack)
他人受入を起こしやすい特異な生体情報を持つ認証/登録ユーザ(Wolf/Lamb)
29
照合
認可 認証 アクセス対象資産 False Accept
特徴 抽出
センサ
![Page 30: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/30.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
なりすまし攻撃(Presentation Attack): 人工物(グミ指,印刷物・・・)などを提示することで,なりすましを試みる攻撃
ISO/IEC WD 30107(Biometrics – Presentation attack detection)に人工物などを用いたなりすまし攻撃や,生体検知など対策技術の種類などが記載
Wolf/Lamb: 他人受入を起こしやすい特異な生体情報を持つ認証/登録ユーザ
近年では,他人受入を起こしやすい「人工物」も提案されている
(例:Universal Wolf Sample)
ISO/IEC 19792(Security evaluation of biometrics)にWolf/Lambなど生体認証システム特有の脆弱性,候補となる対策などが記載
現在,攻撃,評価指標,対策,分析など様々な研究がなされている
30
アクセス対象資産に関する脅威・脆弱性(他人受入)
本講演の対象: 数多くの他人受入を引き起こすWolf/Lamb
![Page 31: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/31.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Wolf/Lambとは?
31
Biometric Zoo [Doddington et al., ICSLP’98]
生体認証におけるユーザを以下の4つのカテゴリーに分類:
Sheep: those who perform well (default users).
Goats: those who are particularly difficult to recognize.
Wolves: those who are particularly successful at imitating others.
Lambs: those who are particularly easy to imitate.
Wolf
False Accept
Wolf Lamb
False Accept
類似度:高 類似度:高
![Page 32: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/32.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Wolf/Lambとは?
32
Biometric Zoo [Doddington et al., ICSLP’98]
NIST Speaker Recognition Evaluation Dataにおいて,本人スコアが小さいユーザ(Goat),他人スコアが大きいユーザ(Wolf/Lamb)の存在を示している
スコア(類似度)
確率密度
本人分布(個人毎) 他人分布(個人毎)
Goat Wolf/Lamb
![Page 33: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/33.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Biometric Zooに関する近年の動向
33
攻撃
あらゆるテンプレートに対して,極めて高い類似度を示すUniversal Wolf Sample [Une et al., IEICE TIS’08]
Template Updateを行う生体認証システムにおいて,テンプレートを少しずつLambテンプレートに変えるFrog-Boiling Attack [Wang et al., BTAS’12]
評価指標
スコアのばらつき度合いに関する評価指標:BMI(Biometric Menagerie Index)[Poh et al., ICB’09]
Wolf/Lambによる他人受入率:WAP(Wolf Attack Probability)[Une et al., IEICE TIS’08],LAP(Lamb Accept Probability)[村上他,CSS’09]
:今回ご紹介する文献
![Page 34: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/34.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Biometric Zooに関する近年の動向
34
対策
Wolf対策:個別FAR法 [Inuma et al., ICB’09,門田, SCIS’10]
Lamb対策:スコア正規化(Score Normalization) [Auckenthaler et al., DSP’00, Poh et al., ICASSP’05, ICB’07, CVPR’12]
Lamb/Goat対策:Selective Fusion [Ross et al., BTAS’09]
Wolf/Lamb対策:Sequential Fusion [Murakami et al., BTAS’12]
分析 Biometric Zoo(Wolf,Lamb,Goat)が,異なる照合アルゴリズムに対してどれだけ一般化できるかを分析 [Teli et al., IJCB’11], [Paone et al., WIFS’11]
:今回ご紹介する文献
![Page 35: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/35.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Universal Wolf/Lamb
35
Universal Wolf Sample [Une et al., IEICE TIS’08]
あらゆるテンプレートに対して,極めて高い類似度を示す認証サンプル
False Accept
距離=0
距離=0
距離=0
認証
サンプル
テンプレート
Universal
Wolf
Universal Lamb Template
あらゆる認証サンプルに対して,極めて高い類似度を示すテンプレート
1:N認証では,どのユーザに対しても誤識別を引き起こすため,認証システムとしての機能を完全に損ねる脅威となりうる
・・・
1 2 N
・・・ False Accept
Universal
Lamb
テンプレート
認証サンプル
![Page 36: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/36.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Wolf/Lambに対する安全性の評価尺度
36
WAP(Wolf Attack Probability) [Une et al., IEICE TIS’08] 最も他人受入を引き起こす認証ユーザによるなりすまし成功確率
Universal WolfのWAPは100[%] (スコアをそのまま閾値と比較した場合)
LAP(Lamb Accept Probability) [村上他,CSS’09] 最も他人受入を引き起こす登録ユーザに対するなりすまし成功確率
36
認証ユーザ
登録ユーザ
平均 平均 平均
accept ?
FAR WAP LAP
accept ?
Wolf
Lamb
![Page 37: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/37.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
WAP/LAPの評価実験
37 37
0
10
20
30
40
50
5 10 15 20 FRR[%]
WA
P/F
AR
[%]
WAP
FAR
0
10
20
30
40
5 10 15 20 FRR[%]
LA
P/F
AR
[%]
LAP
FAR
WAP/LAPの評価実験 [村上他,CSS’09] NIST BSSR1 Set2(6000人/指紋のスコアデータセット)
スコアをそのまま閾値と比較した場合のWAPとLAPを評価
例)FRR = 7.5%のとき,FAR = 8.3%,WAP = 45%,LAP = 32%
Wolf/Lambへの対策が重要!
![Page 38: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/38.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Wolf対策:個別FAR法
個別FAR法 [Inuma et al., ICB’09, 門田, SCIS’10] 認証ユーザ毎に,なりすまし成功確率(個別FAR)がd未満となるように閾値Aを設定
例えば,認証サンプルとダミーテンプレートとのスコアから認証ユーザ固有の他人分布を推定し,そこから個別FARを推定する [村上他,BS研’10]
特徴 ○ 個別FARが正しく推定できれば,WAPを理論的に抑えられる(WAP < δ)
38
の他人分布
確率密度
スコア
(類似度) A
個別FAR < d
スコア
ダミーテンプレート
スコア
認証サンプル
テンプレート
![Page 39: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/39.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Lamb対策:Lamb検出
39
・・・
Lamb検出(ISO/IEC 19792) Lambは例えば登録時に検知し,別の生体情報で再登録させる対策がある(例えば,閾値Aを上回るスコアの数が一定数以上であればLambと検知)
特徴 ○ Universal Lambのような強力なLambは,容易に検知可
× 曖昧なLambがうまく検知されず,以後の認証に用いられる恐れあり
・・・
スコア
スコア
(類似度) A
曖昧なLamb
スコア
(類似度) A
Universal Lamb
![Page 40: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/40.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Lamb対策:スコア正規化(Score Normalization)
40
Z-norm [Auckenthaler et al., DSP’00]
他人分布のばらつきが抑えられるように,個人毎にスコアを正規化する
snorm = (s – m) / s (m, s:他人分布の平均,標準偏差)
特徴 ○ 他人分布が正しく推定できれば,LAPを理論的に抑えられる(LAP < δ)
× Universal Lambのような強力なLambは,本人拒否が多発(LambGoat)
正規化
s
確率密度
本人分布 他人分布
snorm
確率密度
本人分布 他人分布
0
その他,精度向上を目的として,F-norm,dF-normなど様々な正規化が提案[Poh et al., ICASSP’05, ICB’07, CVPR’12]
強力なLambは登録時の検知,曖昧なLambは認証時の対策が有効
![Page 41: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/41.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
41
Lamb/Goat対策:Selective Fusion
ID:1
. . .
. . .
1 2 N
. . .
ID:N
. . .
. . .
1 2 N
. . .
Selective Fusion [Ross et al., BTAS’09] (モダリティ数 = 2) あらかじめ,Lamb/Goatテンプレート(weak template)を検出しておく.
両テンプレートともweak templateの場合のみ,両方の生体情報を入力させる
特徴 ○ Lamb,Goatによる誤り率を低減できる一方,必要な生体情報の入力回数
も小さく抑えられる
: weak template
![Page 42: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/42.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
Wolf/Lamb対策:Sequential Fusion
Sequential Fusion [Murakami et al., BTAS’12]
ユーザが生体情報を入力する度に,融合判定を行う
対数尤度比(本人分布と他人分布の比の対数)の和を閾値と比較.その際,認証/登録ユーザ固有の他人分布を推定し,なりすましが起きにくい方を用いる
特徴 ○ 対数尤度比が正しく推定できれば,WAP < δ,LAP < δ
○ 必要な生体情報の平均入力回数も最小化可能
の他人分布
確率密度
スコア(類似度) 42
スコア
ダミーテンプレート
スコア
認証サンプル
テンプレート
の他人分布 本人分布
![Page 43: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/43.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
統計的なWolf/Lamb対策はどこまで有効か?
43
Wolf/Lambの分類 [Murakami et al., BTAS’12]
対策 Zero-effort Non-adaptive Adaptive
統計的な対策 ○ ○ ×
Anti-Spoofing(生体検知等) × ○ ○
Zero-effort Spoofing
Non-adaptive Adaptive
Change their biometrics
or input artifacts
Adapt to
each enrollee
統計的な対策とAnti-Spoofing(生体検知等)との組合せが重要
![Page 44: バイオメトリクス・セキュリティの 最新動向biox/sbra2013/load.php/... · Template Protection の最新動向 テンプレート保護の必要性と,テンプレート管理モデル](https://reader033.vdocuments.net/reader033/viewer/2022042219/5ec5d6df09d47022543be398/html5/thumbnails/44.jpg)
Copyright(C) Hitachi, Ltd., 2013. All Right Reserved.
まとめ
生体認証システムの資産
アクセス対象(データ,サービス,物理エリア,・・・) ⇒ 他人受入が脅威
テンプレート ⇒ 取り替え不能,プライバシ情報のため漏洩自体が脅威
テンプレート保護
3つの管理モデル: SOC, SOD, SOS.特にSOSでの保護が重要
2つのアプローチ: Cancelable Biometrics, Biometric Cryptosystems
今後の方向性:「保護」→「公開」, Public Biometrics Infrastructure
Wolf/Lamb対策 他人受入の起きやすさはユーザ毎に異なるのが現状
近年では,Universal Wolfなどの人工的な攻撃も提案されている
統計的なWolf/Lamb対策
利便性(入力回数,本人拒否率)とのトレード・オフを考えることが重要
トータルでのセキュリティを高めるには,Anti-Spoofingとの組合せが重要 44