Tiêu chuẩn này xác định các vấn đề cần giải quyết trong đánh giá an toàn hệ thống sinh trắc học. Tiêu chuẩn bao gồm những khía cạnh cụ thể về sinh trắc học và các nguyên tắc được xem xét trong đánh giá an toàn hệ thống sinh trắc học. Tiêu chuẩn không giải quyết những khía cạnh phi sinh trắc học, khía cạnh mà có thể là một phần của đánh giá an toàn tổng thể một hệ thống sử dụng công nghệ sinh trắc học (ví dụ như các yêu cầu về cơ sở dữ liệu hay kênh thông tin liên lạc).
TIÊU CHUẨN QUỐC GIA TCVN 11385:2016 ISO/IEC 19792:2009 CÔNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - ĐÁNH GIÁ AN TOÀN SINH TRẮC HỌC Information technology - Evaluation methodology for environmental influence in biometric system performance Lời nói đầu TCVN 11385:2016 hoàn toàn tương đương ISO/IEC 19792:2009 TCVN 11385:2016 Học viện Cơng nghệ Bưu Viễn thơng biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Cơng nghệ cơng bố CƠNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - ĐÁNH GIÁ AN TOÀN SINH TRẮC HỌC Information technology - Security techniques - Security evaluation of biometrics Phạm vi áp dụng Tiêu chuẩn xác định vấn đề cần giải đánh giá an toàn hệ thống sinh trắc học Tiêu chuẩn bao gồm khía cạnh cụ thể sinh trắc học nguyên tắc xem xét đánh giá an toàn hệ thống sinh trắc học Tiêu chuẩn khơng giải khía cạnh phi sinh trắc học, khía cạnh mà phần đánh giá an toàn tổng thể hệ thống sử dụng cơng nghệ sinh trắc học (ví dụ yêu cầu sở liệu hay kênh thông tin liên lạc) Tiêu chuẩn không nhằm mục đích xác định phương pháp cụ thể cho việc đánh giá an toàn hệ thống sinh trắc học mà thay vào tập trung vào yêu cầu mang tính nguyên tắc Như vậy, yêu cầu tiêu chuẩn độc lập với sơ đồ đánh giá chứng nhận cần hợp sửa lại cho thích hợp trước sử dụng ngữ cảnh sơ đồ cụ thể Tiêu chuẩn xác định nội dung quan trọng khác cần xem xét đánh giá an toàn hệ thống sinh trắc học Các nội dung trình bày điều tiêu chuẩn: - Điều tiêu chuẩn đưa nhìn tổng quan cho tất thuật ngữ, định nghĩa tờ viết tắt sử dụng, - Điều giới thiệu khái niệm tổng thể cho việc đánh giá an tồn hệ thống sinh trắc học, - Điều mơ tả khía cạnh thống kê tỷ lệ lỗi liên quan đến an toàn, - Điều giải việc đánh giá lỗ hổng hệ thống sinh trắc học, - Điều mô tả việc đánh giá khía cạnh riêng tư, Tiêu chuẩn có liên quan đến hai nhóm đánh giá viên nhà phát triển - Tiêu chuẩn xác định yêu cầu cho đánh giá viên cung cấp hướng dẫn thực việc đánh giá an toàn hệ thống sinh trắc học - Tiêu chuẩn phục vụ thông báo cho nhà phát triển yêu cầu đánh giá an toàn sinh trắc học nhằm giúp họ chuẩn bị cho việc đánh giá an toàn Tiêu chuẩn độc lập với sơ đồ đánh giá cụ thể đáp ứng khung phát triển phương pháp kiểm thử đánh giá cụ thể nhằm tích hợp yêu cầu đánh giá sinh trắc học với sơ đồ đánh giá chứng nhận có Tiêu chuẩn tham chiếu sử dụng tiêu chuẩn sinh trắc học khác, đáng ý tiêu chuẩn kiểm thử báo cáo hiệu suất sinh trắc học tiểu ban kỹ thuật quốc tế ISO/JTC1 SC 37 Các tiêu chuẩn điều chỉnh mức cần thiết yêu cầu cụ thể đánh giá an toàn sinh trắc học Sự tuân thủ Để đáp ứng tiêu chuẩn này, việc đánh giá an toàn hệ thống sinh trắc học phải lập kế hoạch, thực báo cáo theo yêu cầu mang tính quy định nêu tiêu chuẩn Tiêu chuẩn mô tả khía cạnh cụ thể việc đánh giá an toàn hệ thống sinh trắc học mặt: - tỷ lệ lỗi thống kê (xem điều 7), - lỗ hổng sinh trắc học cụ thể (xem điều 8), - tính riêng tư (xem điều 9) Một số sơ đồ đánh giá chấp nhận tiêu chuẩn không giải tất khía cạnh nêu tiếp tục địi hỏi tn thủ với phần tiêu chuẩn Trong trường hợp này, việc đánh giá an toàn hệ thống sinh trắc học phải lập kế hoạch, thực báo cáo phù hợp với tập hợp nhỏ yêu cầu mang tính quy định tiêu chuẩn Trong trường hợp này, yêu cầu giải phải xác định rõ ràng Lưu ý tuân thủ tiêu chuẩn giới hạn việc chấp nhận phương pháp đánh giá sinh trắc học mô tả gắn kết với yêu cầu mang tính quy định cụ thể Sự tn thủ khơng bao gồm vấn đề có liên quan đến sơ đồ hành động cần thực trường hợp hệ thống đánh giá không đáp ứng tiêu chí mục tiêu đánh giá có liên quan đến an tồn Sơ đồ tổng thể có trách nhiệm quy định cụ thể hành động này, bao gồm, ví dụ: - hồn tồn khơng đánh giá được, - việc xác lập lại tiêu chí mục tiêu đánh giá để trùng khớp với kết đạt được, - việc phát triển hệ thống đánh giá để đáp ứng tiêu chí mục tiêu đánh giá xác định Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi, bổ sung (nếu có) ISO/IEC 19795-1:2006, Biometric performance testing and reporting - Part 1: Principles and framework (ISO/IEC 19795-1:2006 - Kiểm thử báo cáo hiệu suất sinh trắc học - Phần 1: Các nguyên tắc khung) Thuật ngữ định nghĩa Tiêu chuẩn áp dụng thuật ngữ định nghĩa sau 4.1 Tổng quan 4.1.1 Mức đảm bảo (assurance level) Lượng đảm bảo thu theo thang đo cụ thể sử dụng phương pháp đảm bảo CHÚ THÍCH: Định nghĩa từ [1] 4.1.2 Đối tượng cơng (attacker) Người tìm cách khai thác lỗ hổng tiềm ẩn hệ thống sinh trắc học 4.1.3 Đặc trưng sinh trắc học (biometric characteristic) Đặc trưng sinh học hành vi cá thể phát từ đặc điểm sinh trắc học có tính lặp lại, phân biệt trích xuất cho mục đích tự động nhận dạng cá thể CHÚ THÍCH 1: Định nghĩa từ [2] CHÚ THÍCH 2: Đặc trưng sinh học hành vi đặc tính vật lý phận thể, tiến trình sinh lý hành vi tạo thể kết hợp đặc tính tiến trình CHÚ THÍCH 3: Phân biệt khơng thiết mang nghĩa cá thể hóa VÍ DỤ: Các ví dụ đặc trưng sinh trắc học là: cấu trúc đường vân Galton, hình thể khn mặt, cấu tạo da mặt hình thể bàn tay, hình thể ngón tay, cấu trúc mống mắt, cấu trúc tĩnh mạch bàn tay, cấu trúc đường vân lịng bàn tay hình dạng võng mạc 4.1.4 Sản phẩm sinh trắc học (biometric product) Thành phần, hệ thống ứng dụng sinh trắc học đóng vai phạm vi đánh giá 4.1.5 Sinh trắc học (biometrics) Nhận dạng tự động cá thể dựa vào đặc trưng sinh học hành vi cá thể CHÚ THÍCH: Định nghĩa từ [2] 4.1.6 Đánh giá viên (evaluator) Người bên chịu trách nhiệm thực việc đánh giá an toàn sản phẩm sinh trắc học 4.1.7 Sự đánh giá (evaluation) Sự đánh giá thành phẩm so với tiêu chí xác định trước CHÚ THÍCH 1: Định nghĩa từ [1] CHÚ THÍCH 2: Trong ngữ cảnh này, thành phẩm hệ thống sinh trắc học 4.1.8 Lamb (lamb) Tham chiếu sinh trắc học tạo điểm số tương đồng cao so với bình thường hệ thống sinh trắc học riêng biệt so sánh với mẫu sinh trắc học tham chiếu từ đối tượng khác 4.1.9 Nhà cung cấp (vendor) Bên bán, sản xuất sử dụng hệ thống sinh trắc học có trách nhiệm cung cấp hệ thống sinh trắc học toàn chứng cần thiết cho việc đánh giá CHÚ THÍCH: Trong trường hợp nhà cung cấp định ủy nhiệm nhiệm vụ cho bên khác (ví dụ cho phịng kiểm thử bên thứ ba), bên xem nhà cung cấp 4.1.10 Người sử dụng (user) Người tương tác với hệ thống sinh trắc học 4.1.11 Wolf (wolf) Mẫu sinh trắc học tạo điểm số tương đồng cao bình thường hệ thống sinh trắc học riêng biệt so sánh với tham chiếu sinh trắc học đối tượng thu nạp 4.2 Hệ thống sinh trắc học 4.2.1 Lần thử (attempt) Gửi (hoặc chuỗi) mẫu sinh trắc học vào hệ thống CHÚ THÍCH: Một lần thử cho kết khuôn mẫu thu nạp, (hoặc nhiều) điểm số trùng khớp, thất bại 4.2.2 Dữ liệu sinh trắc học (biometric data) Mẫu sinh trắc học giai đoạn xử lý nào, tham chiếu sinh trắc học, đặc điểm sinh trắc học đặc tính sinh trắc học CHÚ THÍCH: Định nghĩa từ [2] 4.2.3 Đặc điểm sinh trắc học (biometric feature) Các số nhãn hiệu trích xuất từ mẫu sinh trắc học sử dụng để so sánh CHÚ THÍCH 1: Các đặc điểm sinh trắc học đầu trích xuất đặc điểm sinh trắc học hồn thành CHÚ THÍCH 2: Việc sử dụng thuật ngữ nên phù hợp với việc sử dụng cộng đồng toán học nhận dạng CHÚ THÍCH 3: Một tập hợp đặc điểm sinh trắc học coi mẫu sinh trắc học qua xử lý 4.2.4 Mô hình sinh trắc học (biometric model) Hàm số lưu trữ (phụ thuộc vào đối tượng liệu sinh trắc học) tạo từ (nhiều) đặc điểm sinh trắc học CHÚ THÍCH 1: Định nghĩa từ [2] CHÚ THÍCH 2: Việc so sánh áp dụng hàm số đặc điểm sinh trắc học mẫu sinh trắc học nhận dạng để đưa điểm số so sánh CHÚ THÍCH 3: Hàm số xác định thơng qua huấn luyện CHÚ THÍCH 4: Một mơ hình sinh trắc học bao gồm khâu xử lý trung gian tương tự trích xuất đặc điểm sinh trắc học VÍ DỤ: Các ví dụ cho hàm số lưu trữ mơ hình Markov ẩn, mơ hình Gaussian hỗn hợp mạng nơ ron nhân tạo 4.2.5 Đặc tính sinh trắc học (biometric property) Các thuộc tính mơ tả đối tượng liệu sinh trắc học ước lượng dẫn xuất từ mẫu sinh trắc học cách tự động CHÚ THÍCH: Định nghĩa từ [2] VÍ DỤ: Dấu vân tay phân loại đặc tính sinh trắc học luồng đường vân, chẳng hạn kiểu hình cung, hình xốy, hình quai; Trong trường hợp nhận dạng khn mặt, ước lượng độ tuổi giới tính 4.2.6 Tham chiếu sinh trắc học (biometric reference) Một nhiều mẫu sinh trắc học, khuôn mẫu sinh trắc học mơ hình sinh trắc học gán làm thuộc tính cho đối tượng liệu sinh trắc học lưu trữ sử dụng để so sánh CHÚ THÍCH 1: Định nghĩa từ [2] CHÚ THÍCH 2: Một tham chiếu sinh trắc học tạo với việc sử dụng ngầm tường minh liệu phụ trợ, Mơ hình Nền tảng Vạn VÍ DỤ: Hình ảnh khn mặt hộ chiếu; Khuôn mẫu chi tiết dấu vân tay Thẻ cước quốc gia; Mơ hình hỗn hợp Gaussian, để nhận dạng giọng nói, sở liệu 4.2.7 Mẫu sinh trắc học (biometric sample) Biểu diễn tương tự kỹ thuật số đặc trưng sinh trắc học trước trích xuất đặc điểm sinh trắc học thu từ thiết bị hệ thống thu thập sinh trắc học CHÚ THÍCH 1: Định nghĩa từ [2] CHÚ THÍCH 2: Thiết bị thu thập sinh trắc học hệ thống thu thập sinh trắc học với thành phần 4.2.8 Khuôn mẫu sinh trắc học (biometric template) Tập hợp đặc điểm sinh trắc học lưu trữ so sánh trực tiếp với đặc điểm sinh trắc học mẫu sinh trắc học nhận dạng CHÚ THÍCH 1: Định nghĩa từ [2] CHÚ THÍCH 2: Một tham chiếu sinh trắc học bao gồm hình ảnh, mẫu sinh trắc học khác thu thập dạng nguyên bản, xử lý tăng cường nén, khn mẫu sinh trắc học CHÚ THÍCH 3: Các đặc điểm sinh trắc học không coi khuôn mẫu sinh trắc học trừ chúng lưu trữ để tham chiếu 4.2.9 Hồ sơ liệu thu nạp (enrolment data record) Hồ sơ tạo thu nạp, liên quan đến cá thể bao gồm tham chiếu sinh trắc học liệu phi sinh trắc học thơng thường CHÚ THÍCH: Định nghĩa từ [2] 4.2.10 Giao dịch (transaction) Chuỗi lần thử phận người sử dụng nhằm mục đích thu nạp, xác minh sinh trắc học định danh sinh trắc học CHÚ THÍCH: Có kiểu giao dịch: chuỗi thu nạp, cho kết thu nạp thành công thất bại; chuỗi xác minh, cho kết định xác minh; chuỗi định danh, kết định định danh 4.3 Quá trình sinh trắc học 4.3.1 Xác thực (authentication) Cung cấp đảm bảo danh tính yêu cầu thực thể CHÚ THÍCH: Định nghĩa từ [1] 4.3.2 Quyết định ứng dụng sinh trắc học (biometric application decision) Kết luận dựa sách định ứng dụng sau xem xét nhiều định so sánh, điểm số so sánh liệu phi sinh trắc học khác CHÚ THÍCH 1: Định nghĩa từ [2] CHÚ THÍCH 2: Các định ứng dụng sinh trắc học thực dựa sở sách phức tạp, cho phép thay đổi số lượng định so sánh dương tính CHÚ THÍCH 3: Ứng dụng xác minh sinh trắc học cho phép định ứng dụng sinh trắc học dương tính có nhiều khơng trùng khớp so với tham chiếu sinh trắc học thu nạp VÍ DỤ: Quyết định ứng dụng sinh trắc học “tiếp nhận yêu cầu” 4.3.3 Nhận dạng sinh trắc học (biometric recognition) Nhận dạng cách sử dụng sản phẩm sinh trắc học CHÚ THÍCH 3: Nhận dạng sinh trắc học thực xác minh sinh trắc học trình định danh sinh trắc học 4.3.4 Điểm số so sánh (comparison score) Giá trị (hoặc tập hợp giá trị) số học thu từ so sánh CHÚ THÍCH: Định nghĩa từ [2] 4.3.5 Hủy thu nạp (de-enrolment) Việc xóa bỏ tham chiếu sinh trắc học khỏi lưu trữ cần thiết, liệu có liên quan với danh tính người sử dụng cuối khỏi hệ thống sinh trắc học 4.3.6 Chính sách định (decision policy) Tập hợp tham số, quy tắc giá trị sử dụng để xác định khả tiếp nhận từ chối nhận dạng sinh trắc học đối tượng CHÚ THÍCH: Định nghĩa từ [2] 4.3.7 Thu nạp (enrol) Tạo lưu trữ hồ sơ liệu thu nạp cho đối tượng thu thập sinh trắc học phù hợp với sách thu nạp CHÚ THÍCH: Định nghĩa từ [2] 4.3.8 Sự thu nạp (enrolment) Hành động thu nạp thu nạp CHÚ THÍCH: Định nghĩa từ [2] 4.3.9 Định danh sinh trắc học (biometric identification) Chức hệ thống sinh trắc học thực tìm kiếm một-nhiều để có danh sách ứng tuyển CHÚ THÍCH: Định nghĩa từ [2] 4.3.10 Quyết định so sánh (comparison decision) Việc xác định mẫu sinh trắc học nhận dạng tham chiếu sinh trắc học có nguồn gốc sinh trắc học hay không dựa vào (các) điểm số so sánh, (các) sách định bao gồm ngưỡng, đầu vào khác CHÚ THÍCH: Định nghĩa từ [2] CHÚ THÍCH 2: Trùng khớp định sinh trắc học dương tính CHÚ THÍCH 3: Khơng trùng khớp định sinh trắc học âm tính CHÚ THÍCH 4: Quyết định “khơng xác định” đơi đưa 4.3.11 Ngưỡng (threshold) Giá trị biên điểm số so sánh sử dụng ứng dụng so sánh để tự động tạo định trùng khớp 4.3.12 Xác minh sinh trắc học (biometric verification) Chức sản phẩm sinh trắc học thực việc so sánh một-một CHÚ THÍCH: Điều chỉnh từ [2] 4.4 Các tỷ lệ lỗi CHÚ THÍCH: Định nghĩa 4.4.1 tới 4.4.9 4.4.11 áp dụng theo ISO/IEC 19795-1:2006 4.4.1 Lần thử mạo danh chủ động (active impostor attempt) Lần thử cá thể cố gắng để trùng khớp với khuôn mẫu lưu trữ cá thể khác cách đưa mẫu sinh trắc học mô tái tạo, cố ý chỉnh sửa đặc trưng sinh trắc học 4.4.2 Tỷ lệ thu nạp thất bại (failure-to-enrol rate) FTE Tỷ lệ dân số mà hệ thống khơng hồn tất q trình thu nạp CHÚ THÍCH: Tỷ lệ thu nạp thất bại quan sát được đo lường thu nạp nhóm kiểm thử Tỷ lệ thu nạp thất bại dự kiến/mong đợi áp dụng cho toàn dân số mục tiêu 4.4.3 Tỷ lệ không trùng khớp sai (false non-match rate) FNMR Tỷ lệ mẫu lần thử đối tượng danh cho kết sai, không trùng khớp với khuôn mẫu đặc trưng từ người sử dụng cung cấp mẫu CHÚ THÍCH: Tỷ lệ khơng trùng khớp sai đo lường/quan sát khác biệt so với tỷ lệ không trùng khớp sai dự đoán/mong đợi (dạng tỷ lệ trước sử dụng ước tính dạng tỷ lệ sau) 4.4.4 Tỷ lệ trùng khớp sai (false match rate) FMR Tỷ lệ mẫu lần thử đối tượng mạo danh không cố ý cho kết sai, trùng khớp với khn mẫu khơng phải người so sánh CHÚ THÍCH: Tỷ lệ trùng khớp sai đo lường/quan sát khác biệt với tỷ lệ trùng khớp sai dự đoán/mong đợi (dạng tỷ lệ trước sử dụng để ước tính dạng tỷ lệ sau) 4.4.5 Tỷ lệ từ chối sai (false reject rate) FRR Tỷ lệ giao dịch xác minh với yêu cầu danh tính thực bị từ chối không 4.4.6 Tỷ lệ tiếp nhận sai (false accept rate) FAR tỷ lệ giao dịch xác minh với yêu cầu danh tính không xác nhận không 4.4.7 Thứ hạng định danh (identification rank) Giá trị nhỏ k mà nhận dạng người sử dụng nằm nhóm nhận dạng k trả hệ thống định danh CHÚ THÍCH: Thứ hạng định danh phụ thuộc quy mô sở liệu thu nạp, nên trích dẫn “thứ hạng k n” 4.4.8 Thuật toán sơ tuyển (pre-selection algorithm) Thuật tốn nhằm làm giảm thiểu số lượng khn mẫu cần trùng khớp tìm kiếm định danh sở liệu thu nạp 4.4.9 Lỗi sơ tuyển (pre-selection error) Lỗi xảy khuôn mẫu thu nạp tương ứng không nằm nhóm mẫu ứng tuyển chọn trước mẫu từ đặc trưng sinh trắc học người sử dụng đưa CHÚ THÍCH: Trong sơ tuyển dựa vào việc xây dựng phân vùng/phân lớp người sử dụng, lỗi sơ tuyển xảy khuôn mẫu thu nạp mẫu từ đặc trưng sinh trắc học người sử dụng gán vào phân vùng khác 4.4.10 Nhóm kiểm thử (test crew) Bộ đối tượng kiểm thử tập hợp lại cho việc đánh giá CHÚ THÍCH: Định nghĩa từ [1] 4.4.11 Lần thử đối tượng mạo danh không cố ý (zero-effort impostor attempt) Lần thử cá thể gửi đặc trưng sinh trắc học thể cá thể thử xác minh thành công khuôn mẫu mình, việc so sánh thực khuôn mẫu người sử dụng khác 4.5 Thống kê 4.5.1 Khoảng tin cậy (confidence interval) Giá trị ước lượng thấp L cao U cho tham số x cho xác suất giá trị thực x nằm L U giá trị cho trước (ví dụ 95%) [ISO/IEC 19795-1:2006, định nghĩa 4.8.2] CHÚ THÍCH: Khoảng tin cậy ln gắn liền với giá trị xác suất biết tương ứng Trong tiêu chuẩn giá trị xác suất biết gọi “giá trị tin cậy” 4.5.2 Giá trị tin cậy (confidence value) Giá trị xác suất biết tương ứng với khoảng tin cậy quy định Chữ viết tắt DET Cân lỗi phát (vòng cong) FAR Tỷ lệ tiếp nhận sai FDIS Dự thảo tiêu chuẩn quốc tế phiên cuối FMR Tỷ lệ trùng khớp sai FNMR Tỷ lệ không trùng khớp sai FRR Tỷ lệ từ chối sai FTE Thu nạp thất bại IS Tiêu chuẩn quốc tế Đánh giá an toàn 6.1 Tổng quan Điều làm rõ phạm vi tiêu chuẩn điều cung cấp ngữ cảnh mà đánh giá an tồn sinh trắc học tiến hành Hình A.1 kiến trúc tham chiếu hệ thống sinh trắc học sử dụng tiêu chuẩn Hệ thống sinh trắc học bao gồm tập hợp thành phần phần cứng phần mềm Hệ thống thường sử dụng để thực ứng dụng sinh trắc học, trường hợp hệ thống hoạt động mơi trường ngồi tạo thành phần thiết yếu ứng dụng Môi trường không bao gồm yếu tố vật lý không gian, nhiệt độ, độ ẩm, chiếu sáng v.v mà cịn tất khía cạnh thủ tục người sử dụng hệ thống Người sử dụng hệ thống bao gồm tất người tương tác với hệ thống nhà điều hành, người quản trị, đối tượng thu nạp, đối tượng mạo danh v.v Tiêu chuẩn chủ yếu hướng vào việc đánh giá an tồn hệ thống sinh trắc học ứng dụng sinh trắc học hoàn chỉnh Một ứng dụng sinh trắc học bao gồm hệ thống sinh trắc học thành phần phần cứng phần mềm khác, với mơi trường hoạt động, quy trình tổ chức sách cung cấp chức ứng dụng Những yếu tố bổ sung có lỗ hổng bảo mật riêng khuyếch đại giảm thiểu lỗ hổng sở hữu hệ thống sinh trắc học Đánh giá lỗ hổng cần tiến hành theo cách thức có trật tự, bao gồm điều tra lỗ hổng thành phần cá thể Tuy nhiên, đánh giá viên nên thận trọng đánh giá kết việc đánh giá lỗ hổng thành phần mà không xem xét tương tác diễn với thành phần hệ thống khác Những tương tác xác định liệu có hay khơng lỗ hổng thành phần bị khai thác thực tế Do đó, đánh giá viên nên ln ln đánh giá lỗ hổng ngữ cảnh toàn chức tồn hệ thống khơng dựa đánh giá lỗ hổng thành phần cá thể Tương tự, hệ thống sinh trắc học biểu thị lỗ hổng nội nhận ra, làm trầm trọng giảm nhẹ tương tác thành phần hệ thống Ví dụ, thuật tốn so sánh sinh trắc học hiển thị hành vi bất thường đưa vào liệu sinh trắc học phạm vi, hành vi làm phát sinh lỗ hổng Tuy nhiên, (các) thành phần chịu trách nhiệm cung cấp liệu sinh trắc học cho thuật toán so sánh ngăn chặn liệu bất thường cung cấp khơng sinh lỗ hổng Mặc dù phương pháp tiêu chuẩn sử dụng để đánh giá yếu tố an toàn cho thành phần hệ thống sinh trắc học, đánh giá viên nên thận trọng kiểm tra lỗ hổng thành phần cá thể tìm hiểu tương tác thành phần để xác định làm mà tương tác ảnh hưởng đến lỗ hổng hệ thống Nói chung, việc đánh giá lỗ hổng thành phần cá thể có giá trị giới hạn gây sai lạc thực bên ngữ cảnh đánh giá hệ thống Tiêu chuẩn quy định cụ thể phương pháp đánh giá an toàn kỹ thuật hệ thống sinh trắc học Tiêu chuẩn khơng tìm cách giải vấn đề rộng đánh giá an toàn ứng dụng sinh trắc học hoàn chỉnh Người kiểm định ứng dụng sinh trắc học cần xây dựng mơ hình mối đe dọa/rủi ro cho ứng dụng đánh giá liệu lỗ hổng phi sinh trắc học cụ thể khác có tồn hệ thống tổng thể tác động lỗ hổng sinh trắc học phát an toàn hệ thống tổng thể 6.2 Phương pháp Tiêu chuẩn đề cập đến khía cạnh việc đánh giá an toàn cụ thể cho hệ thống sinh trắc học Một đánh giá an toàn hệ thống sinh trắc học bao gồm việc đánh giá khía cạnh an tồn cơng nghệ thơng tin Tiêu chuẩn khơng bao hàm khía cạnh đánh giá viên nên tham khảo tiêu chuẩn phương pháp luận đánh giá an toàn cơng nghệ thơng tin khác đánh giá khía cạnh phi sinh trắc học đánh giá an tồn hệ thống, ví dụ Tiêu chí chung ([3]) Nhà cung cấp hệ thống sinh trắc học đánh giá phải cung cấp mô tả hệ thống trước việc đánh giá bắt đầu Điều cho phép đánh giá viên trở nên quen thuộc với hệ thống hỗ trợ định sau trình đánh giá Các khía cạnh sinh trắc học cụ thể đánh giá an toàn hệ thống sinh trắc học mô tả tiêu chuẩn là: - Phép đo lường tỷ lệ lỗi thống kê (xem điều 7) - Các lỗ hổng sinh trắc học cụ thể (xem điều 8) - Tính riêng tư (xem điều 9) Khái niệm phương pháp (ngoài ba lĩnh vực trên) việc đánh giá an toàn hệ thống sinh trắc học thực theo cách tương tự việc đánh giá an toàn hệ thống công nghệ thông tin khác Điều giới thiệu khái niệm kiểm thử tỷ lệ lỗi liên quan đến an toàn ngữ cảnh đánh giá an toàn hệ thống sinh trắc học Các tỷ lệ lỗi thống kê đo lường cho thuật toán sinh trắc học đơn lẻ (thường sử dụng sở liệu mẫu sinh trắc học có sẵn từ trước), cho hệ thống mà người dùng cung cấp mẫu sinh trắc học trực tiếp cho cảm biến thành phần thu thập liệu Kiểm thử tỷ lệ lỗi thuật toán sinh trắc học thường sử dụng để so sánh hiệu suất thuật toán khác để định lượng thay đổi phát triển thuật tốn Kiểm thử thuật tốn có giá trị giới hạn việc đánh giá an tồn lỗi thuật toán nguồn gây lỗi hệ thống sinh trắc học Thường cần thiết để tiến hành đo lường lỗi thống kê hệ thống sinh trắc học sử dụng mẫu sinh trắc học thu thành phần thu thập hệ thống từ đối tượng thực kiểm thử kịch Tuy nhiên, kiểm thử thống kê thuật tốn góp phần vào hiểu biết cần thiết hệ thống sinh trắc học, điều cần thiết để chuẩn bị kiểm thử để tìm yêu cầu tỷ lệ lỗi tối đa hệ thống sinh trắc học Điều cung cấp hướng dẫn đánh giá lỗ hổng Các lỗ hổng kỹ thuật xử lý theo nhóm tương ứng với lỗ hổng tiềm ẩn hệ thống sinh trắc học, dựa cân nhắc lý thuyết kinh nghiệm thực tế Việc khai thác lỗ hổng tiềm ẩn thường liên quan đến nhiều thành phần Ví dụ, vật giả mạo cần phải tiếp nhận cảm biến vượt qua ngăn chặn giả mạo; vượt qua bước phân tích chất lượng; tiền xử lý trích xuất đặc điểm thành công vượt qua kiểm tra kiểm soát chất lượng Các bước thường liên quan tới nhiều thành phần hệ thống Điều nêu chi tiết hành động đánh giá viên yêu cầu để giải vấn đề tính riêng tư xử lý lưu trữ liệu sinh trắc học Đây mối quan tâm an toàn vốn có cho hệ thống sinh trắc học liệu sử dụng để xác thực liệu cá nhân điều chỉnh ràng buộc sử dụng xác định luật pháp hay quy tắc thực hành nước khác Tiêu chuẩn xác định vai trò nhà cung cấp đánh giá viên quy định cụ thể yêu cầu hoạt động bên Mặc dù phương pháp luận độc lập với sơ đồ, việc tách biệt vai trò phản ánh cần thiết phải nhận thức trách nhiệm hành động đánh giá viên để trì tính độc lập với nhà cung cấp Các tỷ lệ lỗi hệ thống sinh trắc học 7.1 Giới thiệu Một đặc trưng vốn có nhận dạng sinh trắc học định hệ thống sinh trắc học tùy thuộc vào lỗi mà thể dạng tỷ lệ lỗi thống kê, ví dụ: tỷ lệ tiếp nhận sai từ chối sai Những tỷ lệ lỗi tham số hiệu suất khác hàm ý cường độ an toàn cung cấp hệ thống sinh trắc học sử dụng để xác thực Do đánh giá an tồn hệ thống sinh trắc học bao gồm việc đánh giá các tỷ lệ lỗi liên quan đến an toàn Kiểm thử báo cáo tỷ lệ lỗi liên quan đến an toàn tiêu chuẩn dựa vào ISO/IEC 197951:2006 Tiêu chuẩn sử dụng phần tử hiệu suất sinh trắc học kiểm thử báo cáo hiệu suất có liên quan đến việc đánh giá an toàn sinh trắc học 7.2 Khái niệm - Kiểm thử tỷ lệ lỗi liên quan đến an toàn Độ tin cậy chức xác minh định danh sinh trắc học hệ thống sinh trắc học yếu tố quan trọng để xác định mức tin cậy định xác thực cung cấp hệ thống Độ tin cậy đo cách thực việc kiểm thử tham số hiệu suất hệ thống có liên quan đến đảm bảo xác thực Đối với hệ thống kiểm soát truy cập, tham số bao gồm Tỷ lệ Tiếp nhận Sai (FAR) Tỷ lệ Từ chối Sai (FRR), tương quan gần chúng Tỷ lệ Trùng khớp Sai (FMR) Tỷ lệ Không trùng khớp Sai (FNMR) (xem định nghĩa chi tiết khác biệt thuật ngữ điều 4.4 ISO/IEC 19795-1:2006) Lý FAR/FMR FRR/FNMR cần đo lường tồn mối quan hệ nghịch đảo kiểu lỗi hệ thống sinh trắc học thường điều chỉnh hệ thống để đạt giá trị FAR/FNMR mong muốn không giới hạn giá trị FRR/FNMR Đối với ứng dụng kiểm soát truy cập, giá trị FAR/FMR biểu thị an tồn giá trị FRR/FNMR tương ứng tính tiện dụng Sự đánh đổi an tồn/tính tiện dụng tương tự trường hợp mật độ dài mật tính ngẫu nhiên (an tồn) đánh đổi với khó khăn việc ghi nhớ (tính tiện dụng) Nhiều sách an tồn mật xây dựng việc xem xét khía cạnh an tồn, mà khơng quan tâm đến khả sử dụng Tuy nhiên không coi chấp nhận hệ thống sinh trắc học Lý cho không thống rõ rệt có lẽ thất bại tính tiện dụng để xác thực mật xem thất bại người, nhận dạng sinh trắc học xem thất bại hệ thống Mục đích việc đo lường tỷ lệ lỗi liên quan đến an toàn hệ thống sinh trắc học cung cấp số liệu đáng tin cậy nhằm thiết lập bảo đảm cho định xác minh nhận dạng thực hệ thống Sự kiểm thử tỷ lệ lỗi liên quan đến an toàn bắt đầu với yêu cầu an toàn dựa đáp ứng cải thiện giới hạn tỷ lệ lỗi danh nghĩa Kiểm thử hiệu suất sau nhằm mục đích chứng minh bác bỏ yêu cầu Ngồi ra, đánh giá viên cần phải xem xét tác động có người sử dụng kiểm thử có đặc trưng đặc biệt việc lựa chọn không ngẫu nhiên người sử dụng kiểm thử lên hiệu suất, lên an tồn Phương pháp kiểm thử mô tả điều dựa vào khái niệm sáu bước: 1) Nhà cung cấp cung cấp mô tả hệ thống ngữ cảnh sử dụng (xem 7.2.1) 2) Nhà cung cấp yêu cầu giá trị tối đa cho tỷ lệ lỗi liên quan đến an toàn (xem 7.2.2) 3) Những yêu cầu phải kiểm tra đánh giá viên (xem 7.2.3) 4) Nhà cung cấp thực kiểm thử để chứng minh yêu cầu đúng, nghĩa tỷ lệ lỗi đáp ứng yêu cầu (xem 7.2.4) 5) Kiểm thử nhà cung cấp đánh giá đánh giá viên (xem 7.2.4) 6) Đánh giá viên thực kiểm thử độc lập (xem 7.2.5) Các bước giới thiệu chi tiết điều theo 7.2.1 Mô tả hệ thống (bước 1) Nhà cung cấp cung cấp cho đánh giá viên mô tả hệ thống sinh trắc học đánh giá ngữ cảnh sử dụng chúng Mô tả bao gồm: - mô tả mục đích sử dụng hệ thống, - thơng tin việc sản phẩm thiết kế để thực xác minh nhận dạng sinh trắc học, - mô tả môi trường dự định hệ thống, - mô tả dân số mục tiêu hệ thống, - mơ tả tất tham số cấu hình có liên quan đến an tồn (bao gồm tất thiết lập ngưỡng) thiết lập đề nghị để đạt yêu cầu hiệu suất cho môi trường dự định dân số mục tiêu (xem 7.2.2) Mô tả hệ thống quan trọng đánh giá viên để định yêu cầu ngữ cảnh tiêu chuẩn 7.2.2 Yêu cầu nhà cung cấp (bước 2) Nhà cung cấp đưa yêu cầu hiệu suất dạng tập hợp giá trị tỷ lệ lỗi liên quan đến an tồn tối đa đạt đồng thời Đối với giá trị yêu cầu tỷ lệ lõi liên quan đến an toàn, nhà cung cấp phải đưa (các) ngưỡng làm cho yêu cầu Yêu cầu gồm ba khía cạnh: - Nhà cung cấp thực đưa phân tích tỷ lệ lỗi hệ thống sinh trắc học có liên quan đến an toàn - Nhà cung cấp cung cấp cho đánh giá viên (các) tập hợp giá trị tỷ lệ lỗi liên quan đến an tồn tối đa đạt đồng thời ngữ cảnh tham số cấu hình có liên quan theo quy định 7.2.1 - Nhà cung cấp đưa thuyết minh giá trị tỷ lệ lỗi liên quan đến an toàn tối đa chấp nhận cho mục đích sử dụng hệ thống sinh trắc học 7.2.3 Kiểm tra yêu cầu nhà cung cấp (bước 3) Đánh giá viên xác định xem liệu danh sách tỷ lệ lỗi liên quan đến an toàn hoàn chỉnh liệu yêu cầu giá trị tỷ lệ lỗi tối đa đầy đủ chưa Họ phải kiểm tra thuyết minh nhà cung cấp tỷ lệ lỗi mà nhà cung cấp xem không liên quan Các yếu tố nên xem xét định liệu yêu cầu giá trị tỷ lệ lỗi tối đa đầy đủ bao gồm: 8.3.2.1 Tổng quan Một đặc trưng cố hữu nhận dạng sinh trắc học khơng phải q trình hồn tồn xác định mà phải chịu lỗi biểu diễn theo tỷ lệ lỗi thống kê tương tự yếu tố người tham gia vào hệ thống an toàn phi sinh trắc học - ví dụ, tỷ lệ tiếp nhận sai tỷ lệ từ chối sai Các tỷ lệ lỗi thông số hiệu khác có ý nghĩa mức độ an tồn cung cấp hệ thống sinh trắc học Trong điều tiêu chuẩn tiêu chuẩn ISO/IEC 19795-1: 2006 giải yêu cầu nguyên tắc liên quan đến việc kiểm thử tỷ lệ lỗi liên quan đến an toàn, tồn tỷ lệ lỗi đại diện cho lỗ hổng vốn có hệ thống sinh trắc học 8.3.2.2 Đánh giá Trong ngữ cảnh đánh giá lỗ hổng, đánh giá viên cần xem xét khả đối tượng công nhằm phá vỡ hệ thống sinh trắc học với lần thử đối tượng mạo danh khơng cố ý Có hai yếu tố ngữ cảnh - Khả công thông thường Khả xác định yếu tố bao gồm động đối tượng công, môi trường hệ thống sinh trắc học hậu công phát - Cơ hội để công thông thường thành công Điều định lượng theo FAR, FAR 10 000, xác suất cơng thơng thường thành cơng xác định 0,01 % Hai yếu tố nhìn chung khơng độc lập Nếu hệ thống biết đến cho dễ bị cơng thơng thường (thành cơng), yếu tố khả tăng lên Trái lại hệ thống biết đến cho có khả chống công thông thường (thành công), điều làm giảm yếu tố khả Việc đánh giá lỗ hổng tiềm ẩn tập trung vào yếu tố sau: - Tầm quan trọng rủi ro lại lần thử đối tượng mạo danh không cố ý dựa kết kiểm thử nêu điều khía cạnh mơ tả trước - Liệu rủi ro chấp nhận cho mục đích sử dụng hệ thống sinh trắc học đánh giá Cần lưu ý - trái ngược với lỗ hổng phổ biến khác - khó để có hệ thống sinh trắc học hoàn toàn bất khả xâm phạm lần thử đối tượng mạo danh không cố ý Do đó, phân tích nên tập trung vào câu hỏi liệu rủi ro lại lần thử chấp nhận ngữ cảnh mục đích sử dụng liệu chế bổ sung thiết kế để ngăn chặn lần thử có cần cung cấp mơi trường hệ thống sinh trắc học 8.3.3 Vật giả mạo đặc trưng sinh trắc học 8.3.3.1 Giới thiệu Trong ngữ cảnh hệ thống sinh trắc học, vật giả mạo định nghĩa đối tượng vô tri vô giác mang theo người hay (các) đặc trưng sinh trắc học giống người đưa tới cảm biến sinh trắc học với mục đích giả mạo, để chấp nhận (các) đặc trưng sinh trắc học đối tượng người Ví dụ vật giả mạo sinh trắc học bao gồm: ngón tay giả tạo từ mủ cao su, ảnh khuôn mặt hay giọng nói ghi âm Ngồi ra, ngón tay bị cắt đứt người (hoặc phần thể bị tách rời) coi vật giả mạo ngữ cảnh phần Không giống thiết bị nhận dạng xác thực kỹ thuật khác, thẻ thông minh, thiết kế nhằm gây khó khăn cho việc chép, đặc trưng sinh trắc học, đặc tính sinh học hành vi tự nhiên người, thực chất khơng có bảo vệ quyền Do đó, thơng thường tạo đặc trưng sinh trắc học hình thức vật giả mạo Vật giả mạo mang đặc trưng thường đặc trưng sinh trắc học chủ thể người, không giới hạn trường hợp Vật giả mạo xây dựng chứa đựng mẫu tổng hợp mà không phù hợp với đặc trưng sinh trắc học người cụ thể chí người thực Tuy nhiên, điểm quan trọng việc đánh giá lỗ hổng tiềm ẩn liệu hệ thống sinh trắc học tiếp nhận vật giả mạo đặc trưng sinh trắc học hợp lệ 8.3.3.2 Đánh giá Hai vấn đề quan trọng việc đánh giá lỗ hổng là: - Hệ thống tiếp nhận vật giả mạo? - Hệ thống xử lý đặc trưng vật giả mạo đặc trưng sinh trắc học người? Việc phân biệt hai trường hợp có ý nghĩa vật giả mạo không bị giới hạn việc mang theo đặc trưng sinh trắc học người; vật giả mạo mang theo mẫu tổng hợp Một hệ thống sinh trắc học tiếp nhận đặc trưng sinh trắc học thực tế từ vật giả mạo từ chối mẫu tổng hợp vật giả mạo khơng hồn tồn giống người Đánh giá viên nên cố gắng phân biệt hai trường hợp cách ban đầu sử dụng thực tế với đặc trưng người, chúng tiếp nhận tiếp tục với trường hợp đặc trưng tổng hợp (xem 8.3.8 để biết thêm chi tiết) Việc đánh giá lỗ hổng tiềm ẩn tập trung vào câu hỏi sau: - Liệu tạo vật giả mạo đặc trưng sinh trắc học nhận thức thơng tin sẵn có cơng khai liệu thông tin nhạy cảm yêu cầu - Để tạo vật giả mạo đòi hỏi nỗ lực - Liệu hệ thống sinh trắc học cung cấp biện pháp đối phó kỹ thuật nhằm phát từ chối vật giả mạo, biện pháp đối phó có hiệu hệ thống sinh trắc học đánh giá - Liệu biện pháp đối phó kỹ thuật dành cho việc phát từ chối vật giả mạo có hạn chế biết đến đặc điểm kỹ thuật điều kiện hoạt động bị khai thác đối tượng cơng Nhà cung cấp hệ thống sinh trắc học phải cung cấp đầy đủ thông tin chế phát từ chối vật giả mạo cho đánh giá viên CHÚ THÍCH 1: Thơng tin phát từ chối vật giả mạo bảo mật đại diện cho “điểm ảnh hưởng” nhà cung cấp Vậy nên, điều quan trọng thông tin chi tiết cung cấp cho đánh giá viên không cung cấp cho khách hàng Điều thừa nhận đánh giá viên thành viên đáng tin cậy nhờ độc lập họ với khách hàng nhà cung cấp CHÚ THÍCH 2: Trong trường hợp phần thể bị tách từ người sử dụng vật giả mạo, cần phải đánh giá phần bị tách sử dụng với hệ thống sinh trắc học Yêu cầu thực từ góc độ y tế Khơng có kiểm tra thực nghiệm cho trường hợp Tầm quan trọng việc có biện pháp đối phó hiệu vật giả mạo liên quan đến khó khăn việc chế tạo thành công vật giả mạo, khó khăn để có đặc trưng người mục tiêu (giả định mục đích đối tượng cơng) Một số đặc trưng (ví dụ mẫu võng mạc mẫu ống/mạch khác) khó để có trực tiếp từ mục tiêu; đặc trưng khác (ví dụ hình ảnh khn mặt) có dễ dàng Cũng cần xem xét khả đặc trưng sinh trắc học mục tiêu có cách khác từ sở liệu khơng an tồn có chứa mẫu sinh trắc học thu Những yếu tố coi phần phân tích rủi ro tổng thể nhằm xác định hiệu biện pháp đối phó vật giả mạo cần cho hệ thống cụ thể Một số tất yếu tố đến thời điểm đánh giá khuyến nghị để việc đánh giá tiến hành tuân thủ với tiêu chuẩn này, tất yếu tố bị bỏ qua Việc đánh giá hiệu biện pháp đối phó vật giả mạo phải thực báo cáo cách độc lập với mối quan tâm bên Các mơ hình rủi ro hệ thống q trình đánh giá (không xác định tiêu chuẩn này) sử dụng để xác định xem liệu kết việc đánh giá hiệu biện pháp đối phó vật giả mạo chấp nhận ngữ cảnh hệ thống sử dụng 8.3.4 Điều chỉnh đặc trưng sinh trắc học 8.3.4.1 Tổng quan Người sử dụng hệ thống sinh trắc học cố ý thay đổi đặc trưng sinh trắc học họ thể đặc trưng với cố gắng tránh bị nhận dạng để mạo danh đối tượng thu nạp Những đặc trưng sinh trắc học mang chất hành vi sinh học Những đặc trưng sinh trắc học mẫu tương ứng thay đổi số lý Đối với sinh trắc học mang tính hành vi lời thoại chữ ký động, người sử dụng thay đổi có chủ ý hành vi thơng thường họ Một ví dụ đặc trưng sinh trắc học sinh học dấu vân tay mà người sử dụng thay đổi có chủ ý thể ngón tay họ với thiết bị thu thập để thay đổi mẫu thu thập Điều thực người sử dụng để ngụy trang thân nhằm tránh bị nhận dạng, mạo danh người khác Tuy nhiên, việc mạo danh đặc điểm sinh học người dùng khác (sinh trắc học khuôn mặt, chẳng hạn) khả có thể, mức độ định, thơng qua việc hóa trang phẫu thuật thẩm mỹ Những công không yêu cầu sử dụng vật giả mạo bị chặn lại kỹ thuật thiết kế để chống lại vật giả mạo 8.3.4.2 Đánh giá Các điểm quan trọng việc đánh giá lỗ hổng tiềm ẩn liệu thân đặc trưng sinh trắc học mẫu sinh trắc học thu thập bị thay đổi có chủ ý người sử dụng cách mà hệ thống nhận người Điều dẫn đến mối đe dọa mạo danh từ chối dịch vụ Câu hỏi quan trọng khác liệu thân đặc trưng sinh trắc học mẫu sinh trắc học thu thập bị cố ý sửa đổi để hệ thống nhận dạng sai người sử dụng thành người sử dụng khác Điều dẫn đến nguy mạo danh Việc đánh giá lỗ hổng tiềm ẩn tập trung vào câu hỏi liệu đối tượng cơng thay đổi đặc trưng sinh trắc học họ theo cách mà hệ thống sinh trắc học chấp nhận nỗ lực loại thông tin cần thiết cho công Hơn trường hợp mà mục tiêu đối tượng công, cần ý đến thực tế đối tượng công trước thu nạp vào hệ thống cố gắng sửa đổi (các) đặc trưng sinh trắc học họ để tránh bị nhận dạng (ví dụ hệ thống có mục tiêu ngăn chặn thu nạp nhiều lần cá thể) Để xác định nhạy cảm tỷ lệ lỗi liên quan đến an toàn tới người sử dụng tạo thay đổi đặc trưng sinh trắc học thể chúng, đánh giá viên phải tiến hành kiểm thử đại diện thể dựa vào tỷ lệ lỗi gây thay đổi Đặc trưng sinh trắc học thể phép thay đổi xác định kiểm soát cho kiểm thử Chúng cần đầy đủ để chứng minh hiệu lên tỷ lệ lỗi không lớn khiến hệ thống đơn giản không hoạt động Có thể khơng cần phải sử dụng nhóm kiểm thử hoàn chỉnh (cho kiểm thử hiệu suất quy định điều 7) Một mẫu kiểm thử nhỏ người sử dụng kiểm thử thường đủ thấy ảnh hưởng thay đổi người sử dụng gây hiệu suất hệ thống Đối với đặc trưng sinh trắc học tĩnh dấu vân tay, giám sát việc sử dụng hệ thống sinh trắc học biện pháp đối phó mang tính vận hành chống lại lỗ hổng Tuy nhiên cần lưu ý biện pháp đối phó khơng có hiệu cho đặc trưng sinh trắc học mang tính hành vi, nhân viên giám sát khơng có khả xác định xem người dùng cố ý thay đổi liệu sinh trắc học Cần lưu ý có mối quan hệ lỗ hổng với lỗ hổng mơ tả 8.3.5 (“Khó khăn việc che giấu đặc trưng sinh trắc học”) Điều đặc biệt đối tượng công cố gắng để công nhận người dùng khác cần hiểu biết đặc trưng sinh trắc học người sử dụng để chuyển đổi đặc trưng sinh trắc học 8.3.5 Khó khăn việc che giấu đặc trưng sinh trắc học 8.3.5.1 Tổng quan Sẽ khó khăn cho người sử dụng cố tình che giấu đặc trưng sinh trắc học sống hàng ngày họ Kiểu lỗ hổng tiềm ẩn phụ thuộc vào chất đặc trưng sinh trắc học sử dụng hệ thống sinh trắc học chức hệ thống sinh trắc học môi trường hệ thống sinh trắc học Lỗ hổng tiềm ẩn khơng bao gồm rị rỉ liệu sinh trắc học từ hệ thống sinh trắc học (xem 8.3.11 để biết thêm thông tin trường hợp này) Ngay biện pháp đối phó chống rò rỉ liệu sinh trắc học hệ thống đủ mạnh, đối tượng cơng có mẫu sinh trắc học người sử dụng cách hợp pháp, trực tiếp từ người sử dụng Ví dụ, đối tượng cơng có dấu vân tay để lại thiết bị thu thập sinh trắc học, cốc, ly, bàn ghế, v.v Ngồi ra, khn mặt hay giọng nói bị đối tượng công ghi lại máy ảnh microphone Các đặc trưng sinh trắc học quan sát trở thành sở để tạo vật giả mạo trở thành đối tượng mục tiêu để chuyển đổi đặc trưng sinh trắc học đối tượng công (xem 8.3.3 8.3.4 để biết thêm thông tin) 8.3.5.2 Đánh giá Điểm quan trọng việc đánh giá lỗ hổng tiềm ẩn khó khăn đối tượng cơng để có liệu sinh trắc học người sử dụng sống hàng ngày Ví dụ, có dấu vết liệu sinh trắc học nơi (ví dụ, cảm biến dấu vân tay), đối tượng công dễ dàng có liệu đạt liệu trực tiếp từ người sử dụng Việc có liệu sinh trắc học cách sử dụng cơng cụ phổ biến sẵn có (ví dụ máy ảnh, microphone, v.v ) dễ dàng sử dụng thiết bị thu thập chuyên dụng Việc đánh giá lỗ hổng tiềm ẩn tập trung vào câu hỏi liệu quan sát đặc trưng sinh trắc học người sử dụng sống hàng ngày họ theo cách mà cho phép lạm dụng (ví dụ, cách làm giả) khó khăn việc Một khía cạnh đặc biệt lỗ hổng câu hỏi liệu liệu sinh trắc học thiết bị thu thập hệ thống sinh trắc học sau sử dụng liệu liệu cịn sót lại bị lạm dụng Mặc dù thực tế sống hàng ngày khó khăn để che giấu đặc trưng sinh trắc học coi lỗ hổng ngữ cảnh tiêu chuẩn này, cần lưu ý khả hệ thống sinh trắc học làm điều để chống lại lỗ hổng Nếu lỗ hổng hữu cho đặc trưng sinh trắc học sử dụng thuộc phạm vi việc đánh giá lỗ hổng để định xem liệu rủi ro liên quan đến lỗ hổng chấp nhận hay khơng - ngữ cảnh lỗ hổng khác hệ thống sinh trắc học Cần lưu ý lỗ hổng có mối liên hệ chặt chẽ với lỗ hổng mô tả 8.3.3 (“Vật giả mạo đặc trưng sinh trắc học”) 8.3.4 (“Điều chỉnh đặc trưng sinh trắc học”) 8.3.6 Tương đồng có quan hệ huyết thống 8.3.6.1 Tổng quan Có lỗ hổng tiềm ẩn mối tương đồng tự nhiên đặc trưng sinh trắc học người có quan hệ huyết thống Lỗ hổng dẫn đến mối đe dọa cho phép cá thể mạo danh người có quan hệ huyết thống Một trường hợp rõ ràng cặp song sinh giống hệt hệ thống sinh trắc học sử dụng phương thức cụ thể khuôn mặt DNA Trong trường hợp khác, tổng quan hơn, có tương đồng đáng kể mặt thống kê số đặc trưng sinh trắc học định người có quan hệ huyết thống cá thể không liên quan Những tương đồng dẫn đến thống kê Tỷ lệ Trùng khớp Sai cao so với bình thường cá thể có quan hệ huyết thống so với cá thể lựa chọn ngẫu nhiên Kiểu lỗ hổng tiềm ẩn không bao gồm tương đồng tự nhiên số liệu sinh trắc học người sử dụng khơng có mối quan hệ huyết thống lại tương đồng cách ngẫu nhiên Kiểu tương đồng nằm ngữ cảnh hiệu suất hệ thống sinh trắc học nêu điều 8.3.6.2 Đánh giá Đánh giá lỗ hổng tiềm ẩn tập trung vào câu hỏi: - Hiệu mối tương đồng lên tỷ lệ lỗi liên quan đến an toàn gì? - Liệu tỷ lệ lỗi liên quan đến an tồn người có quan hệ huyết thống cao so với người dùng khác CHÚ THÍCH: Cần lưu ý việc đánh giá lỗ hổng tiềm ẩn không thiết phải tập trung vào vấn đề khoa học việc đặc trưng sinh trắc học từ người sử dụng có quan hệ huyết thống chất có tương đồng Điểm quan trọng việc đánh giá liệu liệu sinh trắc học sử dụng hệ thống có mối tương đồng cao người có quan hệ huyết thống so với người dùng khác Một kiểm thử đo lường tương đồng đặc trưng sinh trắc học người có quan hệ huyết thống xem đánh giá tỷ lệ lỗi liên quan đến an toàn điều kiện đặc biệt Trong kiểm thử vậy, tỷ lệ lỗi liên quan tính cho nhóm kiểm thử bao gồm thành viên khơng có quan hệ huyết thống so sánh với tỷ lệ lỗi tương ứng tính cho nhóm kiểm thử người có quan hệ huyết thống Việc đánh giá độ xác nên thực theo nguyên tắc với kiểm thử tỷ lệ lỗi liên quan đến an tồn mơ tả điều Tuy nhiên, cần lưu ý khó có đủ số lượng mẫu từ người có quan hệ huyết thống để đáp ứng tất tiêu chí thống kê cho kiểm thử Trong trường hợp này, đánh giá viên xem xét thơng tin tảng sinh học đặc trưng sinh trắc học đặc trưng thành phần Trích xuất Đặc điểm hệ thống sinh trắc học để đảm bảo đầy đủ Các trường hợp tương đồng tự nhiên đặc trưng sinh trắc học người có quan hệ huyết thống đe dọa đến an toàn hệ thống sinh trắc học cần phải giải chiến lược quản lý rủi ro tổng thể Điều nằm phạm vi tiêu chuẩn 8.3.7 Đặc trưng sinh trắc học đặc biệt 8.3.7.1 Tổng quan Các hệ thống sinh trắc học thường thiết kế để cung cấp tối đa mức độ phân biệt đối tượng thu nạp khác nhau, đồng thời giảm thiểu mức độ khác biệt mẫu khác thu thập từ đối tượng thu nạp Tuy nhiên hệ thống có cá thể với đặc trưng sinh trắc học đặc biệt nằm phạm vi thiết kế bình thường hệ thống mang lại tỷ lệ lỗi cao đáng kể so với bình thường Các đặc trưng sinh trắc học đặc biệt dẫn đến lỗ hổng chúng tạo kết tỷ lệ lỗi cao so với kết đo lường kiểm thử hiệu suất thống kê thông thường điều Lưu ý đặc trưng sinh trắc học đặc biệt kết điều chỉnh có chủ ý đặc trưng mơ tả 8.3.4 Người sử dụng có tỷ lệ lỗi cao thấp so với bình thường hệ thống sinh trắc học gọi “goat”, “lamb” hay “wolf”, tùy thuộc vào tỷ lệ lỗi bị ảnh hưởng chiều hướng hiệu Mặc dù nhãn gắn với đối tượng, điều quan trọng nhận hiệu hàm số tương tác người sử dụng hệ thống Người sử dụng phân loại “wolf” hệ thống sinh trắc học khơng wolf hệ thống khác sử dụng phương thức tương tự thực với công nghệ khác 8.3.7.2 Đánh giá Lỗ hổng tiềm ẩn điều tra cách kiểm tra kết kiểm thử hiệu suất mô tả điều để xác định, lỗi có liên quan đến an tồn, liệu có số người dùng có tỷ lệ lỗi lớn đáng kể so với giá trị bình thường tồn thể nhóm kiểm thử Nếu lỗ hổng phát trình đánh giá lỗ hổng phải báo cáo Người triển khai chủ sở hữu hệ thống tương lai cần phải xác định, phần phân tích rủi ro hệ thống tổng thể, đến mức độ lỗ hổng mối đe dọa thực tế Cần xem xét tính khả thi cho đối tượng công đạt kiến thức cần thiết tồn lỗ hổng khai thác Các q trình kiểm tốn hoạt động biện pháp đối phó chống lại lỗ hổng Ví dụ kiểm tra sở liệu thu nạp ngoại tuyến để tìm lỗ hổng đối tượng thu nạp (những đối tượng thu nạp có trùng khớp gần với đối tượng thu nạp khác mà mục tiêu mạo danh) kiểm tra trực tuyến trùng khớp gần (tức trường hợp trùng khớp gần cá thể khác để phân biệt với FRR cho cá thể) Điều đặc biệt quan trọng trường hợp hệ thống định danh sinh trắc học không cần yêu cầu danh tính 8.3.8 Các mẫu sinh trắc học wolf tổng hợp 8.3.8.1 Tổng quan Nếu hệ thống sinh trắc học tạo tỷ lệ lỗi cao khơng bình thường đặc trưng sinh trắc học bất thường thể hiện, điều gây lỗ hổng Ví dụ đặc trưng bất thường đặc trưng có số lượng đặc điểm lớn nhỏ cách khơng bình thường Các đặc trưng không đại diện cho đặc trưng sinh trắc học người, tổng hợp chép vào vật giả mạo Ngoài ra, đặc trưng tổng hợp tiêm nhiễm điện công thực lại gài vào sở liệu tham chiếu Một đặc trưng đóng vai trị “chìa khóa đa năng” sinh trắc học cách tạo trùng khớp rõ rệt loạt đối tượng thu nạp bình thường hay đối tượng mạo danh Hình thức mẫu sinh trắc học wolf tổng hợp phụ thuộc vào phương thức cơng nghệ sử dụng Ví dụ điển hình bao gồm: - tập hợp đặc điểm có chứa số lượng lớn hay nhỏ đặc điểm bất thường, ví dụ: tiểu tiết dấu vân tay - tập hợp đặc điểm bao gồm đặc điểm sinh trắc học hỗn hợp từ nhiều cá thể, ví dụ: hình ảnh khn mặt thay đổi Phương pháp đối phó gồm: - Ở giai đoạn kiểm sốt chất lượng hình ảnh, phát tập hợp đặc điểm có số lượng lớn hay nhỏ bất thường - Ở giai đoạn so sánh, tính điểm xác phần tương đồng không tương đồng mẫu khảo sát tập hợp đặc điểm tham chiếu 8.3.8.2 Đánh giá Việc đánh giá cần xác định liệu đặc trưng sinh trắc học tổng hợp với đặc điểm bất thường có tiếp nhận hệ thống sinh trắc học dẫn đến cố trùng khớp sai cho tham chiếu đối tượng thu nạp thông thường hay không Đánh giá viên cần đánh giá lỗ hổng tiềm ẩn cách có phương pháp Thứ nhất, điều tra trực tiếp thuật toán sinh trắc học nên thực để xác định thuật tốn có chấp nhận xử lý đầu vào bất thường hay khơng Điều thực cách cấy liệu bất thường tổng hợp nơi thích hợp sở liệu cho phép liệu xử lý (đầu vào so sánh) để quan sát xem liệu liệu kiểm thử tiếp nhận thuật tốn kiểm sốt chất lượng tính điểm thành cơng so với tham chiếu kiểm thử thuật tốn so sánh Dữ liệu kiểm thử tổng hợp để mô điều kiện cụ thể mà đánh giá viên mong muốn điều tra Nếu lỗ hổng tìm thấy thuật tốn, đánh giá viên sau cần phải xác định liệu lỗ hổng bị khai thác ngữ cảnh hệ thống hoạt động Đường hướng thăm dò bao gồm: - khả sử dụng đặc trưng tổng hợp chép vào vật giả mạo - khả tiêm nhiễm trực tiếp tín hiệu tổng hợp qua công thực lại - khả sửa đổi trái phép sở liệu sinh trắc học Một khai thác thành công liệu sinh trắc học tổng hợp dường liên quan đến việc khai thác lỗ hổng hệ thống khác; ngược lại, lỗ hổng khác không tồn tại, việc khai thác lỗ hổng liệu sinh trắc học tổng hợp có lẽ khơng khả thi Ví dụ cho thấy tầm quan trọng cách tiếp cận có phương pháp để điều tra lỗ hổng thành phần sau mở rộng đánh giá để điều tra xem liệu lỗ hổng thành phần bị khai thác ngữ cảnh hệ thống lớn Để biết thêm thơng tin lỗ hổng có liên quan xem 8.3.3 (Vật giả mạo), 8.3.11 (Rò rỉ điều chỉnh trái phép liệu sinh trắc học), lưu ý đánh giá lỗ hổng công nghệ thông tin chung 8.1 (Giới thiệu) 8.3.9 Môi trường không thuận lợi 8.3.9.1 Tổng quan Sự xuống cấp hệ thống thu thập, chẳng hạn vết bẩn khiếm khuyết cảm biến, ảnh hưởng đến tỷ lệ lỗi liên quan đến an toàn Các tỷ lệ lỗi liên quan đến an tồn thường xác định mơi trường mà đối tượng phát triển giả định khuyến nghị (xem đối tượng công, tỷ lệ lỗi liên quan đến an tồn đo lường khơng đạt được) Một mơi trường khơng thuận lợi dẫn đến lỗ hổng hệ thống đặc biệt giai đoạn thu thập Các hiệu ứng dao động từ gia tăng tỷ lệ lỗi liên quan đến an toàn đến trường hợp tải tiếp xúc mức với ánh sáng (cho thiết bị quang học), âm (cho thiết bị âm thanh), độ ẩm (cho thiết bị vân tay) hình thức tín hiệu nhiễu khác dẫn đến thu nạp nhiễu chí tham chiếu trống, mà sau trùng khớp với mẫu xác minh nhiễu tương tự (xem 8.3.10) 8.3.9.2 Đánh giá Có lẽ khơng thực tế kiểm thử hiệu tất kết hợp điều kiện môi trường không thuận lợi lên tỷ lệ lỗi liên quan đến an tồn Do đó, đánh giá viên cần xác định điều kiện có khả khơng thuận lợi, ví dụ: ánh sáng bất thường cho cơng nghệ hình ảnh, tín hiệu âm cho cảm biến âm thanh, v.v kiểm thử điều kiện CHÚ THÍCH: Thơng tin thêm cách điều kiện mơi trường ảnh hưởng đến tỷ lệ lỗi liên quan đến an tồn tìm thấy ISO/IEC 19795-1:2006 Nếu phát lỗ hổng gây điều kiện môi trường không thuận lợi, hành động để giảm thiểu tác động cần phải thực ngữ cảnh hệ thống để ngăn chặn khai thác Điều thường để đảm bảo điều kiện mơi trường kiểm sốt cho chứng khơng phải bất lợi 8.3.10 Các lỗ hổng mang tính thủ tục xung quanh trình thu nạp 8.3.10.1 Tổng quan Có ba trường hợp có liên quan đến lỗ hổng tiềm ẩn trình thu nạp - Đối tượng cơng thử để thu nạp vào hệ thống sinh trắc học việc đăng ký thu nạp khơng thích hợp sử dụng giấy tờ danh tính sai (người khác) khơng có thật (hư cấu) Một công vậy, thành công, cho phép đối tượng công công nhận hệ thống sinh trắc học người dùng khác tương lai Đối tượng cơng cố gắng để thu nạp vào hệ thống sinh trắc học với vật giả mạo để tạo tham chiếu sinh trắc học sai (của người khác) khơng có thật (hư cấu) Một công thành công trường hợp cho phép đối tượng công công nhận hệ thống sinh trắc học người dùng khác tương lai Các tham chiếu sinh trắc học chất lượng thường ảnh hưởng xấu đến tỷ lệ lỗi liên quan đến an toàn (và tỷ lệ khác) dẫn đến tỷ lệ lỗi cao so với dự đốn kiểm thử hiệu suất thống kê mơ tả điều Điều không làm giảm mức đảm bảo an toàn cho việc xác minh nhận dạng hoạt động liên quan đến tham chiếu chất lượng; đối tượng cơng định danh cá thể với tham chiếu chất lượng, cá thể trở thành mục tiêu cho lần thử mạo danh 8.3.10.2 Đánh giá Việc đánh giá lỗ hổng tiềm ẩn tập trung vào ba trường hợp tương ứng với điều trước đó: - Liệu q trình thu nạp có thực mơi trường thích hợp tất chế cần thiết đưa để đảm bảo người sử dụng thu nạp cách sử dụng ID - Liệu hệ thống có chức phát từ chối vật giả mạo khơng - Liệu hệ thống có chức kiểm tra chất lượng thành phần Xử lý Tín hiệu chức để dự đoán tỷ lệ lỗi suốt q trình thu nạp Có khả hệ thống sinh trắc học giảm thiểu lỗ hổng hồn tồn phương tiện kỹ thuật Vì vậy, đánh giá viên cần xác định báo cáo biện pháp kiểm soát chất lượng tham chiếu mà nhà cung cấp yêu cầu để thực 8.3.11 Rò rỉ thay đổi liệu sinh trắc học 8.3.11.1 Tổng quan Mặc dù lỗ hổng công nghệ thông tin phổ biến không thuộc phạm vi tiêu chuẩn này, rị rỉ thao tác liệu liên quan đến an toàn mẫu sinh trắc học, tham chiếu sinh trắc học, điểm số so sánh, thiết lập ngưỡng, v.v lỗ hổng quan trọng cần xem xét đánh giá an toàn Ngoài ra, cần đề cập đến là, biện pháp đối phó cho lỗ hổng phổ biến hệ thống cơng nghệ thơng tin, vai trị thơng tin xử lý hệ thống sinh trắc học cụ thể cho công nghệ sinh trắc học Sự rò rỉ thay đổi trái phép liệu mối đe dọa chung cho hệ thống công nghệ thơng tin an tồn hệ thống Sinh trắc học liệu khác hệ thống sinh trắc học thường nhạy cảm phải bảo vệ theo cách tương tự liệu hệ thống cơng nghệ thơng tin nói chung 8.3.11.2 Đánh giá Dữ liệu hệ thống sinh trắc học liên quan/quan trọng cho an toàn bao gồm: - Dữ liệu tham chiếu sinh trắc học - việc làm hỏng dẫn đến thu nạp giả, mạo danh v.v mát liệu dẫn đến hành vi vi phạm tính riêng tư, đánh cắp danh tính, v.v - Các mẫu liệu sinh trắc học truyền qua hệ thống (ví dụ tín hiệu từ thiết bị thu thập) lưu trữ hệ thống (ví dụ dấu vân tay hình ảnh khn mặt) - Nếu bị rị rỉ, chúng sử dụng để giúp xây dựng vật giả mạo tiêm nhiễm trực tiếp công kiểu “thu thập/tái tạo” - Các thông số ngưỡng định - thay đổi dẫn đến chấp nhận sai, từ chối sai, dẫn đến mạo danh từ chối dịch vụ - Dữ liệu kiểm toán - việc làm hỏng dẫn đến che đậy lần thử công, loại bỏ chứng thay đổi trái phép thông số an toàn sai phạm vận hành Việc đánh giá an tồn biện pháp bảo vệ rị rỉ thay đổi liệu sinh trắc học hệ thống sinh trắc học không quy định tiêu chuẩn Đánh giá viên nên tham khảo phương pháp đánh giá an tồn cơng nghệ thơng tin có [3] để biết thêm thơng tin chủ đề Tính riêng tư 9.1 Tổng quan Các hệ thống sinh trắc học thường liên kết liệu sinh trắc học nhận diện người sử dụng với liệu người sử dụng tên, địa chỉ, v.v Hơn nữa, số trường hợp liệu sinh trắc học tiết lộ thơng tin cá nhân người sử dụng giới tính, dân tộc thơng tin y tế Điều đặc biệt quan trọng liệu sinh trắc học hình thức liên kết với hình ảnh đặc trưng sinh trắc học (ví dụ hình ảnh khn mặt, hình ảnh dấu vân tay) Vì vậy, tính riêng tư vấn đề quan trọng cần xem xét đánh giá an toàn hệ thống sinh trắc học Các vấn đề tính riêng tư thường giải biện pháp mang tính tổ chức Ngồi ra, chức đo lường an toàn kỹ thuật sử dụng Những biện pháp kỹ thuật (ví dụ kiểm soát truy cập phù hợp tới liệu cá nhân bao gồm liệu sinh trắc học, mã hóa, xóa an tồn, v.v ) đánh giá đánh giá an toàn hệ thống sinh trắc học Các chế bảo vệ cần mô tả mối quan hệ với nguyên tắc tính riêng tư chung hay cụ thể bắt nguồn từ luật pháp quốc gia Việc đánh giá khía cạnh riêng tư nên luôn đối chiếu với việc thực sử dụng dự định hệ thống sinh trắc học Danh sách liệu liên quan đến tính riêng tư chất bảo vệ có liên quan phải xác định nhà cung cấp trình đánh giá cung cấp cho đánh giá viên đầu vào cho tiêu chí Nhà cung cấp phải cung cấp tóm tắt đầy đủ liệu liên quan đến tính riêng tư lưu trữ xử lý hệ thống sinh trắc học mô tả biện pháp bảo vệ có liên quan trước đánh giá Đánh giá viên phải đảm bảo liệu liên quan đến tính riêng tư xác định bảo vệ thích đáng khơng sử dụng cách sai trái CHÚ THÍCH: Định nghĩa bảo vệ tính riêng tư liệu cá nhân đối tượng luật pháp quốc gia Ngoài ra, quy tắc thực hành tốt khuyến nghị có liên quan với tính riêng tư liệu bảo vệ tính riêng tư tồn công ty công bố tổ chức Các đánh giá viên cần phải nhận thức pháp luật khuyến nghị có liên quan đảm bảo hệ thống sinh trắc học tuân thủ yêu cầu thích hợp Các điều sau xác định tập hợp yêu cầu phải giải lần đánh giá an toàn hệ thống sinh trắc học: 9.1.1 Bảo vệ liệu Đánh giá viên phải đảm bảo hệ thống sinh trắc học cung cấp chế thích hợp để ngăn chặn truy cập trái phép vào liệu có liên quan đến tính riêng tư Ví dụ, khả tiếp cận sở liệu lưu trữ liệu sinh trắc học nằm phạm vi yêu cầu việc truy cập vào sở liệu (bao gồm thủ tục hành chính) dẫn đến việc tiết lộ thay đổi liệu liên quan đến tính riêng tư 9.1.2 Ràng buộc ứng dụng Do thực tế có hệ thống sinh trắc học tương thích, khn mẫu sinh trắc học thể sử dụng hệ thống khác hệ thống mà tạo Đánh giá viên phải đảm bảo hệ thống sinh trắc học cung cấp chế để ngăn ngừa liệu liên quan đến tính riêng tư sử dụng hệ thống nằm phạm vi ngữ cảnh ứng dụng CHÚ THÍCH: Việc quản lý, tức việc nhập vào và/hoặc xuất ra, sở liệu vấn đề liên quan đến ràng buộc ứng dụng Việc hạn chế và/hoặc kiểm soát việc nhập vào xuất sở liệu (bao gồm thủ tục lưu) nên ngăn ngừa sử dụng không mong đợi trái quy định cho ứng dụng mục đích khác với mục tiêu dự định quy định chúng Tuy nhiên, chế mang tính thủ tục cho ràng buộc ứng dụng nằm phạm vi tiêu chuẩn 9.1.3 Vơ hiệu hóa tài khoản liệu tham chiếu sinh trắc học Đánh giá viên phải đảm bảo hệ thống sinh trắc học cung cấp phương tiện để vơ hiệu hóa tài khoản thu hồi liệu tham chiếu sinh trắc học Đối với khía cạnh lỗ hổng đề cập thảo luận điều 8, khơng có hệ thống sinh trắc học hoạt động mà khơng có rủi ro Tùy thuộc vào ứng dụng sinh trắc học, hậu cơng thành cơng xấu cho người sử dụng xét tính riêng tư họ Vì vậy, việc vơ hiệu hóa tài khoản người sử dụng cần thực để hạn chế tác động công vào người sử dụng 9.1.4 Hủy thu nạp Đánh giá viên phải đảm bảo hệ thống sinh trắc học cung cấp phương tiện để loại bỏ liệu liên quan đến tính riêng tư người sử dụng khỏi hệ thống khơng có liệu sót lại (Hủy thu nạp) Điều có nghĩa để loại bỏ thơng tin liên quan đến tính riêng tư đảm bảo khơng có thơng tin cịn sót lại hệ thống Phụ lục A (Tham khảo) Mô hình tham chiếu hệ thống sinh trắc học A.1 Tổng quan Phụ lục mơ tả mơ hình tham chiếu hệ thống sinh trắc học ngữ cảnh đánh giá an tồn Mơ hình tham chiếu dựa hệ thống sinh trắc học tổng quan định nghĩa [4] bao gồm hệ thống bổ sung, thành phần trình quan trọng ngữ cảnh tiêu chuẩn Lưu ý mơ hình tham chiếu mơ tả để thúc đẩy hiểu biết tiêu chuẩn chức an tồn mơ tả mơ hình khơng coi u cầu hệ thống sinh trắc học A.2 Mơ hình tham chiếu Hình A.1 cho thấy hệ thống sinh trắc học tham chiếu sử dụng cho tiêu chuẩn Các hộp hình chữ nhật đại diện cho thành phần hệ thống hệ thống sinh trắc học hộp tròn đại diện cho trình Hình A.1 - Hệ thống sinh trắc học tổng quan A.3 Các hệ thống thành phần A.3.1 Giới thiệu Các điều sau mô tả hệ thống thành phần mơ hình tham chiếu A.3.2 Hệ thống thu thập liệu Hệ thống đòi hỏi việc thu nhận mẫu sinh trắc học thô từ người sử dụng Đầu hệ thống không biểu diễn hoàn hảo mẫu thơ; thay vào đó, đầu bị ảnh hưởng đặc trưng hệ thống Hệ thống bao gồm thành phần Cảm biến có giao diện kỹ thuật với người sử dụng chứa thêm thành phần cần thiết để kiểm sốt q trình thu nhận mẫu sinh trắc học tương tác với người sử dụng Hệ thống thu thập liệu đặc biệt quan trọng theo góc độ an tồn bao gồm giao diện chủ thể hệ thống sinh trắc học Hơn nữa, chất lượng liệu sinh trắc học thu nhận hệ thống trực tiếp ảnh hưởng đến hiệu suất ảnh hưởng đến tỷ lệ lỗi liên quan đến an toàn hệ thống sinh trắc học A.3.3 Hệ thống xử lý tín hiệu Hệ thống đòi hỏi việc xử lý chuyển đổi mẫu thu thập thành tham chiếu sinh trắc học Hệ thống bao gồm thành phần phân tích chất lượng mẫu mà dẫn đến thơng tin phản hồi cho người sử dụng, yêu cầu thu thập thêm mẫu sinh trắc học khác Đối với thu nạp, đầu liệu từ hệ thống Xử lý tín hiệu gửi đến hệ thống Lưu trữ liệu Để xác minh nhận dạng sinh trắc học, đầu liệu hệ thống Xử lý tín hiệu gửi đến hệ thống So sánh Hệ thống bao gồm thành phần sau A.3.3.1 Phân tích chất lượng Thành phần phân tích chất lượng mẫu sinh trắc học Trong số trường hợp, chức Phân tích Chất lượng chia sẻ hệ thống xử lý tín hiệu hệ thống thu thập liệu A.3.3.2 Tiền xử lý Thành phần đòi hỏi việc xử lý mẫu sinh trắc học thành định dạng thích hợp cho thành phần Trích xuất đặc điểm Thành phần bao gồm chức giảm nhiễu, nâng cao hình ảnh/tín hiệu, v.v Trong số trường hợp, chức Tiền xử lý mẫu chia sẻ hệ thống xử lý tín hiệu hệ thống Thu thập liệu A.3.3.3 Trích xuất đặc điểm Thành phần trích xuất đặc điểm phân biệt mẫu sinh trắc học Thành phần thường liên quan đến giai đoạn đầu định vị khu vực mẫu từ đặc điểm trích xuất (một q trình gọi phân đoạn) Q trình liên quan đến thành phần phân tích chất lượng để đảm bảo đặc điểm trích xuất phân biệt lặp lại Vì lý này, thành phần có kết nối đến hệ thống Thu thập Nếu chất lượng đặc điểm trích xuất không đủ, thành phần nhắc hệ thống Thu thập liệu để thu lại mẫu sinh trắc học A.3.3.4 Ngăn chặn giả mạo Ngăn chặn giả mạo chức an toàn bổ sung cho hệ thống sinh trắc học Chức đảm bảo cho đặc trưng sinh trắc học diện với hệ thống sinh trắc học thực thuộc người sống không bị giả mạo Ngăn chặn giả mạo thực nhiều cách khác Thành phần yêu cầu thiết bị cảm biến đặc biệt (trong trường hợp này, thành phần xem phần hệ thống Thu thập liệu), thực phần mềm A.3.4 Hệ thống So sánh Hệ thống so sánh đặc điểm trích xuất từ mẫu nhận với nhiều tham chiếu sinh trắc học đầu tập hợp điểm số so sánh tương ứng Đầu điểm số so sánh hệ thống này, thước đo mức độ tương đồng, chuyển tiếp cho hệ thống Quyết định chuyển tiếp đến hệ thống Quản trị cho mục đích đăng nhập CHÚ THÍCH: Hệ thống So sánh mô tả “hệ thống trùng khớp” [4] Tuy nhiên, định nghĩa “hệ thống trùng khớp” dường không phù hợp với ý nghĩa “trùng khớp” định nghĩa [2] Vì lý này, thuật ngữ “So sánh” sử dụng ngữ cảnh tiêu chuẩn A.3.5 Hệ thống Quyết định Hệ thống có trách nhiệm tạo kết đơn lẻ trùng khớp không trùng khớp từ điểm số hệ thống So sánh cách sử dụng sách xác định trước Kết chuyển tiếp đến hệ thống Quản trị cho hành động ứng dụng sinh trắc học cho mục đích đăng nhập A.3.6 Hệ thống I/F thu thập người sử dụng Hệ thống Quyết định tiếp nhận (các) điểm số so sánh từ hệ thống so sánh khai báo kết “trùng khớp” “không trùng khớp” phù hợp với sách định xác định trước Hệ thống Thu thập ID chủ thể tồn hệ thống xác minh để thu ID yêu cầu người dùng thử xác minh hệ thống sinh trắc học Sau q trình xác minh, ID sử dụng để lấy hồ sơ liệu thu nạp từ sở liệu A.3.7 Hệ thống Nhận hồ sơ liệu thu nạp Hệ thống có trách nhiệm lấy lại hồ sơ liệu thu nạp từ hệ thống lưu trữ liệu Chức để đảm bảo thông tin liên lạc an toàn toàn vẹn hồ sơ sử dụng khơng bao gồm hệ thống A.3.8 Hệ thống Tạo hồ sơ liệu thu nạp Hệ thống chịu trách nhiệm việc tạo hồ sơ liệu thu nạp người sử dụng Hồ sơ gắn với định danh người sử dụng, ví dụ lưu trữ vật lý vị trí liên quan hệ thống Lưu trữ liệu Sự gắn kết đảm bảo cách sử dụng kỹ thuật mật mã ký số và/hoặc chứng số A.3.9 Hệ thống Cấu hình Hệ thống cung cấp chức cần thiết để điều chỉnh thiết lập an toàn hệ thống sinh trắc học Điều bao gồm ngưỡng sử dụng hệ thống Quyết định; bao gồm điều chỉnh trích xuất đặc điểm - đặc biệt ngưỡng chất lượng cho mẫu sinh trắc học A.3.10 Hệ thống Quản trị Hệ thống Quản trị điều chỉnh sách tổng thể, thực sử dụng hệ thống sinh trắc học phù hợp với quy định pháp lý có liên quan, ràng buộc yêu cầu mang tính xã hội Ví dụ minh họa bao gồm: - việc cung cấp thông tin phản hồi cho người sử dụng, - yêu cầu thông tin bổ sung từ người sử dụng, - lưu trữ định dạng thông tin sinh trắc học, - cung cấp phân xử cuối đầu Quyết định xác minh và/hoặc điểm số so sánh, - sửa đổi sách định, - cài đặt thiết lập thu nhận hệ thống sinh trắc học, - môi trường hoạt động, lưu trữ liệu phi sinh trắc học, - việc cung cấp biện pháp bảo vệ thích hợp để bảo vệ tính riêng tư người sử dụng, - tương tác với ứng dụng sử dụng hệ thống sinh trắc học Định nghĩa hệ thống chép từ [4] Lưu ý mũi tên thành phần cấu hình hệ thống Quyết định Hình A.1 diễn tả mức độ tối thiểu tương tác Tùy thuộc vào loại chức quản trị thực hiện, có nhu cầu tương tác nhiều A.3.11 Hệ thống Lưu trữ liệu Các hồ sơ liệu thu nạp lưu trữ thiết bị thu thập sinh trắc học: phương tiện di động thẻ thông minh; nội bộ, máy tính cá nhân, chẳng hạn; sở liệu (dựa vào [4]) A.4 Các chức sinh trắc học A.4.1 Giới thiệu Các điều sau giới thiệu chức sinh trắc học hệ thống sinh trắc học Những mô tả có nguồn gốc từ mơ tả [4] điều chỉnh để tập trung vào khía cạnh an toàn thành phần A.4.2 Thu nạp Trong thu nạp, giao dịch với người sử dụng xử lý hệ thống sinh trắc học để tạo lưu trữ tham chiếu sinh trắc học cho cá thể Thu nạp thường liên quan đến - thu nhận mẫu sinh trắc học thô từ người sử dụng, - ngăn chặn giả mạo, tiền xử lý, trích xuất đặc điểm, - phân tích chất lượng (có thể từ chối mẫu đặc điểm khơng thích hợp cho việc tạo khuôn mẫu yêu cầu thu thập mẫu tiếp theo), - việc tạo tham chiếu sinh trắc học (có thể đòi hỏi đặc điểm từ nhiều mẫu ID người dùng), - việc kiểm tra ID yêu cầu người sử dụng CHÚ THÍCH: Trong thu nạp, ID người sử dụng liên kết với liệu sinh trắc học họ hình thức tham chiếu sinh trắc học Do đó, trình thu nạp người sử dụng kiểm soát để đảm bảo người sử dụng yêu cầu danh tính cần thiết Nếu khơng có điều kiện tiên khơng thể bảo đảm tính toàn vẹn sở liệu thu nạp Quá trình gọi kiểm chứng khơng bao hàm trình thu nạp mà bao hàm điều kiện hoạt động mô tả A.5.2 A.4.3 Hủy thu nạp Hủy thu nạp đề cập đến việc xóa tham chiếu sinh trắc học từ lưu trữ tất liệu sinh trắc học có liên quan hệ thống sinh trắc học Hủy thu nạp đề cập đến việc xóa tham chiếu sinh trắc học từ lưu trữ, cần thiết, liệu có liên quan liên kết với danh tính người dùng cuối từ hệ thống sinh trắc học Việc tiêu hủy phải thực cách an tồn mơ tả 9.1.4 A.4.4 Xác minh Trong xác minh sinh trắc học, giao dịch với người sử dụng xử lý hệ thống sinh trắc học để xác minh yêu cầu cụ thể việc thu nạp người sử dụng (ví dụ: “Tôi thu nạp người sử dụng X”) Việc xác minh tiếp nhận từ chối yêu cầu Việc xác minh coi sai yêu cầu sai tiếp nhận (tiếp nhận sai) yêu cầu bị từ chối (từ chối sai) Lưu ý số hệ thống sinh trắc học cho phép người sử dụng đơn lẻ thu nạp nhiều mẫu sinh trắc học (ví dụ, hệ thống mống mắt cho phép người dùng thu nạp hai hình ảnh mống mắt, hệ thống dấu vân tay có người dùng thu nạp hai hay nhiều ngón tay nhằm lưu, trường hợp ngón tay bị hư hỏng) Quá trình xác minh thường bao gồm: - việc thu nhận mẫu sinh trắc học thô từ người sử dụng, - việc thu nhận ID người sử dụng yêu cầu, - tiền xử lý, trích xuất đặc điểm, - kiểm tra chất lượng (có thể từ chối mẫu đặc điểm khơng thích hợp để so sánh, yêu cầu thu nhận mẫu tiếp theo), - việc chuyển đổi mẫu thu thập thành mẫu thăm dò, - việc đánh giá tương đồng mẫu thăm dò sinh trắc học qua xử lý với (các) tham chiếu sinh trắc học cho ID đối tượng yêu cầu, - định người sử dụng có trùng khớp với liệu đưa nhiều tham chiếu sinh trắc học lưu trữ trước khơng, - tương tác với ứng dụng sử dụng hệ thống sinh trắc học thông qua thành phần quản trị A.4.5 Định danh sinh trắc học Trong định danh sinh trắc học, giao dịch người sử dụng xử lý hệ thống để xác định cá thể mà khơng u cầu danh tính họ Định danh sinh trắc học trả danh tính người sử dụng danh sách khả thi Quá trình định danh thường liên quan đến: - việc thu nhận mẫu sinh trắc học thơ từ người sử dụng, - tiền xử lý, trích xuất đặc điểm, - kiểm tra chất lượng (có thể từ chối mẫu đặc điểm khơng thích hợp để so sánh, yêu cầu thu nhận mẫu tiếp theo), - chuyển đổi mẫu thu thập thành mẫu sinh trắc học qua xử lý, - đánh giá tương đồng mẫu sinh trắc học qua xử lý với tất tham chiếu sinh trắc học lưu trữ trước đó, - định người sử dụng có trùng khớp với liệu đưa nhiều tham chiếu sinh trắc học lưu trữ trước khơng, - tương tác với ứng dụng sử dụng hệ thống sinh trắc học thông qua thành phần Quản trị A.5 Môi trường điều kiện hoạt động hệ thống sinh trắc học A.5.1 Môi trường vật lý Môi trường vật lý xung quanh thành phần Thu thập phần môi trường hệ thống sinh trắc học cần xem xét suốt việc đánh giá A.5.2 Điều kiện hoạt động Điều kiện hoạt động trình thu nạp hủy thu nạp thành phần Quản trị phải xem xét việc đánh giá Đối với khía cạnh đánh giá an tồn, điều kiện hoạt động sau có tầm quan trọng đặc biệt: - Làm để cung cấp cho người quản trị đặc quyền thu nạp người sử dụng - Làm để cung cấp cho người quản trị người sử dụng đặc quyền hủy thu nạp tham chiếu sinh trắc học - Làm để cung cấp cho người quản trị đặc quyền thay đổi sách hệ thống sinh trắc học - Làm để đảm bảo đặc trưng sinh trắc học gửi không bị làm giả - Làm để đảm bảo danh tính yêu cầu (trong thu nạp) người sử dụng hợp lệ THƯ MỤC TÀI LIỆU THAM KHẢO [1] JTC 1/SC 27, Standing Document 6, Glossary of IT Security Terminology, ISO/IEC JTC 1/SC 27N6896, 2008-09-25 (http://www.itc1sc27.din.de/sce/sd6) (JTC 1/SC 27, Văn số 6, Bảng thuật ngữ thuật ngữ an tồn cơng nghệ thơng tin) [2] JTC 1/SC 37, Standing Document 2, version 9, Harmonized Biometric Vocabulary, ISO/IEC JTC 1/SC 37 N2486, 2008-02-05 (JTC 1/SC 37, Văn số 2, phiên 9, Từ vựng sinh trắc học hài hòa, ISO/IEC JTC 1/SC37N2486, 2008-02-05) [3] ISO/IEC FDIS15408-1, Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model (ISO/IEC FDIS15408-1, Cơng nghệ thơng tin - Các kỹ thuật an tồn - Tiêu chí đánh giá an tồn cơng nghệ thơng tin - Phần 1: Giới thiệu mơ hình tổng thể) [4] ISO/IEC 15408-2:2008, Information technology - Security techniques - Evaluation criteria for IT security - Part 2: Security functional components (ISO/IEC 15408-2:2008, Công nghệ thông tin - Các kỹ thuật an tồn - Tiêu chí đánh giá an tồn công nghệ thông tin - Phần 2: Các thành phần chức an toàn) [5] ISO/IEC 15408-3:2008, Information technology - Security techniques - Evaluation criteria for IT security - Part 3: Security assurance components (ISO/IEC 15408-3:2008, Công nghệ thông tin - Các kỹ thuật an tồn - Tiêu chí đánh giá an tồn cơng nghệ thơng tin - Phần 3: Các thành phần đảm bảo an toàn) [6] ISO/IEC CD 24713-1, Information technology - Biometric profiles for interoperability and data interchange - Part 1: Overview of biometric systems and biometric profiles (ISO/IEC CD 24713- 1, Công nghệ thông tin - Hồ sơ sinh trắc học khả tương thích trao đổi liệu - Phần 1: Tổng quan hệ thống sinh trắc học hồ sơ sinh trắc học) MỤC LỤC Phạm vi áp dụng Sự tuân thủ Tài liệu viện dẫn Thuật ngữ định nghĩa 4.1 Tổng quan 4.2 Hệ thống sinh trắc học 4.3 Quá trình sinh trắc học 4.4 Các tỷ lệ lỗi 4.5 Thống kê Chữ viết tắt Đánh giá an toàn 6.1 Tổng quan 6.2 Phương pháp Các tỷ lệ lỗi hệ thống sinh trắc học 7.1 Giới thiệu 7.2 Khái niệm - Kiểm thử tỷ lệ lỗi liên quan đến an tồn 7.2.1 Mơ tả hệ thống (bước 1) 7.2.2 Yêu cầu nhà cung cấp (bước 2) 7.2.3 Kiểm tra yêu cầu nhà cung cấp (bước 3) 7.2.4 Kiểm thử nhà cung cấp đánh giá kiểm thử nhà cung cấp (bước 5) 7.2.5 Kiểm thử độc lập (bước 6) Đánh giá lỗ hổng 8.1 Tổng quan 8.2 Đánh giá lỗ hổng 8.2.1 Tổng quan 8.2.2 Tổng quan mối đe dọa hệ thống sinh trắc học 8.2.3 Các lỗ hổng khác 8.3 Các lỗ hổng phổ biến hệ thống sinh trắc học 8.3.1 Giới thiệu 8.3.2 Các giới hạn hiệu suất 8.3.3 Vật giả mạo đặc trưng sinh trắc học 8.3.4 Điều chỉnh đặc trưng sinh trắc học 8.3.5 Khó khăn việc che giấu đặc trưng sinh trắc học 8.3.6 Tương đồng có quan hệ huyết thống 8.3.7 Đặc trưng sinh trắc học đặc biệt 8.3.8 Các mẫu sinh trắc học wolf tổng hợp 8.3.9 Môi trường không thuận lợi 8.3.10 Các lỗ hổng mang tính thủ tục xung quanh q trình thu nạp 8.3.11 Rị rỉ thay đổi liệu sinh trắc học Tính riêng tư 9.1 Tổng quan 9.1.1 Bảo vệ liệu 9.1.2 Ràng buộc ứng dụng 9.1.3 Vơ hiệu hóa tài khoản liệu tham chiếu sinh trắc học 9.1.4 Hủy thu nạp Phụ lục A (tham khảo) Mơ hình tham chiếu hệ thống sinh trắc học Thư mục tài liệu tham khảo