16
| 本文作者:dragondevil | 2016-03-23 21:18 |
iPhone SE发布了,没有提到“活体指纹识别”的什么鸟事。
在今年的MWC展会上,有厂商利用自制假指纹破解包括iPhone在内的指纹锁,将“活体指纹识别”的概念用洗地板的架势覆盖了各大媒体,成为一时热点。根据其在展会上对外宣传的信息显示,这是将电容指纹传感器、光学检测传感器集成到一颗传感器中,从而通过指纹、手指皮肤颜色以及心率信号来验证用户的真实身份,识别并拒绝假指纹的一项“全新技术”。
(图1,Goodix在MWC 2016展示的“活体指纹识别”的原理示意图)
其实多年以来,电容指纹传感识别技术的别名就是“活体指纹识别”,银行业更是硬性规定不可使用光学指纹识别技术,必须使用电容式指纹识别技术以保证一定安全等级的活体检测能力。
如今居然有电容式指纹识别技术公司自爆电容式没有活体检测能力(而不是活体检测能力不够),把业内人士都惊呆掉了!
作为电容指纹识别界的老大,苹果公司拥有大量的技术发明,其中于2012年授权的美国发明专利US 8180120 B2,也披露了一种技术方案,将指纹传感器和光学检测传感器集成。
(图2,苹果公司拥有的US8180120B2授权发明专利的原理示意图)
这肿么和MWC上展出的方案原理图一模一样?
这到底怎么回事?难道苹果公司有先进的技术发明不率先使用?在解答问题之前,先来扒一扒“活体指纹识别”的前世今生。
活体指纹识别是“活体检测”和“指纹识别”两个概念的组合。读者们对“指纹识别”应该没什么异议,就解释一下“活体检测”的概念。
“活体检测”是什么?
2014年6月,国家知识产权局专利局专利审查协作北京中心的王馨宁审查员发表了《生物特征识别中的“活体检测”概念及分析》,作为专利审查工作中遵循的科技名词定义规范。感兴趣的朋友可以在这里下载原文。
(图3,国家知识产权局对“活体检测”的官方解释)
在这篇官方名词解释里,活体检测是这样被定义的:
“为了防止恶意者将伪造的他人生物特征用于身份认证,在生物特征识别过程中,针对待认证样本的是否具有生命特征进行检测的技术,称为活体检测。活体检测是将具有生命特征的人的样本,与仿制的人造样本进行区分的过程,是欺骗检测中的一种。”
活体检测会用到什么技术类型呢?该科技名词定义规范里还有进一步的解释:
活体检测过程中常用的信息有以下几种类型——
第一类是生理特征信号,例如体温、皮肤表面的电阻特性、排汗过程、表情的变化、眼部动作、瞳孔大小变化等;
第二类是光谱学信息,该项技术主要针对打印图像形成的规律的纸质纹理特性,利用频谱特征进行检测;
第三类是通过人机互动的形式,通过检测预期的运动来对生物特征的活体特性进行验证;
第四类是多模态的生物特征识别,在认证系统中采用两种以上的生物特征识别技术方式,提高伪造样本的难度。
在其中还强调:
目前市场上已有的生物特征识别系统产品,已经在不同程度上采用了活体检测技术。活体检测虽然能够提高生物识别认证系统的安全性,但是检测的算法复杂度直接关系到产品成本,以及用户在使用产品时的时效性和方便度。因此活体检测技术仅仅是在一定程度上防止伪造的样本对识别系统进行攻击,并不能够提供百分之百的安全。生物的活体检测技术或者任何安全技术所能做到的,就是对于那些潜在的敌人“提高门槛”。
从这段比较直白的文字可以看出,活体检测既不是新鲜技术,也不是马灵丹妙药,而是个大杂烩。不同的活体检测方法之间没有准确的谁高谁低的必然区别,而要看其给攻击者制造了多高的“门槛”,来量化一种活体检测技术组合的安全性。
如何进行“活体检测”的安全性量化?
我们再来看一下该怎么进行“活体检测”的安全性的量化工作。2012年由全国安全防范报警系统标准化技术委员会提出并归口,由中科院自动化所、中国物联网研究发展中心、公安部安全防范产品质量监督检验测试中心、公安部第一研究所、国防科技大学、清华大学以及6家著名生物识别企业共同起草的行业标准《安防生物特征活体检测技术要求》的征求意见稿。豆丁网提供该标准原文的免费下载。
(图4,中国公共安全行业标准封面截图)
该标准对活体检测技术的测试流程进行了规定,包括6个步骤:
1、确定待测技术类别;
2、确定待测假体类型;
3、测试影响因素控制;
4、测试样本选择;
5、测试过程;
6、性能评测。
在第2步骤“确定待测假体类型”里,该标准指出:根据检测的严酷等级,可以将待测假体类型分为轻度、中度和重度三个级别——
轻度攻击性假体指以简单的技术手段为工艺获得的、具有低攻击能力的假体。
中度攻击性假体是指以复杂的技术手段为工艺获得的、具有一定攻击能力的假体。
重度攻击性假体是指以非常复杂的技术手段为工艺手段制造的、具有极高攻击能力、十分逼真的假体。
在第4步骤“测试样本选择”里,该标准指出:
如果该活体检测技术针对特定应用场景而设计,则测试报告中同时应给出该特定应用场景的真实人群的分布、可能遇到的虚假生物特征攻击评估,以及与本测试中所采用的测试样本的分布的差异性。
我来解释一下,因为这是非常、非常、非常重要的技术常识。
活体检测是多种技术手段的组合,根据应用场景中可能遭遇的假体类型进行正确的选择和组合;
通过采用与应用场景匹配的活体检测组合手段,迫使攻击者必须花非常大的代价才能实施攻击,是提高活体检测安全性的唯一途径;
所以没有最好的活体检测,只有最适合的活体检测。
在本文一开始举出的例子里,厂商用超出应用场景的定制假体来攻击Touch ID,同时在自己的活体检测方案里加入对应用场景没有意义但能够阻挡该定制假体的活体检测手段。
在这次破解中,厂商用的指纹假体是黑色的,而且看起来很厚实,所以光学方法当然能阻挡下来。可是,又有谁见过黑漆漆的假指纹?自1971年的007电影首次出现假指纹以来,所有的假指纹都是透明或半透明得。
(图5,Goodix公司定制版本的假指纹,和真实存在的假指纹)
我们来仔细讨论:
为什么智能手机应用场景不需要考虑这个黑乎乎的假指纹?
在iPhone没有丢失的情况下,即使被旁人借用,也在主人的视线以内。谁能当着主人的面拿出一坨黑乎乎的东西往Touch ID上撸,把iPhone给撸开,还不被主人发现呢?再说,这黑乎乎的一坨也不是谁都造得了,必须基于真指纹二次倒模才能做出来,所以需要“iPhone的主人亲自做了一坨黑乎乎的假指纹,送给想窃取手机内信息的人,并看着他当面把Touch ID破解掉”。如果有这样又眼拙又主动配合攻击者制造假指纹的iPhone用户,恐怕已经不是安全技术所能解决的范畴,而进入精神病医生的业务范围。这样假定攻击场景根本没有意义。
从攻击者的角度来讲,由于太容易被他人发现,这坨黑东西根本不实用。这就是为什么我们从未见过如此假指纹的原因。如果G公司换用一个真实存在的假指纹,去掉黑色这个特性,光传感器自然就失去效用,那么G公司的“活体指纹识别”的表现就跟Touch ID一样啦。这就回答了苹果明明拥有结合指纹传感器和光传感器的发明专利却不使用,因为这在应用场景中没有导致任何的攻击成本上升。
这么说可能说服力不够,我们换个角度继续谈。
手机丢失后迅速锁定和擦除是王道。活体识别不是唯一的安全技术,安全技术也不是解决安全问题的唯一办法。安全技术一般不会尝试解决这样的问题:熟人在主人不知情的情况下先窃取指纹,再窃取手机,然后破解指纹作案,因为熟人经过长期准备来作案,其暴露风险已经导致了很高的攻击成本。而攻击成本是安全等级的唯一度量,只有高于该攻击成本级别的安全系统才会处理这类问题,例如公安局。而一部智能手机,被苹果做到连FBI都束手无策的地步,凭什么还要强求对根本不存在的攻击场景作出应对呢?(《让 FBI 证明产品的安全性,苹果做到了》)
本文的线索来自我们的法国朋友Jean-François对G公司在MWC 2016展示的吐槽。Jean建立了全球最全面最优秀的指纹识别技术资料站,是我成长学习中主要知识来源之一,可以点击这里进入。
Jean自己就是研究假体攻击和活体检测的技术大拿,对厂商跑到MWC炒陈年米饭大为不满,吐槽其用了Authentec(就是苹果的电容指纹技术研发部门)的原理图,还提到专利侵权和Samsung(众所周知,三星电子因为专利侵权赔了苹果公司一大笔钱)。在他的提示下,我找出了苹果的发明专利,进而揭开了这个谜题。须知,Jean的资料站年访问量近百万,这些吐槽让全世界的专业读者都看到了。
Cheers Jean!
设计公司的价值观不应该是技术高超,而是完好地解决需求
在Jean的槽点以外,平心而论,搞这种不考虑应用场景的破解(iPhone在内的指纹锁)是没什么意义的——既然破解者连应用场景都没搞清楚过,岂不是正好说明了破解者自己根本不知道会面临怎样的攻击,怎能做到成功的防御呢?成为优秀的设计公司应该是以产品为中心,为了解决产品的需求才采用或研究高超的技术。就像苹果为保iPhone的颜值,促进电容指纹技术的行业性提升,这才是值得我们称道的。
而一切不以满足产品需求为目的的秀技术,就跟不以结婚为目的的谈恋爱一样,都是在耍流氓。
推荐阅读:
Touch ID变大!iPhone 6s的Home键下面隐藏着什么秘密?
雷峰网原创文章,未经授权禁止转载。详情见转载须知。
