Walaupun apa-apa filem pengintip pada masa lalu 30 tahun lepas, anda akan berfikir, sidik jari dan pengimbas wajah yang digunakan untuk membuka kunci telefon pintar atau peranti lain tidak hampir sama seperti yang dibuat.

Walaupun ia tidak bagus sekiranya kata laluan anda di umumkan dalam pelanggaran data, sekurang-kurangnya anda boleh dengan mudah mengubahnya. Sekiranya imbasan cap jari atau muka anda - yang dikenali sebagai "data templat biometrik" - dinyatakan dengan cara yang sama, anda mungkin berada dalam masalah sebenar. Lagipun, anda tidak boleh mendapatkan cap jari atau muka baharu.

Data templat biometrik anda ialah secara kekal dan unik dikaitkan dengan anda. Pendedahan data tersebut kepada penggodam boleh serius mengompromi privasi pengguna dan keselamatan sistem biometrik.

Teknik semasa menyediakan keselamatan yang efektif daripada pelanggaran, tetapi kemajuan dalam kecerdasan buatan (AI) sedang memberikan perlindungan ini usang.

Bagaimana data biometrik boleh dilanggar

Sekiranya penggodam ingin mengakses sistem yang dilindungi oleh cap jari atau pengimbas muka, terdapat beberapa cara mereka boleh melakukannya:

1. cap jari atau imbasan muka (data templat) yang disimpan dalam pangkalan data boleh digantikan oleh penggodam untuk mendapatkan akses yang tidak dibenarkan ke sistem
2. salinan fizikal atau spoof cap jari atau muka anda boleh dibuat dari data templat yang disimpan (dengan bermain doh, sebagai contoh) untuk mendapatkan akses yang tidak dibenarkan kepada sistem
3. data template yang dicuri boleh digunakan semula untuk mendapatkan akses yang tidak dibenarkan ke sistem
4. Data templat yang dicuri boleh digunakan oleh penggodam untuk menjejaki individu dari satu sistem ke satu sama lain.

Data biometrik memerlukan perlindungan segera

Pada masa kini, sistem biometrik semakin digunakan dalam aplikasi pertahanan awam, komersil dan nasional kami.

Peranti pengguna yang dilengkapi dengan sistem biometrik terdapat dalam peranti elektronik setiap hari seperti telefon pintar. MasterCard dan Visa kedua-duanya ditawarkan kad kredit dengan pengimbas cap jari tertanam. Dan boleh dipakai peranti kecergasan semakin menggunakan biometrik untuk membuka kunci kereta pintar dan rumah pintar.

Jadi bagaimana kita boleh melindungi data template mentah? Pelbagai teknik penyulitan telah dicadangkan. Ini jatuh ke dalam dua kategori: biometrik boleh dibatalkan dan cryptosystem biometrik.

Dalam biometrik boleh dibatalkan, fungsi matematik kompleks digunakan untuk mengubah data templat asal apabila cap jari atau muka anda diimbas. Transformasi ini tidak dapat diterbalikkan, bermakna tidak ada risiko data templat yang ditransformasikan semula ke dalam cap jari asal atau imbasan muka anda.

Dalam kes di mana pangkalan data memegang data templat yang berubah dilanggar, rekod yang disimpan boleh dihapuskan. Di samping itu, apabila anda mengimbas cap jari atau muka lagi, imbasan akan menghasilkan templat unik yang baru walaupun anda menggunakan jari atau muka yang sama.

Dalam cryptosystem biometrik, data templat asal digabungkan dengan kunci kriptografi untuk menjana "kotak hitam". Kunci kriptografi ialah "rahsia" dan data pertanyaan adalah "kunci" untuk membuka kunci "kotak hitam" supaya rahsia boleh diambil. Kekunci kriptografi dilepaskan apabila pengesahan berjaya.

AI membuat keselamatan lebih keras

Dalam beberapa tahun kebelakangan ini, sistem biometrik baru yang menggabungkan AI telah benar-benar datang ke barisan depan elektronik pengguna. Fikirkan: kamera pintar dengan keupayaan AI terbina dalam untuk mengenali dan menjejak muka yang spesifik.

Tetapi AI adalah pedang bermata dua. Walaupun perkembangan baru, seperti rangkaian saraf buatan dalam, telah meningkatkan prestasi sistem biometrik, potensi ancaman boleh timbul daripada integrasi AI.

Misalnya, penyelidik di New York University mencipta alat yang dipanggil DeepMasterPrints. Ia menggunakan teknik pembelajaran mendalam untuk menjana cap jari yang boleh membuka kunci sebilangan besar peranti mudah alih. Ia sama seperti cara kunci induk dapat membuka kunci setiap pintu.

Para penyelidik juga telah menunjukkan bagaimana rangkaian saraf buatan yang mendalam dapat dilatih supaya input biometrik asli (seperti imej muka seseorang) boleh diperolehi daripada data templat yang disimpan.

Teknik perlindungan data baru diperlukan

Mengganggu jenis ancaman ini adalah salah satu isu yang paling mendesak yang dihadapi oleh pereka sistem pengiktirafan biometrik berasaskan AI yang selamat.

Teknik penyulitan yang sedia ada yang direka untuk sistem biometrik yang tidak berasaskan AI tidak sesuai dengan sistem biometrik berasaskan AI. Teknik perlindungan yang baru diperlukan.

Penyelidik akademik dan pengeluar pengimbas biometrik perlu bekerjasama untuk memastikan data templat biometrik sensitif pengguna, dengan itu mengurangkan risiko kepada privasi dan identiti pengguna.

Dalam penyelidikan akademik, tumpuan khas harus diberikan pada dua aspek yang paling penting: ketepatan pengakuan dan keselamatan. Oleh kerana kajian ini berada di dalamnya Keutamaan sains dan penyelidikan sains s Australia, kedua-dua sektor kerajaan dan swasta sepatutnya memberi lebih banyak sumber kepada pembangunan teknologi baru ini.

Authors: Wencheng Yang, Penyelidik Doktor Falsafah, Institut Penyelidikan Keselamatan, Universiti Edith Cowan and Song Wang, Pensyarah Kanan, Kejuruteraan, La Trobe University

Artikel ini diterbitkan semula daripada Perbualan di bawah lesen Creative Commons. Membaca artikel asal.