Testování biometrického systému založeného na dynamice podpisu

Transkript

1 MASARYKOVA UNIVERZITA FAKULTA INFORMATIKY Testování biometrického systému založeného na dynamice podpisu DIPLOMOVÁ PRÁCE Bc. Lukáš Adamec Brno, 2011

2 <kopie listu zadání práce> II

3 Prohlášení Prohlašuji, že tato práce je mým původním autorským dílem, které jsem vypracoval samostatně. Veškeré zdroje, prameny a literaturu, které jsem pro vypracování použil nebo z nich čerpal, v práci řádně cituji s uvedením úplného odkazu na příslušný zdroj. Bc. Lukáš Adamec Vedoucí práce: Ing. Mgr. Zdeněk Říha, Ph.D. III

4 Poděkování Rád bych na tomto místě poděkoval všem osobám, s jejichž přičiněním tato práce vznikla. Předně bych rád poděkoval vedoucímu práce, Ing. Mgr. Zdeňku Říhovi, Ph.D., za ochotu, cenné informace, pomoc při jednání s vývojáři testovaného systému a příkladné vedení práce. Dále patří mé poděkování prof. RNDr. Václavu Matyášovi, M.Sc., Ph.D. za nabídku práce na zpracovávaném tématu. V neposlední řadě také děkuji všem dobrovolníkům, kteří se zúčastnili testování systému, bez jejich zájmu by tato práce byla stěží realizovatelná. IV

5 Shrnutí Diplomová práce se zabývá oblastí autentizace osob, přesněji biometrickou metodou autentizace na základě dynamiky podpisu uživatele. Cílem práce je otestování nově vyvíjeného systému pro verifikaci uživatele na základě dyna miky jeho podpisu. Snímání podpisu probíhá prostřednictvím speciálního podpisového tabletu a získaný podpis, resp. jeho význačné charakteristiky reprezentující dynamiku rukopisu uživatele, je ověřován proti referenčnímu vzorku, uloženému na vzdáleném serveru společnosti, která systém poskytuje a zajišťuje jeho provoz. Testování je zaměřeno na chybovost systému jak z hlediska míry nesprávných odmítnutí oprávněných uživatelů, tak především z hlediska míry nesprávných přijetí neoprávněných osob útočníků, disponujících různou úrovní znalostí o podpisu uživatele, za kterého se chtějí vydávat. Výsledky testů poskytnou vývojářům důležitá data pro případné úpravy systému tak, aby bylo dosaženo minimální chybovosti a odpovídající funkčnosti systému před jeho ostrým nasazením v komerční sféře. V

6 Klíčová slova Biometrika, podpis, dynamika podpisu, autentizace, verifikace, FNMR, FMR, FAR, FRR, DET, ROC, korelace, referenční vzorek VI

7 Obsah 1 ÚVOD AUTENTIZACE A BIOMETRIKY Základní terminologie Biometriky Vlastnosti biometrik Obecný model použití biometrického systému Výhody/nevýhody biometrické autentizace Rozdělení biometrik Biometrické technologie DYNAMIKA PODPISU Verifikace osoby na základě podpisu Snímací zařízení Online verifikace podpisu uživatele Obecný model použití systému Zpracování a srovnání biometrických charakteristik Klasifikace útočníků na online verifikační systém TESTOVÁNÍ BIOMETRICKÝCH SYSTÉMŮ Chybovost biometrických systémů Chyby porovnání Chyby rozhodování Chyby snímání biometrických dat Další metriky chybovosti Prostředky pro vyhodnocení výkonnosti biometrického systému Testování výkonnosti biometrických systémů Typy testování výkonnosti Online/Offline testování Metodika testování TESTOVANÝ SYSTÉM DOC SECURE Vstupní zařízení Aplikace Doc Secure Základy implementace systému Analytická část aplikace Přehled konkurenčních systémů TESTOVÁNÍ SYSTÉMU Analýza funkcionality a návrh testovacího protokolu Poznatky z úvodní analýzy systému Testovací protokol Poznatky z průběhu testování, vyhodnocení výsledků Registrace Transakce oprávněných uživatelů odhad FRR Transakce útočníků odhad FAR...47 VII

8 6.2.4 DET, ROC charakteristiky Testování upravené verze systému Testovací protokol Vyhodnocení výsledků ZÁVĚR...69 Použité zdroje...72 Přílohy...74 Příloha A: Obsah přiloženého CD...74 Příloha B: Systém Doc Secure...75 Příloha C: Ukázky podpisů...78 VIII

9 Kapitola 1 Úvod V každodenním životě se setkáváme se situacemi, které vyžadují ověření naší identity. Proces, prostřednictvím kterého toto ověření probíhá, umožňuje druhé straně ať už je jí člověk nebo něja ký počítačový systém ověřit, že daná osoba, která předkládá nějaké tvrzení o své identitě, je skutečně tou osobou, za kterou se vydává. Proces ověření totožnosti osoby je všeobecně označován pojmem autentizace. S autentizací a identifikací se často setkáváme, aniž si to sami uvědomujeme. Každý člověk je schopen rozpoznat rodinné příslušníky, přátele nebo známé osobnosti na základě jejich fyzických charakteristik (vzhledu, hlasu, apod.). Svou totožnost prokazujeme prostřednictvím dokladů totožnosti, porovnáním podpisového vzoru s aktuálním podpisem, prokázáním znalosti hesla nebo PINu. Různé metody autentizace poskytují různou úroveň záruky o správnosti ověření identity osoby. Je zřejmé, že ne každá metoda je vhodná a použitelná pro jakoukoliv situaci, která vyžaduje autentizaci. Například ověření totožnosti klienta při zadávání peněžní transakce v bance může provést zaměstnanec za přepážkou na základě dokladu totožnosti, případně v kombinaci s podpi sem. Pro jiné aplikace, řekněme třeba omezení přístupu do objektů pouze pro oprávněné osoby, můžeme s výhodou využít některou z automatizovaných metod autentizace, například prokázání znalosti hesla, které uživatel zadá na klávesnici, předložení čipové karty nebo verifikaci na základě otisku prstu. Výhoda spočívá mimo jiné v tom, že pro ověření totožnosti není nutná přítomnost další osoby ověřovatele. Volba vhodné autentizační metody také závisí na požadavcích na úroveň zabezpečení daného systému. Ruku v ruce s technickým pokrokem jde také vývoj autentizačních metod. V 19. století vytvořil francouzský kriminalista Alphonse Bertillon metodu identifikace zločinců na základě měření různých fyzických charakteristik lidského těla a zaznamenávání zvláštních znaků jako tetování nebo jizvy [1]. Dnes jsou již k identifikaci osob využívány nejrůznější automatizované metody těžící především z výpočetní síly počítačů. Ověření identity osoby lze provést jednou ze tří základních metod [3], označovaných také jako: něco, co známe metoda založená na prokázání znalosti tajné informace známé pouze oprávněné osobě. Příkladem může být znalost hesla nebo PINu. něco, co máme uživatel vlastní nějaký předmět, tzv. token, kterým prokazuje svou identitu. Za token lze považovat například čipovou kartu nebo i obyčejný klíč. něco, co jsme ověření totožnosti probíhá na základě biometrických charakteristik člověka, např. otisku prstu nebo dynamiky podpisu. Uvedené metody lze vzájemně kombinovat jedná se pak o tzv. vícefaktorovou autentizaci za účelem eliminace nevýhod a naopak využití výhod jednotlivých metod, vedoucích ke zvýšení bezpečnosti systému. Pravděpodobně nejznámější kombinací je vlastnictví čipové karty a znalost PINu [1]. 1

10 V rámci své práce se zaměřuji na biometrické metody autentizace osob. Jsou založeny na automatizovaném měření a porovnávání biometrických charakteristik (zkráceně biometrik), které by měly být pro každého člověka jedinečné, aby mohly být využity pro ověření identity. Mezi biometriky lze zařadit např. otisk prstu, tvar dlaně ruky, vzor oční duhovky, dynamiku podpisu nebo verifikaci na základě hlasu [3]. Bližší informace týkající se autentizace a přehled biometrických autentizačních metod jsou obsahem druhé kapitoly. Ve třetí kapitole se podrobněji věnuji technologii biometrické autentizace osob založené na dynamice podpisu, protože v praktické části testuji právě systém využívajícím k autentizaci této behaviorální biometrické charakteristiky. Upozorňuji na fakt, že dynamika podpisu se nezabývá výslednou vizuální podobou podpisu, ale její základ spočívá ve vyhodnocování dynamiky pohybů pera během jeho vytváření [4]. Mimo to však existují i systémy založené na porovnávání vizuální podo by podpisů. Techniky umožňující srovnání podpisů přinášejí možnost využití něčeho tak běžného, jako je podpis osoby, jako automatizované biometrické metody autentizace. Práce se soustředí mimo jiné na popis metodiky testování biometrických systémů, především z hlediska chybovosti. Chyby mohou vzniknout v důsledku toho, že biometrická měření nikdy neposkytují 100% shodná data pro srovnání a tento fakt musí být zohledněn při rozhodování o shodě dvou vzorků. Metodiky testování popisuje řada standardů, na jejichž základě stavím obsah čtvrté kapitoly. V ní přibližuji základní typy testů a vysvětluji některé pojmy související především s chybovostí biometrických systémů. Dále zmiňuji doporučení pro výběr reprezentativního vzorku dobrovolníků, doporučení pro sběr dat od každé zúčastněné osoby v průběhu testování, návrh testovacího scénáře a možnosti analýzy a zpracování výsledků. Cílem práce je, jak napovídá samotný název, testování systému založeného na dynamice podpisu. Jedná se o nový systém vyvíjený americkou společností Verifax Biometrics, která po dohodě s Laboratoří bezpečnosti a aplikované kryptografie Fakulty informatiky (FI) Masarykovy univerzity (MU) požadovala jeho otestování z hlediska míry nesprávných odmítnutí oprávněných uživatelů a nesprávných přijetí neoprávněných osob. Systém je tvořen hardwarovou a softwarovou částí. Hardwarová část slouží ke snímání podpisu uživatele, resp. význačných charakteristik dynamiky při vytváření podpisu, které jsou zaznamenávány pomocí podpisového tabletu značky Wacom. Softwarovou část tvoří aplikace Doc Secure, která funguje jako modul textového procesoru Microsoft Word 2003 nebo novějšího. Software umožňuje vložení podpisu uživatele ve vizuální podobě do textového dokumentu, spolu s informací o správnosti ověření identity podepisující osoby na základě dynamiky podpisu. Podrobný popis testovaného systému lze nalézt v páté kapitole. Mým úkolem bylo navržení testovacího protokolu a provedení navržených testů na netriviálním počtu osob. Testování lze rozdělit do několika částí. V první části analyzuji možnosti práce se systé mem, se zaměřením na funkcionalitu systému z pohledu uživatele. Za cíl si kladu získání správných návyků pro práci se systémem, abych byl následně schopen vhodně navrhnout jednotlivé testy a vysvětlit způsob používání systému zúčastněným osobám. Zabývám se procesem registrace uživatele na webových stránkách společnosti, tvorby referenčního vzorku pro následná srovnání a podepisování dokumentu spolu s ověřením podpisu. Rovněž se snažím odhalit nedostatky v uživatelské přívětivosti. 2

11 Druhou část tvoří otestování systému na dostatečně velkém počtu osob. Po úvodním seznámení se s funkcionalitou systému jsem tento počet stanovil na dobrovolníků. Testování se skládá ze dvou částí, a sice testování míry nesprávných odmítnutí a testování míry nesprávných přijetí při různé úrovni znalostí útočníka o podpisu uživatele. Kromě samotného podpisu uživatele v pravém slova smyslu je testování provedeno také pro slovo (dále označované jako heslo ), jehož obsah je společný pro všechny zaregistrované uživatele. Každý uživatel však do hesla vnáší svůj rukopis a dynamiku psaní. Uživatelé zaregistrovaní do systému se zúčastnili testování míry nesprávných odmítnutí ve dvou sezeních, z nichž první probíhalo bezprostředně po registraci a druhé s časovým odstupem jednoho týdne až jednoho měsíce, dle časových možností uživatelů. Také některé osoby vystupující jako útočníci se zúčastnili dvou sezení, kdy po prvním sezení měli možnost natrénovat si podpis některého oprávněného uživatele před absolvováním druhého sezení. Jelikož testování odhalilo nedostatky ve způsobu vyhodnocování podobnosti podpisů, byla ze strany vývojářů systému nutná úprava aplikace. Poslední část testování si klade za cíl otestování upravené verze aplikace, se zaměřením na ověření správnosti úprav systému a dosažení předpokládané přesnosti verifikace uživatelů. Na základě provedených testů analyzuji výsledky z hlediska chybovosti systému při standardním nastavení aplikace a při různých nastaveních prahových hodnot pro úspěšnou verifikaci. Srovnávám jednotlivé typy útoků z hlediska úspěšnosti útočníků. Porovnávám úspěšnost verifikace oprávněných uživatelů ihned po registraci a s časovým odstupem a úspěšnost útočníků během prvního sezení a při poskytnutí neomezené doby pro natrénování podpisu uživatele. Dále srovnávám chybovost při použití klasického podpisu a hesla. V neposlední řadě je předmětem srovnání bezpečnostní politika definující transakce skládající se pouze z jednoho a z maximálně tří autentizačních pokusů. Rovněž se snažím zjistit, zda s rostoucím počtem pokusů dochází ke zvýšení úspěšnosti jak autentizace uživatelů, tak i útočníků snažících se napodobit podpis některého oprávněného uživatele. Závěrem srovnávám také chybovost původní a nové verze systému. Podrobnostem ohledně navrženého testovacího protokolu a vyhodnocení výsledků se věnuje šestá kapitola. V závěru práce shrnuji dosažené výsledky. Přináším svůj pohled na použitelnost a možné nasazení a uplatnění systému v komerční sféře a snažím se přiblížit důležitost testování biometrických systémů před jejich uvedením do ostrého provozu. 3

12 Kapitola 2 Autentizace a biometriky V dnešní době se stále častěji dostáváme do situací, které vyžadují prokázání naší identity. Správné a spolehlivé ověření identity osoby je přitom pro řadu aplikací kritické. Například při přístupu k bankovnímu účtu chceme mít jistotu, že pouze oprávněná osoba (majitel účtu) může ke svému účtu přistupovat a provádět platební transakce. Jinými příklady aplikací vyžadujících ověření totožnosti mohou být omezování přístupu do chráněných objektů pouze pro oprávněné osoby, evidence docházky nebo i běžné přihlášení jménem a heslem k uživatelskému účtu na počítači. Podobných aplikací je v dnešní době nespočet a každá klade na proces ověření identity specifické bezpečnostní nároky. 2.1 Základní terminologie Pojmem autentizace označujeme proces, na jehož základě ověřujeme a tím také ustavujeme identitu osoby s požadovanou mírou záruky. To znamená záruku za to, že osoba předkládající nějaké tvrzení o své identitě je právě tou osobou, za kterou se vydává [3]. Souvisejícím pojmem je autorizace, která obvykle navazuje na úspěšnou autentizaci a jedná se o přidělení určitých práv a určení povolených aktivit na základě identity uživatele [3]. Při autentizaci se typicky využívá jeden z následujících přístupů [1, 3]: Verifikace (autentizace) proces ověření identity, při kterém osoba nejprve předloží tvrzení o své identitě (uživatelské jméno, apod.) a následně poskytne prostředek pro ověření této identity (heslo, biometrický vzorek). Ověření se děje 1:1. Identifikace (rozpoznání) osoba tvrzení o své identitě nepředkládá. Systém na základě autentizační informace prohledává celou databázi uživatelů a snaží se nalézt patřičnou shodu a tím rozpoznat identitu osoby. Srovnání probíhá 1:N. 2.2 Biometriky Biometriky jsou automatizované metody identifikace nebo ověření identity osoby na základě měřitelných fyziologických nebo behaviorálních charakteristik, jedinečných a relativně neměnných pro každého člověka [5]. Často se tato autentizační metoda označuje jako něco, co jsme. Ve svých počátcích se biometriky využívaly pouze v úzce specializovaných aplikacích v kriminalistice a armádě. S rozvojem technologií se s nimi však v současné době můžeme stále častěji setkat i ve veřejném sektoru [2, 3]. Příkladem mohou být cestovní pasy s biometrickými údaji, vydávané v ČR od roku 2009, které obsahují čip nesoucí digitální fotografii a otisky prstů vlastníka. 4

13 2.2.1 Vlastnosti biometrik Nelze říci, že jakákoliv biologická charakteristika člověka může být zároveň biometrikou. Charakteristiky, které lze využít k biometrické autentizaci, musí splňovat tyto požadavky [2, 5]: Univerzalita každá osoba by měla danou charakteristikou disponovat; z pohledu praxe je tato vlastnost obtížně 100% dosažitelná, např. z důvodu chybějících nebo poraněných orgánů u některých osob; tyto výjimečné stavy musí být v systému řešeny. Jedinečnost žádné dvě osoby by neměly být stejné, ve smyslu měřené charakteristiky; problém může vzniknout např. u jednovaječných dvojčat. Stálost charakteristika by měla být neměnná v čase; příčinnou změn může být stárnutí, nemoc, zranění. Změnám často podléhají behaviorální charakteristiky (hlas, podpis). Měřitelnost snímání charakteristiky by mělo být jednoduché a uživatelsky přijatelné; charakteristika by měla být měřitelná opakovaně. Výkonnost vlastnost vztahující se k dosažitelné přesnosti autentizace a závisející na zdrojích a podmínkách prostředí nutných k zajištění požadované přesnosti. Přijatelnost indikuje míru ochoty uživatelů používat daný biometrický systém. Bezpečnost obtížnost úspěšného oklamání systému některou z podvodných technik. Volbu biometrického systému pro konkrétní prostředí mohou dále ovlivnit následující faktory: Cena náklady na pořízení potřebného vybavení, provoz a údržbu. Chybovost důležitý faktor biometrických systémů; z důvodu, že biometrická data z různých měření nikdy nevykazují 100% shodu, je nutné povolit určitou variabilitu mezi referenčním vzorkem a později snímanými daty při verifikaci. Povolená variabilita může být zdrojem chyb nesprávných odmítnutí uživatelů nebo nesprávných přijetí neoprávněných osob. Chybovosti se blíže věnuji v kapitole 4. Srovnání biometrických technologií z hlediska úrovně splnění výše uvedených vlastností přináší následující tabulka, která může být vodítkem pro výběr vhodné technologie pro konkrétní prostředí. UniJediverzalita nečnost Tvář 1 3 Otisk prstu 2 1 Geometrie ruky 2 2 Dynamika psaní na klávesnici 3 3 Vzor cév na hřbetu ruky 2 2 Oční duhovka 1 1 Oční sítnice 1 1 Dynamika podpisu 3 3 Hlas 2 3 DNA 1 1 Biometrika Stálost Měřitelnost Výkonnost Přijatelnost Bezpečnost vysoká úroveň splnění vlastnosti; 2 střední úroveň; 3 nízká úroveň Tab. 2.1: Srovnání biometrických technologií [6] 5

14 2.2.2 Obecný model použití biometrického systému Přestože způsob práce s každou biometrickou technologií se systém od systému liší, základní typy operací jsou technologicky nezávislé a tvoří tak obecné schéma použití biometrického systému [3, 7, 8]. Osoba, která se chce autentizovat pomocí biometriky, se nejprve musí do daného biometrického systému zaregistrovat. Účelem registrace je vytvoření referenčního vzorku (šablony), proti kterému se uživatel bude následně autentizovat a jeho uložení, typicky ve formě matematické reprezentace význačných charakteristik. Kvalita šablony je kritická, protože velkou měrou ovlivňuje úspěšnost následné autentizace uživatele. K jejímu vytvoření je proto často vyžadováno více (3 5) měření biometrických dat a registrace by měla probíhat pod dohledem proškoleného personálu. Poté, kdy je uživatel do systému zaregistrován, může systém používat k autentizaci verifikaci nebo identifikaci. Obvykle tento proces probíhá plně automatizovaně. Verifikace/identifikace zahrnuje snímání (obvykle pouze jednoho) biometrického vzorku prostřednictvím snímacího zařízení, extrakci charakteristických rysů, kontrolu kvality a porovnání charakteristik s referenčním vzorkem (1:1 nebo 1:N). Po srovnání přichází na řadu rozhodnutí o úspěšnosti autentizace. Provádí se na základě porovnání míry shody porovnávaných vzorků (tzv. skóre) s prahovou hodnotou, která udává minimální míru shody mezi referenčním vzorkem a aktuálními daty pro úspěšnou autentizaci. Nastavení prahové hodnoty by se mělo odvíjet od požadavků na bezpečnost konkrétního systému Výhody/nevýhody biometrické autentizace Biometriky přinášejí nespornou výhodu v tom, že autentizují přímo člověka jako takového, protože využívají přímo jeho unikátní fyziologické nebo behaviorální charakteristiky. Uživatelé nemusí nic nosit u sebe, nic si nemusí pamatovat. Biometriky nemohou být předány jiné osobě, nemohou být jednoduše ukradeny ani ztraceny. Systémy jsou navrhovány s tím, že biometriky nejsou tajné, a proto jejich znalost nenaruší bezpečnost systému tak, jako třeba prozrazení hesla. Výhodu může představovat také rychlost autentizace v porovnání s jinými metodami [7]. Přes výše uvedené výhody oproti jiným autentizačním metodám, mají biometriky svá specifická omezení, především co se týče přesnosti a rychlosti. Dnes dostupné biometrické systémy stále zpravidla nejsou při ověřování identity bezchybné. Biometrická data nejsou tajná a bezpečnost systému nemůže být založena na jejich utajení. Vzorky musí být vždy aktuální a snímány při každé autentizaci, snímací zařízení musí být důvěryhodné. Dalším problémem je nemožnost registrace některých osob (např. osob s chybějícími částmi těla, trpících specifickými nemocemi, apod.). To z hlediska návrhu systému vyžaduje dodatečná opatření. Někteří uživatelé nemusí být ochotni podrobit se biometrickému měření z etických předsudků. Navíc, biometriky mohou obsahovat citlivé informace a narušovat tak soukromí uživatelů [7]. Specifikem biometrik oproti jiným autentizačním metodám je fakt, že biometrická data jsou osobními údaji, a proto s nimi musí být nakládáno v souladu se zákonem o ochraně osobních údajů. 6

15 2.2.4 Rozdělení biometrik Biometriky můžeme rozdělit do dvou kategorií podle povahy měřených charakteristik [1, 3]: Fyziologické (statické) charakteristiky biometrická data jsou snímána přímým měřením části lidského těla. Patří zde otisk prstu, geometrie ruky, vzor oční duhovky, aj. Behaviorální (dynamické) charakteristiky vlastnosti založené na chování osoby. Během autentizačního procesu je vyžadována jistá akce uživatele. Jedná se typicky o naučené, natrénované vlastnosti, které jsou však teoreticky v průběhu života měnitelné a často mohou být ovlivňovány aktuálním zdravotním nebo psychickým stavem osoby. Obecně tedy nejsou tak spolehlivé a přesné jako fyziologické charakteristiky. Lze zde zařadit dynamiku podpisu, rozpoznávání hlasu či dynamiku psaní na klávesnici. Dále lze biometriky dělit na genotypické, které člověk dědí od rodičů (DNA). Jsou časově neměnné a neovlivnitelné. Druhým typem jsou fenotypické, jež se vytvářejí náhodně v raných stádiích vývoje embrya a jsou pro každou osobu jedinečné (otisk prstu, oční duhovka) [1] Biometrické technologie Existuje řada biometrických technologií. Některé jsou ve fázi vývoje, jiné jsou již dostatečně vyzrálé a komerčně dostupné [5]. V následující části přináším stručný přehled vybraných z nich. Otisk prstu Otisky prstů patří mezi nejstarší a v dnešní době stále nejrozšířenější biometriky, využívající k autentizaci vzorů papilárních linií na povrchu prstu. Vzory se vytvářejí v průběhu embryonálního vývoje a obecně jsou uznávány za jedinečné nejen pro každého člověka, ale i pro každý prst [4]. Otisky mohou být porovnávány jako celky (tzv. srovnání vzorů) nebo na základě identifikačních bodů (markantů) nacházejících se v rýhách vzoru a popisujících změny papilárních linií [9]. Dříve byly otisky prstů nanášeny za pomoci inkoustu na papír a převedeny prostřednictvím skeneru do digitální podoby. Dnes se používají automatizované techniky, které využívají optické, kapacitní, ultrazvukové, tepelné nebo tlakové snímače. Výhodou technologie je vysoká přesnost dosahující míry nesprávných přijetí (False Acceptance Rate FAR) < 0,1 % při míře nesprávných odmítnutí (False Rejection Rate FRR) 5 %, nízká cena, malé rozměry snímacího zařízení a poměrně vysoká přijatelnost ze strany uživatelů. Nevýhodou může být časté spojování otisků prstů s oblastí kriminalistiky a také fakt, že otisky prstů zanecháváme na všem, čeho se dotkneme. Pojmy FAR a FRR budou blíže vysvětleny v kapitole 4. Geometrie ruky Metoda založená na měření fyziologických charakteristik ruky a prstů, zahrnujících délku a šířku dlaně a prstů, boční profil ruky, zakřivení prstů, případně relativní pozici charakteristických znaků. Obraz je typicky snímán černobíle ve 3D, pozice ruky na snímacím zařízení je vymezena vo- 7

16 dícími kolíky. Charakteristiky umožňují verifikaci uživatele, nejsou však pro každého člověka jedinečné, a proto se nehodí pro identifikaci [3, 9]. Výhodou je malá velikost vzorku (pouze 9 bytů), vysoká rychlost verifikace (během 1 sekundy), nezávislost na poranění pokožky a malý vliv okolního prostředí. Nevýhodou je docela vysoká chybovost (FAR i FRR kolem 5 %) a větší rozměry snímacího zařízení. Rozpoznávání tváře Tvář patří mezi nejpřirozenější a mezi uživateli nejpřívětivější biometriky. Lidé běžně identifikují osoby, s nimiž každodenně přicházejí do styku, na základě tváře. V oblasti využití tváře jako biometriky se jedná o relativně mladou technologii, která je stále předmětem výzkumu a vývoje. Většina systémů pracuje na principu analýzy významných charakteristik lidské tváře. Využívá se informace o tvaru obličeje a poloze a velikosti význačných míst ve tváři (oči, nos, ústa, obočí, lícní kosti). Analyzují se informace o vzdálenosti očí, vzdálenosti rtů od nosu, úhlu mezi špičkou nosu a okem, atd. [3]. Jako vstupní zařízení lze obvykle použít jakoukoliv videokameru s patřičným rozlišením. Výkonnost systému ovlivňuje řada faktorů kvalita kamery, způsob prezentace tváře během snímání, okolní prostředí, změny obličeje v čase [3, 10]. Výhodou technologie je nízká cena, dostupnost potřebného technického vybavení a vysoká uživatelská přívětivost plynoucí z bezkontaktního způsobu snímání. Nevýhodou je velká výpočetní náročnost a v důsledku toho dlouhá doba srovnání (několik sekund), nízká přesnost (FAR i FRR v řádu jednotek až desítek procent) a nezanedbatelný vliv okolního prostředí. Oční duhovka Biometriky založené na charakteristikách lidského oka patří k nejpřesnějším, ale zároveň nejdražším technologiím. Duhovka je pro každého člověka a každé jeho oko jedinečná a časově stálá a disponuje asi 400 charakteristickými znaky, které v ní mohou být libovolně kombinovány [3]. Snímání se provádí černobílou CCD kamerou ze vzdálenosti v řádu desítek cm. Není tedy nutný kontakt se snímacím zařízením, z pohledu uživatele je však nutné vyvinout netriviální úsilí pro správné zaměření oka. Vzor duhovky je reprezentován 256-bytovým kódem, tzv. IrisCode [4, 10]. Výhodou metody je nízká chybovost (FAR téměř nulová při FRR kolem 3 %), vysoká rychlost (mi liony srovnání za sekundu) a možnost použití i s brýlemi na očích či kontaktními čočkami. Metoda je díky vysoké přesnosti a rychlosti vhodná i pro identifikaci. Oční sítnice Oční sítnice je světlocitlivá tkáň pokrývající zadní stěnu oka. Verifikace probíhá na základě srovnání jedinečného vzoru cév na jejím povrchu, který je získán osvětlováním sítnice infračer veným (pro člověka neviditelným) světlem s nízkou intenzitou [1, 4]. Metoda vykazuje téměř nulovou FAR, avšak s relativně vysokou FRR. Nevýhodou je pro uživatele nepříjemný proces snímání vyžadující kontakt se snímacím zařízením a zaostření na přesně vymezený bod [3]. Využití technologie nachází v prostředích s vysokými nároky na bezpečnost. 8

17 Verifikace hlasu Biometrika založená na charakteristikách hlasu daných hlasovým ústrojím člověka. Mezi významné charakteristiky patří barva, výška, hlasitost či délka trvání tónu. Charakteristickou informací může být také způsob vyjadřování. Metoda nevyžaduje speciální vstupní zařízení, typicky se používá běžný mikrofon nebo telefon. V závislosti na povaze vstupu lze systémy rozdělit na textově závislé a textově nezávislé. Textově závislé systémy vyžadují k autentizaci vyslovení předem určeného slova nebo krátké fráze, uložené uživatelem do databáze při registraci. Jsou používanější, vykazují nižší chybovost a využívají se hlavně pro verifikaci. Textově nezávislé systémy autentizují osoby na základě libovolné fráze [4]. FAR i FRR se za ideálních podmínek pohybují kolem 2 %. Výhodou je vysoká přijatelnost mezi uživateli, nízká cena, jednoduchost použití, možnost autentizace vzdáleně (po telefonu) a možnost autentizace výzva odpověď a kontinuální autentizace. Nevýhodou je malá přesnost a vysoká míra proměnlivosti hlasu v čase a v důsledku nemocí nebo psychického stavu [3]. Dynamika podpisu Dynamika podpisu patří mezi behaviorální charakteristiky. Spočívá v ověření totožnosti osoby na základě toho, jak uživatel něco dělá, v tomto případě jak se podepisuje. Problematice dynamiky podpisu se podrobněji věnuji v následující kapitole. Dynamika psaní na klávesnici Behaviorální charakteristika postavená na předpokladu, že každá osoba píše na klávesnici charakteristickým způsobem. Technologie využívá běžnou klávesnici počítače. Měří se dynamika úhozů, tedy čas stlačení klávesy a čas mezi stisky kláves. Autentizace může být buďto jednorázová (např. při přihlašování uživatele do systému) nebo může probíhat kontinuálně po celou dobu používání systému [3]. Výhodou metody je nízká cena a vysoká uživatelská přívětivost, nevýhodou závislost na aktuálním psychickém stavu uživatele či odlišnosti způsobené různými typy klávesnic. Další biometrické technologie Kromě výše popsaných biometrických technologií existuje široká škála dalších biometrik, které se nacházejí ve fázi výzkumu a vývoje. Řadí se zde například vzor lůžka nehtů, pach těla, tvar ušního boltce, chůze, otisk dlaně, termografie obličeje, vzor cév na hřbetu ruky [4]. Rád bych také zmínil identifikaci na základě DNA. Jedná se o jedinečnou (s výjimkou jednovaječných dvojčat) a v průběhu života neměnnou charakteristiku. Z hlediska biometrik se tedy DNA jeví jako velmi perspektivní metoda identifikace. Pro svou vysokou přesnost je již dlouhou dobu úspěšně využívána v kriminalistice. Nelze ji však považovat za biometriku v pravém slova smyslu, protože dosud nebylo nalezeno řešení, které by umožnilo identifikační proces automa tizovat. Časově náročný, drahý a uživatelsky nepřívětivý proces identifikace a možnost odhalení citlivých informací o osobě jsou dalšími nevýhodami této biometriky [4, 5]. 9

18 Kapitola 3 Dynamika podpisu Způsob, jakým se člověk podepisuje, je považován za charakteristiku jedince, kterou lze využít k ověření jeho totožnosti. Jedná se o behaviorální charakteristiku, která však nemusí být jedinečná v rámci lidské populace, proto se využívá pouze pro verifikaci. 3.1 Verifikace osoby na základě podpisu Pro autentizaci uživatele na základě dynamiky podpisu ve většině případů není důležitý vzhled výsledného podpisu, ale ověření identity probíhá na základě způsobu psaní při podepisování dané osoby. Podpisový vzor může poskytnout informace o geometrii, zakřivení a tvaru jednotlivých znaků a slov. Dynamická složka popisuje provedení jednotlivých tahů a podpisu jako celku. Může být zaznamenávána rychlost, akcelerace, směr, délka jednotlivých tahů či přítlak pera na podložku. Dále celková rychlost psaní, celková dráha podpisu, časy, kdy je pero pokládáno na podložku a kdy naopak zvedáno z podložky, příp. další informace vztahující se ke způsobu vytváření podpisu [4]. Valná většina systémů ověřuje pouze dynamiku a nebere v úvahu výsledný vzhled podpisu. Tyto systémy se označují jako online systémy. Na druhé straně stojí tzv. offline systémy, které k autentizaci využívají pouze výslednou podobu podpisu. Existují i systémy, které se snaží kombinovat oba přístupy za účelem zvýšení přesnosti verifikace. Zkušenosti totiž ukazují, že systémy využívající pouze dynamiku mohou vyhodnotit jako pozitivní shodu i takový podpis, jehož vizuální podoba se značně liší od vzhledu referenčního vzorku. Příčinnou takovýchto chybných rozhodnutí může být fakt, že za nejvýznamnější složku pro srovnání se často považuje rychlosti psaní [5]. Technologii lze použít všude tam, kde se využívá klasický podpis. Online verifikace může nalézt uplatnění také v elektronických aplikacích jako přihlašování k uživatelským účtům na počítačích, řízení přístupu do objektů, při přístupu k chráněným datům nebo při ověřování platebních transakcí. Tedy všude tam, kde je vyžadována autentizace v reálném čase. Offline verifikaci lze využít při ověřování podpisů na dokumentech, na kterých byl podpis vytvořen dříve, než kdy se požaduje jeho ověření [11]. Offline metodou se více zabývat nebudu, online verifikaci podrobněji představím dále v rámci této kapitoly. Dynamika podpisu (online) zvyšuje bezpečnost v oblastech, kde se využívá klasický podpis, protože rozšiřuje podpisový vzor o dodatečnou informaci o způsobu jeho vytváření. Případný podvodník není schopen získat žádnou informaci o způsobu vytváření podpisu, pokud zná pouze vzor, a tedy nemůže úspěšně podvrhnout podpis oprávněné osoby. Navíc, dynamika je obtížněji reprodukovatelná než samotný podpisový vzor i v případě útočníkovy znalosti o způsobu jeho psaní. Dynamika psaní také vykazuje vyšší stálost vzorku než vizuální podoba podpisu. Přestože každý podpis osoby bývá často vizuálně odlišný, dynamická složka zůstává stabilnější. Výhodou biometriky je vysoká přijatelnost u uživatelů, protože každý člověk je zvyklý každo denně používat podpis při transakcích vyžadujících ověření identity a nízká cena snímacího 10

19 zařízení. Nevýhodou je nízká přesnost, nedostatečná pro většinu aplikací (FAR i FRR v řádu desítek procent) [3]. Příčinnou je i to, že se jedná o biometriku založenou na chování a opakovatelnost pod pisu může být ovlivněna psychickým nebo fyzickým stavem uživatele, věkem, denní dobou či důležitostí podepisovaného dokumentu. Roli mohou hrát i rozdílná snímací zařízení. Také je nutné vzít v úvahu, že ne všichni lidé mohou být schopni se podepsat. 3.2 Snímací zařízení Podpis, resp. dynamika při jeho vytváření, může být snímán prostřednictvím tabletu nebo speciálního pera. Tablety zaznamenávají souřadnice ve dvou dimenzích a přítlak pera na podložku. Mohou být použity buďto standardní tablety nebo speciální (podpisové) tablety určené právě pro využití v biometrických systémech. Použití tabletů s sebou přináší dvě zásadní nevýhody. Výsledný digitalizovaný podpis se často liší od svého papírového ekvivalentu a u levnějších zařízení uživatel nevidí dříve napsané. U podpisových tabletů uživatel většinou píše na LCD displej, který poskytuje zpětnou vazbu a dosud napsaný text uživateli zobrazuje. Další alternativou je použití takových tabletů, které dokáží snímat podpis psaný klasickým perem na papír přiložený na snímací plochu tabletu. Moderní snímače zaznamenávají relevantní informace krát za sekundu [9]. Kromě tabletu může být vstupním zařízením speciální pero, tzv. smartpen, které má ve svém hrotu zabudovány senzory pro záznam pohybu ve všech třech dimenzích a často i úhel náklonu. Některá pera mohou obsahovat inkoustovou náplň a umožňují tak psaní na běžný papír [5]. Vlastnosti snímacího zařízení, jako je velikost aktivní plochy tabletu, rozlišení, počet rozpoznávaných úrovní přítlaku, vzorkovací frekvence či přítomnost zpětné vazby, ovlivňují kvalitu a množství získaných dat a tím i výkonnost celého systému [11]. Obr. 3.1: Podpisový tablet se zpětnou vazbou [12]; smartpen [13] V případě offline systémů je typickým vstupním zařízením skener, který digitalizuje vzor podpisu skenováním papírové předlohy (např. dokumentu nebo bankovního šeku). 3.3 Online verifikace podpisu uživatele Systémy umožňující ověření totožnosti na základě podpisu osoby v reálném čase (online), využívají k tomuto účelu informace o dynamice psaní zaznamenávané během vytváření podpisu prostřednictvím vstupního zařízení. 11

20 3.3.1 Obecný model použití systému Potenciální uživatel, který chce takový systém využívat, se musí v prvé řadě do systému za registrovat. Registrace spočívá ve vytvoření referenčního biometrického vzorku (šablony), který bude popisovat dynamiku podpisu konkrétní osoby a jeho uložení do databáze pod identifikátorem uživatele. Pro zajištění dostatečně reprezentativní šablony pro následná srovnání se referenční vzorek typicky vytváří ze 3 10 podpisů, jeho velikost se pohybuje v řádu jednotek kb [5]. Šablona může být tvořena jedním statistickým modelem popisujícím charakteristiky psaní konkrétního uživatele nebo množinou samostatných podpisů zaznamenaných při registraci. Po úspěšném vytvoření referenčního vzorku může uživatel systém používat k autentizaci. Ověření identity probíhá tak, že uživatel nejprve předloží informaci o své totožnosti, čímž se z databáze vybere jeho referenční vzorek. Následně poskytne autentizační informaci, tzn. podepíše se za použití vstupního zařízení. Z aktuálního vzorku se extrahují charakteristiky popisující dynamiku psaní a dojde k porovnání s daným referenčním vzorkem. Výsledkem porovnání je určení míry shody obou vzorků a na základě srovnání s prahovou hodnotou rozhodnutí o úspěšnosti autentizace. Obr. 3.2: Model systému online verifikace na základě podpisu [16] Zpracování a srovnání biometrických charakteristik Zpracování vstupních dat (podpisu) zaznamenaných prostřednictvím snímacího zařízení obvykle zahrnuje následující fáze: předzpracování, extrakce význačných charakteristik a srovnání charakteristik s referenčním vzorkem (při verifikaci) nebo s předchozími podpisy použitými pro tvorbu referenčního vzorku (při registraci). Předzpracování Fáze se snaží vypořádat s problémem použití různých vstupních zařízení nebo nedostatečné kvality získaných dat v důsledku šumu vnášeném vstupním zařízením nebo samotným psaním. Předzpracování může zahrnovat normalizaci velikosti, normalizaci pozice, vyhlazování křivek, převzorkování či spojování tahů [11]. 12

21 Přestože předzpracování má své opodstatnění, může v jeho důsledku dojít ke ztrátě charakteristických informací dynamiky podpisu. Například převzorkování se využívá k odstranění redundantních dat (např. více bodů v jednom místě z důvodu vysoké vzorkovací frekvence). Všechny body budou ve výsledku na trajektorii podpisu stejně vzdálené. Získá se reprezentace založená na tvaru, dojde však ke ztrátě informací o rychlosti. Normalizace velikosti se používá v systémech s různou velikostí aktivní plochy vstupních zařízení, protože rozdílná velikost při přizpůsobování podpisu velikosti aktivní plochy by mohla vést k nesprávným odmítnutím uživatelů. Normalizace se může provádět vzhledem k výšce i šířce nebo pouze vzhledem k jedné dimenzi. Zahazuje však informaci o reálné velikosti podpisu uživatele. Vyhlazovací techniky umožňují vypořádat se s nízkým rozlišením nebo vzorkovací frekvencí vstupních zařízení, avšak zubaté křivky mohou být významnou charakteristikou podpisu. Některé body na trajektorii podpisu nesou větší množství informace než jiné (např. koncové body tahů či body, v nichž dochází ke změně trajektorie). Nazývají se kritické body. Tyto body nejsou ve fázi předzpracování měněny, aby nedocházelo ke ztrátám podstatných informací [14]. Extrakce význačných charakteristik Charakteristické vlastnosti můžeme rozdělit na globální, vztahující se k podpisu jako celku a lokální, které interpretují podpis jako množinu samostatných bodů. Dynamika podpisu může být charakterizována více než čtyřiceti charakteristikami [11]. Metody využívající globálních charakteristik obvykle vytvářejí vektor charakteristik, přičemž charakteristiky se extrahují z celého procesu podepisování. Mezi globální charakteristiky patří průměrná, maximální, minimální rychlost podepisování, zakřivení tahů, poměr dlouhých a krátkých tahů, počet a délky jednotlivých segmentů a další [15]. Extrakce rysů není triviální z důvodu nutnosti výběru stabilních a smysluplných charakteristik. Lokální charakteristiky popisují podpis v každém vzorkovaném bodě během jeho vytváření a jsou interpretovány jako funkce času. Zaznamenávají se souřadnice pozice pera, rychlost, zrychlení, tlak hrotu pera na podložku v jednotlivých bodech, vzdálenost či zakřivení mezi sousedními body a podobně. Extrakce je relativně jednoduchá [15]. Srovnání charakteristik První statistická metoda pro porovnávání dynamiky podpisů byla vyvinuta v 70. letech 20. století. Zahrnovala záznam více než deseti význačných globálních charakteristik při vytváření podpisu. Srovnání bylo založeno na klasických statistických korelačních metodách [5]. Míra shody bývá u systémů využívajících globálních charakteristik definována určitým typem funkce vzdálenosti mezi vektory reprezentujícími porovnávané podpisy. Využívá se Euklidovská vzdálenost, vážená Euklidovská vzdálenost nebo Mahalanobova vzdálenost [17]. Další možností je využití klasifikátorů vytvořených na základě neuronových sítí. Novější techniky využívají lokálních charakteristik vztahujících se k jednotlivým bodům na trajektorii podpisu. Podpis může být navíc rozdělen na samostatné tahy oblasti mezi přiložením pera na podložku a následným zvednutím z podložky. Tento přístup poskytuje vyšší flexibilitu, pro- 13

22 tože umožňuje ignorovat malé odlišnosti (rozdílné, chybějící tahy), pokud si většina ostatních tahů odpovídá [5]. Z důvodu odlišností jednotlivých podpisů uživatele mohou vznikat vektory charakteristik různých délek, a proto se využívají metody umožňující nelineární porovnání takovýchto vektorů, např. Dynamic Time Warping (DTW) pro mapování odpovídajících si bodů dvou podpisů nebo Hidden Markov Models (HMM), které vytvářejí statistický model, ve kterém je podpis reprezentován jako sekvence jednotlivých tahů [11, 17]. Výsledkem srovnání aktuálního podpisu s referenčním vzorkem je míra podobnosti (skóre). Skóre se následně porovnává s prahovou hodnotou, která může být počítána buďto pro každého uživatele zvlášť na základě podpisů získaných při registraci, nebo může být stanovena jednotně v rámci celého systému. První přístup se označuje jako prahová hodnota závislá na uživateli, druhý pak prahová hodnota nezávislá na uživateli [18]. Systémy založené na globálních charakteristikách jsou obecně rychlejší (porovnání dvou množin charakteristik), na druhou stranu ale méně přesnější Klasifikace útočníků na online verifikační systém Jednou z nevýhod autentizace na základě dynamiky podpisu je náchylnost k útokům podvržením podpisu oprávněného uživatele. Tak jako u jiných biometrických technologií, i zde může být útočník schopen získat určité informace o podpisu oprávněného uživatele, resp. dynamice psaní při jeho vytváření, což může mít za následek snížení spolehlivosti autentizace takového biometrického systému. Získání informací o dynamice (způsobu vytváření) podpisu vyžaduje od potenciálního útočníka větší úsilí v porovnání se situací, kdy mu dostačuje pouhá znalost podpisového vzoru. Útočníky lze podle úrovně jejich znalostí o podvrhovaném podpisu klasifikovat do dvou základních kategorií [17]: příležitostní útočníci nemají žádnou informaci o podpisu konkrétního oprávněného uživatele; produkují tzv. náhodné (zero-effort) útoky, typicky tak, že zkoušejí podpis jiné osoby než uživatele, za kterého se snaží vydávat. znalí útočníci disponují určitou znalostí o podpisu uživatele, jehož identitu chtějí podvrhnout; produkují tzv. kvalifikované útoky. Podle úrovně znalostí útočníka lze útoky dále dělit na jednoduché (útočník zná jména uživatele, píše jej ale svým vlastním stylem) a cvičené (inteligentní), při nichž útočník zná vzor i dynamiku originálního podpisu a snaží se o kompletní napodobení procesu podepisování. 14

23 Kapitola 4 Testování biometrických systémů V této kapitole se věnuji obecné metodice testování biometrických systémů, se zaměřením na výkonnost. Testování zpravidla provádí nezávislá třetí strana a mimo ověření správné funkčnosti při různých podmínkách často také poskytuje informace pro porovnání s jinými systémy. Nezávislé testování je drahé a časově náročné. Vyžaduje precizní plánování, sběr dat, vyhodnocení a zdokumentování. Typicky jej provádějí univerzity, výzkumná centra či specializované vládní laboratoře, které disponují potřebnými finančními prostředky, znalostmi a technickým vybavením [1]. Existence celé řady testovacích metodik může mít za následek obtížně porovnatelné výsledky. Britská skupina CESG (Communications-Electronics Security Group) proto vydala dokument Best Practices in Testing and Reporting Performance of Biometric Devices, ve kterém se snaží o shrnutí základních principů, jejichž dodržení umožňuje kvalitní vyhodnocení a snadnější srovnání výsledků testů prováděných různými organizacemi. Dokument dále specifikuje metriky pro hodnocení výkonnosti biometrických systémů, požadavky kladené na průběh testování, záznam dat a prezentaci výsledků a poskytuje nástroj pro tvorbu testovacích protokolů. Obsah kapitoly do jisté míry čerpá právě z tohoto dokumentu [19]. 4.1 Chybovost biometrických systémů Biometrické systémy vykazují určitá specifika, kterými se odlišují od jiných typů autentizačních systémů. Hlavní rozdíl spočívá v tom, že biometrické systémy nemohou ověřit identitu nebo identifikovat osobu se 100% jistotou. Místo rozhodnutí typu ano/ne, typické pro autentizaci na základě znalosti tajné informace nebo vlastnictví určitého předmětu, v případě biometrik výsledek autentizačního procesu udává míru shody aktuálních biometrických dat s referenčním vzorkem uloženým v databázi. Míra shody určuje, s jakou pravděpodobností pochází srovnávané vzorky od stejné osoby, tedy neposkytuje absolutní záruku za správné ověření identity nebo rozpoznání osoby. Systém musí počítat s tím, že uživatelé nejsou schopni poskytnout během verifikace naprosto stejný vzorek jako při registraci. V důsledku toho je nutné povolit určitou variabilitu mezi aktuálními biometrickými daty a referenčním vzorkem, což může být zdrojem chyb rozhodování, resp. porovnání. Rozhodnutí systému na základě porovnání biometrických charakteristik pocházejících buďto od oprávněných uživatelů, nebo od útočníků může být čtyř typů: (i) oprávněný uživatel je správně rozpoznán, (ii) oprávněný uživatel je nesprávně odmítnut, (iii) útočník je správně odmítnut, (iv) útočník je nesprávně přijat. Případy (i) a (iii) představují správná rozhodnutí, zatímco (ii) a (iv) jsou chybnými rozhodnutími [4]. Chybovost se obvykle vyjadřuje procentuálně a je pravděpodobně nejzásadnějším faktorem při hodnocení kvality celého systému. Proto by jí měla být při testování věnována patřičná pozornost. Kromě výše uvedených chyb rozhodování mohou biometrické systémy vykazovat další typy chyb spojené s nemožností registrace některých osob nebo nemožností získání dat adekvátní kvality. 15

24 4.1.1 Chyby porovnání Vyjadřují chybovost v případě, kdy uživatel při verifikaci/identifikaci provádí snímání biomet rických dat pouze jednou. Získaná data jsou srovnána s jedním (verifikace) nebo několika (identifikace) referenčními vzorky pro učinění rozhodnutí o shodě. Na základě těchto chyb lze po rovnávat i systémy, které v rámci jednoho verifikačního/identifikačního procesu transakce umožňují při neúspěchu provést více měření. FMR (False Match Rate) pravděpodobnost, že daný vzorek bude nesprávně označen za shodný s některým náhodně vybraným referenčním vzorkem jiné osoby. FMR= počet nesprávně označených shodných vzorků 100 [%] počet všech srovnání FNMR (False Non-Match Rate) pravděpodobnost, že vzorek určité osoby bude nesprávně označen za odlišný od referenčního vzorku té stejné osoby. FNMR= počet nesprávně označených rozdílných vzorků 100 [% ] počet všech srovnání Chyby rozhodování Vztahují se k systému jako celku a závisí na zvolené bezpečnostní politice. Například systém umožní v rámci jedné transakce provést více pokusů, tzn. více měření, v případě neúspěšné autentizace (typicky se povolují 3 pokusy v rámci transakce). Na rozdíl od chyb porovnání, které se počítají pro jednotlivé pokusy, chyby rozhodování se počítají pro transakce a často zahrnují také chyby snímání biometrických dat FTA (viz. dále). FAR (False Acceptance Rate) míra nesprávných přijetí; pravděpodobnost, že neautorizovaná osoba získá přístup do systému je nesprávně označena jako některý oprávněný uživatel. Lze ji též nalézt pod označením chyba typu II [3]. Pro verifikační transakce umožňující pouze jediný pokus lze FAR vypočítat podle následujícího vzorce [23]: FAR=FMR 1 FTA FRR (False Rejection Rate) míra nesprávných odmítnutí; pravděpodobnost, že oprávněnému uživateli je zamítnut přístup do systému biometrický vzorek uživatele není označen za shodný s jeho referenčním vzorkem, případně s žádným vzorkem v databázi. Též chyba typu I [3]. V případě verifikace a pro transakce zahrnující pouze jeden autentizační pokus lze FRR vypočítat následovně [23]: FRR=FTA FNMR 1 FTA 16

25 Hodnoty FAR a FRR typicky závisí na nastavené prahové hodnotě systému. Ideálně by obě hodnoty měly být nulové, což však v dnešních systémech není reálné. Nastavení prahové hodnoty by tím pádem mělo být kompromisem mezi bezpečností a použitelností systému a mělo by se odvíjet od požadavků kladených na daný systém. Vysoká prahová hodnota zaručí vysokou bezpečnost systému (nízká FAR), avšak oprávnění uživatelé budou často nesprávně odmítáni (vysoká FRR). Na druhou stranu, při nízké prahové hodnotě nebudou uživatelé často obtěžováni nesprávnými odmítnutími (nízká FRR), ale systém bude vykazovat větší počet nesprávných přijetí (vysoká FAR), tedy dojde ke snížení bezpečnosti [5]. Graf 4.1 vyjadřuje typickou závislost FAR a FRR na prahové hodnotě. Při určité prahové hodnotě dochází k rovnosti FAR a FRR a tato hodnota se označuje EER (Equal Error Rate). Čím nižší je hodnota EER, tím lze systém považovat za přesnější. EER však nevypovídá o bezpečnosti systému tolik, jako znalost samotných FAR a FRR [3]. Graf 4.1: Závislost FAR a FRR na prahové hodnotě [8] Chyby snímání biometrických dat Výkonnost biometrického systému dále ovlivňují chyby spojené s nedostatečnou kvalitou snímaných vzorků nebo neschopností některých osob provést měření samotné. FTE (Failure To Enrol Rate) pravděpodobnost, že daná osoba není schopna úspěšné registrace do systému. Příčinnou může být chybějící orgán, zranění, velká variabilita mezi jednotlivými vzorky předkládanými při registraci, nemožnost poskytnout vzorek dostatečné kvality, apod. Hodnota závisí na registrační politice a prahových hodnotách pro kvalitu biometrického vzorku a pro rozhodnutí o shodě aktuálního a referenčního vzorku. FTE = počet neúspěšných registrací 100 [%] počet všech osob pokoušejících se o registraci FTA (Failure To Acquire Rate) pravděpodobnost, že systém není schopen během měření získat vzorek dostatečné kvality. Chyba může být způsobena nesprávnou prezentací biometriky snímači, zraněním, nedostatečnou kvalitou získaného vzorku nebo i vlivy okolního prostředí. Závisí na prahové hodnotě pro kvalitu vstupního signálu či obrazu. FTA= počet neúspěšných snímání biometrických dat 100 [%] počet všech snímání biometrických dat 17

26 4.1.4 Další metriky chybovosti Pro srovnání systémů s různými FTE mohou být užitečné odhady generalizovaných chyb rozhodování GFAR, GFRR, při jejichž výpočtu se berou v úvahu chyby vzniklé při registraci (FTE), chyby způsobené neúspěšným snímáním dat (FTA) a chyby rozhodování (FAR, FRR). Generalizace typicky interpretuje neúspěšné registrace tak, jako kdyby proces proběhl úspěšně, ale všechny následné pokusy o autentizaci selhaly [23]. Další skupina chyb se vztahuje k identifikačním systémům. Lze zde zařadit chyby, kdy oprávněný uživatel není v systému rozpoznán (False-Negative Identification Error FNIR) nebo kdy neautorizovaná osoba je nesprávně identifikována jako některý oprávněný uživatel (False-Positive Identification Error FPIR). Podrobnosti lze nalézt ve standardu ISO/IEC [23] Prostředky pro vyhodnocení výkonnosti biometrického systému Výsledky testování výkonnosti systému, se zaměřením na přesnost verifikace/identifikace, jsou závislé na testovacích datech (biometrických vzorcích jistého zlomku lidské populace) a prostředí, v němž testování probíhá. Pro získání věrohodných výsledků, umožňujících porovnání různých biometrických systémů pracujících za podobných podmínek nebo jednoho systému pracujícího za podmínek odlišných se často konstruují ROC (Receiver Operating Characteristic) a DET (Detection Error Trade-Off) charakteristiky [4]. Dále, pro stanovení prahové hodnoty systému pracujícího v daných podmínkách mohou být užitečné histogramy rozložení míry shody biometrických charakteristik při autentizačních pokusech oprávněných uživatelů a útočníků. DET (Detection Error Trade-Off) křivka zobrazuje závislost mezi FAR/FMR (osa X) a FRR/FNMR (osa Y) při určitých operačních podmínkách. Každý bod DET křivky určuje FAR/FMR a FRR/FNMR testovaného systému při určité prahové hodnotě. Příkladem DET křivky je graf 4.2. Čím více se křivka blíží k bodu [0; 0], tím nižší chybovost systém vykazuje. Graf se často zobrazuje v logaritmickém měřítku. ROC (Receiver Operating Characteristic) křivka využívá se především při určování výkonnosti detekčních nebo diagnostických systémů a systémů pro porovnávání vzorů. Zobrazuje vztah mezi FAR/FMR (osa X) a 1-FRR/1-FNMR (osa Y), tedy vztah mezi nesprávnými přijetími a správnými přijetími při různých prahových hodnotách. Graf 4.2: DET křivka 18

27 Histogramy rozložení míry shody s referenčními vzorky pro oprávněné uživatele a útočníky zobrazují možné hodnoty míry shody (skóre) na ose X a frekvenci výskytu jednotlivých hodnot pro oprávněné uživatele a útočníky na ose Y (viz. graf 4.3). V ideálním případě se rozložení nepřekrývají. To by znamenalo, že útočníci dosahují vždy menších skóre než oprávnění uživatelé a systém je tedy bezchybný. V praxi se však roz ložení částečně překrývají. Prahová hodnota pak typicky spadá právě do oblasti překrytí, což znamená, že systém bude vykazovat nenulovou FAR i FRR. Statistická hodnota indexu rozhodnutelnosti d' určuje vzdálenost mezi středními hodnotami rozložení v násobcích směrodatné odchylky. Čím vyšší je tato hodnota, tím menší je chybovost systému, protože systém dokáže spolehlivěji rozlišit oprávněné uživatele od útočníků (histogramy se překrývají v menší míře). Výhodou je, že hodnota d' je nezávislá na prahové hodnotě. Pokud střední hodnotu rozložení skóre oprávněných uživatelů označíme µ1, střední hodnotu rozložení skóre útočníků μ2 a směrodatné odchylky σ1, σ2, lze d' vypočítat následovně [21]: d '= 1 2 / Graf 4.3: Rozložení skóre pro oprávněné uživatele a útočníky [20] 4.2 Testování výkonnosti biometrických systémů V této části shrnuji obecnou metodiku testování biometrických systémů navrženou skupinou CESG. Dokument si klade za cíl sjednocení průběhu testů zaměřujících se na výkonnost biometrických systémů, které by vyústilo ve srozumitelnější reprezentaci výsledků a snazší porovnání systémů testovaných různými organizacemi. Testování výkonnosti obvykle zahrnuje stanovení chybovosti systému a výkonu jako takového. V rámci chybovosti se zjišťují míry chyb popsaných v předchozí kapitole, konstruují se DET, případně i ROC charakteristiky. Testování může probíhat opakovaně při různých podmínkách, které mohou ovlivňovat výkonnost systému. Výkon vyjadřuje počet uživatelů, kteří mohou být systémem obslouženi (autentizováni/identifikováni) za jednotku času. Výsledek závisí na rychlosti zpracování biometrických dat jednotlivými komponentami systému, od jejich sejmutí vstupním zařízením, přes přenos od snímače do místa zpracování, předzpracování a extrakci charakteristik, kontrolu kvality, 19

28 srovnání s referenčním vzorkem a učinění rozhodnutí. Do výsledku se také zahrnuje čas interakce uživatele se systémem, tj. předložení totožnosti při verifikaci a doba snímání biometrického vzorku. Mezi další vlastnosti, které mohou hrát roli při výběru konkrétního biometrického systému, lze zařadit spolehlivost, dostupnost a udržovatelnost, náchylnost na různé typy útoků, uživatelskou přijatelnost, vlivy lidského faktoru, cenu a dodržení legislativních předpisů [19]. Pokud to lze, mělo by být splnění výrobcem deklarovaných výše uvedených vlastnosti rovněž otestováno Typy testování výkonnosti Z důvodu existence širokého spektra biometrických technologií, snímacích zařízení, metod získáváni dat, cílových prostředí a rozmanitosti lidské populace nelze vytvořit jednotný testovací protokol. Testy lze podle konkrétního testovacího protokolu a podmínek, při kterých testování probíhá, rozdělit do tří kategorií: testování technologie, scénáře a operační testování [19]. Testování technologie Cílem je porovnání konkurenčních algoritmů pro získávání, zpracování a srovnávání biometrických charakteristik v rámci jedné technologie. Algoritmy jsou testovány na stejné množině testovacích dat, vytvořené sběrem dat prostřednictvím univerzálního snímače. Výsledky závisí na prostředí a vzorku populace, od níž data pocházejí. Tvorbě databáze by proto měla být věnována pa třičná pozornost pro zajištění adekvátních výsledků. Databáze se obvykle vytváří předem, neměla by však být známa vývojářům systému. Samotné testování probíhá tzv. offline. Fixní databáze umožňuje opakovatelné testování a porovnávání výsledků, např. pro ověření úprav algoritmu. Testování scénáře Vyhodnocuje výkonnost kompletního systému v prototypovém nebo simulovaném prostředí. Testování probíhá v prostředí, které modeluje reálné podmínky, ve kterých má být systém provozován. Každý systém disponuje vlastním snímačem, proto se testovací data systém od systému liší. Měl by být kladen důraz na to, aby byl sběr dat prováděn pro všechny systémy za stejných podmínek a data by měla pocházet od stejného vzorku populace. Může být kombinováno online a offline zpracování dat. Výsledky následných testů budou porovnatelné pouze tehdy, pokud lze plně kontrolovat vlivy prostředí. Jedná se o nejvhodnější typ testů pro srovnání různých systémů. Operační testování Účelem je určení výkonnosti kompletního biometrického systému v reálném prostředí aplikace a pro specifickou cílovou skupinu osob. Výsledky poskytují informace o tom, jak systém funguje v cílovém prostředí a zpravidla se provádí s budoucími uživateli (online). Uživatelé mohou poskytnout zpětnou vazbu pro vyhodnocení uživatelské přívětivosti, přijatelnosti a použitelnosti technologie v konkrétním prostředí. Výsledky následných testů zpravidla nejsou srovnatelné z důvodu rozdílných (nekontrolovatelných) podmínek. 20

29 4.2.2 Online/Offline testování Nedílnou součástí testování je sběr vstupních (biometrických) dat, která slouží pro vytvoření referenčních vzorků ve fázi registrace a generování hodnot podobnosti s referenčními vzorky pro následné verifikační/identifikační pokusy. Získaná data mohou být pro tyto účely využívána ihned při snímání, nebo mohou být ukládána a používána později (i opakovaně). Online testování registrace nebo autentizace probíhá v době snímání biometrického vzorku. Data se neukládají a nemohou být později opětovně použita. Zúčastněné osoby pracují se systémem obvyklým způsobem registrují se a provádějí pokusy o autentizaci. Výsledky registrace a autentizačních pokusů musí být ihned zaznamenávány. Offline testování data jsou shromážděna od jistého vzorku populace před samotným testováním tvoří databázi biometrických vzorků. Zúčastněné osoby nemají zpětnou vazbu o úspěšnosti autentizace. Databáze později slouží pro vytvoření referenčních vzor ků a simulování autentizačních transakcí. Dále umožňuje lepší kontrolu nad průběhem testů a provádění více testů při odlišných podmínkách a nastaveních Metodika testování Proces testování systému zahrnuje několik na sebe navazujících částí. V první fázi je nutné testování naplánovat a vytvořit testovací protokol. Další fáze se řídí testovacím protokolem a zahrnují sběr (biometrických) dat od zúčastněných osob, provedení registrační fáze a fáze verifikace/identifikace, analýzu dosažených výsledků a posouzení jejich neurčitosti a na závěr vytvoření zápisu o průběhu testů a dosažených výsledcích. Plánování testů Počáteční fáze, která si klade za cíl rozhodnout, co chceme na základě testování zjistit a vybrat k tomuto účelu vhodný typ testování. Poté se vytváří testovací protokol, specifikuje se, jakým způsobem budou kontrolovány podmínky, při nichž bude testování probíhat, vybírá se vhodná skupina osob pro sběr biometrických dat, určuje se rozsah testování tak, aby výsledky byly dostatečně reprezentativní. Činnosti potřebné pro správné navržení testovacího protokolu zahrnují [19, 23]: zjištění informací o systému informace o testovaném systému jsou nutné především pro návrh fáze sběru dat. Zjišťuje se např. zda systém vytváří žurnál transakcí, zda lze ukládat biometrická data pro pozdější zpracování offline, zda systém zobrazuje při autentizaci skóre podobnosti nebo jen rozhodnutí ano/ne, jaká je doporučená prahová hodnota skóre pro cílové prostředí, jaké faktory ovlivňují výkon systému a další. kontrola faktorů ovlivňujících výkonnost systému nalezení vlivů prostředí, které mohou ovlivňovat výkonnost testovaného systému a určení, které z nich jsou natolik významné, že je nutná jejich kontrola (pokud je to možné), a které lze naopak ignorovat. Výkonnost systému závisí na konkrétní aplikaci, prostředí a cílové skupině uživatelů, proto je nutné této fázi věnovat pozornost i při návrhu testů. Přehled faktorů, které mohou ovlivnit vý konnost systému lze nalézt ve standardu ISO/IEC [23]. 21

30 výběr dobrovolníků při testování scénáře se pozornost soustředí na výběr takového vzorku populace, který bude co nejvíce odpovídat cílové skupině budoucích uživatelů (např. dělníci vs. úředníci). Operační testování probíhá přímo s uživateli, pro testování technologie se využívají standardizované databáze. Dobrovolníci by vždy měli být dostatečně motivováni a předem informováni o průběhu testů a způsobu zpracování jejich biometrických dat. rozsah testování počet dobrovolníků a počet pokusů, příp. sezení, provedených s každou osobou ovlivňuje přesnost dosažených výsledků. Platí, že čím větší rozsah testování, tím reprezentativnější výsledky. Určitá pravidla, jako Pravidlo tří nebo Pravidlo třiceti, určují spodní hranici počtu autentizačních pokusů pro dosažení požadované úrovně přesnosti výsledků [19]. Pravidlo tří stanovuje nejnižší míru chybovosti p, za kterou se lze statisticky zaručit, při provedení N nezávislých autentizačních pokusů (s nulovým počtem chyb); p = 3/N pro 95% spolehlivost odhadu. Pravidlo třiceti říká, že během testování musí dojít alespoň ke 30 chybám, aby bylo možné s 90% jistotou říci, že sku tečná míra chybovosti se nachází v rozsahu ±30 % od zjištěné hodnoty. Ideálně by testování mělo zahrnovat mnoho dobrovolníků, z nichž každý podstoupí pouze jedinou transakci (registraci a pokus o autentizaci), aby byla zajištěna nezávislost jednotlivých pokusů. V praxi však z důvodu zjednodušení každý dobrovolník podstupuje více transakcí, případně i ve více časově oddělených sezeních. Výsledky pak ale mohou být ovlivněny obeznámeností osob s technologií s rostoucím počtem pokusů. Sběr dat Kolekce získaných biometrických dat se obvykle označuje termínem korpus. Informace o těchto datech a osobách, od níž data pocházejí vytvářejí databázi [23]. Sběru dat se musí věnovat maximální pozornost, aby nedocházelo k chybám v korpusu nebo databázi způsobeným lidským faktorem. Dobrovolníci musí se systémem pracovat korektním způsobem pro vytvoření správného korpusu a data musí být následně v databázi administrátorem správně označena. Administrátor by měl dohlížet na proces sběru dat a případné komplikace zaznamenávat. Ideálně se všechna získaná biometrická data ukládají a systém automaticky vytváří žurnál transakcí obsahující informace o kvalitě vzorků a výsledky autentizačních pokusů pro každou zúčastněnou osobu. Uložená data lze později využít pro offline testování a opakované testování. V datech lze také dodatečně nalézt možné chyby korpusu nebo databáze. Žurnálování transakcí redukuje množství dat, která by jinak musela být zaznamenávána ručně. V praxi obvykle systémy neumožňují ve své standardní konfiguraci ukládání dat. Testování potom musí probíhat online a data musí být zaznamenávána ručně, což může do výsledků zanést další chyby. Pokud je výsledkem autentizace pouze rozhodnutí ano/ne, potom pro účely konstrukce charakteristik závislých na prahové hodnotě musí být testování provedeno při více nastaveních. S těmito omezeními se setkáváme nejčastěji při operačním testování. Ve fázi sběru dat rozlišujeme tři typy transakcí [19]: registrační transakce každý dobrovolník se do systému registruje pouze jednou (má v systému uložen jediný referenční vzorek). Pokud vytvořený referenční vzorek není sys - 22

31 témem považován za dostatečně kvalitní, proces registrace se opakuje. Po registraci se často provádí několik autentizačních pokusů za účelem ověření kvality referenčního vzorku. Administrátor nebo personál dohlížející na průběh registrace by měl kontrolovat, zda registrace osob probíhá v souladu s testovacím protokolem (např. uživatelé předkládají otisk správného prstu). Při testování technologie musí být všechny registrace provedeny za stejných podmínek, v případě testování scénáře by podmínky měly simulovat cílové prostředí. Operační testování neumožňuje podmínky nijak kontrolovat. transakce oprávněných uživatelů transakce, při nichž se zjišťuje schopnost oprávněných uživatelů úspěšně se v systému autentizovat. Biometrické vzorky určené pro tento typ transakcí by měly být sbírány až po uplynutí určité doby od registrace (dny týdny). Delší interval mezi registrací a následnými autentizačními transakcemi způsobuje nižší úspěšnost autentizace, z důvodu tzv. stárnutí referenčních vzorků změny biometrických charakteristik v čase a způsobu jejich prezentace. Typicky by interval měl odpovídat frekvenci, s jakou budou uživatelé systém používat v reálném prostředí. Vlivy prostředí by měly být kontrolovány stejným způsobem jako při registrační fázi. Data by měla být do korpusu přidávána nezávisle na úspěšnosti autentizačního pokusu, měly by být zaznamenávány i případy neúspěšného snímání dat. transakce útočníků transakce mohou být stejně jako předchozí typy generovány online nebo offline. Při online testování se dobrovolníci snaží o autentizaci pod identitou jedné nebo několika náhodně vybraných jiných osob zaregistrovaných v systému. Zaznamenává se míra podobnosti mezi referenčním vzorkem uživatele a biometrikou útočníka, spolu s informací, za kterého uživatele se daný útočník vydává. Dobrovolníci by v ideálním případě neměli vědět, zda aktuální pokus provádí jako oprávněný uživatel nebo útočník, aby nedocházelo k ovlivnění prezentace biometriky. Transakce útočníků musí být prováděny za stejných podmínek jako transakce oprávněných uživatelů. Offline testování může být prováděno stejným způsobem jako online, tj. náhodným výběrem referenčních vzorků jiných osob, proti kterým se daný (útočníkův) vzorek bude testovat. Výhodou offline zpracování dat je možnost úplného porovnání každého vzorku se všemi referenčními vzorky jiných osob, což poskytuje mnohem více dat pro stanovení chybovosti systému (FAR) než online testování. Navíc lze využít i vzorky získané pů vodně pro transakce oprávněných uživatelů či vzájemné porovnání referenčních vzorků. Mezi transakce útočníků by nemělo být zařazováno porovnání různých vzorků od jediné osoby (např. vzorků různých prstů, očí, apod.), protože srovnání vzorků různých uživatelů nevykazuje stejné výsledky jako srovnání různých vzorků od jediné osoby. Analýza Získaná data se analyzují za účelem stanovení chybovosti systému v mírách FMR/FAR, FNMR/FRR, FTA, FTE. Konstruují se DET, případně ROC charakteristiky pro různé podmínky a nastavení systému, při nichž probíhal sběr dat či pro srovnání konkurenčních systémů testovaných za stejných podmínek. Často se také vytvářejí histogramy znázorňující frekvenci výskytu jednot- 23

32 livých skóre podobnosti pro oprávněné uživatele a útočníky pro stanovení, jak spolehlivě systém rozeznává uživatele od útočníků. Neurčitost odhadů Odhady výkonnosti systému mohou být ovlivněny systematickými (např. špatný výběr dobrovolníků neodpovídající cílové skupině uživatelů) nebo náhodnými chybami (např. přirozené odchylky v biometrických vzorcích). Náhodné chyby lze redukovat zvýšením počtu testovaných osob a lze je odhadnout ze získaných dat. Systematické chyby lze v některých případech eliminovat, např. opakováním testů při odlišných podmínkách. Typicky se zjišťuje rozptyl odhadů jednotlivých typů chyb vypočtených ve fázi analýzy a stanovují se intervaly spolehlivosti. Při výpočtu neurčitosti odhadů se předpokládá, že vzorek dobrovolníků reprezentuje cílovou skupinu uživatelů, data pocházející od různých osob jsou nezávislá (vliv pozorování jiných osob), autentizační pokusy jsou nezávislé na prahové hodnotě, chybovost se liší v závislosti na vzorku populace a počet pozorovaných chyb není příliš malý [19]. Záznam dosažených výsledků Výkonnost systému závisí na typu testování, konkrétní aplikaci, prostředí, ve kterém testy probíhají a vzorku populace zapojené do testování. Zjištěné výsledky v podobě odhadů jednotlivých typů chyb, DET a ROC charakteristik proto musí být doplněny o dodatečné informace, které umožní jejich správnou interpretaci. Zahrnují detaily o testovaném systému, zvolený typ testování a jeho rozsah (počet dobrovolníků, počet sezení s každým dobrovolníkem, počet transakcí při jednom sezení), detaily o prostředí a faktorech ovlivňujících výkonnost systému, časový interval mezi registrací a následnými autentizačními pokusy, prahové hodnoty pro úspěšnou autentizaci a kvalitu vzorků, podrobnosti o testovacích procedurách a další. 24

33 Kapitola 5 Testovaný systém Doc Secure V následující kapitole popisuji systém, který byl v rámci praktické části mé práce podroben testování zaměřenému především na odhad chybovosti. Systém s názvem Doc Secure je biometrický autentizační systém založený na dynamice podpisu osoby. Vyvíjí jej americká společnost Verifax Biometrics. Výsledky využijí vývojáři k ověření správnosti implementace, případně mohou být podnětem pro úpravy systému tak, aby bylo dosaženo očekávané přesnosti autentizace. V následujícím textu přibližuji funkcionalitu aplikace z pohledu běžného uživatele. Dále krátce popisuji kompatibilní hardwarové komponenty (vstupní zařízení) a na základě informací od vývojářů systému a v souladu s omezením možnosti publikovat některé údaje se snažím přiblížit, jakým způsobem probíhá zpracování a porovnávání biometrických dat. 5.1 Vstupní zařízení Podporovaným vstupním zařízením, které zároveň bylo poskytnuto k testování, je tablet Wacom STU-500. Zařízení patří do skupiny tzv. podpisových tabletů. Jsou určeny pro záznam ručně psaných podpisů ve vysokém rozlišení a s vysokou přesností. Zaznamenávají horizontální a vertikální pozici pera a tlak vyvíjený na podložku během psaní. Zpětná vazba ve formě zobrazování psaného textu přímo na aktivní ploše tabletu přibližuje podepisování běžnému psaní na papír. Data lze využít především pro biometrickou autentizaci podepisující se osoby. Tablety této řady se typicky využívají v oblastech, kde je vyžadována vysoká úroveň přesnosti získaných dat (mj. ovlivňující chybovost systému), např. v bankovnictví, pojišťovnictví či při elektronických platbách. Umožňují nahrazení papírových dokumentů elektronickými ekvivalenty se zachováním možnosti verifikace na základě podpisu [22]. Základní technické parametry uvádím v příloze B Aplikace Doc Secure Potenciální uživatel, který chce systém používat, se nejprve musí zaregistrovat na webových stránkách společnosti Verifax Biometrics. Na serveru společnosti budou po úspěšné registraci uloženy jeho přihlašovací údaje (uživatelské jméno a heslo) a referenční biometrický vzorek. Samotná aplikace, ve formě zásuvného modulu textového procesoru Microsoft Office Word 2003 nebo novějšího, poskytuje veškerou funkcionalitu systému, která zahrnuje autentizaci uživatele na základě znalosti tajné informace (hesla), komunikaci se vstupním zařízením, prostřednictvím kterého se uživatel podepisuje, ověřování dynamiky podpisu, případně vytváření referenčních vzorků, a vkládání podpisů do elektronických dokumentů. Podpis je do dokumentu vkládán ve formě bitmapového obrázku, včetně informace o úspěšnosti ověření jeho autenticity. Ověřování dynamiky podpisu probíhá na lokálním počítači, příslušný refe- 25

34 renční vzorek, specifikovaný na základě přihlašovacích údajů, podepisující osoby se stahuje ze serveru při každém podepisování elektronického dokumentu. Informace o vložení podpisu do podepisovaného dokumentu je zaznamenávána na serveru. Podrobný popis způsobu práce s aplikací z pohledu uživatele lze nalézt v příloze B Základy implementace systému Na základě informací od vývojářů systému popisuji v následující části základy implementace systému, především jakým způsobem systém zpracovává vstupní data (signály z tabletu) a jak probíhá srovnání dynamiky aktuálního podpisu s referenčním vzorkem. Většina podobných systémů reprezentuje biometrické vzorky (dynamiku podpisů) jako kolekci (jednotek až desítek) charakteristických znaků dynamiky psaní a využívá techniku srovnání vzorů (viz. kapitola 3). Tento přístup však u časově proměnných charakteristik, mezi které dynamika podpisu bezesporu patří, vede k podstatným ztrátám informací. Model založený na srovnání vzorů umožňuje zaznamenat pouze okolo 10 % informací o dynamice psaní. Udávaná přesnost takových systémů se pohybuje od 2 do 10 % EER [28]. Doc Secure staví na teorii informace pro výpočet tzv. maximálního množství společné informace (Maximum Amount of Mutual Information MAMI) mezi dvěma signály reprezentujícími dynamiku podpisu. Cílem tohoto řešení je dosažení maximální přesnosti. Při testování s využitím pera s akcelerometry (smartpen) jako vstupního zařízení bylo dosaženo EER = 0,05 %. Histogramy rozložení hodnot korelace mezi signály pro oprávněné uživatele a útočníky se nepřekrývají, což značí vysokou přesnost systému (viz. obr. 5.1). Útočníci měli možnost sledovat proces podepisování oprávněných uživatelů a byla jim poskytnuta neomezená doba pro natrénování podpisu. Žádný z 99 útočníků však nebyl úspěšný [24]. I přes vysokou přesnost systému při použití pera jako vstupního zařízení není toto řešení vhodné pro komerční použití, a to z důvodu vysoké ceny pera, která se pohybuje v řádu jednotek tisíc dola rů. Proto se vývojáři rozhodli pro běžné nasazení použít jako vstupní zařízení podpisový tablet. Obr. 5.1: Histogramy rozložení hodnot korelace mezi signály při použití smartpen [24] 26

35 Dynamika podpisu vykazuje relativně vysokou variabilitu mezi jednotlivými podpisy, pořízenými jednou osobou v různých časových okamžicích. Přeloženo do oblasti analýzy signálů to znamená, že signály obsahují vysokou úroveň šumu. Aby bylo možné takové signály porovnávat, musí být vyřešeny dva problémy: nalezení modelu umožňujícího získání maximálního množství informace obsažené v signálu a použití optimálního srovnávacího algoritmu [28]. V teorii statistiky může být kombinatorická složitost srovnání biometrických charakteristik od hadnuta podle počtu stupňů volnosti, tj. počtu nezávislých otázek s odpovědí ano/ne, na nichž je rozhodnutí o shodě založeno [21]. Aplikováno na testovaný systém, počet stupňů volnosti odpovídá množství nezávislých dat, která charakterizují spojité signály dynamiky podpisu. Dle Nyquistova Shannonova vzorkovacího teorému, k přesné rekonstrukci spojitého signálu musí být signál vzorkován s alespoň dvojnásobnou frekvencí, než je maximální frekvence rekonstruovaného signálu [25]. Pro signály nesoucí informaci o akceleraci pera se hraniční frekvence pohybuje zhruba na hranici 20 Hz, což pro podpis psaný po dobu 5 sekund znamená = 200 stupňů volnosti pro akceleraci v ose X nebo Y. Akcelerace v jednotlivých osách jsou statisticky nezávislé a pokud systém bude využívat i informaci o přítlaku pera na podložku (osa Z), celková kombinatorická složitost podpisu vzroste na 600 stupňů volnosti [28]. Z tohoto pohledu by dynamika podpisu měla vykazovat velmi vysokou přesnost. Současná implementace s informací o přítlaku pera nepracuje. Atomický pohyb při plynulém psaní označujeme termínem tah, což je dráha pohybu pera ohraničená dvěma body s výrazným zakřivením a odpovídajícím poklesem v tečné rychlosti pohybu. Tah trvá typicky ms a jakmile je podvědomě zahájen, nelze jej ovlivnit vizuální zpětnou vazbou. Signály získané během psaní tedy mohou být definovány jako signály skládající se z neměnných krátkých úseků (tahů). Ty jsou odděleny náhodně dlouhými časovými intervaly, způsobenými rozdíly v nervové a svalové činnosti při opakovaném psaní. Mapování odpovídajících si úseků signálů posuvné okno Doc Secure problém náhodných časových intervalů mezi tahy řeší pomocí mapovací funkce, která vyhledává odpovídající si tahy ve dvou signálech referenčním vzorku a ověřovaném podpisu. Určení časového posunu mezi odpovídajícími si tahy staví na nalezení maximální hodnoty funkce vzájemné korelace signálů. Využívá se technika zvaná posuvné okno. Jeden ze signálů se nejprve rozdělí na sekvenci krátkých úseků, tzv. oken. Funkce se použije pro nalezení odpovídajících úseků ve druhém signálu, tzv. obrazů. Obrazy se hledají v rámci předdefinovaného intervalu na základě výpočtu koeficientů vzájemné korelace mezi okny a stejně dlouhými úseky druhého signálu. Maximální hodnota vzájemné korelace identifikuje obraz k danému oknu. Obraz pak reprezentuje stejný tah jako okno. Pro zajištění stabilních výsledků se okna částečně překrývají [28]. 27

36 Obr. 5.2: Mapování oken na odpovídající úseky druhého signálu Srovnání namapovaných signálů Mapovací funkce redukuje původně proměnné signály dynamiky podpisů, zaznamenané v různých časech, na přibližně neměnné, ustavením časových posunů mezi odpovídajícími si tahy v porovnávaných signálech. Na základě kladného nebo záporného posunu obrazu vůči danému oknu se vypustí část druhého nebo prvního signálu odpovídající velikosti posunu [27]. Výpočtem vzájemné korelace mezi nově získanými, relativně stálými, signály dostaneme výslednou míru podobnosti mezi referenčním a aktuálním podpisem, resp. dynamikou jejich vytváření. Funkce vzájemné korelace je tedy použita dvakrát. Poprvé pro mapování odpovídajících si tahů v jednotlivých signálech a podruhé pro srovnání nově získaných signálů. Výpočet maxima funkce vzájemné korelace dvou časově neměnných signálů pak odpovídá maximálnímu množství společné informace obsažené v těchto signálech podle vztahu: J, = 0,5 log[1 R, ], kde J vyjadřuje množství společné informace a R vzájemnou korelaci mezi signály ε a ν [28]. Forma referenčního vzorku, komunikace aplikace se serverem Referenční vzorek se skládá z pěti samostatných podpisů zaznamenaných během registrace uživatele do systému. Podpisy jsou ve formě nezpracovaných dat nahrány na server. Při používání systému aplikace neustále komunikuje se serverem. Nejprve se uživatel přihlásí ke svému účtu pomocí uživatelského jména a hesla. Tím se stanoví, který referenční vzorek z databáze bude použit pro následné srovnání s aktuálním podpisem. Jakmile se chce uživatel autentizovat svým podpisem (vložit ověřený podpis do dokumentu), referenční vzorek ve formě kolekce podpisů se stáhne ze serveru a aktuální podpis se srovná se všemi referenčními podpisy. Srovnání probíhá na lokálním počítači [32]. Nejvyšší dosažené hodnoty korelace (Correlation) a korelace s mapováním podle 28

37 opačné složky akcelerace (Opposite Shift Correlation) mezi aktuálním podpisem a všemi referenčními podpisy určují (porovnáním s prahovými hodnotami) úspěšnost autentizace. Pokud autentizace proběhne úspěšně, aktuální podpis ve formě nezpracovaných dat se po vložení podpisu do dokumentu ukládá na server pro možnost následného podepsání dokumentu i bez přístupu k tabletu. Vložení podpisu doprovází vytvoření záznamu o vložení na serveru Analytická část aplikace Pro účely testování systému byla do aplikace zahrnuta analytická část, která umožnila zobrazení výsledků srovnání v hodnotách vzájemné korelace aktuálního podpisu s referenčním vzorkem. Další důležitou funkcionalitou byla možnost ověření dostatečné kvality referenčního vzorku. Obr. 5.3 Analytická část aplikace Doc Secure Okno aplikace obsahuje dvě matice, které se vztahují k podpisům zaznamenaným během vytváření referenčního vzorku. Matice obsahují hodnoty korelace každé dvojice zaznamenaných signálů vztahujících se k akceleraci v ose Y pod diagonálou a v ose X nad diagonálou [31]. Pro první matici je funkce vzájemné korelace pro účely mapování i srovnání signálů aplikována na stejnou složku akcelerace, tzn. pro výpočet hodnot korelace pod diagonálou (akcelerace v ose Y) se použije mapování na základě signálů akcelerace v ose Y, pro výpočet hodnot nad diagonálou ma pování dle signálů akcelerace v ose X. 29

38 V případě druhé matice se používá mapování dle opačné složky akcelerace, tj. hodnoty pod diagonálou vyjadřují korelace signálů akcelerace v ose Y při mapování signálů dle akcelerace v ose X. Podobně jsou vypočteny hodnoty nad diagonálou pro signály akcelerace v ose X [31]. Hodnota Correlation uvedená nad první maticí uvádí střední hodnotu korelace vypočtenou na základě tří z pěti podpisů vztažených k referenčnímu vzorku, které vykazují nejvyšší míru shody. Hodnota se počítá pouze pro tu složku akcelerace, která vykazuje vyšší míru shody mezi jednotlivými podpisy (signály), tj. tu složku, v níž jedinec vytváří stabilnější podpisy. Obvykle (asi v 95 % případů) se jedná o akceleraci v ose Y [30]. Opposite Shift Correlation na základě stejného výpočtu udává střední hodnotu korelace pro druhou matici. Sigma značí směrodatnou odchylku hodnot korelace od vypočtené střední hodnoty. Vypočtené střední hodnoty a směrodatné odchylky se při standardním nastavení využívají pro stanovení prahových hodnot Correlation a Opposite Shift Correlation pro úspěšnou autentizaci. Prahové hodnoty jsou tedy počítány nezávisle pro každého uživatele a odvíjí se od míry shody jednotlivých podpisů při vytváření referenčního vzorku. Shora jsou prahové hodnoty globálně omezeny pevně nastavenou hodnotou za účelem ošetření případů, kdy osoba vytvoří velmi kvalitní referenční vzorek, proti kterému by se později nemusela být schopna na požadované úrovni shody autentizovat. Prahové hodnoty se ve standardním nastavení určují dle vztahů [29]: min [Correlation max sigma 3 90] pro první matici min [Opposite Shift Correlation max sigma 3 85] pro druhou matici Prahové hodnoty nejsou explicitně omezeny zdola. Pokud však některá z hodnot Correlation nebo Opposite Shift Correlation bude menší než 75 %, referenční vzorek nebude považován za dostatečně kvalitní a uživatel se tím pádem nebude schopen autentizovat. Hodnoty Correlation a Opposite Shift Correlation v pravém horním rohu okna aplikace se vztahují k verifikaci a vyjadřují míru vzájemné korelace aktuálního podpisu s referenčním vzorkem ve stabilnější složce akcelerace s mapováním dle stejné a opačné složky. Pro úspěšnou verifikaci musí obě hodnoty dosahovat minimálně příslušných prahových hodnot. V okně se dále zobrazuje rozhodnutí o úspěšnosti srovnání (Pass/Fail) a jsou k dispozici dvě tlačítka. První pro vytvoření nového referenčního vzorku (Reference) a druhé pro provedení pokusu o autentizaci (Authen). Položka menu Options slouží k nastavení některých parametrů mapovacího a srovnávacího algoritmu. Lze zde specifikovat velikost okna a krok mezi následnými okny (ve standardním nastavení každé okno odpovídá části signálu trvající 250 ms a následná okna se z 95 % vzájemně překrývají), interval pro vyhledávání obrazu ve druhém signálu (±35 % velikosti okna). Dále prahové hodnoty korelace pro úspěšnou identifikaci obrazu k danému oknu (standardně 80 %; pokud není takový obraz nalezen, zdvojnásobí se vyhledávací interval a prahová hodnota korelace se sníží na 75 %. Vyhledávací interval se prohledává s 99% překrytím mezi následujícími kandidáty na obraz k danému oknu) [29]. V neposlední řadě lze upravit parametry pro výpočet prahových hodnot pro autentizaci a jejich horní mez pro jednotlivé složky akcelerace. Během testování nebylo s nastavením výše uvedených parametrů manipulováno. 30

39 5.3 Přehled konkurenčních systémů V oblasti verifikace osob na základě dynamiky podpisu existuje v dnešní době řada komerčně dostupných systémů. Tato kapitola neposkytuje kompletní přehled všech nabízených produktů, pouze představuje některé systémy, které mohou tvořit konkurenci pro testovaný systém. Společnost Communication Intelligence Corporation (CIC, nabízí řadu produktů z oblasti verifikace osob na základě dynamiky podpisu. Produkt Sign-On, který může být integrován do řady běžně používaných počítačových aplikací, umožňuje nahradit autentizaci heslem dynamikou podpisu. Pro verifikaci, kromě vzoru podpisu, využívá informace o akceleraci tahů a přítlaku pera. Referenční vzorek se vytváří na základě šesti podpisů, následovaných jedním autentizačním pokusem pro ověření použitelnosti vzorku. Může být navíc průběžně aktualizován. Výrobce uvádí přesnost 2,5 % EER [26]. Dalšími produkty jsou SignatureOne a Sign-it, které slouží především k podepisování elektronických dokumentů se zárukou integrity a nepopiratelnosti. Volitelně může být využito ověření identity osoby na základě biometrických charakteristik. Produkt SignPlus ( německé společnosti SOFTPRO je běžně používán řadou bankovních institucí k detekci podvodných šeků či k automatizovanému zpracování platebních transakcí s verifikací podpisu. Umožňuje verifikaci podpisů na základě vzoru i charakteristik dynamiky zahrnujících rychlost, akceleraci nebo přítlak pera [26]. Aplikace SignDoc umožňuje podepisování elektronických dokumentů ve formátech PDF, TIFF nebo DOC. Vstupním zařízením může být podpisový tablet, TabletPC nebo jakýkoliv skener (pro offline verifikaci). Další společností je WonderNet, jejíž produktová řada Penflow ( nabízí klient-server řešení autentizace osob na základě dynamiky podpisu. Referenční vzorek se skládá ze tří nezávislých podpisů a ukládá se na server. Pro úspěšnou registraci systém navíc vyžaduje tři další podpisy pro ověření kvality a přizpůsobení referenčního vzorku. Systém analyzuje přítlak a náklon pera, akceleraci a rychlost ve dvou dimenzích. Referenční vzorek je upravován s každým dalším autentizačním pokusem. Vstupním zařízením je tablet nebo speciální pero. Produkty PenDocs, patřící do řady Penflow, umožňují vkládat elektronické podpisy do dokumentů vytvořených v aplikacích Adobe Acrobat nebo Microsoft Word. Podepisující osoba je navíc autentizována na základě dynamiky podpisu. Systémy po vložení podpisu zajišťují integritu dat na základě hashování. Dynamic Biometric Systems nabízí systém Bio-Pen ( pro autentizaci osob na bázi dynamiky podpisu využívající proprietární vstupní biometrické zařízení speciální pero se senzory zaznamenávající dynamiku psaní a proprietární aplikaci zprostředkovávající verifikaci dynamiky podpisu a adaptaci referenčního vzorku na změny ve způsobu psaní dané osoby v čase. Systém nachází uplatnění v oblastech podepisování elektronických dokumentů, kontroly docházky, online bankovnictví nebo řízení přístupu, včetně vzdáleného přihlašování. Mezi další systémy využívající k autentizaci osob nebo ověření autenticity podpisu charakteristiky dynamiky psaní lze zařadit např. SignoSign společnosti Signotec ( SIGNificant společnosti Xyzmo ( nebo SigniShell od Card Scanning Solutions ( určené pro vkládání podpisů do elektronických dokumentů. Dalšími systémy jsou Crypto-Sign ( společnosti TSI, KeSignature společnosti KeCrypt ( a CertifyX od SignaServ Inc. ( Třetí jmenovaný umožňuje navíc vícefaktorovou autentizaci kombinující dynamiku podpisu s PINy nebo tokeny. 31

40 Kapitola 6 Testování systému Testování systému Doc Secure se skládalo z několika částí. V první části jsem se zaměřil na funkcionalitu a možnosti práce se systémem, abych byl na základě zjištěných poznatků schopen navrhnout testovací protokol pro testování systému s dobrovolníky. Následovala část, kterou považuji za klíčovou, a to testování systému na dobrovolnících. První fáze testování zahrnovala registraci omezeného počtu zúčastněných osob do systému, včetně vytvoření dvou biometrických referenčních vzorků skutečného podpisu a slova, které bylo pro všechny uživatele společné, dále označovaného heslo. Tyto osoby se zároveň zúčastnily testování míry nesprávných odmítnutí. Další osoby zapojené do testů vystupovaly pouze v roli útočníků, kteří se snažili o úspěšnou autentizaci pod identitou oprávněných uživatelů. Útočníci při testech disponovali různou úrovní znalostí o podpisech oprávněných uživatelů. Někteří dobrovolníci se testů zúčastnili ve dvou, časově oddělených, sezeních. Cílem bylo zjištění chybovosti systému při standardním nastavení a při různých nastaveních prahových hodnot pro úspěšnou shodu, porovnání úspěšnosti útoků při různé úrovni znalostí útočníků a zkoumání náročnosti práce se systémem z pohledu uživatelů. Protože výsledky testování odhalily implementační nedostatky, které vyústily ve vysokou míru chybovosti systému, byly ze strany vývojářů systému provedeny úpravy aplikace. Pro ověření správnosti úprav provedených v systému mi byl poskytnut analytický nástroj umožňující vytváření referenčních biometrických vzorků a simulaci procesu verifikace. Bylo tedy provedeno další testování s několika novými dobrovolníky, kteří prošli procesy registrace, verifikace a také se snažili o úspěšné napodobení podpisu jiné osoby v situaci, že předtím viděli, jak se daná osoba podepisuje. Výsledky byly následně porovnány s původní verzí systému. 6.1 Analýza funkcionality a návrh testovacího protokolu Funkcionalita systému byla obecně popsána v předcházející kapitole 5. V této části zmiňuji ně které poznatky, které jsem pozoroval během seznamování se se systémem, a především se zabývám návrhem testovacího protokolu pro testy s dobrovolníky. Cílem analytické části je získání správných návyků pro práci se systémem tak, aby administrátor byl následně schopen zaškolit pro práci se systémem budoucí nezasvěcené uživatele zde účastníky testů. Další důvod k provedení počáteční analýzy testovaného systému vidím v možnosti odhalení nedostatků, které by mohl systém během práce vykazovat. Zjištěné poznatky tvoří podklad pro návrh testovacího protokolu Poznatky z úvodní analýzy systému Pro analytické účely jsem si nejprve vytvořil dva vlastní referenční vzorky. První se skládal z jediného souvislého tahu, druhý pak z několika samostatných tahů, mezi nimiž nebylo pero 32

41 v kontaktu se snímací plochou tabletu (viz. obr. 6.1). První z podpisů používám téměř každodenně, druhý pak připojuji při podepisování dokumentů, kterým přikládám větší důležitost. Obr. 6.1: Podpisy vytvořené v analytické fázi; 1 z 5 referenčních podpisů, příklady úspěšné/neúspěšné autentizace Vytvoření referenčního vzorku s požadovanou úrovní kvality pro mě bylo obtížnější pro podpis složený z více tahů. Zatímco pro vytvoření referenčního vzorku pro souvislý podpis mi stačil jediný pokus, v případě druhého podpisu jsem byl nucen proces registrace několikrát opakovat. Důvodem však mohl být i fakt, že druhý podpis nepoužívám příliš často. Kvalitu referenčního vzorku udávají hodnoty Correlation a Opposite Shift Correlation, uvedené nad jednotlivými maticemi v analytickém okně aplikace, a tyto musí být vyšší než 75 %. Vývojáři však doporučovali alespoň 85 %. Z úvodní analýzy jsem usoudil, že v případě Correlation by dosažení hodnoty 85 % nemělo být pro dobrovolníky problematické. Problém by však mohl nastat u Opposite Shift Correlation, kde je obtížnější dosáhnout vysoké kvality (podobnosti) vzorků, zvláště pokud vezmeme v úvahu osoby bez předchozích zkušeností se systémem. Tento fakt byl proto zohledněn při návrhu registrační politiky. Další analýza se zabývala procesem verifikace. Během několika autentizačních pokusů jsem zjistil, že pokud si uživatel zvykne na specifický způsob psaní na tablet, nemusely by následné autentizační pokusy vykazovat vysokou míru nesprávných odmítnutí. Referenční vzorek však musí být vytvořen z podpisů psaných takovým způsobem, kterým se daná osoba podepisuje v běžném životě. To znamená, že uživatel by neměl při vytváření referenčního vzorku věnovat zvýšenou po zornost tomu, aby podpisy byly co nejpodobnější. V opačném případě by mohlo dojít k tomu, že uživatel nebude s časovým odstupem od registrace schopen úspěšné autentizace, protože si nevzpomene, jakým způsobem referenční podpisy vytvářel. Při vlastních verifikačních pokusech jsem dále zjistil, že hodnoty Correlation se mezi jednotlivými pokusy příliš nemění. I s měnícím se stylem psaní se hodnoty stále pohybovaly kolem 90 %. Rozdíly však byly patrné v hodnotách Opposite Shift Correlation, které s různým stylem psaní nebo počtem samostatných tahů kolísají v řádu desítek procent a dle mého názoru lépe charakterizují dynamiku podpisu osoby. Příklady podpisů na obr. 6.1 naznačují, že systém pro rozhodnutí o úspěšnosti autentizace bere v potaz pouze dynamiku, výsledný vzhled nehraje roli. Systém tedy může vyhodnotit jako shodné i takové podpisy, jejichž vzhled si vůbec neodpovídá. Při analýze 33

42 se podařilo dosáhnout úspěšné autentizace i s nekompletním (kratším) podpisem. Bylo ověřeno, že velikost podpisu na tabletu a relativní pozice v rámci aktivní plochy tabletu neovlivňují úspěšnost verifikace. Za problém, který by mohl nastat při verifikaci a ovlivnit tak její úspěšnost, považuji omezení doby, po kterou může uživatel psát na tablet. V případě dlouhých nebo složitých podpisů (dlouhá příjmení, zvyk podepisovat se příjmením i jménem), jejichž psaní trvá delší dobu, může dojít k ukončení sběru dat z tabletu ještě před dokončením psaní, a tudíž srovnání pouze části podpisu s referenčním vzorkem. Vyústěním takové situace může být neúspěšná verifikace. Navíc, tento fakt může být příčinnou toho, že při příštím pokusu se uživatel bude snažit psát rychleji, což negativně ovlivní dynamiku a způsobí další neúspěšnou verifikaci Testovací protokol Na základě předchozí analýzy a obecné metodiky a doporučení pro testování biometrických systémů jsem navrhl testovací protokol pro testování systému s dobrovolníky. Testování se konalo v rozmezí několika týdnů v prostorách FI MU. Zúčastnilo se jej celkem 48 osob, z nichž 27 absolvovalo dvě časově oddělená sezení. Dobrovolníci pocházeli z řad studentů MU, zastoupeny byly obě pohlaví (41 mužů a 7 žen), zúčastnili se praváci (42 osob) i leváci (6 osob). Testovaným systémem byla první verze aplikace Doc Secure a veškeré testy probíhaly při doporučeném výchozím nastavení. Každá osoba byla nejprve seznámena s problematikou autentizace na základě dynamiky podpisu. Následovalo vysvětlení způsobu práce s konkrétním testovaným systémem tak, aby jej daná osoba byla schopna během testů správně používat. Po úvodním proškolení došlo na samotné testování zahrnující pokusy o dosažení nesprávných přijetí a pro některé dobrovolníky také registraci a následné verifikační pokusy. Registrace Každý budoucí uživatel musí mít vytvořen uživatelský účet na webových stránkách poskytovatele systému, společnosti Verifax Biometrics. Z tohoto důvodu a z hlediska časové náročnosti procesu registrace jsem se rozhodl, že do systému bude zaregistrováno pouze prvních 12 zúčastněných dobrovolníků a před samotným testováním zřídil odpovídající počet uživatelských účtů. Pro zajištění anonymity zúčastněných osob byly v účtech použity fiktivní údaje a přihlašovací informa ce. Uživatele charakterizovaly identifikační čísla (ID). Každá registrovaná osoba vytvořila v systému dva referenční vzorky, resp. dvě sady referenčních podpisů, a sice svůj skutečný podpis a sdílené heslo. Heslo představovalo slovo Simpson. Každá osoba do hesla vnesla svou charakteristickou informaci v podobě vzhledu, ale především dynamiky psaní. Důraz byl kladen na to, aby se uživatel podepisoval běžným způsobem, bez zvýšeného úsilí o co nejpodobnější vzorky, které je v tomto případě kontraproduktivní. S ohledem na nutnou minimální kvalitu referenčních vzorků pro zajištění použitelnosti systému a doporučení vývojářů, kteří navrhovali posunout hranici minimální kvality ještě výše, jsem registrační politiku nastavil následovně: 34

43 Uživatel absolvoval první registrační transakci. V případě, že nedosáhl průměrných hodnot podobnosti referenčních podpisů (kvality) na úrovni 85 %, registrační proces se jednou, případně dvakrát opakoval. Pokud ani při opakovaných transakcích nedosáhl uživatel hranice 85 %, byl akceptován referenční vzorek vytvořený při poslední transakci. Tento vzorek však musel dosahovat alespoň hodnot 75 %. Pokud tomu tak nebylo a uživatel ani v předchozích transakcích nedosáhl hodnot na úrovni 75 %, registrace byla prohlášena za neúspěšnou a zahrnuta do výpočtu FTE. Jinak uživatel provedl ještě čtvrtou transakci. Stejný postup byl aplikován pro podpis i heslo. Proces registrace jsem zaznamenával prostřednictvím webové kamery Canyon CNR-WCAM43 [33], v rozlišení pixelů. Důvodem k pořizování videozáznamu z vytváření referenčních vzorků bylo poskytnutí informací o dynamice psaní podpisu útočníkům. Obr. 6.2: Testovací sestava Transakce oprávněných uživatelů testování FRR Úspěšně zaregistrovaní uživatelé podstoupili ve dvou časově oddělených sezeních vždy 9 pokusů o autentizaci prostřednictvím podpisu a stejný počet pokusů pro heslo, za účelem stanovení míry nesprávných odmítnutí. Většina systémů umožňuje uživateli provedení více pokusů v rámci jedné autentizační transakce. Proto byla FRR vyhodnocována jak pro samostatné pokusy, tak pro transakce skládající se z maximálně tří autentizačních pokusů. První sezení se konalo bezprostředně po registraci, druhé pak s časovým odstupem v rozmezí jednoho týdne až jednoho měsíce, dle časových možností dobrovolníků. Všechny zaregistrované osoby se zúčastnily obou sezení. Byla zaznamenávána úspěšnost jednotlivých autentizačních pokusů, včetně hodnot Correlation a Opposite Shift Correlation. Pozornost byla věnována případným neúspěšným snímáním nebo zpracováním biometrických dat systémem (FTA) a ohlasům uživatelů týkajících se uživatelské pří - 35

44 větivosti a práce se systémem. Zaznamenané údaje umožnily následné vyhodnocení a srovnání výsledků pro různé nastavení prahových hodnot, pokud by tyto nebyly počítány zvlášť pro každý referenční vzorek, ale stanoveny globálně. Zároveň byl zkoumán vliv časového odstupu na úspěšnost verifikace a v rámci jednotlivých sezení chybovost v závislosti na počtu provedených pokusů obeznámenost uživatele se správným používáním systému. Během testování bylo uživatelům zdůrazňováno, aby se nenechali ovlivnit neúspěchem a stejně jako v případě registrace se podepisovali přirozeným způsobem. Transakce útočníků testování FAR Těžiště testování spočívalo právě v odhadu míry nesprávných přijetí neoprávněných osob (FAR). Zúčastnilo se jej všech 48 osob. Každé osobě útočníkovi byly náhodně přiděleny podpisy dvou zaregistrovaných uživatelů a úkolem útočníků bylo tyto podpisy, resp. jejich dynamiku, úspěšně napodobit, tedy dosáhnout nesprávného přijetí. Dále se všichni útočníci snažili napodobit dynamiku psaní hesla jediného a toho stejného uživatele. Přiřazením hesla vytvořeného jedním uživatelem pro všechny útočníky jsem se snažil dosáhnout toho, aby útočníci měli stejné podmínky co do stylu psaní napodobovaného hesla. Chtěl jsem zajistit, aby nedošlo k případu, že by se mezi útočníky našel takový, kterému by vyhovoval styl psaní vybraného uživatele, ale vzhledem k náhodnému přiřazení uživatelů k útočníkům by heslo tohoto uživatele k provedení útoku nedostal. Osoby, které nebyly zapojeny do procesu registrace a testování nesprávných odmítnutí měly v rámci sezení více času na testování FAR, a proto jim bylo navíc náhodně přiřazeno k útoku jedno další heslo. Bohužel, z důvodu časové náročnosti nebylo možné, aby každý útočník provedl útoky na podpisy a hesla všech zaregistrovaných osob, a proto byl zvolen výše popsaný omezený scénář. Každý útočník realizoval na každý z přiřazených podpisů oprávněných uživatelů čtyři typy útoků. Jednotlivé typy útoků se lišily v úrovni znalostí útočníka o podpisu oprávněného uživatele a procesu jeho vytváření. Útoky lze rozdělit následovně: náhodný (zero-effort) útok útok s nulovou znalostí; útočník nemá žádnou informaci o podpisu oprávněného uživatele a nezná ani jeho jméno. Typicky se zkouší autentizovat pomocí vlastního podpisu. Útočníci prováděli 3 pokusy (1 transakci) o nesprávné přijetí. útok se znalostí jména útočníkovi je sděleno jméno, resp. slovní obsah podpisu, oprávněného uživatele nebo heslo. Útočník tak mohl zapojit svou fantazii a zkoušet v rámci 6 pokusů různé varianty podpisu s daným obsahem. útok se znalostí podpisového vzoru v této fázi získá útočník podpisový vzor nebo vzor hesla uživatele. Přestože systém pro rozhodování o shodě bere v potaz pouze dynamiku psaní, vzor může poskytnout některé důležité informace spojené s dynamikou psaní. Např. jakým stylem oprávněný uživatel píše, zda se podepisuje celým jménem nebo podpis zjednodušuje či z kolika tahů se podpis skládá. Někdy lze odhadnout přibližnou rychlost psaní a podobně. Útočník měl 6 pokusů na každý přidělený podpis/heslo. útok se znalostí dynamiky podpisu nejsofistikovanějším útokem je případ, kdy útočník vidí proces podepisování uživatele. Buďto uživatele sleduje v reálném čase nebo může mít k dispozici videozáznam. Při mém testování byl pořizován videozáznam z procesu registrace uživatelů a tento byl následně přehrán útočníkům. Záznam obsahoval 5 podpisů 36

45 použitých pro vytvoření referenčního vzorku a 1 podpis pro ověření použitelnosti referenčního vzorku. Po shlédnutí videozáznamu disponoval útočník opět 6 pokusy o napodobení dynamiky. Testování probíhalo způsobem, že útočník postupně realizoval výše uvedené typy útoků rozšiřovala se jeho znalost o podpisu uživatele proti podpisu prvního uživatele. Následně se proces opakoval pro podpis druhého uživatele a poté stejným způsobem pro jedno, příp. dvě hesla. 27 ze 48 dobrovolníků (útočníků) se zúčastnilo testování ve dvou sezeních. Druhé sezení se konalo v časovém rozmezí týdne až měsíce od prvního sezení. Po prvním sezení obdrželi útočníci podpisový vzor a vzor hesla těch uživatelů, proti nimž realizovali útoky. Do doby konání druhého sezení tak měli čas k natrénování podpisu dle poskytnutého vzoru, čímž jsem se snažil simulovat reálnou situaci, kdy má útočník neomezenou dobu k nacvičení podpisu jiné osoby. V rámci druhého sezení pak útočníci prováděli útok se znalostí vzoru proti všem podpisům a heslům, jejichž podpisový vzor obdrželi k natrénování. Následně jim byl přehrán videozáznam s procesem vytváření odpovídajících podpisů a hesel za účelem realizace útoku se znalostí dyna miky psaní. Méně sofistikované útoky (zero-effort a útok se znalostí jména) neměly v tomto případě smysl, protože útočník měl k dispozici vzor již před samotným sezením. Nově útočníci v rámci druhého sezení provedli všechny typy útoků pro jeden další náhodně zvolený podpis a jedno heslo. V průběhu celého testování byly podobně jako v případě nesprávných odmítnutí zaznamenávány výsledky jednotlivých autentizačních pokusů a pro každý pokus hodnoty Correlation a Opposite Shift Correlation, případně případy FTA. Data umožnila následné vyhodnocení chybovosti při různých prahových hodnotách pro shodu dvou podpisů. Chybovost byla vyhodnocována pro samostatné pokusy i pro transakce složené ze tří pokusů. Tato část si kladla za cíl srovnání chybovosti při různých úrovních znalostí o podpisu uživatele, za něhož se chce útočník úspěšně vydávat. Dále prověření, jakým způsobem úspěšnost útočníka ovlivní delší doba poskytnutá k natrénování podpisu dle podpisového vzoru a zda je útočník úspěšnější s rostoucím počtem pokusů. Heslo jsem do testování zařadil za účelem zkoumání rozdílu v chybovosti ve srovnání s podpisem. Z pohledu FRR srovnávám podpis, který vetšinou uživatel používá poměrně často, má jej nacvičený, přizpůsobený svému zvyku a podepisuje se tedy do určité míry podvědomě, s heslem, které je pro uživatele něčím novým, způsob jeho psaní nemá předem nacvičený a staví tak pouze na rukopisu osoby. Heslo by dle mého názoru nemělo vykazovat takovou stabilitu mezi vzorky co do dynamiky podpisu a pro uživatele by tedy mělo být obtížnější vytvořit dostatečně kvalitní referenční vzorek a také se následně úspěšně autentizovat. Z pohledu FAR uvažuji skutečnost, že uživatelé svůj podpis často zkracují a zjednodušují tak, aby jeho použití bylo efektivní. Na druhou stranu, pokud někomu řeknete, aby napsal předem určené slovo, většinou toto slovo napíše čitelně a celé. Domnívám se, že kratší a často zjednodušený podpis by měl být pro útočníka snadněji napodobitelný než dlouhé heslo, což se snažím testováním ověřit. Obr. 6.3 znázorňuje odlišnost psaní podpisu a hesla jednoho z uživatelů. 37

46 Obr. 6.3: Odlišnost ve stylu psaní podpisu (vlevo) a hesla (vpravo) 6.2 Poznatky z průběhu testování, vyhodnocení výsledků Následující kapitola se věnuje vyhodnocení dosažených výsledků a shrnuje poznatky z průběhu testování. Vyhodnocuji chybovost při standardním nastavení aplikace a při různých nastaveních prahových hodnot pro dosažení úspěšné shody dvou podpisů v případě, pokud by prahové hodnoty byly stanoveny globálně, nikoliv zvlášť pro každý referenční vzorek na základě jeho kvality. Dále se zabývám srovnáním chybovosti při použití podpisu a hesla, srovnáním úspěšnosti různých typů útoků a vyhodnocením vlivu časového odstupu na úspěšnost verifikace oprávněných uživatelů i útočníků, kteří tak získali čas k natrénování podpisu. Vyhodnocení provádím pro samostatné pokusy i transakce složené maximálně ze tří pokusů. K těmto účelům jsem využil konstrukci závislostí FAR a FRR na prahových hodnotách, DET a ROC charakteristik a histogramy rozložení výsledků jednotlivých autentizačních pokusů v hodnotách Correlation a Opposite Shift Correlation Registrace Registrace byla pro zúčastněné dobrovolníky prvním kontaktem se systémem a s podpisovým tabletem. Z toho důvodu jsem jim před samotnou registrací doporučoval vyzkoušet si psaní na tablet, protože od psaní na papír se mírně liší. Registrace podpisu i hesla pak probíhala dle navr ženého testovacího scénáře. Registrace podpisu se nakonec z původně zamýšlených 12 zúčastnilo 14 osob. Důvodem bylo, že jednomu z dobrovolníků (ID 6) se sice podařilo úspěšně zaregistrovat, ale při následném testování nesprávných odmítnutí nebyl schopen úspěšné autentizace. Jelikož jsem si nebyl jistý správností vytvořeného referenčního vzorku, rozhodl jsem se pro další testy zaregistrovat místo něj jinou osobu. Nicméně, protože registrace proběhla úspěšně, nejednalo se o případ FTE. Jedna další osoba nebyla vůbec schopna úspěšné registrace. Testování se tedy zúčastnily dvě osoby navíc, aby pro další testy mohlo být využito všech 12 vytvořených uživatelských účtů. Registrace hesla se zúčastnilo 13 osob. Z důvodu zajištění, aby podpis a heslo, ukládané pod ID uživatele, pocházelo od stejné osoby, bylo kromě podpisu výše zmíněné osoby, která neuspěla při verifikaci (ID 6), nahrazeno i s ní spojené heslo (přestože registrace hesla proběhla v pořádku). Při registraci se vyskytl jeden případ FTE. 38

47 Neúspěšnost registrace s rostoucím počtem transakcí - FTE FTE [%] Podpis; prah. hodnota Podpis; prah. hodnota Heslo; prah. hodnota 85 Heslo; prah. hodnota Počet transakcí Graf 6.1: Míra FTE s rostoucím počtem registračních transakcí Graf 6.1 znázorňuje klesající průběh FTE s rostoucím počtem registračních transakcí provedených uživateli při akceptované kvalitě 75 % a 85 % v hodnotách Opposite Shift Correlation. Potvrdil se předpoklad z mé úvodní analýzy, že pro nové uživatele bude dosažení 85% hranice problematické. V případě podpisu se i po třech transakcích FTE pohybovalo na hranici 30 %, u hesla dokonce 77 %. Při snížení hranice kvality na 75 % jsou výsledky přijatelnější, v obou případech FTE kleslo na hranici 8 % při povolení maximálně tří registračních transakcí. Pokud by reálné prostředí, v němž by byl systém v budoucnu nasazen, odpovídalo podmínkám, v nichž probíhalo testování, pak bych na základě výsledků doporučil ponechat hranici kvality referenčních vzorků na původních 75 % a povolit více než jednu registrační transakci v případě neúspěchu. Z grafu je také patrné, že registrace hesla způsobovala uživatelům větší problémy než podpis, především při vyšších nárocích na kvalitu vzorku a menším počtu registračních transakcí. Důvod vidím v tom, že heslo je pro uživatele něčím novým, zatímco podpis mají většinou zažitý. Usuzuji tak mimo jiné i z ohlasů registrovaných osob. 39

48 Registrace Rozložení hodnot Correlation - Podpis, Heslo 12 Frekvence výskytu Correlation [%] Podpis Heslo Graf 6.2: Histogramy rozložení hodnot Correlation při registračních transakcích Registrace Rozložení hodnot Opposite Shift Correlation - Podpis, Heslo Frekvence výskytu Opposite Shift Correlation [%] Podpis Heslo Graf 6.3: Histogramy rozložení hodnot Opposite Shift Correlation při registračních transakcích Histogramy rozložení hodnot Correlation a Opposite Shift Correlation při registračních transakcích (grafy 6.2 a 6.3) ukazují, že v případě podpisu bylo častěji dosahováno vyšších hodnot než u hesla, což ve výsledku značí kvalitnější referenční vzorky pro podpis a také menší obtížnost jejich vytvoření budoucími uživateli. Nepatrně vyšší jsou u podpisu i průměrné hodnoty, jak ukazuje následující tabulka (tab. 6.1). 40

49 Correlation Opposite Shift Correlation Střední hodnota Směrodatná Střední hodnota Směrodatná [%] odchylka [%] [%] odchylka [%] 89,54 2,85 78,97 9,69 89,13 2,24 76,48 7,57 Podpis Heslo Tab. 6.1: Střední hodnoty a směrodatné odchylky hodnot Correlation a Opposite Shift Correlation Transakce oprávněných uživatelů odhad FRR V rámci prvního sezení, které bezprostředně navazovalo na registraci, bylo provedeno celkem 117 (každý uživatel 9) autentizačních pokusů pro podpis a 108 pokusů pro heslo. Ve smyslu trans akcí složených z maximálně tří pokusů to znamenalo 39 a 36 transakcí. Při standardním nastavení aplikace bylo nesprávně odmítnuto 40 autentizačních pokusů pro podpis a stejný počet pro heslo, což znamená, že nesprávné odmítnutí postihlo přibližně 1/3 všech pokusů! Při rostoucím počtu pokusů v rámci jedné transakce se chybovost snižovala, jak ukazuje následující graf chybovosti pro podpis (graf 6.4). FRR pro standardní nastavení; Podpis 50,00 FNMR, FRR [%] 40,00 FNMR 30,00 FNMR časový odstup 20,00 FRR 3 pokusy/transakce 10,00 FRR 3 pokusy/transakce časový odstup 0, Počet pokusů v rámci transakce Graf 6.4: Chybovost při standardním nastavení pro samostatné pokusy a transakce Graf zároveň srovnává chybovost při prvním a druhém sezení, které se konalo s časovým odstupem týdne až měsíce od registrace. Vidíme, že časový odstup vyústil ve vyšší míru chybovosti, což přisuzuji fenoménu zvanému stárnutí referenčních vzorků. Chybovost s časovým odstupem poměrně značně narostla, v případě samostatných pokusů i transakcí zhruba o 10 %. Podobná situace byla u hesla, zde však chybovost narostla při druhém sezení podstatně více, o 20 % při samo statných pokusech a téměř o 30 % při transakcích. Markantnější rozdíly v případě hesla přisuzuji opět faktu, že heslo uživatelé dříve a ani mezi jednotlivými sezeními běžně nepoužívali, takže pro ně bylo obtížnější vzpomenout si na způsob jeho psaní, který použili při registraci. 41

50 Dále jsem se zabýval zkoumáním, zda se úspěšnost verifikace uživatelů zvyšuje s rostoucím počtem provedených pokusů. Závislost znázorňuje graf 6.5. Na jeho základě nelze říci, že by chybovost byla ovlivněna počtem pokusů, které uživatel provedl. V rámci devíti pokusů tedy uživatelé nezískali tolik zkušeností při práci se systémem, aby dosáhli snížení chybovosti. Chybovost se s rostoucím počtem pokusů u podpisu stále pohybuje v blízkosti průměrné hodnoty, v případě hesla vykazuje mezi jednotlivými pokusy větší variabilitu. Křivky však ani v jednom případě nemají sestupný trend, který by značil zvyšování úspěšnosti uživatelů. Shodná situace byla pozorována i při testech s časovým odstupem. Nezávislost chybovosti na rostoucím počtu pokusů lze také odvodit z průměrných hodnot výsledků verifikace (hodnoty Correlation a Opposite Shift Correlation), které se pro jednotlivé pokusy pohybovaly v blízkosti průměrné hodnoty, a to jak pro podpis, tak i pro heslo. Míra neúspěšnosti verifikace s rostoucím počtem pokusů Podpis vs. Heslo; Standardní nastavení; Po registraci 80,00 70,00 FNMR [%] 60,00 50,00 Podpis 40,00 Heslo 30,00 20,00 10,00 0, Číslo pokusu Graf 6.5: FNMR v jednotlivých autentizačních pokusech prováděných ihned po registraci pro podpis Následující histogramy rozložení hodnot Correlation a Opposite Shift Correlation při prvním sezení uživatelů znázorňují, že během verifikace bylo v případě podpisu častěji dosahováno vyšších hodnot, především ve veličině Opposite Shift Correlation, než u hesla, což značí nižší chybovost verifikace a vyšší použitelnost podpisu k verifikaci ve srovnání s heslem. Při tak malém počtu pokusů však nejsou rozdíly příliš markantní. Odpovídající střední hodnoty a směrodatné odchylky rozložení, včetně vypočtených chybovostí uvádí tabulka 6.2 níže. Hodnoty v tabulce i histogramy vypovídají o tom, že hodnoty Correlation se při autentizačních pokusech výrazně nemění a pohybují se stále kolem 90 %, zatímco hodnoty Opposite Shift Correlation jsou rozprostřeny v širším intervalu a jejich průměrná hodnota je nižší, pohybuje se na úrovni 80 %. Lze tedy soudit, že Opposite Shift Correlation více ovlivňuje úspěšnost verifikace a je citlivější na změny v dynamice podpisu. 42

51 FRR - Srovnání podpis vs. heslo Rozložení hodnot Correlation; Po registraci Frekvence výskytu Correlation [%] Podpis Heslo Graf 6.6: Histogramy rozložení hodnot Correlation pro verifikace oprávněných uživatelů podpisem a heslem FRR - Srovnání podpis vs. heslo Rozložení hodnot Opposite Shift Correlation; Po registraci 14 Frekvence výskytu Opposite Shift Correlation [%] Podpis Heslo Graf 6.7: Histogramy rozložení hodnot Opposite Shift Correlation pro verifikace oprávněných uživatelů FNMR [%] Podpis Heslo sezení sezení sezení sezení 34,19 43,59 37,04 54,63 Correlation Opposite Shift Correlation Střední Směrodatná Střední Směrodatná hodnota [%] odchylka [%] hodnota [%] odchylka [%] 90,32 4,87 83,56 8,03 89,80 4,73 81,60 8,74 89,96 3,79 79,01 9,63 88,61 3,21 73,42 12,87 Tab 6.2: Chybovost, střední hodnoty a směrodatné odchylky při verifikačních pokusech oprávněných uživatelů 43

52 Ve standardním nastavení se prahové hodnoty pro úspěšnou shodu určují pro každý referenční vzorek zvlášť, na základě jeho kvality. Další analýzy, provedené za účelem vyhodnocení vlivu prahových hodnot na úspěšnost verifikace, odpovídají případu globálně nastavených prahových hodnot, bez ohledu na kvalitu jednotlivých vzorků. Systém využívá dvě nezávislé prahové hodnoty Correlation a Opposite Shift Correlation. Následující graf 6.8 znázorňuje závislosti míry nesprávných odmítnutí na prahové hodnotě Opposite Shift Correlation při různých nastaveních prahové hodnoty Correlation. Hodnota Correlation má v případě podpisu a při pokusech v rámci prvního sezení vliv na úspěšnost verifikace až při hodnotách 75 % a vyšších. Prahová hodnota Opposite Shift Correlation ovlivňuje výsledky zhruba od % (u hesla to bylo již od 50 %). Další srovnání jsem se rozhodl, z důvodu přijatelné míry chybovosti při podmínkách, v nichž testování probíhalo, provést při prahové hodnotě Correlation = 80 %. Analogická byla situace v případě hesla a také při druhém sezení uživatelů. FNMR v závislosti na prahové hodnotě Opposite Shift Correlation Podpis; Po registraci 100,00 90,00 Correlation = 95 80,00 Correlation = 90 FNMR [%] 70,00 Correlation = 85 60,00 Correlation = 80 50,00 Correlation = 75 40,00 Correlation = 70 30,00 Correlation = 60 20,00 Correlation = 0 10,00 0, Opposite Shift Correlation [%] Graf 6.8: FNMR v závislosti na prahové hodnotě Opposite Shift Correlation při různých hodnotách Correlation Další tři grafy prezentované dále znázorňují srovnání míry nesprávných odmítnutí pro rostoucí počet pokusů v rámci jedné autentizační transakce (graf 6.9), srovnání chybovosti při autentizačních pokusech prováděných bezprostředně po registraci a s časovým odstupem (graf 6.10) a při použití klasického podpisu uživatele a hesla (graf 6.11). Srovnání konkrétních hodnot chybovosti pro zvolené prahové hodnoty pak přináší následující tabulka (tab. 6.3). Correlation = 80 % Opposite Shift Correlation = 75 % FNMR [%] FRR 1. pokus transakce [%] FRR 2. pokus transakce [%] FRR 3. pokus transakce [%] Podpis 1. sezení 2. sezení 11,11 22,22 10,26 15,38 5,13 10,26 2,56 5,13 Heslo 1. sezení 2. sezení 20,37 46,30 19,44 47,22 2,78 36,11 2,78 33,33 Tab. 6.3: Míra nesprávných přijetí při zvolených prahových hodnotách 44

53 Tabulka srovnává konkrétní hodnoty chybovosti pro zvolené prahové hodnoty uvedené v záhlaví. Obsahuje míry nesprávných přijetí při použití podpisu a hesla v rámci prvního a druhého sezení uživatelů a zároveň srovnává chybovosti dosažené pro samostatné autentizační pokusy (FNMR) a pro transakce složené maximálně ze tří autentizačních pokusů, kde hodnoty znázorňují FRR po prvním, prvních dvou a třech pokusech. Ilustruje změny v chybovosti popsané u jednot livých grafů níže na konkrétních hodnotách. Za povšimnutí stojí především podstatné snížení chybovosti u hesla při povolení tří pokusů v rámci transakce při prvním sezení a na druhou stranu výrazné zvýšení chybovosti hesla při autentizaci po uplynutí určité doby od registrace (2. sezení). FNMR, FRR při rostoucím počtu pokusů v rámci transakce Podpis; Po registraci; Correlation = ,00 FNMR, FRR [%] 90,00 80,00 FNMR po registraci 70,00 FRR 1. pokus transakce 60,00 FRR 2. pokus transakce 50,00 40,00 FRR 3. pokus transakce 30,00 20,00 10,00 0, Opposite Shift Correlation [%] Graf 6.9: FRR při rostoucím počtu pokusů v rámci jedné transakce Biometrické systémy často umožňují uživateli provést více autentizačních pokusů v rámci jedné transakce před učiněním konečného rozhodnutí o přijetí či odmítnutí uživatele. Pokud uživatel neuspěje při prvním pokusu, systém povolí druhý, případně třetí pokus. Počet povolených pokusů předtím, než je uživatel odmítnut, závisí na nastavené bezpečnostní politice. Graf 6.9 znázorňuje míru nesprávných odmítnutí při samostatných pokusech a při transakcích složených z maximálně tří autentizačních pokusů. Chybovost po prvním pokusu transakce přibližně odpovídá chybovosti samostatných pokusů. Zhruba polovina uživatelů, kteří neuspěli při prvním pokusu, byli úspěšně autentizováni při svém druhém pokusu. Stejná situace nastala i v případě uživatelů, kteří neuspěli v prvních dvou pokusech. Celkem tedy povolení tří pokusů v rámci jedné transakce vyústilo ve snížení míry nesprávných odmítnutí na přibližně čtvrtinu hodnoty odpovídající samostatným pokusům. Rozdíl závisí na nastavené prahové hodnotě. Srovnatelná situace byla pozorována i v případě transakcí prováděných s časovým odstupem od registrace a také při použití hesla jako biometrické charakteristiky. 45

54 Srovnání FNMR po registraci a s časovým odstupem Podpis; Correlation = ,00 90,00 80,00 FNMR [%] 70,00 60,00 FNMR po registraci 50,00 FNMR časový odstup 40,00 30,00 20,00 10,00 0, Opposite Shift Correlation [%] Graf 6.10: FNMR při samostatných autentizačních pokusech prováděných ihned po registraci a s časovým odstupem Při vyšších prahových hodnotách Opposite Shift Correlation 70 % a výše lze pozorovat nárůst chybovosti verifikačních pokusů prováděných s časovým odstupem od registrace. Rozdíly se pohybují v řádu jednotek procent. Nejvyšší rozdíl, zhruba 10% nárůst chybovosti, byl pozorován při prahové hodnotě 75 %. Považuji za nutné poznamenat, že nižší míra chybovosti v případě autentizace s časovým odstupem při prahových hodnotách do 70 % je způsobena zahrnutím uživatele s ID 6 (viz. kapitola 6.2.1), který nebyl schopen úspěšné verifikace a dosahoval nízkých skóre v hodnotách Correlation (pod 80 %), do odhadu FNMR pro autentizační pokusy prováděné bezprostředně po registraci. Uživatel se již neúčastnil autentizace s časovým odstupem. U hesla narostla chybovost s časovým odstupem podstatně více, při prahových hodnotách Opposite Shift Correlation v intervalu % dvojnásobně až trojnásobně. Z toho lze usoudit, že použití hesla, které uživatel nebyl zvyklý dříve frekventovaně používat tak jako podpis, vykazuje vysokou nestálost v dynamice psaní, pokud jej uživatel delší dobu nepoužívá. Obecně byla vyšší míra nesprávných odmítnutí u podpisu i hesla při druhém sezení pozorována zejména u uživatelů, kteří měli problémy při registraci a pro úspěšné vytvoření kvalitního referenčního vzorku museli vynaložit zvýšené úsilí a podstoupit více registračních transakcí. Přestože se jim nakonec podařilo vytvořit referenční vzorek dostatečné kvality, v důsledku zvýšeného úsilí takový vzorek nereprezentoval podpis psaný přirozeným způsobem. Zvýšení míry nesprávných odmítnutí pak vyplynulo z toho, že uživatelé si po uplynutí určité doby, kdy systém nepoužívali, nemohli vzpomenout, jakým způsobem se podepisovali při registraci. 46

55 Srovnání FNMR pro podpis a heslo Correlation = 80; Po registraci 100,00 90,00 80,00 FNMR [%] 70,00 60,00 Podpis 50,00 Heslo 40,00 30,00 20,00 10,00 0, Opposite Shift Correlation [%] Graf 6.11: Srovnání FNMR pro podpis a heslo při samostatných autentizačních pokusech prováděných po registraci Míra nesprávných odmítnutí při prahových hodnotách do 60 % je podobně jako v předchozím případě ovlivněna zahrnutím uživatele s ID 6 do výpočtu. Na rozdíl od podpisu, v případě hesla ne měl uživatel s verifikací výrazné problémy. Příčinou problémů s podpisem mohl být obtížný vzor, který uživatel použil. Při prahových hodnotách nad 60 % již použití hesla vykazuje vyšší chybovost. Rozdíl v chybovosti je až 20 % při prahové hodnotě 85 %. Opět se tedy potvrzuje, že autentizace na základě dynamiky psaní je pro uživatele v případě dříve nepoužívaného hesla obtížnější. U hesla narostla chybovost po časovém odstupu od registrace výrazněji, o % oproti chybovosti podpisu při druhém sezení při prahových hodnotách v intervalu %. Během testování nebyly pozorovány problémy způsobené omezením doby, po kterou může uživatel psát na tablet od zahájení podepisování, zmíněné v poznatcích z úvodní analýzy systému (kapitola 6.1.1). Uživatelé vždy stihli podpis v rámci stanovené doby dokončit. Nezaznamenal jsem žádný případ neúspěšného snímání nebo zpracování dat, tzn. FTA = 0 % Transakce útočníků odhad FAR V průběhu celého testování útočníci provedli celkem 363 pokusů o zero-effort útok (podepsání sebe sama) na podpisy oprávněných uživatelů a 318 pokusů o útok na heslo. Ve smyslu transakcí to znamená 121 a 106 transakcí. V případě ostatních tří typů útoků bylo celkem provedeno 726 pokusů o útok na podpis a 636 pokusů o útok na heslo pro každý typ útoku. Nižší počet pokusů při zero-effort útoku byl zvolen proto, že tento typ útoku v systémech založených na ověřování dynamiky podpisu nemá prakticky žádný smysluplný význam. Po časovém odstupu, který umožnil útočníkům nacvičit si podpisy a hesla uživatelů podle podpisového vzoru, útočníci provedli dalších 324 pokusů o útok na podpis a 246 pokusů o útok na heslo pro každý ze dvou typů útoků, a to útok se znalostí podpisového vzoru a útok se znalostí dynamiky podpisu. Převedeno na transakce to znamenalo 242 a 212 transakcí v rámci prvního sezení a 108 a 82 transakcí po časovém odstupu. 47

56 Zero-effort útok a útok se znalostí jména Při standardním nastavení aplikace nebylo při zero-effort útoku dosaženo případu nesprávného přijetí, a to jak při útocích na podpis, tak při útocích na heslo. Úspěšného útoku žádný z útočníků nedosáhl ani při útoku se znalostí jména uživatele či obsahu hesla, aniž by viděl samotný vzor. Tabulka 6.4 uvádí střední hodnoty a směrodatné odchylky výsledků srovnání referenčních vzorků oprávněných uživatelů se vzorky útočníků v hodnotách Correlation a Opposite Shift Correlation. Podpis Heslo Zero-effort útok Útok se znalostí jména Zero-effort útok Útok se znalostí jména Correlation Opposite Shift Correlation Střední Směrodatná Střední Směrodatná hodnota [%] odchylka [%] hodnota [%] odchylka [%] 78,93 5,45 48,55 18,46 79,47 6,18 49,52 18,89 78,20 4,66 42,97 15,90 77,71 4,53 37,18 16,62 Tab. 6.4: Střední hodnoty a směrodatné odchylky skóre pro zero-effort útok a útok se znalostí jména/obsahu hesla Srovnání hodnot v tabulce 6.4 vede k závěru, že znalost pouze jména uživatele či obsahu hesla nepřináší útočníkovi v systému založeném na ověřování dynamiky podpisu prakticky žádnou výhodu. Bez znalosti alespoň podpisového vzoru nemá útočník možnost ani přibližně odhadnout dynamiku psaní oprávněného uživatele, může pouze náhodně zkoušet různé varianty. Přestože útočník při testování vždy viděl míru podobnosti aktuálního podpisu s daným referenčním vzorkem, během šesti provedených pokusů nebylo pozorováno zvyšování úspěšnosti útočníků, což se vzhledem k malému počtu pokusů a téměř žádné znalosti útočníka o podpisu uživatele dalo očekávat. Útok se znalostí podpisového vzoru Při tomto typu útoku se několika útočníkům podařilo dosáhnout při standardním nastavení aplikace nesprávného přijetí. Pouze však při útoku na podpisy uživatelů, u hesla útočníci úspěšní nebyli. Nesprávně bylo přijato 9 autentizačních pokusů při prvním sezení, což znamená míru ne správných přijetí FMR = 1,24 %. Pokud vezmeme v úvahu transakce složené z maximálně tří pokusů, potom byl zaznamenán úspěch celkem v 5 transakcích, z nichž ve 3 již po prvním pokusu. Odpovídající FAR = 2,07 %. Z celkového počtu 48 útočníků zaznamenaly úspěšný útok pouze 3 osoby, z nichž jedna v 5 z 6 pokusů. FMR [%] Podpis Heslo sezení sezení sezení sezení 1,24 0,00 0,00 0,00 Correlation Opposite Shift Correlation Střední Směrodatná Střední Směrodatná hodnota [%] odchylka [%] hodnota [%] odchylka [%] 77,78 7,28 53,89 17,02 80,04 4,97 58,74 12,86 77,34 4,42 40,76 14,55 78,42 4,06 43,59 15,75 Tab 6.5: FMR, střední hodnoty a směrodatné odchylky při pokusech o útok se znalostí vzoru 48

57 Výsledná FMR je nízká, což značí dostatečnou odolnost systému vůči provedenému typu útoku. Na druhou stranu je třeba si uvědomit, že útočníci nedisponovali žádnou znalostí o dynamice podpisu uživatele, a přesto se podařilo dosáhnout několika nesprávných přijetí. Navíc, pouhých 6 pokusů nepovažuji za mnoho k nacvičení vzoru podpisu, což potvrzuje i fakt, že nebyl zaznamenán rostoucí trend míry shody vzorků s rostoucím počtem provedených pokusů. Z tohoto pohledu připouštím možnost, že pro některé útočníky nemusí být dosažení nesprávného přijetí příliš obtížné. Při druhém sezení, před kterým měli útočníci možnost natrénovat podpisy uživatelů podle vzoru a zúčastnili se jej i dříve úspěšní útočníci, nebyl zaznamenán případ nesprávného přijetí. Některé dosažené hodnoty skóre podobnosti vzorků, především u dříve úspěšných útočníků, se však blížily prahovým hodnotám. Z průměrných hodnot výsledků srovnání referenčních vzorků s podpisy útočníků lze usuzovat, že i v případě, kdy útočník nedisponuje žádnou znalostí o dynamice podpisu, znalost vzoru a možnost cvičit jej delší dobu může útočníkovi přinést jistou výhodu. V případě podpisu i hesla došlo po časovém odstupu ke zvýšení průměrných hodnot. Dosažené průměrné hodnoty skóre jsou srovnatelné s předchozími, méně sofistikovanými, útoky (viz. tab. 6.4). Domnívám se však, že hodnoty při útoku se znalostí vzoru negativně ovlivnili někteří útočníci, kteří se po odhalení vzoru snažili o jeho co nejvěrnější napodobení. Tím pádem často psali podpis výrazně pomaleji než oprávnění uživatelé, což vedlo k nízkým skóre podobnosti. Vzor však nebyl útočníkům poskytován za účelem jeho věrného napodobení, ale měl poskytnout představu o způsobu psaní, což si někteří útočníci neuvědomovali. V důsledku pomalého psaní docházelo také k případům, kdy systém z důvodu časově omezené doby psaní na tablet přerušil útočníka v průběhu psaní a vyhodnotil pouze část podpisu, což také vedlo k nízké míře podobnosti s referenčním vzorkem oprávněného uživatele. Tento jev se týkal hlavně delších podpisů, podpisů složených z více oddělených tahů a hesel, která uživatelé nezkracovali tak, jak je to obvyklé u podpisů. Útok se znalostí dynamiky podpisu Nejsofistikovanějším typem útoku na systémy autentizující uživatele na základě dynamiky podpisu je útok se znalostí dynamiky podpisu oprávněné osoby. Útočníci měli k dispozici videozáznam z procesu vytváření referenčních vzorků uživatelů. Po jeho shlédnutí se útočníkům podařilo dosáhnout 11 úspěšných případů nesprávného přijetí, což odpovídá FMR = 1,52 % (při standardním nastavení aplikace). V případě transakcí složených z maximálně tří pokusů bylo úspěšných celkem 5 případů, z nichž 4 již po prvním pokusu a jeden po třetím pokusu, což znamená FAR = 2,07 %. Povolení více pokusů v rámci jedné transakce nepřineslo výrazné navýšení chybovosti. Útočníci, kteří se zúčastnili testů i po časovém odstupu zaznamenali 2 úspěchy v případě samo statných pokusů, FMR = 0,62 %, i transakcí, FAR = 1,85 %. K nacvičení podpisu však měli k dispozici pouze vzor, videozáznam jim byl opětovně přehrán až bezprostředně před testováním. 49

58 FMR [%] Podpis Heslo sezení sezení sezení sezení 1,52 0,62 0,00 0,00 Correlation Opposite Shift Correlation Střední Směrodatná Střední Směrodatná hodnota [%] odchylka [%] hodnota [%] odchylka [%] 79,97 6,49 57,43 16,78 81,29 5,19 60,68 12,97 77,97 4,84 41,22 15,42 78,95 4,03 43,69 15,16 Tab. 6.6: FMR, střední hodnoty a směrodatné odchylky při pokusech o útok se znalostí dynamiky Při prvním sezení dosáhli úspěšného přijetí 3 útočníci, z nichž 2 s úspěšností pěti pokusů z šesti provedených. Jeden z nich byl navíc úspěšným útočníkem i při útoku se znalostí vzoru a tento dosáhl celkové úspěšnosti deset z dvanácti pokusů na konkrétního uživatele. Vysoká úspěšnost útočníka byla pravděpodobně způsobena podobným stylem psaní obou osob. Obě osoby byly v systému zaregistrovány, což umožnilo provést testování i pro případ, že si osoby vyměnily role. V tomto případě však nebyl zaznamenám případ úspěšně provedeného útoku, avšak míra shody výrazně převyšovala průměrné hodnoty. Ve druhém sezení přibyl k úspěšným útočníkům další dobrovolník, který při prvním sezení nezaznamenal úspěch a dle jeho názoru mu k úspěchu pomohla právě možnost nacvičit si vzor podpisu mezi jednotlivými sezeními. Tento útočník měl na svědomí oba případy nesprávného přije tí, zaznamenané během druhého sezení útočníků. Většina útočníků úspěšných při prvním sezení zaznamenala úspěch s podpisem výrazně odlišným od podpisového vzoru daného oprávněného uživatele, což potvrzuje fakt, že systém porovnává podpisy pouze na základě dynamiky a zcela zanedbává vizuální složku podpisu. Následující obrázek (obr. 6.4) znázorňuje příklad vizuální podoby podpisu, se kterým útočník dosáhl nesprávného přijetí. Obr. 6.4: Vizuálně odlišné podpisy, jejichž dynamiku psaní systém vyhodnotil jako shodnou Chybovost je srovnatelná s útokem se znalostí podpisového vzoru, což by mohlo vést k závěru, že znalost dynamiky nepřináší útočníkům výraznou výhodu. Na druhou stranu, pouhých 6 pokusů o útok není mnoho k natrénování podpisu, se kterým se uživatel setkal poprvé. Stejně jako v předchozím případě nedocházelo s rostoucím počtem pokusů ke zvyšování úspěšnosti útočníků, průměrné hodnoty míry shody vzorků vypočtené pro jednotlivé pokusy se pohybovaly v intervalu ±1 % od průměrné hodnoty všech pokusů. Následující graf (graf 6.12) znázorňuje míru nesprávných přijetí při útoku se znalostí dynamiky podpisu uživatele v jednotlivých pokusech při prvním a druhém sezení. Graf potvrzuje, že pouhých šest provedených pokusů není dostačujících pro zvýšení úspěšnosti útočníků. 50

59 Míra úspěšnosti útoku se znalostí dynamiky podpisu s rostoucím počtem pokusů Podpis; Standardní nastavení 4,00 3,50 FMR [%] 3,00 1. sezení 2,50 2. sezení (časový odstup) 2,00 1,50 1,00 0,50 0, Číslo pokusu Graf 6.12: FMR v jednotlivých autentizačních pokusech při útoku se znalostí dynamiky podpisu uživatelů Hodnoty v tabulce 6.6 však naznačují, že poskytnutí neomezené doby útočníkovi pro nacvičení podpisového vzoru uživatele, přestože nemá po celou dobu trénování k dispozici informaci o dynamice podpisu, zvyšuje pravděpodobnost dosažení nesprávného přijetí útočníka. Usuzuji tak ze zvýšení průměrných hodnot míry shody podpisů útočníků s referenčními vzorky uživatelů, a to i přesto, že míra nesprávných přijetí byla v rámci druhého sezení nižší. Nižší FMR však může být důsledkem menšího počtu útočníků, kteří se zúčastnili druhého sezení. Zároveň lze pozorovat zvýšení průměrných hodnot míry shody v porovnání s útokem se znalostí vzoru podpisu, z čehož plyne, že znalost dynamiky přináší útočníkům výhodu a zvyšuje pravděpodobnost úspěšného útoku. FAR - Útok se znalostí dynamiky podpisu Rozložení hodnot Correlation; Podpis 60 Frekvence výskytu Correlation [%] 1. sezení 2. sezení Graf 6.13: Histogramy rozložení hodnot Correlation pro pokusy útočníků; srovnání 1. a 2. sezení 51

60 FAR - Útok se znalostí dynamiky podpisu Rozložení hodnot Opposite Shift Correlation; Podpis 30 Frekvence výskytu Opposite Shift Correlation [%] 1. sezení 2. sezení Graf 6.14: Histogramy rozložení hodnot Opposite Shift Correlation pro pokusy útočníků; srovnání 1. a 2. sezení Histogramy rozložení hodnot skóre podobnosti vzorků dosahovaných při pokusech o útok se znalostí dynamiky srovnávají výsledky dosažené v rámci prvního a druhého sezení. Lze pozorovat, že při druhém sezení došlo k mírnému posunu nejčastěji dosahovaných hodnot směrem k vyšším hodnotám, což koresponduje s průměrnými hodnotami v tabulce 6.6 a potvrzuje, že poskytnutí neomezené k doby nacvičení podpisu zvyšuje pravděpodobnost úspěchu útočníka. Co se týče hesla, při srovnání jak jednotlivých typů útoků, tak úspěšnosti v rámci prvního a druhého sezení, nebylo pozorováno zvyšování úspěšnosti útočníků s rozšiřující se znalostí o podobě hesla a způsobu jeho vytváření, a to ani tehdy, pokud měli uživatelé čas natrénovat psaní hesla podle vzoru, který měli k dispozici mezi prvním a druhým sezením. Při standardním nastavení nedošlo při žádném typu útoku k neoprávněnému přijetí. Nižší pravděpodobnost úspěchu útočníků při použití hesla dokládají i histogramy níže (grafy 6.15 a 6.16), zobrazující frekvenci výskytu jednot livých skóre podobnosti. Lze si všimnout výrazného posunu směrem k nižším hodnotám ve srovnání s podpisem. Nižší dosahovaná skóre při pokusech o útok na heslo přisuzuji vyšší složitosti při psaní hesla. Uživatelé heslo psali celé, což znamenalo prodloužení délky ve srovnání s podpisem, který často uživatelé zkracují. Heslo také bylo ve většině případu psáno tiskacím písmem, s mezerami mezi jednotlivými písmeny. Jak se ukázalo, podpisy složené z více oddělených tahů jsou pro útočníky obtížněji napodobitelné než podpisy složené z jednoho souvislého tahu. 52

61 FAR - Srovnání útoků na podpis a heslo Rozložení hodnot Correlation; Dynamika podpisu/hesla; 1. sezení Frekvence výskytu Correlation [%] Podpis Heslo Graf 6.15: Histogramy rozložení hodnot Correlation pro pokusy útočníků; srovnání podpisu a hesla FAR - Srovnání útoků na podpis a heslo Rozložení hodnot Opposite Shift Correlation; Dynamika podpisu/hesla; 1. sezení 30 Frekvence výskytu Opposite Shift Correlation [%] Podpis Heslo Graf 6.16: Histogramy rozložení hodnot Opposite Shift Correlation pro pokusy útočníků; srovnání podpisu a hesla Z testování také vyplynulo, že pravděpodobnost úspěchu útočníka při útoku na konkrétního uživatele ovlivňuje styl psaní obou osob. Pokud útočník píše podobným způsobem jako daný uživatel (oba běžně píší psacím písmem, stejnou rukou, apod.), útočník je schopen snadněji přizpůsobit svůj styl psaní stylu uživatele a dosahuje pak vyšších hodnot skóre podobnosti podpisů. Naopak, jestliže se styl písma obou osob liší, útočník často ani s časovým odstupem pro nacvičení podpisu nedosáhne zlepšení v hodnotách skóre ve srovnání s prvním provedeným pokusem. Útočník v ta- 53

62 kovém případě nemusí být schopen změnit své návyky a přizpůsobit se stylu psaní uživatele a navíc zachovat rychlost psaní přibližně odpovídající uživateli. Po vyhodnocení výsledků dosažených při standardním nastavení aplikace jsem se dále zabýval analýzou chybovosti systému z hlediska nesprávných přijetí při různých prahových hodnotách, pro případ jejich globálního nastavení pro všechny referenční vzorky. FMR v závislosti na prahové hodnotě Opposite Shift Correlation Útok se znalostí dynamiky podpisu; Podpis; 1. sezení 100,00 90,00 Correlation = 95 80,00 Correlation = 90 FMR [%] 70,00 Correlation = 85 60,00 Correlation = 80 50,00 Correlation = 75 40,00 Correlation = 70 30,00 Correlation = 60 20,00 Correlation = 0 10,00 0, Opposite Shift Correlation [%] Graf 6.17: FMR v závislosti na prahové hodnotě Opposite Shift Correlation při různých hodnotách Correlation Graf 6.17 znázorňuje míru nesprávných přijetí pro útok se znalostí dynamiky podpisu uživatele při prvním sezení útočníků v závislosti na prahové hodnotě Opposite Shift Correlation a srovnává závislosti pro různé prahové hodnoty Correlation. Lze pozorovat, že již při Correlation nastavené na 90 % může docházet v případě nastavení prahové hodnoty Opposite Shift Correlation pod 80 % k nesprávným přijetím. Dalším snižováním prahové hodnoty Correlation pak dochází ke zvyšování míry nesprávných přijetí. Z grafu je patrné, že prahová hodnota Opposite Shift Correlation ovlivňuje úspěšnost útočníků při podstatně nižších hodnotách než Correlation. Zatímco téměř všichni útočníci dosáhli skóre v hodnotě Correlation nad 60 %, hodnoty Opposite Shift Correlation snižují míru nesprávných přijetí již při hodnotě kolem 20 %, jak můžeme vidět v závislostech odpovídajících nízkým prahovým hodnotám Correlation. Další srovnání chybovosti v závislosti na prahové hodnotě Opposite Shift Correlation uvádím pro prahovou hodnotu Correlation = 80 %, kterou jsem zvolil za optimální s přihlédnutím mimo jiné i k analýze míry nesprávných odmítnutí. 54

63 FMR, FAR při rostoucím počtu pokusů v rámci transakce Útok se znalostí dynamiky podpisu; Podpis; 1. sezení; Correlation = ,00 FMR, FAR [%] 90,00 80,00 FMR 1. sezení 70,00 FAR 1. pokus transakce 60,00 FAR 2. pokus transakce 50,00 40,00 FAR 3. pokus transakce 30,00 20,00 10,00 0, Opposite Shift Correlation [%] Graf 6.18: FAR při rostoucím počtu pokusů v rámci jedné transakce Graf 6.18 znázorňuje srovnání FAR při rostoucím počtu pokusů v rámci transakce. Přirozeně, útočníci dosahují vyšší míry nesprávných přijetí, pokud systém umožňuje provést v případě neúspěchu více autentizačních pokusů. Nárůst chybovosti je patrný především při nižších prahových hodnotách Opposite Shift Correlation. Chybovost samostatných pokusů (FMR) je srovnatelná s chybovostí po prvním provedeném pokusu v transakci. Po prvních dvou pokusech v rámci transakce došlo k podstatnému nárůstu chybovosti, při nižších prahových hodnotách až o 15 %. Další část útočníků, která nebyla úspěšná ani po dvou z maximálně tří pokusů, zaznamenala úspěch při třetím pokusu, což vyústilo v nárůst chybovosti o dalších až 10 %. Analogická situace byla pozo rována v případě hesla. Srovnání FMR pro 1. a 2. (s časovým odstupem) sezení Útok se znalostí dynamiky podpisu; Podpis; Correlation = ,00 90,00 80,00 FMR [%] 70,00 60,00 FMR 1. sezení 50,00 FMR 2. sezení 40,00 30,00 20,00 10,00 0, Opposite Shift Correlation [%] Graf 6.19: FMR při pokusech o útok se znalostí dynamiky; srovnání 1. a 2. sezení útočníků 55

64 Z grafu výše je patrné zvýšení FMR po časovém odstupu, který měli útočníci k natrénování podpisu uživatele. Lze odvodit, že útočníci častěji dosahovali skóre v hodnotách Correlation nad 80 % (vyšší FMR při nízkých hodnotách Opposite Shift Correlation). Konstantní rozdíl v chybovosti do hodnoty Opposite Shift Correlation = 60 % značí, že do této hodnoty byla vyšší míra nesprávných přijetí způsobena nárůstem skóre právě v hodnotách Correlation. V okamžiku, kdy do rozhodování o úspěšnosti verifikace začala výrazněji zasahovat prahová hodnota Opposite Shift Correlation (při hodnotách nad 60 %), se rozdíl v míře nesprávných přijetí začal snižovat. To znamená, že u útočníků nedošlo k výraznému nárůstu skóre v hodnotách Opposite Shift Correlation nad 60 % oproti prvnímu sezení. Následující graf srovnává chybovost při použití klasického podpisu a hesla z hlediska míry nesprávných přijetí při útoku se znalostí dynamiky psaní oprávněného uživatele a míry nesprávných odmítnutí oprávněných uživatelů. Použití hesla vykazuje podstatné snížení míry nesprávných přijetí. Rozdíly v chybovosti se pohybují v rozmezí 20 30% při prahových hodnotách Opposite Shift Correlation do 75 %. Při vyšších prahových hodnotách je chybovost srovnatelná, protože zde již i v případě podpisu vykazují útočníci nízkou úspěšnost útoků (v řádu jednotek procent FMR). Na druhou stranu, v případě míry nesprávných odmítnutí došlo u hesla k nárůstu chybovosti, ne však v míře srovnatelné s poklesem míry nesprávných přijetí. Srovnání FNMR a FMR pro podpis a heslo Útok se znalostí dynamiky podpisu; Correlation = ,00 90,00 FNMR, FMR [%] 80,00 Podpis Oprávnění uživatelé 70,00 60,00 50,00 Heslo Oprávnění uživatelé 40,00 Podpis Dynamika 30,00 Heslo Dynamika 20,00 10,00 0, Opposite Shift Correlation [%] Graf 6.20: Srovnání FNMR a FMR pro podpis a heslo při útoku se znalostí dynamiky psaní Z grafu 6.20 lze určit EER testovaného systému. Uvažujeme-li útok se znalostí dynamiky, systém vykazuje EER = 12 % pro podpis při prahových hodnotách Correlation = 80 % a Opposite Shift Correlation = 75 % a EER = 7 % pro heslo při prahových hodnotách Correlation = 80 % a Opposite Shift Correlation = 61 %. Graf 6.21 uvedený níže srovnává závislosti míry nesprávných přijetí na prahové hodnotě Opposite Shift Correlation pro jednotlivé realizované útoky na podpisy uživatelů. 56

65 Závislost FNMR, FMR na hodnotě Opposite Shift Correlation Podpis; Correlation = ,00 90,00 FNMR, FMR [%] 80,00 70,00 FNMR Oprávnění uživatelé 60,00 FMR Zero-effort 50,00 FMR Jméno/Heslo 40,00 FMR Vzor 30,00 FMR Dynamika 20,00 10,00 0, Opposite Shift Correlation [%] Graf 6.21: Srovnání FNMR a FMR pro realizované útoky na podpisy uživatelů Dle očekávání úspěšnost útočníků roste se zvyšováním jejich znalosti o podpisu uživatele, vůči němuž realizují jednotlivé útoky. Výjimku tvoří závislost FMR při znalosti vzoru, kde pro Opposite Shift Correlation do 40 % systém vykazuje nižší míru nesprávných přijetí než u ostatních typů útoků (snaha o věrné napodobení vzoru). Zero-effort Znalost jména/hesla EER [%] (Opp. Shift Corr. [%]) Pokusy Transakce Pokusy Transakce Podpis Heslo 7,5 (72) 6,5 (61) 6,0 (76) 2,0 (74) 7,5 (72) 6,0 (59) 7,0 (77) 0,5 (71) Znalost vzoru Pokusy 9,5 (74) 6,0 (59) Transakce 9,0 (78) 1,0 (72) Znalost dynamiky Pokusy 12,0 (75) 7,0 (61) Transakce 11,0 (79) 1,5 (73) Tab. 6.7: Srovnání EER pro různé typy útoků a pro samostatné pokusy a transakce V tabulce 6.7 uvádím srovnání EER pro podpisy a hesla pro jednotlivé typy útoků provedené při prvním sezení útočníků. V závorce za hodnotou EER uvádím prahovou hodnotu Opposite Shift Correlation, při které byla EER dosažena. Hodnoty jsou uvedeny pro Correlation = 80 %, nicméně odpovídají i všem nižším prahovým hodnotám Correlation, protože míry chybovosti v oblasti průniku závislostí FNMR a FMR, příp. FRR a FAR, na prahové hodnotě ovlivňuje prahová hodnota Opposite Shift Correlation. Nastavení vyšších prahových hodnot Correlation než 80 % dle mého názoru nemá smysl, protože v takovém případě nelze dosáhnout nižší FNMR než cca. 10 %. Z hlediska EER se jeví jako použitelnější a přesnější autentizace na základě hesla, ideálně ještě s povolením tří pokusů v rámci transakce. EER se v této situaci pohybuje pod 2 %, což značí poměrně vysokou přesnost systému (za podmínek, při nichž probíhalo testování). Povolení transakcí snížilo EER z původních 6 7 % a navíc umožnilo zvýšení prahové hodnoty Opposite Shift Correlation o přibližně 10 %. Podpis ve smyslu EER vykazuje horší výsledky. EER se pohybuje až na hranici 12 % při útoku se znalostí dynamiky podpisu, což značí vysokou míru chybovosti ve srovnání s jinými biometrickými systémy. Povolení transakcí sice umožnilo zvýšit prahovou hodnotu, avšak při zachování stejné EER. Rozhodnutí o spolehlivosti systému by však nemělo být 57

66 založeno pouze na hodnotě EER, ale měly by být brány v potaz grafy závislostí FRR a FAR na prahové hodnotě, případně odpovídající DET či ROC charakteristiky, které prezentuji dále. Srovnání oprávněných uživatelů a útočníků - Útok se znalostí dynamiky podpisu Rozložení hodnot Correlation; Podpis 60 Frekvence výskytu Correlation [%] Oprávnění uživatelé Útočníci Graf 6.22: Histogramy rozložení hodnot Correlation pro oprávněné uživatele a útočníky se znalostí dynamiky podpisu Srovnání oprávněných uživatelů a útočníků - Útok se znalostí dynamiky Rozložení hodnot Opposite Shift Correlation; Podpis 30 Frekvence výskytu Opposite Shift Correlation [%] Oprávnění uživatelé Útočníci Graf 6.23: Histogramy rozložení hodnot Opposite Shift Correlation pro oprávněné uživatele a útočníky se znalostí dynamiky podpisu 58

67 Histogramy rozložení hodnot skóre podobnosti mezi referenčními a aktuálními vzorky pro oprávněné uživatele a útočníky disponujícími znalostí o dynamice podpisu uživatele potvrzují, že systém není bezchybný a vykazuje určitou míru chybovosti, protože histogramy se částečně vzá jemně překrývají. Prahové hodnoty budou pravděpodobně zvoleny v rámci intervalu překrytí, z důvodu volby kompromisu mezi FRR a FAR, což znamená, že v systému může docházet k oběma chybám rozhodování. Prezentované histogramy jsou relevantní podpisům, v případě hesla bylo překrytí histogramů menší, což opět značí vyšší přesnost systému, pokud by byla k autentizaci použita dynamika psaní hesla. Rozšiřující se znalosti útočníků o podpisech uživatelů vyústily ve větší překrytí histogramů, z čehož plyne větší pravděpodobnost úspěšného útoku DET, ROC charakteristiky V praxi se často pro porovnání chybovosti konkurenčních systémů či chybovosti jednoho systému operujícího při různých podmínkách využívají DET, případně ROC charakteristiky. Následující analýzy chybovosti provádím pro pevně nastavenou hodnotu Correlation = 80 % a konstruuji DET a ROC charakteristiky jako závislosti na prahové hodnotě Opposite Shift Correlation, která dle mého názoru větší měrou ovlivňuje úspěšnost verifikace, případně útoku. Porovnání DET charakteristik při různých nastaveních prahové hodnoty Correlation přináší graf Byl zkonstruován pro samostatné autentizační pokusy při použití podpisu a přináší porovnání míry nesprávných odmítnutí uživatelů (FNMR) a míry nesprávných přijetí útočníků se znalostí dynamiky uživatelova podpisu (FMR). Při vysokých hodnotách Correlation (85 % a více) systém vykazuje vysokou míru nesprávných odmítnutí, která neklesne pod 10 % ani při nulové prahové hodnotě Opposite Shift Correlation. Pro hodnoty Correlation = 80 % a nižší, které jsem již dříve označil jako použitelné prahové hodnoty s ohledem na míru chybovosti, již Correlation neovlivňuje EER, a tedy významnější prahovou hodnotou je Opposite Shift Correlation. Correlation pak vstupuje do hry až při nižších prahových hodnotách Opposite Shift Correlation (60 % a menších). DET charakteristiky pro různé hodnoty Correlation Podpis; Útok se znalostí dynamiky 100,00 Correlation = 90 Correlation = 85 FNMR [%] 10,00 Correlation = 80 Correlation = 75 Correlation = 0 1,00 EER 0,10 0,10 1,00 10,00 100,00 FMR [%] Graf 6.24: DET charakteristiky pro různé prahové hodnoty Correlation při útoku se znalostí dynamiky 59

68 Graf 6.25 níže srovnává jednotlivé typy útoků na podpisy uživatelů z hlediska DET charakteristik systému. Graf potvrzuje, že míra nesprávných přijetí roste s rozšiřující se znalostí útočníka o podpisu uživatele a způsobu jeho vytváření. Tento fakt se odráží mimo jiné i v rostoucí EER, která odpovídá hodnotám v tabulce 6.7. Také prezentuji příklad ROC charakteristik (graf 6.26) poskytují cích stejné srovnání jako DET charakteristiky v grafu Z obou charakteristik lze odvodit stejné výsledky, liší se pouze v interpretaci míry nesprávných odmítnutí, kdy DET vynáší na osu Y míru nesprávných odmítnutí (FNMR), zatímco ROC míru úspěšnosti verifikace oprávněných uživatelů (1 - FNMR). Z toho důvodu uvádím pouze jeden příklad ROC, další závěry budu vyvozovat na základě DET charakteristik, které považuji v oblasti biometrik za používanější. DET charakteristiky pro jednotlivé útoky Podpis; Correlation = ,00 Zero-effort útok FNMR [%] Útok se znalostí jména Útok se znalostí vzoru 10,00 Útok se znalostí dynamiky EER 1,00 0,10 1,00 10,00 100,00 FMR [%] Graf 6.25: DET charakteristiky pro různé typy útoků na podpisy oprávněných uživatelů ROC charakteristiky pro jednotlivé útoky Podpis; Correlation = Zero-effort útok 1-FNMR [%] 70 Útok se znalostí jména 60 Útok se znalostí vzoru Útok se znalostí dynamiky 30 EER FMR [%] Graf 6.26: ROC charakteristiky pro různé typy útoků na podpisy oprávněných uživatelů 60

69 Dále uvádím DET charakteristiky srovnávající chybovost systému v případě samostatných au tentizačních pokusů a transakcí o maximálně třech pokusech (graf 6.27) a při použití podpisu a hesla (graf 6.28). Srovnání je uvedeno opět pro útok se znalostí dynamiky podpisu. DET charakteristiky pro samostatné pokusy a transakce Podpis; Útok se znalostí dynamiky; Correlation = 80 FNMR, FRR [%] 100,00 10,00 Samostatné pokusy 3 pokusy/transakce EER 1,00 0,10 0,10 1,00 10,00 100,00 FMR, FAR [%] Graf 6.27: DET charakteristiky pro samostatné pokusy a transakce povolující až 3 pokusy Srovnání DET charakteristik pro podpis a heslo Útok se znalostí dynamiky; Correlation = ,00 FNMR [%] 10,00 Podpis Heslo EER 1,00 0,10 0,10 1,00 10,00 100,00 FMR [%] Graf 6.28: DET charakteristiky pro podpis a heslo při útoku se znalostí dynamiky Transakce dle očekávání vyústily ve snížení chybovosti, ačkoliv v případě podpisu nepříliš výrazné. Při transakcích lze dosáhnout nulové míry nesprávných odmítnutí, z čehož plyne, že ve třech pokusech se všem uživatelům podařilo dosáhnout hodnoty Correlation při porovnání aktuálního a referenčního vzorku nad 80 %. Zároveň však s více pokusy v rámci transakce došlo ke zvýšení míry nesprávných přijetí, a to až v řádu desítek procent. 61

70 Podstatnější rozdíl v chybovosti byl zaznamenán v případě hesla, což plyne i z tabulky hodnot EER uvedené výše (tab. 6.7). Odpovídající graf bude uveden dále. Charakteristiky v grafu 6.28 pro samostatné autentizační pokusy poukazují na vyšší spolehlivost autentizace pomocí dynamiky psaní hesla (mj. i nižší EER) než při použití běžného podpisu. Nižší chybovost hesla oproti podpisu byla zjištěna i v případě povolení tří autentizačních pokusů v rámci transakce. Lepší DET charakteristika pro heslo je způsobena především výrazným sníženým míry nesprávných přijetí v porovnání s podpisem při stejných prahových hodnotách, zatímco míra ne správných odmítnutí se zvýšila podstatně méně. Posledním grafem uvedeným v rámci této kapitoly je srovnání DET charakteristik v případě, kdy míry nesprávných odmítnutí odpovídají hodnotám zaznamenaným při druhém sezení oprávněných uživatelů (po časovém odstupu od registrace). Výjimečně zde prezentuji graf pro heslo při útoku se znalostí dynamiky, protože zde bylo dosaženo podstatných rozdílů mezi jednotlivými případy (DET charakteristiky v grafu 6.29). U podpisu došlo jak v případě samostatných pokusů, tak i v případě transakcí pouze k malému nárůstu chybovosti, EER vzrostla řádově o jednotky procent ve srovnání s verifikačními pokusy prováděnými bezprostředně po verifikaci. DET charakteristiky při hodnotách míry nesprávných od mítnutí relevantních druhému sezení měly analogický průběh ve srovnání s charakteristikami v grafu 6.27, s nárůstem míry nesprávných odmítnutí v jednotlivých bodech o řádově jednotky procent v porovnání s prvním sezením. Povolení transakcí o maximálně třech pokusech přineslo při druhém sezení podobné snížení chybovosti jako v případě sezení prvního. U hesla byly rozdíly v chybovosti výraznější. Nejprve poukazuji na podstatné snížení chybovosti při srovnání samostatných autentizačních pokusů a transakcí při mírách nesprávných odmítnutí odpovídajících prvnímu sezení oprávněných uživatelů (modrá a oranžová křivka). DET charakteristika pro transakce odpovídá systému s nízkou chybovostí, s EER = 1 %. Rozdílnost charakteristik plyne zejména z významného snížení míry nesprávných odmítnutí při povolení tří pokusů v rámci transakce (až v řádu desítek procent). Z tohoto pohledu se autentizace na základě hesla při povolení více pokusů v rámci autentizační transakce jeví jako přesnější než použití klasického podpisu. Časový odstup verifikačních pokusů oprávněných uživatelů od registrace způsobil nárůst chybovosti až o 25 % procent v jednotlivých bodech z hlediska FNMR (modrá a zelená křivka). Ještě výraznější rozdíl byl zaznamenán pro transakce o maximálně třech pokusech, kde rozdíly v FRR či nily až 30 % (oranžová a tmavě červená křivka). V důsledku toho EER vzrostla ze 7 % na 12 % pro samostatné pokusy a z 1 % na 12 % pro transakce. Zároveň z výsledků vyplývá, že transakce o více pokusech po časovém odstupu nepřinesly snížení chybovosti oproti samostatným pokusům, jak tomu bylo v případě podpisu nebo hesla při autentizačních pokusech bezprostředně po registraci. Z toho plyne, že použití hesla není tak vhodné, jak se zdálo po vyhodnocení chybovosti s ohledem na míru nesprávných odmítnutí verifikačních pokusů prováděných ihned po registraci (problémy s reprodukovatelností dynamiky psaní hesla). Z důvodu vysokého nárůstu míry nesprávných odmítnutí je tak v konečném zhodnocení chybovost hesla na úrovni srovnatelné s chybovosti klasického podpisu. 62

71 Srovnání DET cha-k při verifikaci po registraci a s čas. odstupem Heslo; Útok se znalostí dynamiky; Correlation = ,00 FNMR, FRR [%] FNMR po reg. samostatné pokusy FNMR čas. odstup sam. pokusy 10,00 FRR po reg. transakce FRR čas. odstup transakce 1,00 EER 0,10 0,10 1,00 10,00 100,00 FMR, FAR [%] Graf 6.29: DET charakteristiky pro heslo srovnání samostatných pokusů a transakcí při autentizačních pokusech oprávněných uživatelů po registraci a s časovým odstupem 6.3 Testování upravené verze systému Na základě dat zaznamenaných během testování první verze systému Doc Secure byly ze strany vývojářů provedeny úpravy systému, za účelem zvýšení přesnosti verifikace, a tedy snížení chybovosti. Úpravy zahrnovaly změny některých parametrů pro algoritmus porovnávání podpisů. Změny se týkaly zvětšení velikosti okna pro mapovací funkci založenou na technice posuvného okna, zvětšení prohledávacího intervalu pro identifikaci obrazu v porovnávaném signálu k danému oknu v referenčním signálu a úpravy parametrů pro výpočet prahových hodnot pro jednotlivé referenční vzorky. Nová verze systému porovnává dynamiku podpisu a rozhoduje o úspěšnosti verifikace na základě více charakteristik. Zachovány byly původní charakteristiky, a to míra vzájemné korelace aktuálního podpisu s referenčním vzorkem ve stabilnější složce akcelerace s mapováním podle stejné a opačné složky akcelerace. Přidána byla míra vzájemné korelace signálů v méně stabilní složce signálu s mapováním podle opačné (stabilnější) složky akcelerace a korelace signálů odpoví dajících přítlaku pera na tablet s mapováním dle signálů akcelerace v ose X a ose Y. Systém vyhodnocuje také míru vzájemné korelace signálů přítlaku pera v průběhu psaní s mapováním podle tohoto stejného signálu, tato charakteristika však není využita při rozhodování o shodě podpisů. Celkem se tedy pro rozhodnutí o shodě dvou podpisů využívá pět nezávislých charakteristik, které musí být všechny splněny, tj. pro prohlášení aktuálního podpisu za shodný s daným referenčním vzorkem musí být hodnoty korelace signálů ve všech charakteristikách vyšší než odpovídající prahové hodnoty. Testování neprobíhalo přímo s finální verzí systému, jako v případě první verze, ale s využitím analytické aplikace Security Prototype, kterou mi poskytli vývojáři systému, spolu s instrukcemi pro nastavení aplikace tak, aby pracovala se všemi navrženými úpravami první verze systému. 63

72 Obr. 6.5: Analytická aplikace Security Prototype; signály akcelerace v ose Y pro zobrazené podpisy Obr. 6.5 znázorňuje okno aplikace s průběhy signálů akcelerace v ose Y tří podpisů, jejichž vzor je zobrazen nad signály. Lze si všimnout rozdílů v dynamice psaní uživatele a útočníka, který viděl proces vytváření podpisu uživatelem, zná tedy dynamiku psaní. Podpisy číslo 1 a 3 a jim odpovída jící červený a modrý průběh patří oprávněnému uživateli. Průběhy signálů jsou téměř totožné, zatímco podpis útočníka číslo 5 (fialový průběh) se od podpisů oprávněného uživatele viditelně liší, což v tomto konkrétním případě pravděpodobně nezpůsobí nesprávné přijetí. Podobně aplikace umožňuje analyzovat signály akcelerace v ose X a signály odpovídající přítlaku pera. Obr. 6.6: Okno aplikace s výsledky srovnání aktuálního podpisu s referenčním vzorkem 64

73 Výsledky srovnání aktuálního podpisu s referenčním vzorkem jsou uváděny v hodnotách vzájemné korelace signálů. YY (v některých případech XX) je míra korelace signálů ve stabilnější složce akcelerace s mapováním dle stejné složky, PP míra korelace signálů přítlaku pera s mapováním dle stejné složky (neovlivňuje rozhodnutí o shodě). Dále XX:Y, YY:X vyjadřují míry korelace signálů ve složce X s mapováním dle složky Y a ve složce Y s mapováním dle X a konečně PP:X, PP:Y odpovídají mírám korelace signálů přítlaku pera s mapováním dle složek X a Y. Rozhodnutí o úspěšnosti verifikace je zobrazeno v panelu Status. Prahové hodnoty lze odvodit z matic obsahujících míry vzájemné korelace mezi referenčními podpisy v odpovídajících charakteristikách dynamiky psaní, podobně jako v analytickém okně původní verze systému Testovací protokol Proces registrace se stejně jako v první verzi systému skládal z předložení pěti podpisů budoucího uživatele. Po vytvoření referenčního vzorku proběhlo operátorem ověření jeho kvality. Za dostatečně kvalitní vzorek byl v tomto případě považován takový, jehož průměrná míra vzájemné korelace mezi nejpodobnějšími čtyřmi z pěti referenčních podpisů překročila hodnotu 75 % v charakteristikách YY (případně XX), XX:Y a YY:X. V opačném případě proběhlo nahrazení některých podpisů, které na základě hodnot v maticích vykazovaly nízkou podobnost s ostatními vzorky. Případně byl opakován celý registrační proces. Pokud se ani poté nepodařilo vytvořit referenční vzorek dostatečné kvality, registrace byla označena za neúspěšnou a zaznamenána jako případ FTE. Na úspěšnou registraci navazoval sběr podpisů pro účely verifikace. Aplikace na mém počítači nefungovala dle očekávání a při online verifikačních pokusech docházelo v aplikaci opakovaně k chybám. Z toho důvodu byl pro sběr podpisů pro verifikaci využit registrační proces (kolekce 5 podpisů) a jednotlivé podpisy následně srovnány offline s referenčním vzorkem vytvořeným ve fázi registrace. Výsledky posloužily pro stanovení míry nesprávných odmítnutí. Poslední fáze testování zahrnovala pokusy útočníků, konkrétně se jednalo o útok se znalostí dynamiky podpisu. Informaci o dynamice získal útočník tak, že sledoval proces registrace a sběru vzorků pro verifikaci osoby, která se účastnila testování bezprostředně před ním. Poté byl stejným způsobem jako při verifikaci oprávněných uživatelů využit registrační proces pro simulaci 5 pokusů útočníka o nesprávné přijetí. Následné offline porovnání podpisů s referenčním vzorkem daného uživatele poskytlo informaci o úspěšnosti útočníka a umožnilo stanovení míry nesprávných přijetí. Celé testování probíhalo tak, že každá osoba nejprve sledovala registraci a verifikaci předchozí zúčastněné osoby za účelem získání informací o dynamice psaní. Následně podstoupila 5 pokusů o nesprávné přijetí pod identitou sledované osoby. Poté absolvovala vlastní registraci a 5 verifikačních pokusů za přítomnosti další osoby útočníka Vyhodnocení výsledků Testování probíhalo v rámci semináře Laboratoře bezpečnosti a aplikované kryptografie a zúčastnilo se jej celkem 20 osob studentů. Testován byl pouze klasický podpis uživatelů a pouze v jednom sezení. Provedeno bylo celkem 90 pokusů o verifikaci oprávněných uživatelů a 100 pokusů útočníků o nesprávné přijetí. Dvě osoby neprošly úspěšně procesem registrace, z čehož plyne 65

74 relativně vysoká FTE = 10 %. V původní verzi systému bylo FTE = 8 % při stejné požadované kvalitě referenčního vzorku a při 14 registrovaných osobách. Bylo zaznamenáno celkem 26 neúspěšných verifikačních pokusů oprávněných uživatelů, což odpovídá FNMR = 28,89 %. Původní verze vykazovala FNMR = 34,19 % pro klasický podpis a FNMR = 37,04 % pro heslo při 117 a 108 autentizačních pokusech provedených při standardním nastavení a bezprostředně po registraci. Vzhledem k podobnému počtu provedených pokusů lze říct, že nová verze systému by mohla v reálném prostředí vykazovat z hlediska míry nesprávných odmítnutí nižší chybovost. Pro získání přesnějších výsledků by však z pohledu statistiky mělo být testování provedeno s větším počtem osob a odhad chybovosti založen na datech z více pokusů, řekněme alespoň v rozsahu odpovídajícím testování FAR v původní verzi systému. To by znamenalo zapojit do testů minimálně zhruba 50 osob, které by dohromady provedly alespoň 500 autentizačních pokusů. Během 100 pokusů útočníků, kteří disponovali znalostí dynamiky podpisu uživatele, nedošlo k žádnému případu nesprávného přijetí, tzn. FMR = 0 %. V původní verzi systému odpovídalo FMR = 1,52 % při útocích na podpis a útoku se znalostí dynamiky psaní uživatele a FMR = 0 % při útocích na heslo. Pokud vezmu v úvahu, že při testování první verze systému bylo provedeno zhruba sedmkrát více pokusů, pak z dosažených hodnot nelze tvrdit, že po úpravách došlo ke snížení míry nesprávných přijetí. Předpokládám však, že se zahrnutím dalších charakteristik, jako je přítlak pera v průběhu psaní, dojde ve výsledku ke zvýšení přesnosti systému. Navíc, útočník nemá žádnou šanci získat jakoukoliv informaci o přítlaku pera, i když sleduje dynamiku psaní uživatele. Průměrné hodnoty vzájemné korelace signálů 100,00 90,00 Correlation [%] 80,00 70,00 60,00 50,00 Oprávnění uživatelé 40,00 Útočníci 30,00 20,00 10,00 0,00 YY (XX) XX:Y YY:X PP:X PP:Y Charakteristika dynamiky psaní Graf 6.30: Srovnání průměrných hodnot vzájemné korelace signálů dosahovaných oprávněnými uživateli a útočníky 66

75 Srovnání oprávnění uživatelé vs. útočníci; různé typy útoků Heslo Dynamika Heslo Vzor Opp. Shift C. Heslo Heslo Heslo Zero-Effort 0,00 Podpis Dynamika 20,00 Podpis Vzor 40,00 Correlation Podpis Jméno 60,00 Podpis Zero-Effort 80,00 Heslo Oprávnění uživatelé 100,00 Podpis Oprávnění uživatelé Correlation, Opposite Shift Correlation [%] Průměrné hodnoty Correlation, Opposite Shift Correlation Podpis/Heslo, Typ útoku Graf 6.31: Průměrné hodnoty Correlation a Opposite Shift Correlation pro uživatele a útočníky v původní verzi systému Na základě grafů 6.30 pro novou verzi a 6.31 pro původní verzi systému lze srovnat průměrné hodnoty míry korelace aktuálního podpisu s referenčním vzorkem ve významných charakteristikách dynamiky, dosahované oprávněnými uživateli a útočníky. Sloupec YY (XX) v grafu 6.30 odpovídá modrým sloupcům (Correlation) v grafu 6.31 a sloupce YY:X, případně XX:Y (pokud uživatel vytváří stabilnější podpisy ve složce akcelerace v ose X) odpovídá oranžovým sloupcům v grafu 6.31 (Opposite Shift Correlation). Oprávnění uživatelé dosahovali v nové verzi systému zhruba stejných průměrných hodnot v obou srovnávaných složkách jako při použití podpisu v původním verzi systému. Srovnatelné byly i směrodatné odchylky od střední hodnoty, σ = 4,9 % pro YY (XX) a σ = 7,9 % pro YY:X, rozdíly ve srovnání s původní verzí byly menší než 0,1 %. Největší míru vzájemné korelace mezi signály vykazuje složka YY (XX), následovaná složkami XX:Y a YY:X, jejichž průměrné hodnoty jsou nižší přibližně o 5 %. Nejnižší průměrné hodnoty korelace vykazují signály přítlaku pera (PP:X a PP:Y), jejichž průměrné hodnoty klesly o dalších 5 % oproti složkám XX:Y a YY:X a pohybují se tak na hranici 80 %, se směrodatnými odchylkami kolem 15 %. To poukazuje na menší stabilitu přítlaku pera mezi jednotlivými podpisy oprávněných uživatelů oproti charakteristikám akcelerace, což by mohlo zapříčinit vyšší počet nesprávných odmítnutí. U pokusů prováděných útočníky mírně klesla průměrná hodnota korelace ve složce YY (XX), z původní hodnoty téměř 80 % při všech typech útoků na podpisy uživatelů, na hodnotu 71,7 %, se σ = 10 %. Rovněž došlo ke snížení průměrné hodnoty korelace ve složce YY:X, případně XX:Y, které se v nové verzi pohybují kolem 52 %. V původní verzi byla průměrná hodnota pro útok se znalostí dynamiky podpisu 57,5 %. Směrodatná odchylka byla v obou případech 17 %. (V grafu 6.31 si lze mimo jiné všimnout rostoucího trendu průměrných hodnot Opposite Shift Correlation při rozšiřující se znalosti útočníků o podpisech uživatelů. V hodnotách Correlation a u hesla i Opposite Shift Correlation rostoucí trend pozorován nebyl.) Přestože útočníci nedisponovali žádnou znalostí o přítlaku pera uživatelů při psaní podpisu, průměrné hodnoty korelace nebyly o mnoho nižší ve srovnání se složkami YY:X a XX:Y a pohybovaly na úrovních 49 % a 46,5 %, se σ = 19,5 %. 67

76 Z průměrných hodnot dosahovaných oprávněnými uživateli a útočníky lze usuzovat, že útočníci průměrně dosahují výrazně nižších hodnot korelace s referenčními vzorky uživatelů, zhruba o 30 % oproti oprávněným uživatelům ve složkách XX:Y, YY:X, PP:Y a PP:X. Ve složce YY (XX) byl rozdíl nižší (pod 20 %). Složka YY (XX) tedy dle průměrných hodnot nevykazuje takovou schopnost rozlišit oprávněné uživatele od útočníků jako ostatní charakteristiky. Hodnoty navíc nejsou ovlivňovány úrovní znalostí útočníka o podpisu uživatele, jak ukazuje graf 6.31, takže např. útočníkův vlastní podpis dosahuje stejných hodnot korelace s referenčním vzorkem uživatele jako případ, kdy útočník zná a snaží se napodobit dynamiku podpisu uživatele. Ve srovnání s rozdíly průměrných hodnot dosahovaných uživateli a útočníky disponujícími znalostí dynamiky v první verzi systému došlo v nové verzi ke zvětšení rozdílu v hodnotách korelace o zhruba 10 % ve všech charakteristikách. Spolu s celkovým poklesem průměrných hodnot korelace dosahovaných útočníky oproti původní verzi systému a doplněním charakteristiky přítlaku pera tak lze očekávat zvýšení přesnosti systému snížení míry nesprávných přijetí. Relativně vysoká směrodatná odchylka průměrných hodnot korelace dosahovaných útočníky (nad 10 % u všech charakteristik) však vypovídá o tom, že někteří útočníci mohou dosahovat podstatně vyšších hodnot korelace s referenčními podpisy uživatelů než je průměrná hodnota a případně i dosáhnout ne správného přijetí. Možnost dosažení nesprávného přijetí plyne i z histogramů rozložení hodnot YY:X v grafu 6.32 níže. Histogramy pro oprávněné uživatele a útočníky se částečně překrývají, z čehož plyne, že systém není schopen rozlišit uživatele od útočníků se 100% spolehlivostí. V závislosti na nastavené prahové hodnotě pak může docházet k chybám nesprávným odmítnutím uživatelů nebo nesprávným přijetím útočníků. Podobné rozložení hodnot s částečným překrytím systém vykazoval i v ostatních charakteristikách dynamiky podpisu. Srovnání oprávněných uživatelů a útočníků Rozložení hodnot YY:X 10 9 Frekvence výskytu Korelace YY:X [%] Oprávnění uživatelé Útočníci Graf 6.32: Histogramy rozložení hodnot YY:X pro oprávněné uživatele a útočníky 68

77 Kapitola 7 Závěr Testování biometrických technologií a systémů nezávislými organizacemi je základním prostředkem pro posouzení vyspělosti a ověření funkčnosti systémů v různém prostředí a při růz ných podmínkách a poskytuje možnost vzájemného srovnání konkurenčních produktů. Vývojáři a prodejci biometrických systémů, kterým jde především o úspěch na trhu, obvykle deklarují vysokou spolehlivost svého produktu, která je podložena výsledky vlastních interních testů. Tyto testy však často probíhají za ideálních podmínek, kterých v reálném prostředí takřka není možné dosáhnout. Po nasazení takového systému u zákazníka pak systém vykazuje odlišné operační charakteristiky. Objektivní a jednotně interpretované výsledky, které přináší nezávislé testování, mají vysokou hodnotu jak pro koncové zákazníky, kterým umožňují lepší orientaci na trhu, tak pro vývojáře a integrátory systému, jimž mohou pomoci odhalit a odstranit slabiny a nedostatky a vhodně integrovat a nastavit systémy tak, aby splňovaly bezpečnostní požadavky zákazníka. Nezávislému testování se věnuji v rámci této práce, kde v praktické části testuji biometrický systém založený na behaviorální charakteristice dynamice podpisu osob. Zaměřuji se na testování chybovosti systému z hlediska míry nesprávných odmítnutí a především míry nesprávných přijetí útočníků, kteří disponují různou úrovní znalostí o podpisu uživatele, za kterého se snaží vydávat. Na základě zjištěných výsledků vyvozuji závěry o přesnosti a použitelnosti systému v praxi. Navržený testovací protokol pro první verzi systému počítal s registrací dvou biometrických vzorků osoby běžně používaného podpisu a slova společného pro všechny zaregistrované osoby, v textu práce označovaného termínem heslo, kde biometrickou charakteristiku představoval rukopis dané osoby. FTE byla u obou typů referenčních vzorků přibližně 8 % při maximálně třech registračních transakcích a 14 registrovaných osobách. Úspěšně zaregistrované osoby následně podstoupily 9 verifikačních pokusů pro podpis a stejný počet pro heslo bezprostředně po registraci a s časovým odstupem minimálně jednoho týdne. Při standardním nastavení systému, kdy jsou prahové hodnoty dvou charakteristik, na nichž je založeno srovnávání dynamiky podpisů a rozhodování o shodě, určovány pro každou osobu zvlášť, systém vykazoval vysokou míru nesprávných odmítnutí, FNMR = 34 % pro podpis a FNMR = 37 % pro heslo. Snížení chybovosti přineslo zavedení maximálně tří pokusů v rámci jednoho autentizačního procesu transakce, kdy míra nesprávných odmítnutí klesla na 15 % pro podpis a na 6 % pro heslo. Z tohoto pohledu se zdá být verifikace na základě hesla přesnější a použitelnější. Pokud však vezmu v úvahu, že uživatelé se typicky neverifikují bezprostředně po registraci, ale registrace a následná verifikace se v reálném prostředí typicky odehrávají v různých časech, je třeba věnovat pozornost výsledkům z druhého sezení zaregistrovaných osob. V obou případech došlo ke zvýšení chybovosti. V případě podpisu na hodnotu FNMR = 44 % při samostatných pokusech a FRR = 26 % při transakcích. U hesla byl nárůst chybovosti ještě vyšší, FNMR = 55 % a FRR = 33,33 %. Zde se již ukazuje, že podpis, který jsou uživatelé zvyklí používat řadu let, vykazuje vyšší spolehlivost než 69

78 uměle zavedené heslo, které je pro uživatele novinkou a po uplynutí určité doby jeho nepoužívání často zapomenou způsob, jakým jej psali při vytváření referenčního vzorku. Systém vykazuje značně vysokou míru nesprávných odmítnutí, především pokud jej uživatelé nebudou používat příliš často. Přestože podpis je přirozeným nástrojem pro ověřování identity osob a na něm založené biometrické systémy nejsou pro uživatele ničím neobvyklým a většinou vůči jeho použití nemají jakékoliv předsudky, častá nesprávná odmítnutí mohou uživatele obtěžovat a způsobit tak neochotu systém používat. Autentizační transakce by určitě měla umožňovat v přípa dě neúspěchu více pokusů, než dojde k definitivnímu odmítnutí uživatele. I při třech pokusech v rámci transakce však systém při testech vykazoval vysokou chybovost. Proto bych z hlediska míry nesprávných odmítnutí navíc doporučil, v závislosti na konkrétním cílovém prostředí, snížení prahových hodnot, k čemuž by mohly být užitečné analýzy, které jsem provedl pro různé, pevně nastavené, prahové hodnoty. Převážná část testování byla věnována pokusům o dosažení nesprávného přijetí neoprávněných osob útočníků. Do této části se zapojilo 48 osob. Prováděny byly čtyři typy útoků, v závislosti na aktuálních znalostech útočníka o uživateli, resp. jeho podpisu a procesu podepisování. 27 útočníků se navíc zúčastnilo testů ve dvou sezeních, kdy mezi jednotlivými sezeními měli neomezený čas k nacvičení podpisu dle podpisového vzoru daného uživatele. V případě podpisu byl pozorován rostoucí trend průměrných hodnot skóre podobnosti podpisů útočníků s referenčními vzorky uživatelů s rozšiřující se znalostí útočníků o podpisech uživatelů. Z toho plyne, že znalost alespoň podpisového vzoru, popř. navíc i dynamiky jeho vytváření, přináší útočníkovi jistou výhodu a zvyšuje pravděpodobnost dosažení nesprávného přijetí. Při standardním nastavení se několika útočníkům podařilo provést úspěšný útok, pokud znali alespoň podpisový vzor konkrétního uživatele. Při útoku se znalostí vzoru vykazoval systém míru nesprávných přijetí FMR = 1,24 % pro samostatné pokusy a FAR = 2,07 % pro transakce o třech pokusech. Znalost dynamiky pak vyústila v FMR = 1,52 % a FAR = 2,07 %. Míra chybovosti není vysoká, avšak útočníci neměli příliš prostoru pro zdokonalení, každý typ útoku zahrnoval pouze 6 pokusů. Poskytnutí neomezené doby pro nacvičení podpisu vyústilo v další zvýšení průměrných hodnot skóre podobnosti. Přestože útočníci měli k dispozici pouze podpisový vzor a z výsledků testování při druhém sezení útočníků neplyne zvýšení FMR (FAR), ze zvýšení dosahovaných hodnot skóre podobnosti usuzuji, že možnost nacvičení podpisu přináší útočníkům další prostor pro zvýšení pravděpodobnosti provedení úspěšného útoku. Útočníci měli možnost trénovat podpis pouze na papír, bez jakékoliv zpětné vazby o úspěšnosti útoku nebo změnách ve skóre podobnosti. Myslím si, že pokud by útočník měl možnost neomezenou dobu trénovat podpis přímo v systému a případně měl i zpětnou vazbu v podobě skóre podobnosti, pravděpodobnost jeho úspěchu by narostla. Úspěšní útočníci ve většině případů dosáhli nesprávného přijetí z vizuálně odlišným podpisem od podpisu oprávněného uživatele. Systém vyhodnocuje pouze dynamiku psaní (akcelerace v osách X a Y), kterou se v těchto případech útočníkům podařilo v dostatečné míře napodobit. Při nasazení systému k autentizaci v prostředích, kde by nebyl problém provádět navíc vizuální kontrolu podpisového vzoru jinou osobou (např. v bankách zaměstnancem za přepážkou), by toto řešení pravděpodobně vedlo ke snížení úspěšnosti potenciálních útočníků. Heslo (dynamika psaní slova Simpson ) se ukázalo jako odolnější proti útokům. Žádný z útočníků nedosáhl nesprávného přijetí, a to ani v rámci druhého sezení po nacvičení psaní hesla 70

79 daného uživatele. Navíc nebylo patrné zlepšování útočníků s jejich rozšiřující se znalostí o podobě a psaní hesla daným uživatelem a ve srovnání s podpisem došlo k menšímu nárůstu průměrných hodnot skóre podobnosti dosahovaných při druhém sezení útočníků. Příčinu vidím ve vyšší složitosti hesla, které uživatelé psali celé, takže bylo zpravidla delší než podpisy uživatelů a často se skládalo z více oddělených tahů. Složitost dosažení úspěšného útoku však byla vykoupena vysokou mírou nesprávných odmítnutí uživatelů, především po uplynutí určité doby od registrace. Povolení transakcí o více pokusech v případě neúspěchu neznamenalo podstatný nárůst míry nesprávných přijetí, takže toto řešení považuji za výhodné z hlediska snížení míry nesprávných odmítnutí oprávněných uživatelů, při zachování takřka stejné míry nesprávných přijetí. Fakt, že systém nedokáže se 100% přesností rozlišit oprávněné uživatele od útočníků, dokládají histogramy rozložení skóre podobnosti aktuálních podpisů s referenčními vzorky dosahované uživateli a útočníky, které se v obou měřených charakteristikách částečně překrývají. Prahové hodnoty se pravděpodobně budou nacházet v oblasti překrytí a měly by být nastaveny tak, aby systém splňoval požadavky na bezpečnost, ale zároveň neobtěžoval uživatele častými nesprávnými odmítnutími. Ke stanovení prahových hodnot mohou být využity závislosti FAR a FRR na prahových hodnotách a DET, případně ROC charakteristiky, které jsem v rámci analýzy výsledků sestrojil pro případ prahových hodnot nastavovaných globálně pro všechny referenční vzorky. Dosažené výsledky byly podnětem pro vývojáře k provedení úprav systému s cílem snížení chybovosti. Úpravy zahrnovaly zejména přidání charakteristiky spojené s přítlakem pera během psaní a korekci parametrů srovnávacího algoritmu. Testování upravené verze se následně zúčastnilo 20 osob, kdy každá podstoupila registraci, 5 verifikačních pokusů a 5 pokusů o útok se znalostí dynamiky podpisu jiné osoby. FNMR kleslo zhruba o 5 % ve srovnání s původní verzí systému. Hodnoty skóre podobnosti s referenčním vzorkem se pohybovaly na úrovni původní verze systému. Nově zavedené charakteristiky přítlaku pera vykazovaly ve srovnání s ostatními charakteristikami nižší skóre podobnosti s referenčním vzorkem daného uživatele, navíc s vysokou směrodatnou odchylkou (15 %), z čehož soudím, že v této složce dynamiky nevykazují uživatelé takovou stabilitu jako v ostatních složkách, což bych doporučil zohlednit při nastavování prahových hodnot. V nové verzi nedošlo k případu nesprávného přijetí a ve srovnání s původní verzí poklesly průměrné hodnoty skóre podobnosti podpisů útočníků s referenčními vzorky uživatelů. Z tohoto pohledu a pokud navíc uvážím přidání dalších charakteristik a fakt, že histogramy rozložení hodnot skóre pro jednotlivé charakteristiky dosahovaných oprávněnými uživateli a útočníky se překrývají v menší míře než v původní verzi, považuji novou verzi za přesnější v rozlišování oprávněných osob od útočníků. Za účelem snížení stále vysokého FNMR bych navrhl zavedení více autentizačních pokusů v rámci transakce, případně snížení prahových hodnot pro úspěšnou shodu. Poté však doporučuji provést další testování, především za účelem ověření, zda těmito kroky nedojde k nárůstu FMR. Konkrétní nastavení prahových hodnot tak, aby systém splňoval požadovanou úroveň bezpečnosti a zároveň nevykazoval příliš mnoho nesprávných odmítnutí, ponechávám na rozhodnutí vývojářů systému. Věřím, že jim ke konečnému odladění systému poslouží data z mého testování. V návaznosti na provedené testování by mohlo být pro zpřesnění výsledků v budoucnu provedeno operační testování s cílem odhadnout chybovost v reálném prostředí, s osobami, které budou systém běžně používat a s frekvencí používání systému odpovídající reálné situaci. 71

80 Použité zdroje [1] Woodward, John D. Orlans, Nicholas M. Higgins, Peter T.: Biometrics. McGraw-Hill Professional, 2003, 432 str. [2] findbiometrics.com Biometric Solutions, Biometric Applications and Biometric News. URL: (únor 2011) [3] Adamec, Lukáš: Srovnávací testy vybraných biometrických zařízení, [bakalářská práce], Fakulta informatiky Masarykovy univerzity, Brno, 2009 [4] Jain, Anil Bolle, Ruud Pankarti, Sharath: Biometrics: Personal Identification in Networked Society. Kluwer Academic Publishers, 1999, 411 str. [5] Matyáš, Václav Říha, Zdeněk: Biometric Authentication Systems. Technical Report FIMU-RS , Fakulta informatiky Masarykovy univerzity, November 2000, 44 str. URL: (únor 2011) [6] Ryan, Mark Dermot: Authentication. URL: (únor 2011) [7] Matyáš, Václav Říha, Zdeněk: Biometric Authentication Security and Usability. Fakulta informatiky Masarykovy univerzity, Brno, 13 str. URL: (únor 2011) [8] Vach, Martin: Biometriky, [diplomová práce], Fakulta informatiky Masarykovy univerzity, Brno, 2004 [9] Janeček, Tomáš: Biometrika. URL: (únor 2011) [10] Plhák, Jaromír: Testování chybovosti biometrických systémů, [bakalářská práce], Fakulta informatiky Masarykovy univerzity, Brno, 2005 [11] Náter, Branislav: Autentizácia užívatel'a dynamikou a vzorom podpisu, [diplomová práce], Fakulta informatiky Masarykovy univerzity, Brno, 2008 [12] Wacom Signature Interest Group. Wacom STU-500 LCD Signature Tablet. URL: (únor 2011) [13] Hacked Gadgets website. URL: (únor 2011) [14] Signature Verification. Michigan State University, URL: 2011) (únor [15] Synak, Martin: Podobnostní vyhledávání v biometrických charakteristikách, [diplomová práce], Fakulta informatiky Masarykovy univerzity, Brno, 2010 [16] Sayeed, S. Samrai, A Besar, R. Hossen, J.: Online Hand Signature Verification: A Review. URL: (únor 2011) 72

81 [17] Jain, Anil K. Flynn, Patrick Ross, Arun A.: Handbook of Biometrics. Springer, 2008, 556 str. [18] Jain, Anil K. Griess, Friederike G. Connell, Scott D.: On-line signature verification. In: Pattern Recognition 35, Elsevier Science Ltd., 2002, str [19] Mansfield, A. J. Wayman, J. L.: Best Practices in Testing and Reporting Performance of Biometric Devices. Version 2.01, NPL Report CMSC 14/02, Crown, 2002, 32 str. URL: (únor 2011) [20] Jain, A. K. Ross, A. Prabhakar, S.: An Introduction to Biometric Recognition. In: Circuits and Systems for Video Technology, Vol. 14, No. 1, IEEE, 2004, str URL: (únor 2011) [21] Daugman, John: The importance of being random: statistical principles of iris recognition. In: Pattern Recognition 35, Elsevier Science Ltd., 2001, str [22] Wacom Signature Tablet Overview. URL: (březen 2011) [23] International Standard ISO/IEC , Information technology Biometric performance testing and reporting Part 1: Principles and framework. First edition, 2006, 56 str. [24] Verifax Biometrics website. URL: [25] Shannon, Claude E.: Communication in the presence of noise. In: Proc. IEEE, vol. 86, no. 2, 1998, str URL: (březen 2011) [26] Gupta, G. K.: The State of the Art in On-line Handwritten Signature Verification. Citeseer, 2006, 39 str. URL: type=pdf (březen 2011) [27] Landau, A. Shrairman, R.: High Precision On-Line Dynamic Signature Verification System. Canadian Patent # , 2004 URL: (březen 2011) [28] Landau, A.: Research Design (quoation) , osobní komunikace [29] Landau, A.: DocSecure screen captures , osobní komunikace [30] Landau, A.: Rough signatures' data , osobní komunikace [31] Landau, A.: Analysis Data , osobní komunikace [32] Landau, A.: one remark about our Security prototype, some questions , osobní komunikace [33] 73

82 Přílohy Příloha A: Obsah přiloženého CD text práce ve formátu pdf (xadamec1_diplomathesis.pdf) text práce ve formátu odt (xadamec1_diplomathesis.odt) data z testování ve formátu ods (Forms.ods) výsledky testů původní verze systému s grafy ve formátu ods (Forms_results.ods, Forms_results_DET_ROC.ods) výsledky testů nové verze systému ve formátu ods (Forms_SecurityPrototype.ods) 74

83 Příloha B: Systém Doc Secure B.1 Vstupní zařízení Wacom STU-500 Tablet disponuje monochromatickým TFT LCD panelem o rozměrech mm se zobrazováním v reálném čase. Rozměry by měly být dostačující i pro osoby s dlouhým podpisem, přítomnost zpětné vazby během psaní zjednodušuje proces podepisování tím, že uživatel ihned vidí na displeji dříve napsané, jak je to obvyklé při psaní na papír. Rozlišení je pixelů. Displej umožňuje také zobrazování dodatečných informací. Povrch displeje se senzory pokrývá ochranná vrstva z tvrzeného skla, což mj. způsobuje, že senzory registrují jen pohyby pera, ne ruky či prstů. Senzory pracují na principu elektromagnetické rezonance (EMR), s rozlišovací schopností 2540 lpi (lines per inch). Tablet rozeznává až 512 úrovní přítlaku, souřadnice jsou zaznamenávány s frekvencí 200 bodů za sekundu a přesností ±0,5 mm. Pro připojení k počítači lze využít rozhraní USB (zajišťuje i napájení) nebo sériový port. Další podrobnosti lze nalézt na webových stránkách výrobce [22]. Obr. B.1: Wacom STU-500 LCD Signature Tablet [12] B.2 Funkcionalita aplikace z pohledu uživatele Potenciální uživatel, který chce systém používat, se nejprve musí zaregistrovat na webových stránkách společnosti Verifax Biometrics ( Uživatel mj. zadá uživatelské jméno (login) a heslo, které bude využívat v aplikaci pro autentizaci. Zároveň zvolí dvě kontrolní otázky, které jsou vyžadovány v případě, kdy uživatel chce nahradit svůj referenční biometrický vzorek novým. Aplikace je distribuována jako standardní instalační balík operačního systému Microsoft Windows. Při instalaci se integruje do kancelářského softwaru Microsoft Office Word, bez nějž nelze aplikaci používat. V současné implementaci jsou podporovány verze 2003 a Doc Secure umožňuje vkládat podpisy uživatele do elektronických dokumentů, včetně informace o úspěšnosti ověření autenticity podpisu. Uživatel vytvoří dokument, který chce opatřit svým podpisem. V kontextovém menu textového procesoru vybere položku Insert Signature, aplikace zobrazí dialog pro uložení dokumentu a požádá uživatele o přihlašovací údaje. Proběhne přihlášení ke vzdálenému serveru, který uchovává informace o uživatelích, včetně jejich biometrických cha- 75

84 rakteristik. Další práce se systémem je podmíněna úspěšným přihlášením a funkčním připojením k Internetu. Zobrazí se okno podpisové aplikace. Pokud uživatel nemá dosud vytvořen referenční biometrický vzorek, je systémem požádán o jeho vytvoření. Proces vytváření referenčního vzorku sestává z pěti samostatných podpisů, které charakterizují dynamiku podpisu uživatele. Následuje jeden pokus o verifikaci pro kontrolu, zda referenční vzorek vykazuje dostatečnou kvalitu pro následné verifikace, resp. dynamika jednotlivých podpisů předložených při registraci si dostatečně odpovídá. V případě, že referenční vzorek není dostatečně kvalitní pro následná srovnání, uživateli není zob razena informace o výsledku verifikace a referenční vzorek musí být vytvořen znovu. K tomu slouží v okně aplikace tlačítko Re (v pravém dolním rohu). Uživatel je požádán o odpovědi na dvě bezpečnostní otázky a pokud odpoví správně, proces registrace se opakuje. Pokud byl referenční vzorek vytvořen správně, uživatel vidí po verifikačním pokusu rozhodnutí o úspěšnosti (ano/ne). Poté, kdy má uživatel uložen referenční vzorek na autentizačním serveru, může vkládat podpisy do dokumentu. Systém požádá uživatele o podpis, který zpracuje a získané charakteristiky srovná s referenčním vzorkem, který je stažen ze serveru při každém požadavku na vložení podpisu. Výsledek srovnání je zobrazen v okně aplikace spolu s vizuální podobou podpisu. Uživatel následně může proces podepisování opakovat (tlačítko Authenticate) nebo vložit podpis do dokumentu (tlačítko Insert Signature). Vkládaný podpis je reprezentován bitmapovým obrázkem o velikosti cca. 4,5 3,5 cm obsahujícím vizuální podobu podpisu, datum vložení, informaci o autenticitě podpisu a osmimístný alfanumerický kód. Vložení podpisu se zároveň zaznamenává na serveru v podobě záznamu obsahujícího název dokumentu, společnost, do níž uživatel patří (zadá při registraci), datum a čas podepsání a IP adresu počítače, na němž byl dokument podepsán. Tyto záznamy jsou uživateli k dispozici na webových stránkách Verifax Biometrics po přihlášení k uživatelskému účtu. Adekvátní záznam svazuje s podpisem v dokumentu výše zmíněný osmimístný kód a kdokoliv, kdo zná odpovídající kód, si může jemu příslušející záznam na webových stránkách vyhledat. Datum a čas je navíc barevně odlišeno za účelem poskytnutí informace o autenticitě podpisu, protože uživatel může do dokumentu vložit jak podpis, který byl správně ověřen (zelená barva písma), tak i podpis, jehož ověření bylo neúspěšné (oranžová barva) a identita uživatele je tak ustavena pouze na základě při hlašovacích údajů. Černá barva písma pak značí, že uživatel vložil do dokumentu podpis, jehož referenční vzorek nedosahuje potřebné kvality a nelze učinit rozhodnutí o jeho autenticitě. V dokumentu je pak takový podpis reprezentován stejně, jako kdyby ověření bylo neúspěšné. Aplikace dále obsahuje tlačítko pro odhlášení uživatele. Jinak zůstává přihlášen po celou dobu práce s aplikací Microsoft Word. Možnost přihlášení jiného uživatele může být výhodná ve chvíli, kdy dokument podepisuje více osob. Podpis lze do dokumentu vložit i v případě, že uživatel v danou chvíli nemá k dispozici tablet. Při vyvolání okna pro vložení podpisu se v tu chvíli stáhne ze serveru poslední dříve vložený podpis (do jakéhokoliv dokumentu), jehož ověření bylo úspěšné. Ten lze vložit do podepisovaného dokumentu, avšak pouze v podobě nesprávně ověřeného podpisu, protože k tomuto podpisu má přístup kdokoliv, kdo zná přihlašovací údaje dané osoby. Poslední správně ověřený podpis lze ze serveru stáhnout i explicitně, prostřednictvím tlačítka se jménem přihlášeného uživatele. 76

85 Pokud od zadání požadavku na vložení podpisu (vyvolání okna aplikace) do provedení srovnání s referenčním vzorkem (ukončení psaní na tablet, ne do začátku psaní) uběhne více než 60 sekund, aplikace oznámí neúspěšné snímání dat a uživatele požádá o nové snímání. Pokud uživatel nechce proces opakovat, bude opět stažen poslední správně ověřený podpis. Obr. B.2: Podpisy vkládané do dokumentu (vlevo); okno aplikace (vpravo) 77

86 Příloha C: Ukázky podpisů Obr. C.1: Podpisy oprávněného uživatele a jednoho z útočníků při různých typech (neúspěšných) útoků Obr. C.2: Podpisy oprávněného uživatele a dvou různých úspěšných útočníků Obr. C.3: Heslo oprávněného uživatele, neúspěšný útočník 78

87 Obr. C.4: Aplikace Security Prototype; signály akcelerace v ose X pro zobrazené podpisy Obr. C.5: Aplikace Security Prototype; signály akcelerace v ose Z (přítlak pera) pro zobrazené podpisy 79