Tiêu chuẩn quốc gia TCVN 11385:2016 về Công nghệ thông tin - Các kỹ thuật an toàn - Đánh giá an toàn sinh trắc học

6. Đánh giá an toàn

6.1. Tổng quan

Điều này làm rõ hơn phạm vi của tiêu chuẩn tại điều 1 và cung cấp ngữ cảnh mà trong đó đánh giá an toàn sinh trắc học được tiến hành.

Hình A.1 chỉ ra kiến trúc tham chiếu của hệ thống sinh trắc học được sử dụng trong tiêu chuẩn này. Hệ thống sinh trắc học bao gồm một tập hợp các thành phần phần cứng và phần mềm. Hệ thống thường được sử dụng để thực hiện một ứng dụng sinh trắc học, trong trường hợp này hệ thống hoạt động trong một môi trường ngoài tạo thành một phần thiết yếu của ứng dụng. Môi trường không chỉ bao gồm các yếu tố vật lý như không gian, nhiệt độ, độ ẩm, chiếu sáng v.v... mà còn tất cả các khía cạnh về thủ tục và người sử dụng của hệ thống. Người sử dụng của hệ thống bao gồm tất cả những người có thể tương tác với hệ thống như những nhà điều hành, người quản trị, đối tượng thu nạp, đối tượng mạo danh v.v...

Tiêu chuẩn này chủ yếu hướng vào việc đánh giá an toàn chính hệ thống sinh trắc học chứ không phải là các ứng dụng sinh trắc học hoàn chỉnh. Một ứng dụng sinh trắc học bao gồm một hệ thống sinh trắc học và các thành phần phần cứng và phần mềm có thể khác, với môi trường hoạt động, các quy trình tổ chức và các chính sách cùng cung cấp chức năng của ứng dụng. Những yếu tố bổ sung này có thể có lỗ hổng bảo mật riêng của chính mình hoặc có thể khuyếch đại hoặc giảm thiểu các lỗ hổng đã được sở hữu bởi chính hệ thống sinh trắc học.

Đánh giá lỗ hổng cần được tiến hành theo cách thức có trật tự, bao gồm sự điều tra các lỗ hổng thành phần cá thể. Tuy nhiên, đánh giá viên nên thận trọng khi đánh giá các kết quả của việc đánh giá lỗ hổng thành phần mà không xem xét sự tương tác diễn ra với các thành phần hệ thống khác. Những tương tác này có thể xác định liệu có hay không các lỗ hổng thành phần có thể bị khai thác trong thực tế. Do đó, đánh giá viên nên luôn luôn đánh giá lỗ hổng trong ngữ cảnh toàn bộ chức năng của toàn hệ thống và không chỉ dựa trên đánh giá các lỗ hổng thành phần cá thể.

Tương tự, một hệ thống sinh trắc học có thể biểu thị các lỗ hổng nội tại đã được nhận ra, đã được làm trầm trọng hơn hoặc giảm nhẹ bởi tương tác giữa các thành phần hệ thống. Ví dụ, một thuật toán so sánh sinh trắc học có thể hiển thị hành vi bất thường nếu được đưa vào dữ liệu sinh trắc học ngoài phạm vi, và hành vi này có thể làm phát sinh một lỗ hổng. Tuy nhiên, nếu (các) thành phần chịu trách nhiệm cung cấp dữ liệu sinh trắc học cho các thuật toán so sánh ngăn chặn dữ liệu bất thường được cung cấp thì sẽ không sinh ra lỗ hổng. Mặc dù phương pháp trong tiêu chuẩn này có thể được sử dụng để đánh giá các yếu tố an toàn cho các thành phần của một hệ thống sinh trắc học, đánh giá viên nên thận trọng khi kiểm tra các lỗ hổng thành phần cá thể và tìm hiểu các tương tác giữa các thành phần để xác định làm thế nào mà những tương tác này có thể ảnh hưởng đến lỗ hổng hệ thống. Nói chung, việc đánh giá lỗ hổng thành phần cá thể có thể có giá trị giới hạn và gây sai lạc nếu được thực hiện bên ngoài ngữ cảnh của một sự đánh giá hệ thống.

Tiêu chuẩn này quy định cụ thể phương pháp đánh giá an toàn kỹ thuật của hệ thống sinh trắc học. Tiêu chuẩn không tìm cách giải quyết các vấn đề rộng hơn về đánh giá an toàn ứng dụng sinh trắc học hoàn chỉnh. Người kiểm định các ứng dụng sinh trắc học do đó cần xây dựng mô hình mối đe dọa/rủi ro cho các ứng dụng và đánh giá liệu các lỗ hổng phi sinh trắc học cụ thể khác có tồn tại trong hệ thống tổng thể và những tác động nào của bất kỳ lỗ hổng sinh trắc học đã được phát hiện đối với an toàn hệ thống tổng thể.

6.2. Phương pháp

...

...

...

Nhà cung cấp hệ thống sinh trắc học được đánh giá sẽ phải cung cấp mô tả hệ thống trước khi việc đánh giá bắt đầu. Điều này cho phép đánh giá viên trở nên quen thuộc với hệ thống và hỗ trợ những quyết định sau đó trong quá trình đánh giá. Các khía cạnh sinh trắc học cụ thể của đánh giá an toàn hệ thống sinh trắc học được mô tả trong tiêu chuẩn này là:

- Phép đo lường các tỷ lệ lỗi thống kê (xem điều 7)

- Các lỗ hổng sinh trắc học cụ thể (xem điều 8)

- Tính riêng tư (xem điều 9)

Khái niệm cơ bản của phương pháp này (ngoài ba lĩnh vực trên) là việc đánh giá an toàn hệ thống sinh trắc học có thể được thực hiện theo cách tương tự việc đánh giá an toàn của bất kỳ hệ thống công nghệ thông tin nào khác.

Điều 7 giới thiệu khái niệm về kiểm thử các tỷ lệ lỗi liên quan đến an toàn trong ngữ cảnh đánh giá an toàn hệ thống sinh trắc học. Các tỷ lệ lỗi thống kê có thể được đo lường cho các thuật toán sinh trắc học đơn lẻ (thường sử dụng các cơ sở dữ liệu mẫu sinh trắc học có sẵn từ trước), hoặc cho các hệ thống mà người dùng cung cấp các mẫu sinh trắc học trực tiếp cho bộ cảm biến của thành phần thu thập dữ liệu. Kiểm thử tỷ lệ lỗi của các thuật toán sinh trắc học thường được sử dụng để so sánh hiệu suất giữa các thuật toán khác nhau và để định lượng sự thay đổi do phát triển thuật toán. Kiểm thử thuật toán có giá trị giới hạn trong việc đánh giá an toàn vì những lỗi về thuật toán chỉ là một nguồn gây lỗi trong một hệ thống sinh trắc học. Thường là cần thiết để tiến hành đo lường lỗi thống kê của các hệ thống sinh trắc học sử dụng các mẫu sinh trắc học thu được bởi thành phần thu thập của hệ thống từ các đối tượng thực trong một kiểm thử kịch bản. Tuy nhiên, kiểm thử thống kê của một thuật toán có thể góp phần vào sự hiểu biết cần thiết về hệ thống sinh trắc học, điều này cần thiết để chuẩn bị kiểm thử hoặc để tìm ra một yêu cầu về các tỷ lệ lỗi tối đa của hệ thống sinh trắc học.

Điều 8 cung cấp hướng dẫn đánh giá lỗ hổng. Các lỗ hổng kỹ thuật được xử lý theo các nhóm tương ứng với các lỗ hổng tiềm ẩn trong hệ thống sinh trắc học, dựa trên sự cân nhắc lý thuyết và kinh nghiệm thực tế. Việc khai thác một lỗ hổng tiềm ẩn thường liên quan đến nhiều thành phần. Ví dụ, một vật giả mạo cần phải được tiếp nhận bởi bộ cảm biến và vượt qua bất kỳ mọi ngăn chặn giả mạo; vượt qua bước phân tích chất lượng; tiền xử lý và trích xuất đặc điểm thành công và vượt qua bất kỳ sự kiểm tra kiểm soát chất lượng tiếp theo nào. Các bước này thường sẽ liên quan tới nhiều hơn một thành phần của hệ thống.

Điều 9 nêu chi tiết về những hành động của đánh giá viên được yêu cầu để giải quyết những vấn đề về tính riêng tư khi xử lý và lưu trữ dữ liệu sinh trắc học. Đây là một mối quan tâm an toàn vốn có cho các hệ thống sinh trắc học vì dữ liệu được sử dụng để xác thực là dữ liệu cá nhân và có thể được điều chỉnh bởi những ràng buộc sử dụng được xác định bởi luật pháp hay quy tắc thực hành ở các nước khác nhau.

Tiêu chuẩn này xác định các vai trò của nhà cung cấp và đánh giá viên và quy định cụ thể các yêu cầu và hoạt động của mỗi bên. Mặc dù phương pháp luận là độc lập với sơ đồ, việc tách biệt các vai trò ở đây phản ánh sự cần thiết phải nhận thức các trách nhiệm và hành động của đánh giá viên để duy trì tính độc lập với nhà cung cấp.

...

...

...

7.1. Giới thiệu

Một đặc trưng vốn có của nhận dạng sinh trắc học đó là quyết định của hệ thống sinh trắc học tùy thuộc vào các lỗi mà có thể được thể hiện dưới dạng các tỷ lệ lỗi thống kê, ví dụ: các tỷ lệ tiếp nhận sai và từ chối sai. Những tỷ lệ lỗi này và các tham số hiệu suất khác cũng hàm ý về cường độ an toàn được cung cấp bởi một hệ thống sinh trắc học khi được sử dụng để xác thực.

Do đó mỗi đánh giá an toàn một hệ thống sinh trắc học sẽ bao gồm việc đánh giá các các tỷ lệ lỗi liên quan đến an toàn.

Kiểm thử và báo cáo các tỷ lệ lỗi liên quan đến an toàn trong tiêu chuẩn này dựa vào ISO/IEC 19795-1:2006. Tiêu chuẩn này sử dụng các phần tử hiệu suất sinh trắc học và kiểm thử và báo cáo hiệu suất có liên quan đến việc đánh giá an toàn sinh trắc học.

7.2. Khái niệm - Kiểm thử các tỷ lệ lỗi liên quan đến an toàn

Độ tin cậy của chức năng xác minh hoặc định danh sinh trắc học của hệ thống sinh trắc học là yếu tố quan trọng để xác định mức tin cậy có thể trong một quyết định xác thực được cung cấp bởi hệ thống. Độ tin cậy này có thể đo được bằng cách thực hiện đúng việc kiểm thử các tham số hiệu suất hệ thống có liên quan đến đảm bảo xác thực. Đối với một hệ thống kiểm soát truy cập, các tham số này bao gồm Tỷ lệ Tiếp nhận Sai (FAR) và Tỷ lệ Từ chối Sai (FRR), và các tương quan gần của chúng là Tỷ lệ Trùng khớp Sai (FMR) và Tỷ lệ Không trùng khớp Sai (FNMR) (xem định nghĩa chi tiết và sự khác biệt của các thuật ngữ này tại điều 4.4 và ISO/IEC 19795-1:2006).

Lý do cả FAR/FMR và FRR/FNMR cần được đo lường đó là tồn tại một mối quan hệ nghịch đảo giữa các kiểu lỗi này đối với hệ thống sinh trắc học và thường có thể điều chỉnh hệ thống để đạt được bất kỳ giá trị FAR/FNMR mong muốn nếu không giới hạn giá trị FRR/FNMR. Đối với một ứng dụng kiểm soát truy cập, giá trị FAR/FMR có thể biểu thị sự an toàn trong khi giá trị FRR/FNMR tương ứng chỉ tính tiện dụng. Sự đánh đổi an toàn/tính tiện dụng này tương tự như trường hợp của mật khẩu khi độ dài mật khẩu và tính ngẫu nhiên (an toàn) có thể đánh đổi với khó khăn trong việc ghi nhớ (tính tiện dụng). Nhiều chính sách an toàn mật khẩu được xây dựng bằng việc chỉ xem xét các khía cạnh an toàn, mà không quan tâm đến khả năng sử dụng. Tuy nhiên đây không được coi là chấp nhận được đối với một hệ thống sinh trắc học. Lý do cho sự không thống nhất rõ rệt này có lẽ là một sự thất bại về tính tiện dụng để xác thực mật khẩu và được xem là một sự thất bại của con người, trong khi đối với nhận dạng sinh trắc học nó được xem như một sự thất bại của hệ thống.

Mục đích của việc đo lường các tỷ lệ lỗi liên quan đến an toàn hệ thống sinh trắc học là cung cấp số liệu đáng tin cậy nhằm thiết lập sự bảo đảm cơ bản cho các quyết định xác minh hoặc nhận dạng được thực hiện bởi hệ thống.

Sự kiểm thử các tỷ lệ lỗi liên quan đến an toàn bắt đầu với một yêu cầu an toàn dựa trên sự đáp ứng hoặc cải thiện các giới hạn tỷ lệ lỗi danh nghĩa. Kiểm thử hiệu suất sau đó nhằm mục đích chứng minh hoặc bác bỏ yêu cầu này. Ngoài ra, đánh giá viên có thể cần phải xem xét tác động có thể có của người sử dụng kiểm thử có các đặc trưng đặc biệt hoặc việc lựa chọn không ngẫu nhiên người sử dụng kiểm thử lên hiệu suất, và vì vậy lên an toàn.

...

...

...

1) Nhà cung cấp sẽ cung cấp một mô tả hệ thống và ngữ cảnh sử dụng (xem 7.2.1).

2) Nhà cung cấp sẽ yêu cầu giá trị tối đa cho các tỷ lệ lỗi liên quan đến an toàn (xem 7.2.2).

3) Những yêu cầu phải được kiểm tra bởi đánh giá viên (xem 7.2.3).

4) Nhà cung cấp thực hiện một kiểm thử để chứng minh rằng yêu cầu là đúng, nghĩa là các tỷ lệ lỗi đáp ứng được yêu cầu (xem 7.2.4).

5) Kiểm thử của nhà cung cấp sẽ được đánh giá bởi đánh giá viên (xem 7.2.4).

6) Đánh giá viên thực hiện một kiểm thử độc lập (xem 7.2.5).

Các bước này sẽ được giới thiệu chi tiết trong các điều theo đây.

7.2.1. Mô tả hệ thống (bước 1)

Nhà cung cấp sẽ cung cấp cho đánh giá viên một mô tả hệ thống sinh trắc học được đánh giá và ngữ cảnh sử dụng của chúng.

...

...

...

- mô tả về mục đích sử dụng của hệ thống,

- thông tin về việc sản phẩm được thiết kế để thực hiện xác minh hoặc nhận dạng sinh trắc học,

- mô tả về môi trường dự định của hệ thống,

- mô tả về dân số mục tiêu của hệ thống,

- mô tả tất cả các tham số cấu hình có liên quan đến an toàn (bao gồm tất cả các thiết lập ngưỡng) và các thiết lập đề nghị để đạt được những yêu cầu hiệu suất cho các môi trường dự định và dân số mục tiêu (xem 7.2.2).

Mô tả hệ thống này là quan trọng đối với đánh giá viên để quyết định những yêu cầu tiếp theo trong ngữ cảnh tiêu chuẩn này.

7.2.2. Yêu cầu của nhà cung cấp (bước 2)

Nhà cung cấp sẽ đưa ra các yêu cầu hiệu suất dưới dạng tập hợp giá trị các tỷ lệ lỗi liên quan đến an toàn tối đa có thể đạt được đồng thời. Đối với mỗi giá trị được yêu cầu của các tỷ lệ lõi liên quan đến an toàn, nhà cung cấp phải đưa ra (các) ngưỡng làm căn cứ cho yêu cầu.

Yêu cầu này gồm ba khía cạnh:

...

...

...

- Nhà cung cấp sẽ cung cấp cho đánh giá viên (các) tập hợp các giá trị các tỷ lệ lỗi liên quan đến an toàn tối đa có thể đạt được đồng thời trong ngữ cảnh các tham số cấu hình có liên quan theo quy định tại 7.2.1.

- Nhà cung cấp đưa ra thuyết minh tại sao các giá trị các tỷ lệ lỗi liên quan đến an toàn tối đa là chấp nhận được cho mục đích sử dụng của hệ thống sinh trắc học.

7.2.3. Kiểm tra yêu cầu của nhà cung cấp (bước 3)

Đánh giá viên sẽ xác định xem liệu danh sách các tỷ lệ lỗi liên quan đến an toàn là hoàn chỉnh và liệu yêu cầu các giá trị tỷ lệ lỗi tối đa là đầy đủ chưa. Họ cũng phải kiểm tra thuyết minh của nhà cung cấp đối với các tỷ lệ lỗi mà nhà cung cấp xem là không liên quan.

Các yếu tố nên được xem xét khi quyết định liệu yêu cầu về giá trị tỷ lệ lỗi tối đa là đầy đủ bao gồm:

- trường hợp áp dụng (tương lai) của hệ thống sinh trắc học và các nhu cầu an toàn của nó,

- các yêu cầu pháp lý,

- các yêu cầu hợp đồng (hoặc yêu cầu của khách hàng),

- các yêu cầu bắt nguồn từ một phương pháp đánh giá cụ thể được sử dụng.

...

...

...

Đánh giá viên sẽ xem xét tất cả các tỷ lệ lỗi trong ISO/IEC 19795-1:2006 trong phân tích của họ để đánh giá danh sách các tỷ lệ lỗi liên quan đến an toàn xác định được đã hoàn chỉnh chưa.

Để đảm bảo rằng danh sách tỷ lệ lỗi là hoàn chỉnh, đánh giá viên sẽ phải quyết định cho từng tỷ lệ lỗi được xác định trong ISO/IEC 19795-1:2006 cho dù có liên quan với hệ thống sinh trắc học được đánh giá hay không. Điều căn bản là mỗi tỷ lệ lỗi nên được cân nhắc là có liên quan.

Các lý do hiển nhiên khiến các tỷ lệ lỗi có thể không liên quan gồm:

- các yêu cầu pháp lý cụ thể không yêu cầu tỷ lệ lỗi này,

- tỷ lệ lỗi chỉ áp dụng cho hệ thống nhận dạng sinh trắc học, trong khi đang đánh giá một hệ thống xác minh sinh trắc học,

- tỷ lệ lỗi sơ tuyển trong các hệ thống không thực hiện việc sơ tuyển.

Nếu nhà cung cấp cho rằng một tỷ lệ lỗi nào đó không có liên quan đến an toàn và điều này không rõ ràng đối với đánh giá viên, nhà cung cấp phải đưa ra thuyết minh bổ sung để thuyết phục đánh giá viên. Nếu không thì nhà cung cấp phải cung cấp (các) giá trị tỷ lệ lỗi cho tỷ lệ lỗi được xem xét.

7.2.4. Kiểm thử của nhà cung cấp và đánh giá kiểm thử của nhà cung cấp (bước 4 và 5)

Trong khi các điều trước đề cập mỗi bước của phương pháp kiểm thử sáu bước như đã giới thiệu trong 7.2, điều này kết hợp các yêu cầu đối với hai bước của phương pháp:

...

...

...

- đánh giá của đánh giá viên đối với kiểm thử này.

Điều này mang lại lợi ích về tính rõ ràng và tính súc tích do các yêu cầu kiểm thử đối với nhà cung cấp và đánh giá viên mang nhiều đặc điểm chung. Nếu có sự khác biệt chúng sẽ được thể hiện ra. Lưu ý rằng nếu các yêu cầu của sơ đồ cụ thể đòi hỏi các hoạt động của nhà cung cấp và đánh giá viên phải được lập tài liệu riêng rẽ, có thể sẽ cần thiết phải phân tách các thông tin trong điều này thành 2 điều khác biệt

Nhà cung cấp phải lập kế hoạch, thực hiện và lập tài liệu một kiểm thử để chứng minh các tỷ lệ lỗi liên quan đến an toàn được yêu cầu. Kiểm thử này phải tuân theo các phần liên quan của tiêu chuẩn ISO/IEC 19795-1. Đánh giá viên phải kiểm tra và xác nhận kiểm thử của nhà cung cấp.

CHÚ THÍCH: Các yêu cầu đối với kiểm thử của nhà cung cấp không ngăn cản việc giao nhiệm vụ cho một tổ chức kiểm thử bên thứ ba. Tuy nhiên, một tổ chức như vậy phải độc lập với đánh giá viên rà soát kiểm thử.

Vai trò của kiểm thử hiệu suất khi đánh giá an toàn sinh trắc học là để xác định hoặc xác nhận các tỷ lệ lỗi liên quan đến an toàn được yêu cầu. Việc đánh giá thực hiện theo tiêu chuẩn này phải tuân thủ các tiêu chuẩn kiểm thử và báo cáo hiệu suất quy định tại tiêu chuẩn ISO/IEC 19795-1:2006. Ngoài ra, các điều sau đây (7.2.4.1 đến 7.2.4.8) mang tính quy định cho các kiểm thử tuân thủ tiêu chuẩn này. Những yêu cầu này mở rộng, hạn chế hoặc nhấn mạnh các yêu cầu đưa ra trong tiêu chuẩn ISO/IEC 19795-1:2006. Trong trường hợp có các yêu cầu mâu thuẫn, các yêu cầu trong tiêu chuẩn này sẽ được ưu tiên.

CHÚ THÍCH: Kiểm thử hiệu suất đòi hỏi các nguồn lực đáng kể. Do đó, khuyến cáo nhà cung cấp và đánh giá viên đồng ý về phương pháp kiểm thử, thủ tục và định dạng báo cáo bước khi bắt đầu kiểm thử hiệu suất, để đảm bảo rằng kiểm thử hiệu suất sẽ đáp ứng các yêu cầu của việc đánh giá.

Ngoài các yêu cầu trong ISO/IEC 19795-1:2006, các vấn đề sau đây phải được giải quyết trong quá trình lập kế hoạch và thực hiện kiểm thử, và phải được đưa vào tài liệu kiểm thử:

- Bất kỳ giả định nào về kịch bản kiểm thử đã thực hiện sẽ phải được nêu ra và chứng minh,

- Nhóm kiểm thử phải thích hợp với ứng dụng mục tiêu,

...

...

...

- Các tỷ lệ lỗi liên quan đến an toàn phải được báo cáo và cho thấy là chấp nhận được cho ứng dụng mục tiêu,

- (Các) giá trị ngưỡng liên quan đến an toàn và các tham số cấu hình phải được thiết lập phù hợp với các khuyến nghị của nhà cung cấp cho việc kiểm thử,

- Bộ đếm thử lại được thiết lập phù hợp với các khuyến nghị nhà cung cấp,

- Tỷ lệ lỗi lần thử đơn lẻ phải được đo lường và báo cáo,

- Phương pháp thống kê cho kiểm thử phải được báo cáo và chứng minh bởi nhà cung cấp.

Thông tin thêm về các yêu cầu này có thể được tìm thấy trong các điều tiếp theo dưới đây:

7.2.4.1. Các giả định

Trong mỗi kiểm thử các tỷ lệ lỗi liên quan đến an toàn của một hệ thống sinh trắc học, các giả định phải được đặt ra để thiết kế một kịch bản kiểm thử thích hợp.

Nhà cung cấp phải báo cáo tất cả các giả định đã được đặt ra trong giai đoạn thiết kế và kiểm thử.

...

...

...

- môi trường dự kiến của hệ thống sinh trắc học,

- hành vi mong đợi của người sử dụng dự kiến của hệ thống sinh trắc học,

- hành vi mong đợi và nền tảng của các đối tượng tấn công, những kẻ có thể tấn công hệ thống sinh trắc học trong môi trường hoạt động đã dự định.

Mức độ trùng khớp chặt chẽ của các điều kiện kiểm thử và các giả định với điều kiện hoạt động dự kiến sẽ ảnh hưởng đến mức độ tin cậy mà các kết quả kiểm thử dự báo hiệu suất hoạt động của hệ thống sinh trắc học như thế nào. Nhà cung cấp phải báo cáo tất cả các giả định cần thiết đã được đặt ra cho các kiểm thử, đảm bảo rằng những giả định này là phù hợp với việc sử dụng dự kiến của hệ thống sinh trắc học, và đảm bảo rằng các giả định thiết kế kiểm thử sẽ mang lại kết quả đáng tin cậy. Hơn nữa, nhà cung cấp phải cung cấp thông tin về hành vi hệ thống trong trường hợp người sử dụng không mong đợi (tức là người sử dụng không phù hợp với dân số mục tiêu của hệ thống). Thông tin này sẽ được xem xét trong ngữ cảnh đánh giá lỗ hổng.

Đánh giá viên sẽ phân tích các giả định được cung cấp bởi nhà cung cấp để xác minh rằng:

- tất cả các giả định cần thiết đã được báo cáo bởi nhà cung cấp,

- các giả định phù hợp với dự kiến sử dụng hệ thống sinh trắc học như đã được báo cáo của nhà cung cấp,

- thiết kế kiểm thử phù hợp với các giả định để các kết quả kiểm thử sẽ được tin cậy.

7.2.4.2. Nhóm kiểm thử

...

...

...

- đại diện cho dân số mục tiêu trong hệ thống sinh trắc học,

- đủ lớn để cung cấp sự tin cậy thống kê cần thiết trong các kết quả.

Hồ sơ nhân khẩu của nhóm kiểm thử phải trùng khớp một cách chặt chẽ với dân số mục tiêu. Bất kỳ sự chênh lệch nào so với điều kiện này sẽ làm giảm mức độ tin cậy có thể đạt được trong các kết quả kiểm thử. Nhà cung cấp phải xác định bất kỳ đặc trưng nào của nhóm kiểm thử có thể làm sai lệch các tỷ lệ lỗi liên quan đến an toàn. Ngoài ra, nhà cung cấp phải báo cáo việc phân bổ các đặc trưng đã được xác định này trong nhóm kiểm thử và dân số mục tiêu của hệ thống sinh trắc học. Phân tích này có thể căn cứ vào dân số mục tiêu giả định như đã được báo cáo bởi nhà cung cấp.

Cần lưu ý rằng, trách nhiệm của đánh giá viên là quyết định liệu độ chênh lệch của nhóm kiểm thử đã được xác định là đầy đủ và có thể chấp nhận được. Do tiêu chuẩn này là độc lập với bất kỳ phương pháp đánh giá cụ thể nào và mức độ chênh lệch có thể được chấp nhận đối với một thiết kế kiểm thử nào đó cũng phụ thuộc vào sự tin cậy có thể đạt được bởi kiểm thử, việc xác định các giới hạn cụ thể trong các chênh lệch như vậy là nằm ngoài phạm vi của tiêu chuẩn này.

Các vấn đề chính để xác định quy mô kiểm thử cần thiết của nhóm kiểm thử là:

- mức độ tin cậy cần thiết (được đưa ra bởi giá trị tin cậy cụ thể và khoảng tin cậy),

- các tỷ lệ lỗi (các tỷ lệ lỗi thấp hơn thường đòi hỏi quy mô kiểm thử lớn hơn),

- thiết kế của kiểm thử (ví dụ có cho phép nhiều giao dịch đối với người sử dụng).

Trong kiểm thử hiệu suất, các tỷ lệ lỗi của hệ thống sinh trắc học được kiểm thử thường không được biết trước khi kiểm thử. Trong tình hình như vậy, quy mô kiểm thử cần thiết có thể chỉ được ước tính (dựa trên tỷ lệ lỗi mong đợi), và giá trị tin cậy đưa ra từ kiểm thử sẽ được tính toán sau khi kiểm thử đã được tiến hành.

...

...

...

Hướng dẫn thêm về cách xác định quy mô kiểm thử cần thiết có thể được tìm thấy trong ISO/IEC 19796-1:2006.

Ngoài ra, hành vi của nhóm kiểm thử liên quan đến sự hợp tác và sự cẩn thận của họ khi đưa các đặc trưng sinh trắc học cho hệ thống con thu thập dữ liệu sẽ ảnh hưởng đến các tỷ lệ lỗi đo lường được. Do đó, đây là một khía cạnh quan trọng của nhóm kiểm thử đại diện mà hành vi của họ sẽ trùng khớp chặt chẽ với dân số mục tiêu nếu kết quả kiểm thử là một yếu tố dự báo đáng tin cậy của các kết quả hoạt động. Sự xem xét cần phải được đặt ra đối với:

- sự hợp tác và động cơ của nhóm kiểm thử, và

- sự quen thuộc của nhóm kiểm thử với việc sử dụng hệ thống sinh trắc học.

Nhóm kiểm thử phải được cung cấp các chỉ dẫn, đào tạo và động cơ thích hợp để đảm bảo rằng hành vi của nhóm trùng khớp với dân số mục tiêu đã dự định.

Hoạt động vận hành và việc thực hiện các giao dịch tổng thể cũng phải được xem xét để xác định các yếu tố có thể ảnh hưởng đến các tỷ lệ lỗi (ví dụ như chính sách vệ sinh bộ cảm biến). Kịch bản kiểm thử phải mô phỏng kịch bản hoạt động với tất cả các khía cạnh có thể ảnh hưởng đến các tỷ lệ lỗi hệ thống.

Được biết, các điều kiện của quá trình thu nạp đối với nhóm kiểm thử và các chính sách tương ứng có một tác động đáng kể đến các tỷ lệ lỗi của hệ thống sinh trắc học. Các điều kiện của quá trình thu nạp được sử dụng để kiểm thử phải trùng khớp chặt chẽ với các điều kiện hoạt động của hệ thống sinh trắc học.

Bất kỳ thủ tục nào được sử dụng để lựa chọn nhóm kiểm thử phải được công bố. Tỷ lệ thu nạp thất bại phải được báo cáo cùng với các kết quả kiểm thử cần thiết khác.

Lưu ý rằng các kiểm thử tỷ lệ lỗi sử dụng các đối tượng mạo danh được lựa chọn vì đặc trưng sinh trắc học của các đối tượng này được biết đến hoặc được tin rằng có các đặc tính đặc biệt dẫn đến khả năng gia tăng sự chấp nhận sai được xử lý như một phần của đánh giá lỗ hổng tại điều 8. Tuy nhiên, nhà cung cấp có thể quyết định kết hợp các kiểm thử gồm một tập hợp người sử dụng không phải là đại diện của dân số mục tiêu của hệ thống sinh trắc học với kiểm thử này.

...

...

...

Điều kiện môi trường cho kiểm thử của nhà cung cấp được thực hiện càng sát với điều kiện của môi trường dự định càng tốt.

Yêu cầu này đảm bảo rằng các điều kiện môi trường của kiểm thử mô phỏng môi trường dự định. Trong trường hợp khác biệt về môi trường, nhà cung cấp phải đưa ra phân tích cho thấy sự khác biệt đó không ảnh hưởng đến kết quả kiểm thử. Lưu ý rằng câu hỏi liệu điều kiện môi trường khác nhau có thể làm giảm giá trị các tỷ lệ lỗi liên quan đến an toàn cũng sẽ được giải quyết trong ngữ cảnh đánh giá lỗ hổng (xem điều 8).

Tất cả các điều kiện môi trường có liên quan đến kịch bản kiểm thử phải được ghi nhận và báo cáo. Ngoài ra, môi trường dự định dành cho hệ thống sinh trắc học phải được báo cáo cùng với kết quả đánh giá.

Các yêu cầu tường minh về báo cáo môi trường dự định cùng với kết quả kiểm thử hiện hữu cho phép khách hàng của hệ thống sinh trắc học chắc chắn rằng họ vận hành hệ thống sinh trắc học trong một môi trường thích hợp.

7.2.4.4. Các tỷ lệ lỗi liên quan

Nếu một tỷ lệ lỗi được đo phụ thuộc trực tiếp hoặc gián tiếp vào (các) tỷ lệ lỗi khác, các giá trị tương ứng với những tỷ lệ lỗi khác này phải được xác định cụ thể và báo cáo.

Yêu cầu này được đưa ra để phòng ngừa khả năng một yêu cầu tỷ lệ lỗi phi thực tế đang được thực hiện mà phụ thuộc vào các giá trị tỷ lệ lỗi bất hợp lý có liên quan thông qua chính sách quyết định.

Ví dụ, điều chỉnh một hệ thống sinh trắc học để đáp ứng yêu cầu của một FAR nhất định sẽ dẫn đến một FRR nhất định (do FAR và FRR có mối tương quan). Việc điều chỉnh như vậy là trách nhiệm của nhà cung cấp và là một đặc điểm quan trọng cho phép sử dụng cùng một hệ thống sinh trắc học cho các trường hợp ứng dụng khác nhau. Tuy nhiên, khi sử dụng các giá trị không hợp lý cho chính sách quyết định, việc điều chỉnh kết quả cho một FAR nhất định có thể dẫn đến một FRR khiến hệ thống không sử dụng được.

Mặc dù yêu cầu về tỷ lệ lỗi có liên quan phải được kiểm thử và báo cáo trong những trường hợp này không thể ngăn chặn nhà cung cấp điều chỉnh hệ thống, nó sẽ làm cho những nỗ lực điều chỉnh này và ảnh hưởng của chúng có thể nhận thấy được và để lại quyết định về việc liệu có sử dụng hệ thống sinh trắc học ở (các) thiết lập ngưỡng đã sử dụng trong kiểm thử cho khách hàng. Nếu một vòng cong DET đầy đủ là sẵn có từ kiểm thử, khách hàng có thể lựa chọn sử dụng hệ thống ở (các) thiết lập ngưỡng khác nhau.

...

...

...

Tất cả các báo cáo về yêu cầu và đo lường tỷ lệ lỗi phải bao gồm chi tiết về các thiết lập ngưỡng quyết định tương ứng được sử dụng và, nếu có thể, bất kỳ tiêu chí ngưỡng chất lượng được sử dụng.

Kiểm thử hiệu suất nói chung thường đưa ra kết quả là một vòng cong DET thể hiện mối quan hệ giữa các tỷ lệ lỗi (ví dụ: Tỷ lệ Trùng khớp Sai và Tỷ lệ Không Trùng khớp Sai) khi ngưỡng quyết định trùng khớp/không trùng khớp bị thay đổi. Tuy nhiên, để đánh giá an toàn, kiểm thử có thể được thực hiện với chỉ một hoặc một vài giá trị ngưỡng quyết định tương ứng với yêu cầu của nhà cung cấp cụ thể về các tỷ lệ lỗi.

Trong khi điều này có thể giúp làm giảm nỗ lực cho các kiểm thử cần thiết, điều này cũng có nghĩa rằng hệ thống sinh trắc học đã được kiểm thử theo cách này có thể chỉ được hoạt động sử dụng các điểm hoạt động được khuyến nghị, do kiểm thử không thể cung cấp bất kỳ phát biểu nào về các tỷ lệ lỗi liên quan đến an toàn bên ngoài các điểm hoạt động này. Do đó, tạo ra và báo cáo các vòng cong DET hoàn chỉnh, theo cách đó cho phép người sử dụng ước tính hiệu suất có thể đạt được ở các thiết lập ngưỡng khác nhau, nên được xem xét nếu một vòng DET cong hoàn toàn có thể được tạo ra với một ít nỗ lực bổ sung.

7.2.4.6. Bộ đếm thử lại

Hệ thống sinh trắc học thường cho phép nhiều lần thử nhận dạng đối với một giao dịch đơn lẻ. Điều này thường là để cải thiện khả năng sử dụng của hệ thống bằng cách giảm thiểu Tỷ lệ Từ chối Sai. Tuy nhiên, việc cho phép nhiều lần thử cũng có thể có tác dụng phụ không mong muốn khi Tỷ lệ Tiếp nhận Sai tăng một mức không đáng kể. Giới hạn tối đa dựa trên số lượng lần thử được cho phép thường được áp dụng để ngăn chặn các cuộc tấn công toàn diện, đặc biệt là trong trường hợp sự hoạt động không được giám sát. Điều này thường được thực hiện thông qua bộ đếm thử lại với số lần giới hạn cho một giao dịch đơn lẻ. Lưu ý rằng sẽ thường là cần thiết để áp đặt một giới hạn thời gian chờ nhằm chấm dứt một giao dịch trong trường hợp đối tượng chấm dứt lần thử nhận dạng trước khi giới hạn bộ đếm thử lại đạt được.

Bộ đếm thử lại thường chỉ kiểm soát số lượng tối đa lần thử nhận dạng. Kịch bản tiêu biểu là đối tượng tạo ra lần thử đầu tiên. Nếu nhận dạng thành công, giao dịch kết thúc thành công. Nếu không, lần thử thứ hai được cho phép mà nếu thành công thì chấm dứt, giao dịch thành công. Nếu không các lần thử tiếp theo được cho phép cho đến khi giới hạn sự thử lại đạt được, sau đó, giao dịch kết thúc không thành công.

Hoạt động sử dụng thường là một kết hợp của 1, 2, ..m lần thử giao dịch (trong đó m là giới hạn thử lại). Các đối tượng sẽ thường nhận biết được liệu họ đã được nhận dạng thành công hay không ở mỗi lần thử. Điều này là xác đáng vì hiệu suất (tỷ lệ lỗi) của hệ thống thường bị ảnh hưởng bởi hành vi của đối tượng cũng như khả năng kỹ thuật. Do đó, quan trọng là kịch bản kiểm thử mô phỏng sát với kịch bản hoạt động nhất có thể nếu kết quả kiểm thử là yếu tố dự báo đáng tin cậy về hiệu suất hoạt động.

Nếu một hệ thống sinh trắc học có một cơ chế để hạn chế số lượng tối đa lần thử (tuần tự) sai, nhà cung cấp phải cung cấp mô tả về cơ chế này và các khuyến nghị cho việc thiết lập. Mô tả này cũng phải diễn tả điều gì xảy ra khi số lượng lần thử tối đa bị vượt qua.

Nhà cung cấp phải kiểm thử và báo cáo các tỷ lệ lỗi với sự xem xét thiết lập bộ đếm thử lại.

...

...

...

Trong suốt quá trình phân tích, đánh giá viên sẽ xem xét các cơ chế được mô tả và kiểm tra các thiết lập cho bộ đếm thử lại để phù hợp đối với trường hợp áp dụng hệ thống sinh trắc học.

Nếu một hệ thống sinh trắc học không có bộ đếm thử lại, nhà cung cấp phải cung cấp cho đánh giá viên một sự biện minh lý do tại sao cơ chế đó là không cần thiết. Một minh chứng có thể cho sự thiếu hụt bộ đếm thử lại là không thể thực hiện nhiều cuộc tấn công chống lại hệ thống sinh trắc học (ví dụ như do một giả định của một môi trường được bảo vệ) hoặc các biện pháp phòng thủ thực hiện khi vượt ngưỡng bộ đếm thử lại có thể mở ra con đường để tấn công từ chối dịch vụ.

Bộ đếm thử lại là cơ chế điển hình của các hệ thống xác minh sinh trắc học. Đối với hệ thống nhận dạng sinh trắc học, phương pháp bộ đếm thử lại đơn giản không được áp dụng, do các lần thử liên tiếp không thể được giả định là đến từ cùng một cá thể. Tuy nhiên, các cơ chế tương đương có thể được thực hiện (ví dụ như kiểm tra các mẫu thăm dò tương tự kế tiếp - nhưng không trùng khớp thành công). Những cơ chế tương đương này phải được xem xét cho yêu cầu này theo cách giống với các bộ đếm thử lại tiêu chuẩn.

7.2.4.7. Tỷ lệ lỗi lần thử đơn lẻ

Hoạt động sử dụng một hệ thống sinh trắc học thường sẽ là một kết hợp của 1, 2, ..m lần thử giao dịch (trong đó m là giới hạn thử lại như mô tả trong 7.2.4 6). Người sử dụng thường nhận thức được liệu họ đã được nhận dạng thành công hay không ở mỗi lần thử. Điều này là xác đáng bởi hiệu suất (tỷ lệ lỗi) của hệ thống thường bị ảnh hưởng bởi hành vi của chủ thể cũng như khả năng kỹ thuật. Do đó, quan trọng là kịch bản kiểm thử mô phỏng càng sát với kịch bản hoạt động càng tốt nếu kết quả kiểm thử là yếu tố dự báo đáng tin cậy về hiệu suất hoạt động.

Tuy nhiên, tỷ lệ lỗi tương ứng cho một lần thử đơn lẻ là phương tiện quan trọng để thực hiện việc đánh giá các hệ thống sinh trắc học tương đương.

Không phụ thuộc vào giao dịch và chính sách quyết định, nhà cung cấp cũng phải kiểm thử và báo cáo tỷ lệ lỗi cho những lần thử đơn lẻ tương ứng.

Theo 7.2.4.6 nhà cung cấp phải kiểm thử và báo cáo các tỷ lệ lỗi liên quan đến an toàn phù hợp với các chính sách quyết định của hệ thống sinh trắc học. Điều này có thể hiểu là cho phép nhiều lần thử trước khi giao dịch của người sử dụng được coi là bị từ chối hoặc các hành động phòng thủ (ví dụ như khóa một tài khoản) có thể được thực hiện bởi hệ thống sinh trắc học.

Trong khi rõ ràng là những phân tích cơ bản của một tỷ lệ lỗi cần được thực hiện phù hợp với chính sách giao dịch, các đánh giá của các hệ thống khác nhau trở nên ít so sánh được nếu chúng thực hiện các chính sách giao dịch khác nhau. Thông qua kiểm thử (bổ sung) này của tỷ lệ lỗi tương ứng cho các lần thử đơn lẻ, dữ liệu đánh giá sẽ dễ dàng hơn cho so sánh.

...

...

...

CHÚ THÍCH: Một số trường hợp không thể kiểm thử tỷ lệ lỗi lần thử đơn lẻ tương ứng. Lý do có thể gồm việc thiết kế hệ thống sinh trắc học hoặc chính sách kiểm thử đã được xác định bởi một sơ đồ đánh giá cụ thể. Trong những trường hợp này, nhà cung cấp sẽ phải chứng minh lý do tại sao không thể kiểm thử tỷ lệ lỗi tương ứng.

7.2.4.8. Phương pháp thống kê/các giá trị tin cậy

Nhà cung cấp phải báo cáo phương pháp thống kê đã được sử dụng để xác nhận yêu cầu về các giá trị tối đa cho các tỷ lệ lỗi liên quan đến an toàn.

Chi tiết về phương pháp thống kê, mức độ tin cậy và các kết quả đánh giá phải được báo cáo bởi nhà cung cấp.

Đánh giá viên sẽ xác minh rằng phương pháp thống kê được thực hiện là chính xác và phù hợp để xác nhận yêu cầu.

Nhà cung cấp phải báo cáo mức độ tin cậy liên quan đến tỷ lệ lỗi đã được báo cáo và đánh giá viên sẽ kiểm tra các giới hạn tin cậy phù hợp với mục đích sử dụng và mức đảm bảo được yêu cầu.

Đối với hướng dẫn bổ sung về các khía cạnh của phương pháp thống kê tham khảo tiêu chuẩn ISO/IEC 19795-1:2006.

7.2.5. Kiểm thử độc lập (bước 6)

Khái niệm của tiêu chuẩn này quy định rằng việc kiểm thử các tỷ lệ lỗi liên quan đến an toàn về cơ bản là được thực hiện, được tài liệu hóa và được báo cáo bởi nhà cung cấp hệ thống sinh trắc học. Tuy nhiên các phương pháp theo quy định của tiêu chuẩn này đòi hỏi đánh giá viên phải xác nhận kết quả kiểm thử nhà cung cấp bằng cách thực hiện một kiểm thử độc lập.

...

...

...

Trong suốt quá trình kiểm thử độc lập, đánh giá viên sẽ đặc biệt giải quyết các câu hỏi sau:

1) Các kết quả kiểm thử của nhà cung cấp có chính xác không?

2) Có một sự tích lũy các trường hợp có thể chấp nhận sai tồn tại đối với những người sử dụng nhất định?

3) Làm thế nào để thay đổi sự chênh lệch môi trường các kết quả kiểm thử?

4) Làm thế nào để một dạng đặc trưng khác của nhóm kiểm thử được xác định bởi nhà cung cấp gây ảnh hưởng đến sự chênh lệch các tỷ lệ lỗi liên quan đến an toàn các kết quả kiểm thử?

Lưu ý rằng một số câu hỏi yêu cầu kiểm thử độc lập có thể đi kèm với câu hỏi trong lĩnh vực đánh giá lỗ hổng. Để quá trình đánh giá có hiệu quả, đánh giá viên phải xem xét kết hợp các hoạt động kiểm thử này với các kiểm thử độc lập được mô tả bên trên.

Để xác nhận các kết quả kiểm thử của nhà cung cấp, có thể là đủ khi đánh giá viên lặp lại một nhóm nhỏ các kiểm thử. Nhóm nhỏ các kiểm thử có thể, trong số những nhóm nhỏ khác, giúp xác minh rằng nhà cung cấp đã không làm chênh lệch kết quả kiểm thử bằng cách lựa chọn đối tượng kiểm thử thuận lợi cho kết quả mà họ mong muốn.

Trong trường hợp khác, đánh giá viên có thể quyết định sự cần thiết để lập kế hoạch và tiến hành một kiểm thử hoàn toàn riêng biệt.

Phân tích độc lập phải đáp ứng các yêu cầu sau:

...

...

...

2) Lập kế hoạch và thực hiện các kiểm thử phải chịu sự kiểm soát riêng của đánh giá viên.

Đánh giá viên cần thực hiện theo tiêu chuẩn ISO/IEC 19795-1: 2006 để lập kế hoạch và thực hiện việc kiểm thử. Tuy nhiên đối với một số khía cạnh của việc kiểm thử độc lập, đánh giá viên sẽ phải xây dựng một phương pháp khác.

8. Đánh giá lỗ hổng

8.1. Tổng quan

Điều này tập trung vào việc đánh giá lỗ hổng cụ thể cho hệ thống sinh trắc học. Điều này cung cấp hướng dẫn cho việc đánh giá bằng cách xác định các lỗ hổng đặc trưng, phổ biến đối với hệ thống sinh trắc học và mô tả các đặc trưng của một hệ thống sinh trắc học trong đó những lỗ hổng này tiềm ẩn.

Các khía cạnh tiếp theo về môi trường của hệ thống sinh trắc học được xem xét nếu chúng quan trọng trong ngữ cảnh một lỗ hổng tiềm ẩn, và hướng dẫn chung được cung cấp để đánh giá lỗ hổng.

Các thông tin quy định tại điều này sẽ được sử dụng làm cơ sở cho việc đánh giá lỗ hổng trong ngữ cảnh của tiêu chuẩn này như được nêu trong 6.1.

Điều này không:

- Mô tả việc đánh giá các lỗ hổng phổ biến cho các hệ thống công nghệ thông tin nói chung. Ví dụ, nếu dữ liệu sinh trắc học, tham chiếu sinh trắc học hoặc quyết định trùng khớp không được bảo vệ, đối tượng tấn công có thể giả mạo dữ liệu để mạo danh người khác. Những lỗ hổng này là đối tượng của việc đánh giá theo các phương pháp đã được sử dụng (ví dụ như [3]). Tuy nhiên, lỗ hổng chung có liên quan đến việc xử lý thông tin của hệ thống sinh trắc học cũng có thể có những khía cạnh cụ thể được liên quan trong một hệ thống do bản chất của thông tin. Vì vậy, 8.3.11 của tiêu chuẩn này mô tả một lỗ hổng chung đối với các thông tin được xử lý bởi hệ thống sinh trắc học.

...

...

...

8.2. Đánh giá lỗ hổng

8.2.1. Tổng quan

Cách tiếp cận có phương pháp giúp ích cho việc đánh giá lỗ hổng. Tuy nhiên, việc đánh giá lỗ hổng cũng đòi hỏi chuyên môn và tư duy sáng tạo của bộ phận đánh giá viên. Đánh giá viên sẽ cần phải nhận thức được về các mối đe dọa, lỗ hổng và biện pháp đối phó hiện có và trong một số trường hợp cụ thể đối với các hệ thống sinh trắc học. Thông tin về các lỗ hổng sinh trắc học xuất hiện trong mục 8.3 của tiêu chuẩn này nhưng đánh giá viên cũng nên tìm kiếm thêm thông tin sẵn có trong các tài liệu, bao gồm các báo cáo phạm vi công khai về lỗ hổng sinh trắc học đang xuất hiện trên các tạp chí, các nghiên cứu học thuật và bằng cách tìm kiếm trên Internet. Ngoài ra, đánh giá viên phải thu được kinh nghiệm thực tế về các kỹ thuật điều tra lỗ hổng sinh trắc học như được mô tả trong những báo cáo này. Điều này nên được coi là điều kiện đào tạo tiên quyết cần thiết cho đánh giá viên trước khi tiến hành một đánh giá lỗ hổng như một phần của đánh giá an toàn sinh trắc học theo tiêu chuẩn này.

Một đánh giá an toàn được thực hiện phù hợp với tiêu chuẩn này phải bao gồm một đánh giá lỗ hổng bao hàm tất cả các lỗ hổng tiềm ẩn được mô tả trong 8.3.

Đối với các mô tả về các lỗ hổng tiềm ẩn và các yêu cầu, mục này đề cập đến các hệ thống con sinh trắc học và các quá trình như mô tả trong Phụ lục A của tiêu chuẩn này.

Khuyến cáo trong ngữ cảnh của tiêu chuẩn này, sự an toàn của hệ thống sinh trắc học liên quan đến các lỗ hổng tiềm ẩn được đánh giá theo hai bước liên tiếp:

Ở Bước 1, đánh giá viên cần xem xét mô tả hệ thống và tìm cách xác định điểm tiềm ẩn lỗ hổng dựa trên thông tin được đưa ra trong tiêu chuẩn này, chuyên môn riêng của đánh giá viên và các nguồn khác như báo cáo công khai sẵn có về lỗ hổng sinh trắc học và đánh giá lỗ hổng. Sử dụng thông tin được cung cấp bởi nhà cung cấp về đánh giá các lỗ hổng và các biện pháp đối phó đã được thực hiện bởi hệ thống (bao gồm cả môi trường hoạt động giả định), đánh giá viên sẽ xác định xem tất cả các lỗ hổng tiềm ẩn đã được giải quyết một cách hiệu quả bằng biện pháp đối phó kỹ thuật, thủ tục và môi trường. Mức độ yêu cầu về tính hiệu quả của các biện pháp đối phó được xác định bởi mức độ bảo đảm cần thiết cho việc đánh giá. Chi tiết về mức đảm bảo và yêu cầu hiệu quả phải được xác định bởi sơ đồ đánh giá và không bao hàm trong tiêu chuẩn này.

Đánh giá viên xem xét các thông tin được cung cấp và xác định xem liệu có các lỗ hổng tiềm ẩn hay không. Nếu đánh giá viên không thể bác bỏ sự tồn tại của lỗ hổng tiềm ẩn, thì lỗ hổng tiềm ẩn này cần được xem xét trong quá trình phân tích sâu hơn trong bước 2.

Trong Bước 2 - sau khi tất cả các lỗ hổng tiềm ẩn đã được đánh giá - khuyến khích phát triển một mô hình mối đe dọa đối với hệ thống sinh trắc học được đánh giá. Mô hình mối đe dọa này xem xét các kết quả ở bước 1, mối quan hệ giữa tất cả các lỗ hổng của hệ thống sinh trắc học, các mối đe dọa chung đã được xác định tại 8.2.2 và môi trường của hệ thống sinh trắc học. Cần lưu ý rằng lỗ hổng không thể được coi theo cách cô lập với nhau. Có thể, thậm chí là rất có thể, mối đe dọa thành công đối với hệ thống sinh trắc học bao gồm kết hợp khai thác nhiều lỗ hổng trong tổ hợp. Mô hình mối đe dọa nên xem xét tất cả các quá trình sinh trắc học của hệ thống sinh trắc học bao gồm thu nạp và hủy thu nạp.

...

...

...

Các mối đe dọa đối với hệ thống sinh trắc học có thể tự biểu hiện theo nhiều cách khác nhau nhưng chủ yếu nhằm đạt được một hoặc một số các mục tiêu sau:

- Mạo danh: Mối đe dọa đối với hệ thống xác minh hoặc định danh làm việc với các yêu cầu dương tính trong đó một đối tượng tấn công được công nhận là một người sử dụng khác đã được đăng ký đúng, do đó cho phép đối tượng tấn công này có được ID của người sử dụng khác.

- Giả dạng: Mối đe dọa đối với hệ thống xác minh hoặc định danh mà một người sử dụng đã được thu nạp có thể cố tình thay đổi hoặc che giấu (các) đặc trưng sinh trắc học của chính mình để tránh bị nhận dạng. Đây có thể là một mối đe dọa riêng biệt đến hệ thống có mục tiêu ngăn ngừa nhiều thu nạp bởi một cá thể đơn lẻ sử dụng các danh tính khác nhau.

- Từ chối dịch vụ: Mối đe dọa tới hệ thống xác minh hoặc định danh làm việc với yêu cầu dương tính mà đối tượng tấn công lặp đi lặp lại gây ra sự từ chối sai, có thể làm sụp đổ hệ thống sinh trắc học. Đây có thể là sự báo trước của một cuộc tấn công vào hệ thống dự phòng dễ bị khai thác hơn so với hệ thống sinh trắc học bị vô hiệu hóa.

Các mối đe dọa chủ yếu được mô tả ở trên có thể được thể hiện rõ trong các cuộc tấn công sử dụng các kỹ thuật khác nhau đối với các quá trình và các thành phần khác nhau được sử dụng bởi hệ thống sinh trắc học. Ví dụ, một kẻ tấn công có thể mạo danh người khác để thu nạp sai, bằng cách đưa ra một vật giả mạo có chứa bản sao các đặc trưng sinh trắc học của nạn nhân hoặc bằng cách điều khiển cơ sở dữ liệu thu nạp để thay thế tham chiếu sinh trắc học của nạn nhân với tham chiếu của kẻ mạo danh.

Các mối đe dọa thường được thực hiện với lần thử có chủ ý bởi đối tượng tấn công để phá vỡ chức năng hệ thống. Tuy nhiên, cần lưu ý rằng, trong các tình huống nhất định, những hành động vô ý của người sử dụng hợp pháp (bao gồm cả người sử dụng và vận hành/người quản trị) cũng có thể dẫn đến sự phá vỡ chức năng hệ thống.

Một ví dụ về mạo danh không chủ ý là hệ thống nhận dạng khuôn mặt làm việc trong chế độ định danh, trong đó cặp song sinh giống hệt nhau được thu nạp và xác định sai người này với người kia. Lưu ý rằng nếu hệ thống làm việc trong chế độ xác minh, lỗi này không thể xảy ra mà không có yêu cầu sai danh tính, khi đó sẽ không còn được coi là không chủ ý.

Cần lưu ý rằng danh sách các mối đe dọa chung nên được xem như một cơ sở trong việc phát triển mô hình mối đe dọa và không thể được xem là đầy đủ mọi khía cạnh hoặc có thể ứng dụng rộng rãi.

8.2.3. Các lỗ hổng khác

...

...

...

Danh sách các lỗ hổng phổ biến mô tả trong 8.3 nên được coi là không toàn diện, cũng không hết mọi khía cạnh. Đánh giá viên sẽ cần phải nghiên cứu về mặt chức năng của hệ thống sinh trắc học được đánh giá cùng với phương thức và công nghệ của chính hệ thống đó. Từ đó, đánh giá viên cần xây dựng một danh mục các mối đe dọa và các lỗ hổng tiềm ẩn cần được sử dụng để đưa ra một chương trình đánh giá lỗ hổng.

Đánh giá viên phải tiến hành một tìm kiếm toàn diện các lỗ hổng có tính đến chức năng, công nghệ, môi trường và các quá trình được bao hàm trong hệ thống sinh trắc học. Việc tìm kiếm phải không bị giới hạn ở những lỗ hổng được liệt kê trong 8.3 của tiêu chuẩn này.

Để xác định tính chính xác và các nguồn lực cần được áp dụng cho việc đánh giá lỗ hổng, đánh giá viên cần thực hiện theo các hướng dẫn được đưa ra bởi các sơ đồ mà việc đánh giá đang được tiến hành.

8.3. Các lỗ hổng phổ biến trong hệ thống sinh trắc học

8.3.1. Giới thiệu

Các điều sau đây xác định và giải thích các lỗ hổng điển hình phổ biến đối với các hệ thống sinh trắc học.

8.3.2. Các giới hạn hiệu suất

8.3.2.1. Tổng quan

Một đặc trưng cố hữu của nhận dạng sinh trắc học đó là đây không phải là một quá trình hoàn toàn xác định mà phải chịu các lỗi có thể được biểu diễn theo các tỷ lệ lỗi thống kê tương tự như các yếu tố con người tham gia vào hệ thống an toàn phi sinh trắc học - ví dụ, tỷ lệ tiếp nhận sai và tỷ lệ từ chối sai. Các tỷ lệ lỗi này và các thông số hiệu năng khác cũng có ý nghĩa về mức độ an toàn được cung cấp bởi hệ thống sinh trắc học.

...

...

...

8.3.2.2. Đánh giá

Trong ngữ cảnh đánh giá lỗ hổng, đánh giá viên cần xem xét khả năng đối tượng tấn công nhằm phá vỡ hệ thống sinh trắc học với một lần thử đối tượng mạo danh không cố ý.

Có hai yếu tố chính trong ngữ cảnh này.

- Khả năng một cuộc tấn công thông thường. Khả năng này được xác định bởi các yếu tố bao gồm cả động cơ của đối tượng tấn công, môi trường của hệ thống sinh trắc học và hậu quả mỗi cuộc tấn công được phát hiện.

- Cơ hội để một cuộc tấn công thông thường được thành công. Điều này có thể được định lượng theo FAR, vì vậy nếu FAR là 1 trong 10 000, xác suất của một cuộc tấn công thông thường được thành công có thể được xác định là 0,01 %.

Hai yếu tố này nhìn chung sẽ không độc lập. Nếu một hệ thống được biết đến hoặc được cho là dễ bị tấn công thông thường (thành công), yếu tố khả năng có thể sẽ tăng lên. Trái lại nếu hệ thống được biết đến hoặc được cho là có khả năng chống các cuộc tấn công thông thường (thành công), điều này có thể sẽ làm giảm yếu tố khả năng.

Việc đánh giá lỗ hổng tiềm ẩn này tập trung vào những yếu tố sau:

- Tầm quan trọng của rủi ro còn lại của một lần thử đối tượng mạo danh không cố ý dựa trên kết quả các kiểm thử nêu tại điều 7 và các khía cạnh đã được mô tả trước đó.

- Liệu rủi ro này là có thể chấp nhận được cho các mục đích sử dụng hệ thống sinh trắc học được đánh giá.

...

...

...

8.3.3. Vật giả mạo của đặc trưng sinh trắc học

8.3.3.1. Giới thiệu

Trong ngữ cảnh một hệ thống sinh trắc học, vật giả mạo được định nghĩa là một đối tượng vô tri vô giác mang theo bản sao của một con người hay (các) đặc trưng sinh trắc học giống như con người được đưa tới bộ cảm biến sinh trắc học với mục đích giả mạo, để được chấp nhận như là (các) đặc trưng sinh trắc học của một đối tượng con người. Ví dụ về vật giả mạo sinh trắc học bao gồm: các ngón tay giả được tạo ra từ mủ cao su, bức ảnh một khuôn mặt hay giọng nói được ghi âm. Ngoài ra, một ngón tay bị cắt đứt của con người (hoặc bất kỳ phần cơ thể bị tách rời) được coi là một vật giả mạo trong ngữ cảnh của phần này.

Không giống như các thiết bị nhận dạng và xác thực kỹ thuật khác, như thẻ thông minh, được thiết kế nhằm gây khó khăn cho việc sao chép, đặc trưng sinh trắc học, là đặc tính sinh học hoặc hành vi tự nhiên của con người, thực chất không có sự bảo vệ bản quyền. Do đó, thông thường có thể tạo ra một bản sao của đặc trưng sinh trắc học trong hình thức của một vật giả mạo.

Vật giả mạo mang đặc trưng thường là một bản sao các đặc trưng sinh trắc học của một chủ thể con người, nhưng không giới hạn trường hợp này. Vật giả mạo có thể được xây dựng chứa đựng một mẫu tổng hợp mà không phù hợp với đặc trưng sinh trắc học của một người cụ thể hoặc thậm chí của bất kỳ người thực nào. Tuy nhiên, điểm quan trọng nhất trong việc đánh giá lỗ hổng tiềm ẩn này là liệu hệ thống sinh trắc học sẽ tiếp nhận một vật giả mạo như một đặc trưng sinh trắc học hợp lệ.

8.3.3.2. Đánh giá

Hai vấn đề quan trọng của việc đánh giá lỗ hổng là:

- Hệ thống sẽ tiếp nhận vật giả mạo?

- Hệ thống sẽ xử lý các đặc trưng của vật giả mạo như là các đặc trưng sinh trắc học của con người?

...

...

...

Đánh giá viên nên cố gắng phân biệt hai trường hợp này bằng cách ban đầu sử dụng các bản sao thực tế với các đặc trưng của con người, và nếu chúng được tiếp nhận thì tiếp tục với trường hợp đặc trưng tổng hợp (xem 8.3.8 để biết thêm chi tiết).

Việc đánh giá lỗ hổng tiềm ẩn này sẽ tập trung vào các câu hỏi sau:

- Liệu có thể tạo ra vật giả mạo của đặc trưng sinh trắc học được nhận thức chỉ bằng những thông tin sẵn có công khai hoặc liệu thông tin nhạy cảm sẽ được yêu cầu.

- Để tạo ra một vật giả mạo đòi hỏi bao nhiêu nỗ lực.

- Liệu hệ thống sinh trắc học cung cấp các biện pháp đối phó kỹ thuật nhằm phát hiện và từ chối vật giả mạo, và các biện pháp đối phó có hiệu quả như thế nào trong hệ thống sinh trắc học được đánh giá.

- Liệu các biện pháp đối phó kỹ thuật dành cho việc phát hiện và từ chối vật giả mạo có bất kỳ hạn chế nào được biết đến đối với các đặc điểm kỹ thuật hoặc điều kiện hoạt động có thể bị khai thác bởi đối tượng tấn công.

Nhà cung cấp hệ thống sinh trắc học phải cung cấp đầy đủ thông tin về các cơ chế phát hiện và từ chối vật giả mạo cho đánh giá viên.

CHÚ THÍCH 1: Thông tin về phát hiện và từ chối vật giả mạo có thể được bảo mật và đại diện cho “điểm ảnh hưởng” của nhà cung cấp. Vậy nên, điều rất quan trọng là thông tin chi tiết này chỉ được cung cấp cho đánh giá viên và không cung cấp cho bất kỳ khách hàng nào. Điều này cũng thừa nhận rằng đánh giá viên là thành viên đáng tin cậy nhờ sự độc lập của họ với khách hàng và nhà cung cấp.

CHÚ THÍCH 2: Trong trường hợp một phần cơ thể bị tách ra từ người sử dụng có thể là một vật giả mạo, cần phải đánh giá phần bị tách ra có thể được sử dụng với hệ thống sinh trắc học trong bao lâu. Yêu cầu có thể được thực hiện từ góc độ y tế. Không có kiểm tra thực nghiệm cho trường hợp này.

...

...

...

Cũng cần xem xét khả năng các đặc trưng sinh trắc học của một mục tiêu có thể có được bằng các cách khác như từ một cơ sở dữ liệu không an toàn có chứa các mẫu sinh trắc học đã thu được. Những yếu tố này được coi là một phần của phân tích rủi ro tổng thể nhằm xác định hiệu quả của biện pháp đối phó vật giả mạo cần cho một hệ thống cụ thể.

Một số hoặc tất cả các yếu tố này có thể không được biết đến tại thời điểm đánh giá và do đó khuyến nghị để việc đánh giá được tiến hành trong sự tuân thủ với tiêu chuẩn này, tất cả các yếu tố đó đều bị bỏ qua. Việc đánh giá hiệu quả các biện pháp đối phó vật giả mạo phải được thực hiện và báo cáo một cách độc lập với những mối quan tâm bên ngoài. Các mô hình rủi ro hệ thống và quá trình đánh giá (không được xác định trong tiêu chuẩn này) sẽ được sử dụng để xác định xem liệu kết quả của việc đánh giá hiệu quả các biện pháp đối phó vật giả mạo là có thể chấp nhận được trong ngữ cảnh của hệ thống sử dụng.

8.3.4. Điều chỉnh đặc trưng sinh trắc học

8.3.4.1. Tổng quan

Người sử dụng hệ thống sinh trắc học có thể cố ý thay đổi các đặc trưng sinh trắc học của họ hoặc thể hiện các đặc trưng với cố gắng tránh bị nhận dạng hoặc để mạo danh một đối tượng thu nạp. Những đặc trưng sinh trắc học như vậy có thể mang bản chất hành vi hoặc sinh học. Những đặc trưng sinh trắc học và các mẫu tương ứng có thể thay đổi vì một số lý do. Đối với sinh trắc học mang tính hành vi như lời thoại và chữ ký động, người sử dụng có thể thay đổi có chủ ý hành vi thông thường của họ. Một ví dụ về đặc trưng sinh trắc học sinh học là dấu vân tay mà người sử dụng có thể thay đổi có chủ ý sự thể hiện của ngón tay của họ với các thiết bị thu thập để thay đổi mẫu thu thập được. Điều này có thể được thực hiện bởi người sử dụng để ngụy trang bản thân nhằm tránh bị nhận dạng, hơn nữa là mạo danh người khác. Tuy nhiên, việc mạo danh đặc điểm sinh học của người dùng khác (sinh trắc học trên khuôn mặt, chẳng hạn) cũng là khả năng có thể, trong một mức độ nhất định, thông qua việc hóa trang hoặc phẫu thuật thẩm mỹ. Những cuộc tấn công này không yêu cầu sử dụng vật giả mạo và không thể bị chặn lại bằng các kỹ thuật được thiết kế để chống lại các vật giả mạo.

8.3.4.2. Đánh giá

Các điểm quan trọng trong việc đánh giá lỗ hổng tiềm ẩn này là liệu bản thân các đặc trưng sinh trắc học hoặc mẫu sinh trắc học thu thập được có thể bị thay đổi có chủ ý bởi một người sử dụng bằng cách mà hệ thống không thể nhận ra người đó. Điều này sẽ dẫn đến một mối đe dọa mạo danh hoặc từ chối dịch vụ.

Câu hỏi quan trọng khác là liệu bản thân các đặc trưng sinh trắc học hoặc mẫu sinh trắc học thu thập được có thể bị cố ý sửa đổi để hệ thống nhận dạng sai người sử dụng thành một người sử dụng khác. Điều này sẽ dẫn đến nguy cơ mạo danh.

Việc đánh giá lỗ hổng tiềm ẩn này sẽ tập trung vào câu hỏi liệu đối tượng tấn công có thể thay đổi đặc trưng sinh trắc học của họ theo cách mà hệ thống sinh trắc học chấp nhận được và bao nhiêu nỗ lực và những loại thông tin nào sẽ là cần thiết cho một cuộc tấn công như vậy. Hơn nữa trong các trường hợp mà đây có thể là mục tiêu của đối tượng tấn công, cần chú ý đến thực tế là đối tượng tấn công trước đây đã được thu nạp vào hệ thống có thể cố gắng sửa đổi (các) đặc trưng sinh trắc học của họ để tránh bị nhận dạng (ví dụ như trong hệ thống có một mục tiêu ngăn chặn thu nạp nhiều lần bởi duy nhất một cá thể).

...

...

...

Đối với đặc trưng sinh trắc học tĩnh như dấu vân tay, giám sát việc sử dụng hệ thống sinh trắc học có thể là một biện pháp đối phó mang tính vận hành chống lại lỗ hổng này. Tuy nhiên cần lưu ý biện pháp đối phó này có thể không có hiệu quả cho các đặc trưng sinh trắc học mang tính hành vi, do nhân viên giám sát không có khả năng xác định xem người dùng đã cố ý thay đổi dữ liệu sinh trắc học của mình.

Cần lưu ý rằng có thể có một mối quan hệ giữa lỗ hổng này với các lỗ hổng đã mô tả trong 8.3.5 (“Khó khăn của việc che giấu đặc trưng sinh trắc học”). Điều này đặc biệt đúng nếu đối tượng tấn công đang cố gắng để được công nhận là một người dùng khác và cần sự hiểu biết về đặc trưng sinh trắc học của người sử dụng này để chuyển đổi đặc trưng sinh trắc học của mình.

8.3.5. Khó khăn của việc che giấu đặc trưng sinh trắc học

8.3.5.1. Tổng quan

Sẽ khó khăn cho một người sử dụng cố tình che giấu đặc trưng sinh trắc học trong cuộc sống hàng ngày của họ. Kiểu lỗ hổng tiềm ẩn này phụ thuộc vào bản chất của các đặc trưng sinh trắc học được sử dụng bởi hệ thống sinh trắc học hơn là các chức năng hệ thống sinh trắc học hoặc môi trường của hệ thống sinh trắc học.

Lỗ hổng tiềm ẩn này không bao gồm rò rỉ dữ liệu sinh trắc học từ hệ thống sinh trắc học (xem 8.3.11 để biết thêm thông tin về trường hợp này). Ngay cả khi biện pháp đối phó chống rò rỉ dữ liệu sinh trắc học trong các hệ thống đủ mạnh, đối tượng tấn công có thể có được mẫu sinh trắc học của người sử dụng một cách hợp pháp, trực tiếp từ người sử dụng. Ví dụ, đối tượng tấn công có thể có được một dấu vân tay để lại trên các thiết bị thu thập sinh trắc học, cốc, ly, bàn ghế, v.v... Ngoài ra, khuôn mặt hay giọng nói có thể bị đối tượng tấn công ghi lại bằng máy ảnh hoặc microphone.

Các đặc trưng sinh trắc học quan sát được có thể trở thành cơ sở để tạo ra một vật giả mạo hoặc trở thành một đối tượng mục tiêu để chuyển đổi các đặc trưng sinh trắc học của đối tượng tấn công (xem 8.3.3 và 8.3.4 để biết thêm thông tin).

8.3.5.2. Đánh giá

Điểm quan trọng trong việc đánh giá lỗ hổng tiềm ẩn này là sự khó khăn đối với đối tượng tấn công để có được dữ liệu sinh trắc học của người sử dụng trong cuộc sống hàng ngày. Ví dụ, nếu có một dấu vết của dữ liệu sinh trắc học ở một nơi nào đó (ví dụ, trên một bộ cảm biến dấu vân tay), đối tượng tấn công sẽ dễ dàng có được dữ liệu hơn là đạt được dữ liệu trực tiếp từ người sử dụng. Việc có được dữ liệu sinh trắc học bằng cách sử dụng một công cụ phổ biến sẵn có (ví dụ như máy ảnh, microphone, v.v...) cũng dễ dàng hơn là sử dụng một thiết bị thu thập chuyên dụng.

...

...

...

Một khía cạnh đặc biệt của lỗ hổng này là câu hỏi liệu dữ liệu sinh trắc học vẫn còn trên các thiết bị thu thập của hệ thống sinh trắc học sau khi sử dụng và liệu dữ liệu còn sót lại này có thể bị lạm dụng.

Mặc dù thực tế trong cuộc sống hàng ngày có thể khó khăn để che giấu một đặc trưng sinh trắc học được coi là một lỗ hổng trong ngữ cảnh của tiêu chuẩn này, cần lưu ý khả năng một hệ thống sinh trắc học không thể làm bất cứ điều gì để chống lại lỗ hổng đó. Nếu lỗ hổng này hiện hữu cho đặc trưng sinh trắc học đã được sử dụng thì nó thuộc phạm vi của việc đánh giá lỗ hổng để quyết định xem liệu rủi ro liên quan đến lỗ hổng này là có thể chấp nhận được hay không - cũng trong ngữ cảnh của các lỗ hổng khác của hệ thống sinh trắc học.

Cần lưu ý rằng lỗ hổng này có một mối liên hệ chặt chẽ với các lỗ hổng được mô tả trong 8.3.3 (“Vật giả mạo của đặc trưng sinh trắc học”) và 8.3.4 (“Điều chỉnh các đặc trưng sinh trắc học”).

8.3.6. Tương đồng do có quan hệ huyết thống

8.3.6.1. Tổng quan

Có một lỗ hổng tiềm ẩn trong mối tương đồng tự nhiên của các đặc trưng sinh trắc học giữa những người có quan hệ huyết thống. Lỗ hổng này có thể dẫn đến mối đe dọa cho phép một cá thể mạo danh người có quan hệ huyết thống. Một trường hợp rõ ràng là cặp song sinh giống hệt nhau và các hệ thống sinh trắc học sử dụng phương thức cụ thể như khuôn mặt và DNA. Trong trường hợp khác, và tổng quan hơn, có thể có một sự tương đồng đáng kể về mặt thống kê của một số đặc trưng sinh trắc học nhất định giữa những người có quan hệ huyết thống hơn là giữa các cá thể không liên quan. Những tương đồng như vậy có thể dẫn đến thống kê Tỷ lệ Trùng khớp Sai cao hơn so với bình thường giữa những cá thể có quan hệ huyết thống so với những cá thể được lựa chọn ngẫu nhiên.

Kiểu lỗ hổng tiềm ẩn này không bao gồm sự tương đồng tự nhiên khi một số dữ liệu sinh trắc học giữa những người sử dụng không có bất kỳ mối quan hệ huyết thống nào lại tương đồng một cách ngẫu nhiên. Kiểu tương đồng này nằm trong ngữ cảnh hiệu suất của hệ thống sinh trắc học như đã nêu tại điều 7.

8.3.6.2. Đánh giá

Đánh giá lỗ hổng tiềm ẩn này sẽ tập trung vào câu hỏi:

...

...

...

- Liệu các tỷ lệ lỗi liên quan đến an toàn ở những người có quan hệ huyết thống là cao hơn so với những người dùng khác.

CHÚ THÍCH: Cần lưu ý rằng việc đánh giá lỗ hổng tiềm ẩn này không nhất thiết phải tập trung vào các vấn đề khoa học về việc mỗi bộ đặc trưng sinh trắc học từ những người sử dụng có quan hệ huyết thống về bản chất có tương đồng như thế nào. Điểm quan trọng của việc đánh giá là liệu dữ liệu sinh trắc học được sử dụng bởi hệ thống có mối tương đồng cao hơn giữa những người có quan hệ huyết thống so với những người dùng khác.

Một kiểm thử đo lường sự tương đồng của các đặc trưng sinh trắc học giữa những người có quan hệ huyết thống có thể được xem như là một đánh giá về các tỷ lệ lỗi liên quan đến an toàn trong những điều kiện đặc biệt. Trong kiểm thử như vậy, các tỷ lệ lỗi liên quan được tính cho một nhóm kiểm thử bao gồm các thành viên không có quan hệ huyết thống được so sánh với các tỷ lệ lỗi tương ứng được tính cho một nhóm kiểm thử của những người có quan hệ huyết thống.

Việc đánh giá độ chính xác này nên thực hiện theo cùng nguyên tắc với kiểm thử các tỷ lệ lỗi liên quan đến an toàn được mô tả tại điều 7. Tuy nhiên, cần lưu ý rằng có thể rất khó có đủ số lượng mẫu từ những người có quan hệ huyết thống để đáp ứng tất cả các tiêu chí thống kê cho một kiểm thử như vậy. Trong những trường hợp này, đánh giá viên có thể xem xét thông tin về nền tảng sinh học của đặc trưng sinh trắc học và các đặc trưng của thành phần Trích xuất Đặc điểm của hệ thống sinh trắc học để đảm bảo sự đầy đủ.

Các trường hợp tương đồng tự nhiên của các đặc trưng sinh trắc học của những người có quan hệ huyết thống đe dọa đến sự an toàn của hệ thống sinh trắc học sẽ cần phải được giải quyết trong chiến lược quản lý rủi ro tổng thể. Điều này nằm ngoài phạm vi của tiêu chuẩn này.

8.3.7. Đặc trưng sinh trắc học đặc biệt

8.3.7.1. Tổng quan

Các hệ thống sinh trắc học thường được thiết kế để cung cấp tối đa mức độ phân biệt giữa những đối tượng thu nạp khác nhau, đồng thời giảm thiểu mức độ khác biệt giữa các mẫu khác nhau thu thập được từ cùng một đối tượng thu nạp. Tuy nhiên đối với mỗi hệ thống có thể có các cá thể với các đặc trưng sinh trắc học đặc biệt nằm ngoài phạm vi thiết kế bình thường của hệ thống và do đó mang lại tỷ lệ lỗi cao hơn đáng kể so với bình thường.

Các đặc trưng sinh trắc học đặc biệt có thể dẫn đến lỗ hổng nếu chúng tạo ra kết quả các tỷ lệ lỗi cao hơn so với kết quả đo lường bằng kiểm thử hiệu suất thống kê thông thường của điều 7. Lưu ý rằng những đặc trưng sinh trắc học đặc biệt này không phải là kết quả của bất kỳ sự điều chỉnh có chủ ý các đặc trưng như mô tả trong 8.3.4.

...

...

...

8.3.7.2. Đánh giá

Lỗ hổng tiềm ẩn này có thể được điều tra bằng cách kiểm tra các kết quả của kiểm thử hiệu suất được mô tả trong điều 7 để xác định, đối với mỗi lỗi có liên quan đến an toàn, liệu có một số người dùng nào đó có các tỷ lệ lỗi lớn hơn đáng kể so với giá trị bình thường của toàn thể nhóm kiểm thử.

Nếu lỗ hổng này được phát hiện trong quá trình đánh giá thì lỗ hổng phải được báo cáo. Người triển khai và chủ sở hữu hệ thống tương lai sẽ cần phải xác định, như một phần của phân tích rủi ro hệ thống tổng thể, đến mức độ nào thì lỗ hổng có thể là một mối đe dọa thực tế. Cần xem xét tính khả thi cho đối tượng tấn công đạt được những kiến thức cần thiết về sự tồn tại của lỗ hổng và có thể khai thác nó.

Các quá trình kiểm toán hoạt động có thể là một biện pháp đối phó chống lại lỗ hổng này. Ví dụ kiểm tra cơ sở dữ liệu thu nạp ngoại tuyến để tìm ra lỗ hổng đối tượng thu nạp (những đối tượng thu nạp có sự trùng khớp gần với các đối tượng thu nạp khác mà có thể là mục tiêu mạo danh) hoặc kiểm tra trực tuyến sự trùng khớp gần (tức là trường hợp trùng khớp gần giữa các cá thể khác nhau để phân biệt với FRR cho cùng một cá thể). Điều này đặc biệt quan trọng trong trường hợp của các hệ thống định danh sinh trắc học không cần yêu cầu về danh tính.

8.3.8. Các mẫu sinh trắc học wolf tổng hợp

8.3.8.1. Tổng quan

Nếu một hệ thống sinh trắc học tạo ra các tỷ lệ lỗi cao không bình thường khi những đặc trưng sinh trắc học bất thường nào đó thể hiện, điều này có thể gây ra một lỗ hổng. Ví dụ về các đặc trưng bất thường có thể là các đặc trưng có số lượng đặc điểm lớn hoặc nhỏ một cách không bình thường. Các đặc trưng như vậy có thể không đại diện cho bất kỳ đặc trưng sinh trắc học của con người, nhưng có thể được tổng hợp và sao chép vào một vật giả mạo. Ngoài ra, một đặc trưng tổng hợp có thể được tiêm nhiễm bằng điện trong một cuộc tấn công thực hiện lại hoặc được gài vào cơ sở dữ liệu tham chiếu. Một đặc trưng như vậy có thể đóng vai trò là một “chìa khóa đa năng” sinh trắc học bằng cách tạo ra sự trùng khớp rõ rệt đối với một loạt các đối tượng thu nạp bình thường hay đối tượng mạo danh.

Hình thức mẫu sinh trắc học wolf tổng hợp như vậy sẽ phụ thuộc vào phương thức và công nghệ được sử dụng. Ví dụ điển hình có thể bao gồm:

- các tập hợp đặc điểm có chứa một số lượng lớn hay nhỏ các đặc điểm bất thường, ví dụ: tiểu tiết dấu vân tay

...

...

...

Phương pháp đối phó có thể gồm:

- Ở giai đoạn kiểm soát chất lượng hình ảnh, phát hiện các tập hợp đặc điểm có số lượng lớn hay nhỏ bất thường.

- Ở giai đoạn so sánh, tính điểm chính xác phần tương đồng và không tương đồng giữa mẫu khảo sát và tập hợp đặc điểm tham chiếu.

8.3.8.2. Đánh giá

Việc đánh giá cần xác định liệu các đặc trưng sinh trắc học tổng hợp với các đặc điểm bất thường có được tiếp nhận bởi hệ thống sinh trắc học và có thể dẫn đến các sự cố trùng khớp sai cho các tham chiếu đối tượng thu nạp thông thường hay không.

Đánh giá viên cần đánh giá lỗ hổng tiềm ẩn này một cách có phương pháp. Thứ nhất, một điều tra trực tiếp các thuật toán sinh trắc học nên được thực hiện để xác định các thuật toán này có chấp nhận và xử lý các đầu vào bất thường hay không. Điều này có thể được thực hiện bằng cách cấy dữ liệu bất thường tổng hợp ở những nơi thích hợp trong cơ sở dữ liệu và cho phép dữ liệu được xử lý (đầu vào và so sánh) để quan sát xem liệu dữ liệu kiểm thử được tiếp nhận bởi các thuật toán kiểm soát chất lượng và được tính điểm thành công so với tham chiếu kiểm thử bằng thuật toán so sánh. Dữ liệu kiểm thử có thể được tổng hợp để mô phỏng bất kỳ điều kiện cụ thể nào mà đánh giá viên mong muốn điều tra.

Nếu lỗ hổng được tìm thấy trong một thuật toán, đánh giá viên sau đó cần phải xác định liệu lỗ hổng này có thể bị khai thác trong ngữ cảnh hệ thống hoạt động. Đường hướng thăm dò bao gồm:

- khả năng sử dụng các đặc trưng tổng hợp đã được sao chép vào vật giả mạo

- khả năng tiêm nhiễm trực tiếp của các tín hiệu tổng hợp qua một tấn công thực hiện lại

...

...

...

Một khai thác thành công dữ liệu sinh trắc học tổng hợp sẽ dường như liên quan đến việc khai thác các lỗ hổng hệ thống khác; ngược lại, nếu những lỗ hổng khác này không tồn tại, việc khai thác lỗ hổng dữ liệu sinh trắc học tổng hợp có lẽ sẽ không khả thi.

Ví dụ này cho thấy tầm quan trọng của cách tiếp cận có phương pháp để điều tra lỗ hổng thành phần và sau đó mở rộng đánh giá để điều tra xem liệu các lỗ hổng thành phần có thể bị khai thác trong ngữ cảnh hệ thống lớn hơn. Để biết thêm thông tin về các lỗ hổng có liên quan xem 8.3.3 (Vật giả mạo), 8.3.11 (Rò rỉ và điều chỉnh trái phép dữ liệu sinh trắc học), và cũng lưu ý về đánh giá lỗ hổng công nghệ thông tin chung trong 8.1 (Giới thiệu).

8.3.9. Môi trường không thuận lợi

8.3.9.1. Tổng quan

Sự xuống cấp của hệ thống con thu thập, chẳng hạn như các vết bẩn hoặc khiếm khuyết trên bộ cảm biến, cũng có thể ảnh hưởng đến các tỷ lệ lỗi liên quan đến an toàn. Các tỷ lệ lỗi liên quan đến an toàn thường được xác định trong môi trường mà đối tượng phát triển giả định hoặc khuyến nghị (xem một đối tượng tấn công, các tỷ lệ lỗi liên quan đến an toàn đã đo lường có thể không đạt được).

Một môi trường không thuận lợi có thể dẫn đến lỗ hổng hệ thống đặc biệt là ở giai đoạn thu thập. Các hiệu ứng có thể dao động từ sự gia tăng các tỷ lệ lỗi liên quan đến an toàn đến các trường hợp quá tải khi tiếp xúc quá mức với ánh sáng (cho các thiết bị quang học), âm thanh (cho các thiết bị âm thanh), độ ẩm (cho các thiết bị vân tay) hoặc các hình thức tín hiệu nhiễu khác có thể dẫn đến các thu nạp nhiễu hoặc thậm chí tham chiếu trống, mà sau đó có thể được trùng khớp với các mẫu xác minh nhiễu tương tự (xem 8.3.10).

8.3.9.2. Đánh giá

Có lẽ sẽ không thực tế nếu kiểm thử hiệu quả của tất cả kết hợp của điều kiện môi trường không thuận lợi lên các tỷ lệ lỗi liên quan đến an toàn. Do đó, đánh giá viên cần xác định các điều kiện có khả năng không thuận lợi, ví dụ: ánh sáng bất thường cho công nghệ hình ảnh, tín hiệu âm thanh cho các bộ cảm biến âm thanh, v.v.. và kiểm thử đối với những điều kiện này.

CHÚ THÍCH: Thông tin thêm về cách các điều kiện môi trường có thể ảnh hưởng đến các tỷ lệ lỗi liên quan đến an toàn có thể được tìm thấy trong ISO/IEC 19795-1:2006.

...

...

...

8.3.10. Các lỗ hổng mang tính thủ tục xung quanh quá trình thu nạp

8.3.10.1. Tổng quan

Có ba trường hợp có liên quan đến lỗ hổng tiềm ẩn trong quá trình thu nạp.

- Đối tượng tấn công có thể thử để được thu nạp vào hệ thống sinh trắc học bằng việc đăng ký và thu nạp không thích hợp sử dụng giấy tờ danh tính sai (người khác) hoặc không có thật (hư cấu). Một cuộc tấn công như vậy, nếu thành công, sẽ cho phép đối tượng tấn công được công nhận bởi hệ thống sinh trắc học như là một người dùng khác trong tương lai. Đối tượng tấn công cũng có thể cố gắng để được thu nạp vào hệ thống sinh trắc học với một vật giả mạo để tạo ra một tham chiếu sinh trắc học sai (của người khác) hoặc không có thật (hư cấu). Một cuộc tấn công thành công trong trường hợp này sẽ cho phép đối tượng tấn công được công nhận bởi hệ thống sinh trắc học như là một người dùng khác trong tương lai. Các tham chiếu sinh trắc học kém chất lượng thường ảnh hưởng xấu đến các tỷ lệ lỗi liên quan đến an toàn (và tỷ lệ khác) dẫn đến các tỷ lệ lỗi cao hơn so với dự đoán của kiểm thử hiệu suất thống kê mô tả tại điều 7. Điều này sẽ không chỉ làm giảm mức đảm bảo an toàn cho việc xác minh hoặc nhận dạng hoạt động liên quan đến tham chiếu kém chất lượng; nếu đối tượng tấn công có thể định danh các cá thể với các tham chiếu kém chất lượng, các cá thể này có thể trở thành mục tiêu cho những lần thử mạo danh.

8.3.10.2. Đánh giá

Việc đánh giá lỗ hổng tiềm ẩn này sẽ tập trung vào ba trường hợp tương ứng với các điều trước đó:

- Liệu quá trình thu nạp có được thực hiện trong một môi trường thích hợp và tất cả các cơ chế cần thiết được đưa ra để đảm bảo rằng người sử dụng sẽ được thu nạp bằng cách sử dụng ID đúng.

- Liệu hệ thống có chức năng phát hiện và từ chối vật giả mạo không.

- Liệu hệ thống có chức năng kiểm tra chất lượng trong thành phần Xử lý Tín hiệu hoặc chức năng để dự đoán tỷ lệ lỗi trong suốt quá trình thu nạp.

...

...

...

8.3.11. Rò rỉ và sự thay đổi dữ liệu sinh trắc học

8.3.11.1. Tổng quan

Mặc dù các lỗ hổng công nghệ thông tin phổ biến không thuộc phạm vi của tiêu chuẩn này, sự rò rỉ có thể và thao tác dữ liệu liên quan đến an toàn như các mẫu sinh trắc học, các tham chiếu sinh trắc học, các điểm số so sánh, thiết lập ngưỡng, v.v.. là một lỗ hổng quan trọng cần được xem xét trong mỗi đánh giá an toàn. Ngoài ra, cần đề cập đến là, trong khi các biện pháp đối phó có thể cho những lỗ hổng này là phổ biến đối với các hệ thống công nghệ thông tin, vai trò của thông tin được xử lý bởi hệ thống sinh trắc học là cụ thể cho công nghệ sinh trắc học.

Sự rò rỉ và thay đổi trái phép dữ liệu là một mối đe dọa chung cho các hệ thống công nghệ thông tin và an toàn hệ thống. Sinh trắc học và dữ liệu khác trong các hệ thống sinh trắc học thường nhạy cảm và phải được bảo vệ theo cách tương tự như dữ liệu trong các hệ thống công nghệ thông tin nói chung.

8.3.11.2. Đánh giá

Dữ liệu trong các hệ thống sinh trắc học liên quan/quan trọng cho an toàn bao gồm:

- Dữ liệu tham chiếu sinh trắc học - việc làm hỏng có thể dẫn đến các thu nạp giả, mạo danh v.v.. mất mát dữ liệu có thể dẫn đến hành vi vi phạm tính riêng tư, đánh cắp danh tính, v.v..

- Các mẫu dữ liệu sinh trắc học truyền qua hệ thống (ví dụ như tín hiệu ra từ thiết bị thu thập) hoặc được lưu trữ trong hệ thống (ví dụ như dấu vân tay và hình ảnh khuôn mặt) - Nếu bị rò rỉ, chúng có thể được sử dụng để giúp xây dựng một vật giả mạo hoặc tiêm nhiễm trực tiếp trong tấn công kiểu “thu thập/tái tạo”.

- Các thông số và ngưỡng quyết định - sự thay đổi có thể dẫn đến chấp nhận sai, từ chối sai, và dẫn đến mạo danh hoặc từ chối dịch vụ.

...

...

...

Việc đánh giá an toàn các biện pháp bảo vệ đối với rò rỉ và thay đổi dữ liệu sinh trắc học trong các hệ thống sinh trắc học không được quy định trong tiêu chuẩn này. Đánh giá viên nên tham khảo phương pháp đánh giá an toàn công nghệ thông tin hiện có như [3] để biết thêm thông tin về chủ đề này.

9. Tính riêng tư

9.1. Tổng quan

Các hệ thống sinh trắc học thường liên kết dữ liệu sinh trắc học nhận diện một người sử dụng với dữ liệu về người sử dụng như tên, địa chỉ, v.v... Hơn nữa, trong một số trường hợp dữ liệu sinh trắc học có thể tiết lộ thông tin cá nhân của người sử dụng như giới tính, dân tộc hoặc có thể là thông tin y tế. Điều này có thể đặc biệt quan trọng khi dữ liệu sinh trắc học trong hình thức hoặc liên kết với một hình ảnh của đặc trưng sinh trắc học (ví dụ như hình ảnh khuôn mặt, hình ảnh dấu vân tay).

Vì vậy, tính riêng tư là một vấn đề quan trọng cần được xem xét trong mỗi đánh giá an toàn hệ thống sinh trắc học.

Các vấn đề tính riêng tư thường được giải quyết bằng các biện pháp mang tính tổ chức. Ngoài ra, các chức năng hoặc đo lường an toàn kỹ thuật được sử dụng. Những biện pháp kỹ thuật này (ví dụ như kiểm soát truy cập phù hợp tới dữ liệu cá nhân bao gồm cả dữ liệu sinh trắc học, mã hóa, xóa an toàn, v.v...) sẽ được đánh giá trong một đánh giá an toàn hệ thống sinh trắc học.

Các cơ chế bảo vệ cần được mô tả trong mối quan hệ với các nguyên tắc tính riêng tư chung hay cụ thể cơ bản bắt nguồn từ luật pháp quốc gia. Việc đánh giá các khía cạnh riêng tư nên luôn luôn được đối chiếu với việc thực hiện và sử dụng dự định của các hệ thống sinh trắc học.

Danh sách dữ liệu liên quan đến tính riêng tư và bản chất sự bảo vệ có liên quan phải được xác định bởi nhà cung cấp trong quá trình đánh giá và được cung cấp cho đánh giá viên như là đầu vào cho các tiêu chí tiếp theo.

Nhà cung cấp phải cung cấp một bản tóm tắt đầy đủ về dữ liệu liên quan đến tính riêng tư được lưu trữ và xử lý bởi hệ thống sinh trắc học và một mô tả về các biện pháp bảo vệ có liên quan trước khi đánh giá.

...

...

...

CHÚ THÍCH: Định nghĩa và sự bảo vệ tính riêng tư và dữ liệu cá nhân có thể là đối tượng của luật pháp quốc gia. Ngoài ra, các quy tắc thực hành tốt được khuyến nghị có liên quan với tính riêng tư dữ liệu và sự bảo vệ tính riêng tư có thể tồn tại trong công ty hoặc được công bố bởi tổ chức. Các đánh giá viên cần phải nhận thức được và pháp luật và khuyến nghị có liên quan và đảm bảo rằng các hệ thống sinh trắc học tuân thủ các yêu cầu thích hợp.

Các điều sau đây xác định một tập hợp các yêu cầu phải được giải quyết trong mỗi lần đánh giá an toàn hệ thống sinh trắc học:

9.1.1. Bảo vệ dữ liệu

Đánh giá viên phải đảm bảo rằng hệ thống sinh trắc học cung cấp cơ chế thích hợp để ngăn chặn truy cập trái phép vào dữ liệu có liên quan đến tính riêng tư.

Ví dụ, khả năng tiếp cận các cơ sở dữ liệu lưu trữ dữ liệu sinh trắc học sẽ nằm trong phạm vi của yêu cầu này do việc truy cập vào các cơ sở dữ liệu (bao gồm cả các thủ tục hành chính) có thể dẫn đến việc tiết lộ hoặc thay đổi dữ liệu liên quan đến tính riêng tư.

9.1.2. Ràng buộc ứng dụng

Do thực tế có các hệ thống sinh trắc học tương thích, một khuôn mẫu sinh trắc học thể sử dụng được trong một hệ thống khác hệ thống mà nó đã được tạo ra.

Đánh giá viên phải đảm bảo rằng hệ thống sinh trắc học cung cấp các cơ chế để ngăn ngừa dữ liệu liên quan đến tính riêng tư được sử dụng trong các hệ thống nằm ngoài phạm vi ngữ cảnh ứng dụng.

CHÚ THÍCH: Việc quản lý, tức là việc nhập vào và/hoặc xuất ra, các cơ sở dữ liệu có thể là một vấn đề liên quan đến ràng buộc ứng dụng. Việc hạn chế và/hoặc kiểm soát việc nhập vào và xuất ra các cơ sở dữ liệu (bao gồm cả thủ tục sao lưu) nên ngăn ngừa các sử dụng không mong đợi hoặc trái quy định cho các ứng dụng và các mục đích khác với mục tiêu dự định và quy định của chúng. Tuy nhiên, các cơ chế mang tính thủ tục cho ràng buộc ứng dụng nằm ngoài phạm vi tiêu chuẩn này.

...

...

...

Đánh giá viên phải đảm bảo rằng hệ thống sinh trắc học cung cấp các phương tiện để vô hiệu hóa tài khoản và thu hồi dữ liệu tham chiếu sinh trắc học.

Đối với khía cạnh các lỗ hổng được đề cập và thảo luận tại điều 8, không có hệ thống sinh trắc học nào có thể hoạt động mà không có rủi ro. Tùy thuộc vào các ứng dụng sinh trắc học, hậu quả của một cuộc tấn công thành công có thể rất xấu cho người sử dụng xét về tính riêng tư của họ. Vì vậy, việc vô hiệu hóa tài khoản người sử dụng cần được thực hiện để hạn chế tác động của cuộc tấn công vào người sử dụng.

9.1.4. Hủy thu nạp

Đánh giá viên phải đảm bảo rằng hệ thống sinh trắc học cung cấp một phương tiện để loại bỏ dữ liệu liên quan đến tính riêng tư của một người sử dụng ra khỏi hệ thống và không có dữ liệu sót lại (Hủy thu nạp).

Điều này có nghĩa là để loại bỏ các thông tin liên quan đến tính riêng tư và đảm bảo rằng không có thông tin nào còn sót lại trong hệ thống.

Phụ lục A

(Tham khảo)

Mô hình tham chiếu của hệ thống sinh trắc học

...

...

...

Phụ lục này mô tả mô hình tham chiếu của một hệ thống sinh trắc học trong ngữ cảnh đánh giá an toàn. Mô hình tham chiếu này dựa trên hệ thống sinh trắc học tổng quan được định nghĩa trong [4] và bao gồm các hệ thống con bổ sung, các thành phần và quá trình quan trọng trong ngữ cảnh của tiêu chuẩn này.

Lưu ý rằng mô hình tham chiếu này được mô tả chỉ để thúc đẩy sự hiểu biết của tiêu chuẩn này và các chức năng an toàn được mô tả trong mô hình này không được coi là yêu cầu đối với mỗi hệ thống sinh trắc học.

A.2. Mô hình tham chiếu

Hình A.1 cho thấy hệ thống sinh trắc học tham chiếu được sử dụng cho tiêu chuẩn này. Các hộp hình chữ nhật đại diện cho các thành phần và các hệ thống con của hệ thống sinh trắc học trong khi các hộp tròn đại diện cho các quá trình.

Hình A.1 - Hệ thống sinh trắc học tổng quan

A.3. Các hệ thống con và các thành phần

A.3.1. Giới thiệu

Các điều sau đây mô tả các hệ thống con và các thành phần của mô hình tham chiếu.

...

...

...

Hệ thống con này đòi hỏi việc thu nhận các mẫu sinh trắc học thô từ người sử dụng. Đầu ra của hệ thống con này không bao giờ là sự biểu diễn hoàn hảo của các mẫu thô; thay vào đó, đầu ra sẽ bị ảnh hưởng bởi các đặc trưng của hệ thống con này. Hệ thống con này bao gồm các thành phần Cảm biến có giao diện kỹ thuật với người sử dụng và có thể chứa thêm các thành phần cần thiết để kiểm soát quá trình thu nhận mẫu sinh trắc học và tương tác với người sử dụng.

Hệ thống con thu thập dữ liệu là đặc biệt quan trọng theo góc độ an toàn vì bao gồm các giao diện giữa chủ thể và hệ thống sinh trắc học. Hơn nữa, chất lượng của dữ liệu sinh trắc học đã thu nhận được bởi hệ thống con này trực tiếp ảnh hưởng đến hiệu suất và do đó cũng có thể ảnh hưởng đến các tỷ lệ lỗi liên quan đến an toàn của một hệ thống sinh trắc học.

A.3.3. Hệ thống con xử lý tín hiệu

Hệ thống con này đòi hỏi việc xử lý và chuyển đổi của mẫu thu thập được thành một tham chiếu sinh trắc học. Hệ thống con này cũng có thể bao gồm một thành phần phân tích chất lượng của các mẫu mà có thể dẫn đến thông tin phản hồi cho người sử dụng, có thể yêu cầu thu thập thêm một mẫu sinh trắc học khác. Đối với sự thu nạp, đầu ra dữ liệu từ hệ thống con Xử lý tín hiệu được gửi đến hệ thống con Lưu trữ dữ liệu. Để xác minh và nhận dạng sinh trắc học, đầu ra dữ liệu của các hệ thống con Xử lý tín hiệu được gửi đến hệ thống con So sánh.

Hệ thống con này bao gồm các thành phần sau.

A.3.3.1. Phân tích chất lượng

Thành phần này phân tích chất lượng của các mẫu sinh trắc học. Trong một số trường hợp, chức năng Phân tích Chất lượng có thể được chia sẻ giữa các hệ thống con xử lý tín hiệu và hệ thống con thu thập dữ liệu.

A.3.3.2. Tiền xử lý

Thành phần này đòi hỏi việc xử lý mẫu sinh trắc học thành định dạng thích hợp cho các thành phần Trích xuất đặc điểm. Thành phần này có thể bao gồm các chức năng giảm nhiễu, nâng cao hình ảnh/tín hiệu, v.v... Trong một số trường hợp, chức năng Tiền xử lý mẫu có thể được chia sẻ giữa hệ thống con xử lý tín hiệu và hệ thống con Thu thập dữ liệu.

...

...

...

Thành phần này trích xuất các đặc điểm phân biệt của mẫu sinh trắc học. Thành phần này thường liên quan đến giai đoạn đầu của sự định vị khu vực của mẫu từ đó các đặc điểm sẽ được trích xuất (một quá trình được gọi là phân đoạn). Quá trình này cũng có thể liên quan đến thành phần phân tích chất lượng để đảm bảo rằng các đặc điểm được trích xuất có thể được phân biệt và có thể lặp lại. Vì lý do này, thành phần này có một kết nối đến hệ thống con Thu thập. Nếu chất lượng các đặc điểm trích xuất là không đủ, thành phần này sẽ nhắc hệ thống con Thu thập dữ liệu để thu lại mẫu sinh trắc học.

A.3.3.4. Ngăn chặn giả mạo

Ngăn chặn giả mạo là một chức năng an toàn bổ sung cho hệ thống sinh trắc học. Chức năng này đảm bảo cho đặc trưng sinh trắc học đã hiện diện với một hệ thống sinh trắc học thực sự thuộc về một người đang sống và không bị giả mạo. Ngăn chặn giả mạo có thể được thực hiện bằng nhiều cách khác nhau. Thành phần này có thể yêu cầu một thiết bị cảm biến đặc biệt (trong trường hợp này, thành phần này cũng có thể được xem như là một phần của hệ thống con Thu thập dữ liệu), hoặc nó có thể được thực hiện bằng phần mềm.

A.3.4. Hệ thống con So sánh

Hệ thống con này so sánh các đặc điểm trích xuất được từ một mẫu nhận được với một hoặc nhiều tham chiếu sinh trắc học và đầu ra là một tập hợp điểm số so sánh tương ứng. Đầu ra điểm số so sánh của hệ thống con này, là thước đo của mức độ tương đồng, được chuyển tiếp cho hệ thống con Quyết định và cũng có thể được chuyển tiếp đến hệ thống con Quản trị cho mục đích đăng nhập.

CHÚ THÍCH: Hệ thống con So sánh được mô tả là “hệ thống con trùng khớp” trong [4]. Tuy nhiên, định nghĩa “hệ thống con trùng khớp” dường như không phù hợp với ý nghĩa của “trùng khớp” được định nghĩa trong [2]. Vì lý do này, thuật ngữ “So sánh” được sử dụng trong ngữ cảnh của tiêu chuẩn này.

A.3.5. Hệ thống con Quyết định

Hệ thống con này có trách nhiệm tạo ra một kết quả đơn lẻ về trùng khớp hoặc không trùng khớp từ điểm số của hệ thống con So sánh bằng cách sử dụng một chính sách đã được xác định trước. Kết quả được chuyển tiếp đến hệ thống con Quản trị cho hành động ứng dụng sinh trắc học tiếp theo và có thể cho mục đích đăng nhập.

A.3.6. Hệ thống con I/F thu thập người sử dụng

...

...

...

A.3.7. Hệ thống con Nhận hồ sơ dữ liệu thu nạp

Hệ thống con này có trách nhiệm lấy lại các hồ sơ dữ liệu thu nạp từ hệ thống con lưu trữ dữ liệu. Chức năng để đảm bảo thông tin liên lạc an toàn và toàn vẹn của hồ sơ được sử dụng có thể hoặc không được bao gồm trong hệ thống con này.

A.3.8. Hệ thống con Tạo hồ sơ dữ liệu thu nạp

Hệ thống con này chịu trách nhiệm đối với việc tạo ra các hồ sơ dữ liệu thu nạp của người sử dụng. Hồ sơ sẽ được gắn với định danh của người sử dụng, ví dụ như lưu trữ vật lý ở những vị trí liên quan trong hệ thống con Lưu trữ dữ liệu. Sự gắn kết cũng có thể được đảm bảo bằng cách sử dụng kỹ thuật mật mã như ký số và/hoặc chứng chỉ số.

A.3.9. Hệ thống con Cấu hình

Hệ thống con này cung cấp các chức năng cần thiết để điều chỉnh các thiết lập an toàn của hệ thống sinh trắc học. Điều này bao gồm các ngưỡng được sử dụng bởi hệ thống con Quyết định; nó cũng có thể bao gồm sự điều chỉnh trích xuất đặc điểm - đặc biệt là ngưỡng chất lượng cho các mẫu sinh trắc học.

A.3.10. Hệ thống con Quản trị

Hệ thống con Quản trị điều chỉnh các chính sách tổng thể, thực hiện và sử dụng hệ thống sinh trắc học phù hợp với những quy định pháp lý có liên quan, các ràng buộc và yêu cầu mang tính xã hội. Ví dụ minh họa bao gồm:

- việc cung cấp thông tin phản hồi cho người sử dụng,

...

...

...

- lưu trữ và định dạng thông tin sinh trắc học,

- cung cấp sự phân xử cuối cùng tại đầu ra của Quyết định xác minh và/hoặc các điểm số so sánh,

- sửa đổi chính sách quyết định,

- cài đặt các thiết lập thu nhận hệ thống sinh trắc học,

- môi trường hoạt động, lưu trữ dữ liệu phi sinh trắc học,

- việc cung cấp các biện pháp bảo vệ thích hợp để bảo vệ tính riêng tư của người sử dụng,

- sự tương tác với các ứng dụng sử dụng hệ thống sinh trắc học

Định nghĩa của hệ thống con này đã được sao chép từ [4].

Lưu ý rằng các mũi tên giữa các thành phần cấu hình và hệ thống con Quyết định trong Hình A.1 diễn tả một mức độ tối thiểu của sự tương tác. Tùy thuộc vào loại chức năng quản trị được thực hiện, có thể có nhu cầu tương tác nhiều hơn.

...

...

...

Các hồ sơ dữ liệu thu nạp có thể được lưu trữ trong một thiết bị thu thập sinh trắc học: trên một phương tiện di động như một thẻ thông minh; trong nội bộ, trên một máy tính cá nhân, chẳng hạn; hoặc trong một cơ sở dữ liệu (dựa vào [4]).

A.4. Các chức năng sinh trắc học

A.4.1. Giới thiệu

Các điều sau đây giới thiệu các chức năng sinh trắc học cơ bản của một hệ thống sinh trắc học. Những mô tả này có nguồn gốc từ mô tả trong [4] nhưng đã được điều chỉnh để tập trung vào các khía cạnh an toàn của mỗi thành phần.

A.4.2. Thu nạp

Trong sự thu nạp, một giao dịch với một người sử dụng được xử lý bởi hệ thống sinh trắc học để tạo ra và lưu trữ một tham chiếu sinh trắc học cho cá thể đó.

Thu nạp thường liên quan đến

- thu nhận mẫu sinh trắc học thô từ người sử dụng,

- ngăn chặn giả mạo, tiền xử lý, trích xuất đặc điểm,

...

...

...

- việc tạo ra tham chiếu sinh trắc học (có thể đòi hỏi các đặc điểm từ nhiều mẫu và ID của người dùng),

- việc kiểm tra ID được yêu cầu của người sử dụng.

CHÚ THÍCH: Trong thu nạp, ID của người sử dụng được liên kết với dữ liệu sinh trắc học của họ dưới hình thức của một tham chiếu sinh trắc học. Do đó, quá trình thu nạp của mỗi người sử dụng được kiểm soát để đảm bảo rằng người sử dụng yêu cầu đúng danh tính là cần thiết. Nếu không có điều kiện tiên quyết này thì không thể bảo đảm tính toàn vẹn của cơ sở dữ liệu thu nạp. Quá trình này được gọi là kiểm chứng và không được bao hàm trong quá trình thu nạp mà được bao hàm trong các điều kiện hoạt động được mô tả trong A.5.2.

A.4.3. Hủy thu nạp

Hủy thu nạp đề cập đến việc xóa tham chiếu sinh trắc học từ lưu trữ và của tất cả dữ liệu sinh trắc học có liên quan trong hệ thống sinh trắc học. Hủy thu nạp đề cập đến việc xóa tham chiếu sinh trắc học từ lưu trữ, và nếu cần thiết, dữ liệu có liên quan trong liên kết với danh tính của người dùng cuối từ hệ thống sinh trắc học. Việc tiêu hủy phải được thực hiện một cách an toàn như mô tả trong 9.1.4.

A.4.4. Xác minh

Trong xác minh sinh trắc học, một giao dịch với người sử dụng được xử lý bởi hệ thống sinh trắc học để xác minh một yêu cầu cụ thể về việc thu nạp của người sử dụng (ví dụ: “Tôi đã được thu nạp là người sử dụng X”). Việc xác minh sẽ hoặc tiếp nhận hoặc từ chối yêu cầu. Việc xác minh được coi là sai nếu một trong những yêu cầu sai được tiếp nhận (tiếp nhận sai) hoặc một yêu cầu đúng bị từ chối (từ chối sai). Lưu ý rằng một số hệ thống sinh trắc học cho phép người sử dụng đơn lẻ thu nạp nhiều hơn một mẫu sinh trắc học (ví dụ, hệ thống mống mắt có thể cho phép người dùng thu nạp cả hai hình ảnh mống mắt, trong khi hệ thống dấu vân tay có thể có người dùng thu nạp hai hay nhiều ngón tay nhằm sao lưu, trong trường hợp một ngón tay bị hư hỏng)

Quá trình xác minh thường bao gồm:

- việc thu nhận mẫu sinh trắc học thô từ người sử dụng,

...

...

...

- tiền xử lý, trích xuất đặc điểm,

- kiểm tra chất lượng (có thể từ chối các mẫu hoặc các đặc điểm không thích hợp để so sánh, và yêu cầu thu nhận mẫu tiếp theo),

- việc chuyển đổi mẫu thu thập được thành mẫu thăm dò,

- việc đánh giá sự tương đồng của các mẫu thăm dò sinh trắc học đã qua xử lý với (các) tham chiếu sinh trắc học cho các ID đối tượng được yêu cầu,

- quyết định người sử dụng có trùng khớp với dữ liệu được đưa ra bằng một hoặc nhiều tham chiếu sinh trắc học được lưu trữ trước đó không,

- tương tác với các ứng dụng sử dụng hệ thống sinh trắc học thông qua thành phần quản trị.

A.4.5. Định danh sinh trắc học

Trong định danh sinh trắc học, một giao dịch của người sử dụng được xử lý bởi hệ thống để xác định cá thể đó mà không yêu cầu danh tính của họ. Định danh sinh trắc học sẽ trả về danh tính của người sử dụng hoặc một danh sách khả thi nhất.

Quá trình định danh thường liên quan đến:

...

...

...

- tiền xử lý, trích xuất đặc điểm,

- kiểm tra chất lượng (có thể từ chối các mẫu hoặc các đặc điểm không thích hợp để so sánh, và yêu cầu thu nhận mẫu tiếp theo),

- chuyển đổi mẫu thu thập được thành mẫu sinh trắc học đã qua xử lý,

- đánh giá sự tương đồng của mẫu sinh trắc học đã qua xử lý với tất cả tham chiếu sinh trắc học được lưu trữ trước đó,

- quyết định người sử dụng có trùng khớp với dữ liệu được đưa ra bởi một hoặc nhiều tham chiếu sinh trắc học được lưu trữ trước đó không,

- tương tác với các ứng dụng sử dụng hệ thống sinh trắc học thông qua thành phần Quản trị.

A.5. Môi trường và điều kiện hoạt động của hệ thống sinh trắc học

A.5.1. Môi trường vật lý

Môi trường vật lý xung quanh thành phần Thu thập là một phần môi trường của một hệ thống sinh trắc học và cần được xem xét trong suốt việc đánh giá.

...

...

...

Điều kiện hoạt động của các quá trình thu nạp và hủy thu nạp và thành phần Quản trị cũng có thể phải được xem xét trong việc đánh giá

Đối với khía cạnh đánh giá an toàn, các điều kiện hoạt động sau đây có thể có tầm quan trọng đặc biệt:

- Làm thế nào để cung cấp cho người quản trị đặc quyền thu nạp người sử dụng.

- Làm thế nào để cung cấp cho người quản trị hoặc người sử dụng đặc quyền hủy thu nạp tham chiếu sinh trắc học.

- Làm thế nào để cung cấp cho người quản trị đặc quyền thay đổi chính sách hệ thống sinh trắc học.

- Làm thế nào để đảm bảo rằng các đặc trưng sinh trắc học đã gửi không bị làm giả.

- Làm thế nào để đảm bảo rằng các danh tính được yêu cầu (trong thu nạp) của người sử dụng là hợp lệ.

THƯ MỤC TÀI LIỆU THAM KHẢO

...

...

...

[2] JTC 1/SC 37, Standing Document 2, version 9, Harmonized Biometric Vocabulary, ISO/IEC JTC 1/SC 37 N2486, 2008-02-05 (JTC 1/SC 37, Văn bản số 2, phiên bản 9, Từ vựng sinh trắc học hài hòa, ISO/IEC JTC 1/SC37N2486, 2008-02-05).

[3] ISO/IEC FDIS15408-1, Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model (ISO/IEC FDIS15408-1, Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá an toàn công nghệ thông tin - Phần 1: Giới thiệu và mô hình tổng thể)

[4] ISO/IEC 15408-2:2008, Information technology - Security techniques - Evaluation criteria for IT security - Part 2: Security functional components (ISO/IEC 15408-2:2008, Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá an toàn công nghệ thông tin - Phần 2: Các thành phần chức năng an toàn)

[5] ISO/IEC 15408-3:2008, Information technology - Security techniques - Evaluation criteria for IT security - Part 3: Security assurance components (ISO/IEC 15408-3:2008, Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá an toàn công nghệ thông tin - Phần 3: Các thành phần đảm bảo an toàn)

[6] ISO/IEC CD 24713-1, Information technology - Biometric profiles for interoperability and data interchange - Part 1: Overview of biometric systems and biometric profiles (ISO/IEC CD 24713- 1, Công nghệ thông tin - Hồ sơ sinh trắc học đối với khả năng tương thích và trao đổi dữ liệu - Phần 1: Tổng quan về hệ thống sinh trắc học và hồ sơ sinh trắc học)

MỤC LỤC

1. Phạm vi áp dụng

2. Sự tuân thủ

...

...

...

4. Thuật ngữ và định nghĩa

4.1. Tổng quan

4.2. Hệ thống sinh trắc học

4.3. Quá trình sinh trắc học

4.4. Các tỷ lệ lỗi

4.5. Thống kê

5. Chữ viết tắt

6. Đánh giá an toàn

6.1. Tổng quan

...

...

...

7. Các tỷ lệ lỗi của hệ thống sinh trắc học

7.1. Giới thiệu

7.2. Khái niệm - Kiểm thử các tỷ lệ lỗi liên quan đến an toàn

7.2.1. Mô tả hệ thống (bước 1)

7.2.2. Yêu cầu của nhà cung cấp (bước 2)

7.2.3. Kiểm tra yêu cầu của nhà cung cấp (bước 3)

7.2.4. Kiểm thử của nhà cung cấp và đánh giá kiểm thử của nhà cung cấp (bước 4 và 5)

7.2.5. Kiểm thử độc lập (bước 6)

8. Đánh giá lỗ hổng

...

...

...

8.2. Đánh giá lỗ hổng

8.2.1. Tổng quan

8.2.2. Tổng quan về mối đe dọa hệ thống sinh trắc học

8.2.3. Các lỗ hổng khác

8.3. Các lỗ hổng phổ biến trong hệ thống sinh trắc học

8.3.1. Giới thiệu

8.3.2. Các giới hạn hiệu suất

8.3.3. Vật giả mạo của đặc trưng sinh trắc học

8.3.4. Điều chỉnh đặc trưng sinh trắc học

...

...

...

8.3.6. Tương đồng do có quan hệ huyết thống

8.3.7. Đặc trưng sinh trắc học đặc biệt

8.3.8. Các mẫu sinh trắc học wolf tổng hợp

8.3.9. Môi trường không thuận lợi

8.3.10. Các lỗ hổng mang tính thủ tục xung quanh quá trình thu nạp

8.3.11. Rò rỉ và sự thay đổi dữ liệu sinh trắc học

9. Tính riêng tư

9.1. Tổng quan

9.1.1. Bảo vệ dữ liệu

...

...

...

9.1.3. Vô hiệu hóa tài khoản dữ liệu tham chiếu sinh trắc học

9.1.4. Hủy thu nạp

Phụ lục A (tham khảo) Mô hình tham chiếu của hệ thống sinh trắc học

Thư mục tài liệu tham khảo