TU Darmstadt / ULB / TUprints

Privacy and Security Assessment of Biometric Template Protection

Zhou, Xuebing (2012)
Privacy and Security Assessment of Biometric Template Protection.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

Copyright Information: CC BY-NC-ND 2.5 Generic - Creative Commons, Attribution, NonCommercial, NoDerivs .

Download (4MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Privacy and Security Assessment of Biometric Template Protection
Language: English
Referees: Fellner, Prof. Dr. Dieter W. ; Veldhuis, Prof. Dr. Raymond N. J.
Date: 28 February 2012
Place of Publication: Darmstadt
Collation: 140 S.
Date of oral examination: 19 September 2011

Biometrics enables convenient authentication based on a person's physical or behavioral characteristics. In comparison with knowledge- or token-based methods, it links an identity directly to its owner. Furthermore, it can not be forgotten or handed over easily. As biometric techniques have become more and more efficient and accurate, they are widely used in numerous areas. Among the most common application areas are physical and logical access controls, border control, authentication in banking applications and biometric identification in forensics.

In this growing field of biometric applications, concerns about privacy and security cannot be neglected. The advantages of biometrics can revert to the opposite easily. The potential misuse of biometric information is not limited to the endangerment of user privacy, since biometric data potentially contain sensitive information like gender, race, state of health, etc. Different applications can be linked through unique biometric data. Additionally, identity theft is a severe threat to identity management, if revocation and reissuing of biometric references are practically impossible. Therefore, template protection techniques are developed to overcome these drawbacks and limitations of biometrics. Their advantage is the creation of multiple secure references from biometric data. These secure references are supposed to be unlinkable and non-invertible in order to achieve the desired level of security and to fulfill privacy requirements.

The existing algorithms can be categorized into transformation-based approaches and biometric cryptosystems. The transformation-based approaches deploy different transformation or randomization functions, while the biometric cryptosystems construct secrets from biometric data. The integration in biometric systems is commonly accepted in research and their feasibility according to the recognition performance is proved. Despite of the success of biometric template protection techniques, their security and privacy properties are investigated only limitedly.

This predominant deficiency is addressed in this thesis and a systematic evaluation framework for biometric template protection techniques is proposed and demonstrated:

Firstly, three main protection goals are identified based on the review of the requirements on template protection techniques. The identified goals can be summarized as security, privacy protection ability and unlinkability. Furthermore, the definitions of privacy and security are given, which allow to quantify the computational complexity estimating a pre-image of a secure template and to measure the hardness of retrieving biometric data respectively.

Secondly, three threat models are identified as important prerequisites for the assessment. Threat models define the information about biometric data, system parameters and functions that can be accessed during the evaluation or an attack. The first threat model, so called naive model, assumes that an adversary has very limited information about a system. In the second threat model, the advanced model, we apply Kerckhoffs' principle and assume that essential details of algorithms as well as properties of biometric data are known. The last threat model assumes that an adversary owns large amount of biometric data and this allows him to exploit inaccuracy of biometric systems. It is called the collision threat model.

Finally, a systematic framework for privacy and security assessment is proposed. Before an evaluation process, protection goals and threat models need to be clarified. Based on these, the metrics measuring different protection goals as well as an evaluation process determining the metrics will be developed. Both theoretical evaluation with metrics such as entropy, mutual information and practical evaluation based on individual attacks can be used.

The framework for privacy and security assessment is applied on the biometric cryptosystems: fuzzy commitment for 3D face and iris recognition is assessed. I develop my own 3D face recognition algorithm based on the depth distribution of facial sub-surfaces and integrate it in the fuzzy commitment scheme. The iris recognition is based on an open source algorithm using Gabor filter. It is implemented in the fuzzy commitment scheme with the two layer coding method as proposed by Hao et al.

Both features, the 3D face features and the iris features, represent local characteristics of the modalities. Thus, strong dependency within these features is observed. The second order dependency tree is applied to describe the distribution of 3D face features. The Markov model is applied to characterize the statistical properties of iris features. Thus, security and privacy of these algorithms can be measured with theoretical metrics. Due to strong feature dependency, the achieved security is much smaller than the secret size, which is the assumed security in a perfect secure case with uniformly identically distributed features.

Moreover, the unlinkability is analyzed. The analysis shows that these protected systems are less vulnerable to leakage amplification. However, the secure templates contain much personal identifiable information. We demonstrate the attacks, which can identify a subject by linking auxiliary data stored in his secure templates. Cross matching is assessed with the performance of these attacks.

Additionally, the characteristics of iris features is exploited to perform an attack retrieving features from secure templates. The efficiency of the practical attack confirms the result of the theoretical assessment of privacy with conditional entropy.

The coding process plays a very important role for the security and privacy properties in the fuzzy commitment scheme. Designing a coding method should not only focus on the improvement of code rate. As shown in this thesis, security and privacy properties can be enhanced significantly by changing the dependency pattern in iris features and 3D face features. Therefore, the coding process should be adapted to properties of the underlying biometric features to increase the security and privacy performance.

The security and privacy assessment within this thesis is completed by a comparison of two fuzzy commitment algorithms with the fuzzy vault algorithm for fingerprint recognition. Here, different threat models as well as the corresponding protection goals are considered. The fuzzy vault system has the best performance regarding security and irreversibility of biometric features. However, all of these systems are vulnerable to cross matching. The comparison results show that the proposed evaluation framework provides the fundamental basis for benchmarking different template protection algorithms.

The proposed framework is also validated with the existing security analysis on transformation-based approaches. Unlike the analysis on biometric cryptosystems, the security is dependent on the hardness of transformation functions or randomization processes. Therefore, the presented analysis is based on efficiency of different kinds of attacks, which measure different protection goals in the appropriate threat models. The security of these approaches depends on the transformation parameters. The knowledge of these parameters allows generating a pre-image, while it is still hard to estimate the original biometric features practically. However, privacy leakage amplifications are still possible.

This thesis defines a systematic evaluation framework, which adheres to essential criteria and requirements of biometric template protection techniques. Its applicability is demonstrated with the analysis of template protection algorithms for different biometric modalities. The assessment presented in this thesis is fundamental for a thorough analysis. Furthermore, it provides provable evidence on security and privacy performance. Therefore, it is the fundamental tool for technical innovation and improvement and helps system designers in selecting a suitable template protection algorithm for their applications and needs. It creates a basis for certification and benchmarking of biometric template protection.

Alternative Abstract:
Alternative AbstractLanguage

Biometrie ist eine komfortable Authentifizierungsmethode basierend auf körperlichen oder verhaltenstypischen Charakteristiken. Im Gegensatz zu wissens- oder tokensbasierten Methoden, kann sie eine Identität direkt mit der zugehörigen Person verbinden. Darüber hinaus können biometrische Merkmale nicht vergessen oder einfach weitergegeben werden. Da biometrische Techniken immer effizienter und präziser werden, sind sie in vielen Bereichen weit verbreitet. Zu den häufigsten Anwendungsgebieten zählen physische und logische Zugangskon- trolle, Grenzkontrolle, Authentifizierung in Bankengeschäften und biometrische Identifikation in der Forensik.

Durch die wachsende Zahl von Anwendungsbereichen ziehen Bedenken bezüglich der Privatsphäre und Sicher- heit viel Aufmerksamkeit auf sich. Die Vorteile der Biometrie können sich leicht in das Gegenteil umkehren. Die Nutzung von biometrischen Daten gefährdet die Privatsphäre der Benutzer, da biometrische Daten möglicher- weise vertrauliche Informationen wie Geschlecht, Rasse, den Gesundheitszustand usw. enthalten. Außerdem können verschiedene Anwendungen durch eindeutige biometrische Daten verknüpft werden. Zusätzlich ist Iden- titätsdiebstahl eine ernste Gefahr für Identitätsmanagement, weil Widerruf und Erneuerung von biometrischen Referenzen praktisch unmöglich sind. Deswegen werden Template-Protection-Techniken entwickelt, um diese Nachteile und Einschränkungen der Biometrie zu vermeiden. Deren Vorteil ist die Schaffung von mehreren sicheren Referenzen aus biometrischen Daten. Diese sicheren Referenzen dürfen nicht verknüpfbar und nicht umkehrbar sein, um das gewünschte Sicherheitsniveau zu erreichen und die Anforderungen an den Schutz der Privatsphäre zu erfüllen.

Die existierenden Template-Protection-Verfahren können in transformationsbasierte Verfahren und biomet- rische Kryptosysteme kategorisiert werden. Die transformationsbasierten Verfahren nutzen unterschiedliche Transformations- oder Randomisierungsfunktionen, während die biometrischen Kryptosysteme Geheimnisse aus biometrischen Daten generieren. Die Integration der Verfahren in biometrische Systeme ist allgemein im Forschungsbereich akzeptiert und deren Durchführbarkeit ist hinsichtlich der Erkennungsleistung bewiesen. Trotz des Erfolgs sind deren Sicherheits- und privatsphäreerhaltenden Eigenschaften nur bedingt untersucht.

Dieser wesentliche Mangel wird mit dieser Arbeit behoben. Ein systematisches Evaluierungsframework für Template-Prtoection-Verfahren wird vorgeschlagen und validiert:

Zunächst werden drei wesentliche Protection-Goals (Schutzziele) identifiziert, die sich aus den Anforderungen an Template-Protection ergeben. Die Protection-Goals können als Sicherheit, Schutzfähigkeit der Privatsphäre und Unverknüpfbarkeit zusammengefasst werden. Darüber hinaus sind die Definitionen für Schutzfähigkeit der Privatsphäre und Sicherheit gegeben. Diese quantifizieren den rechnerischen Aufwand bei Pre-Image- Abschätzung eines sicheren Templates und bei der Rekonstruktion biometrischer Daten.

Außerdem werden drei Bedrohungsmodelle als wichtige Voraussetzungen für die Evaluierung ermittelt. Die Bedrohungsmodelle definieren die Informationen, einschließlich System-Parameter und Funktionen, auf die bei einer Evaluierung oder einem Angriff zugegriffen werden kann. Das erste Bedrohungsmodell, das so genannte naive Modell, setzt voraus, dass einem Angreifer sehr begrenzte Informationen über ein System zur Verfügung stehen. In dem zweiten Bedrohungsmodell, dem erweiterten Modell, setzen wir das Kerckhoffs’ Prinzip ein und gehen davon aus, dass wesentliche Details eines Algorithmus sowie Eigenschaften der biometrischen Daten bekannt sind. Das letzte Bedrohungsmodell nimmt an, dass ein Angreifer eine große Menge biometrischer Daten besitzt und die Ungenauigkeit des biometrischen Systems ausnutzen kann. Deswegen wird es Kollisionsmodell genannt.

Schließlich wird ein systematisches Framework entwickelt, das genutzt werden kann, um die Schutzfähigkeit der Privatsphäre und die Sicherheit zu bewerten. Vor einem Evaluierungsprozess werden Protection-Goals und Bedrohungsmodelle festgelegt. Basierend auf diesen, werden die Metriken, die verschiedene Protection-Goals messen, sowie zugehörige Analyseprozesse hergeleitet. Sowohl die theoretische Analyse mit Metriken wie En- tropie, bedingte Enropie, Transinformation als auch die praktische Analyse, die auf einzelnen Angriffen basiert, können genutzt werden.

Wir wenden das Framework auf die biometrische Kryptosysteme an: das Fuzzy-Commitment-Verfahren für 3- D-Gesichts- und Iriserkennung wird evaluiert. Wir entwickeln unseren eigenen 3-D-Gesichtserkennungsalgorith- mus, der auf der Tiefenverteilung der Gesichtsoberflächen basiert. Das Fuzzy-Commitment-Verfahren wird er- folgreich integriert. Ein Gabor-Filter-basierter Open-Source-Algorithmus wird für die Iriserkennung verwendet und in dem geschützten System wird das zweistufige Kodierungsverfahren von Hao umgesetzt.

Beide Merkmale, die 3-D-Gesichtsmerkmale und die Irismerkmale, repräsentieren lokale Eigenschaften der Modalitäten. Deswegen wird eine starke Abhängigkeit in diesen Merkmalen beobachtet. Wir verwenden einen Abhängigkeitsbaum zweiter Ordnung, um die Verteilung von 3-D-Gesichtsmerkmale zu beschreiben. Das Mar- kovmodell wird angewendet, um die statistischen Eigenschaften der Irismerkmale zu charakterisieren. Die Sicherheit und die Schutzfähigkeit der Privatsphäre werden mit informationstheoretischen Metriken gemessen. Wenn die Merkmale gleichmäßig identisch verteilt wären, wäre das System perfekt sicher und die Sicherheit kön- nte über die Geheimnislänge gemessen werden. Aufgrund der starken gegenseitigen Abhängigkeit der Merkmale ist die erreichte Sicherheit jedoch viel geringer als die Geheimnislänge.

Darüber hinaus analysieren wir die Unverknüpfbarkeit. Diese gestützten Systeme geben nicht viel mehr In- formationen über die biometrischen Daten bei der Verknüpfung mehrerer sicherer Templates preis, als wenn nur ein sicheres Template zur Verfügung steht. Jedoch beinhalten die sicheren Templates viele personenbezogene Daten. Wir demonstrieren Angriffe, mit denen Personen anhand der Verknüpfung sicherer Templates verifiziert werden können. Die Verknüpfbarkeit wird mit den Erfolgswahrscheinlichkeiten der Angriffe bewertet.

Zusätzlich nutzen wir die statistischen Eigenschaften der Irismerkmale aus und führen einen Angriff durch, um Irismerkmale aus sicheren Templates zu rekonstruieren. Die Effizienz dieses praktischen Angriffs bestätigt das Ergebnis der theoretischen Analyse über die Schutzfähigkeit der Privatsphäre mit bedingter Entropie. Der Kodierungsprozess spielt eine sehr wichtige Rolle für die Sicherheit und den Schutz der Privatsphäre in Fuzzy-Commitment-Systemen. Das Design eines Kodierungsverfahrens sollte sich nicht nur auf die Verbesserung der Coderate fokussieren. Wie in dieser Arbeit gezeigt, können sich die Sicherheit und der Schutz der Privat- sphäre durch Änderungen der Abhängigkeitsmuster in Iris- und 3-D-Gesichtsmerkmale verbessern. Deswegen sollte der Kodierungsprozess an die Eigenschaften der zugrunde liegenden biometrischen Merkmale angepasst werden.

Die Evaluierungsarbeit wird mit einem Vergleich der beiden Fuzzy-Commitment-Systeme und des Fuzzy- Vault-Systems für Fingerabdruckerkennung abgeschlossen. Hier werden verschiedene Bedrohungsmodelle sowie die entsprechenden Protection-Goals betrachtet. Das Fuzzy-Vault-System hat die beste Leistung im Hinblick auf Sicherheit und Schutz der Privatsphäre. Doch alle Systeme sind anfällig für Verknüpfungsangriffe. Die Vergleichsergebnisse zeigen, dass das vorgeschlagene Framework eine Grundlage für das Benchmarking der Template-Protection-Techniken geschaffen hat.

Wir validieren das Framework mit den bestehenden Sicherheitsanalysen über die transformationsbasierten Verfahren. Im Gegensatz zu Analyse der biometrischen Kryptosysteme ist hier die Sicherheit von der Härte einer Transformationsfunktion oder eines Randomisierungsprozesses abhängig. Deshalb basiert die präsentierte Analyse auf der Effizienz der verschiedenen Angriffe. Die Angriffe messen verschiedene Protection-Goals in den

Uncontrolled Keywords: Biometrische Template-Protection, Schutz der Privatsphäre, Sicherheitsanalyse, Evaluierungsframework
Alternative keywords:
Alternative keywordsLanguage
Biometric Template Protection, Security Analysis, Privacy Assessment, Privacy Enhancing Techniques, Biometric Encryption, Evaluation FrameworkEnglish
URN: urn:nbn:de:tuda-tuprints-28858
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science
20 Department of Computer Science > Interactive Graphics Systems
Date Deposited: 14 Mar 2012 11:20
Last Modified: 09 Jul 2020 00:01
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/2885
PPN: 38680057X
Actions (login required)
View Item View Item