SMC 資料庫
重點摘要:
- 若要在三公尺拍攝到個人手指上生物識別資訊等級的指紋,在實驗室環境下有足夠光源、特殊材料和設備等各種條件配合時才有機會達成,但一般環境很難實現。
- 實際計算距離三公尺且比V手勢拍照,目測3.5cmx5cm的照片,相機規格必須至少4億個像素,才有可能拍攝出美國FBI定義的生物識別等級指紋。
- 目前要在三公尺拍攝到個人手指上生物識別資訊等級的指紋,硬體技術離實際還有一段距離,大家應該不用擔心。
議題背景
日本國立情報學研究所(National Institute of Informatics)2017年發布一篇研究,摘要中提到隨著指紋驗證技術的發展,數位相機可以用來拍攝指紋影像,指紋可能被利用於違法登入或竊取身分。因此研究主旨包含,透過照片可能做違法的指紋驗證,並提出一個方法可以避免使用者的指紋從照片中被複製,且不會影響接觸型指紋感應器的感應。
研究方法是先用感應器掃描右手拇指的指紋影像並建檔,再用數位相機依序拍攝1至5公尺內右手拇指的照片,和感應器掃描的影像比對,發現在拍攝距離3公尺時,有些照片中的指紋可以被正確比對。最後在拇指上貼上研究團隊研發的薄膜再拍照,測試薄膜是否可以干擾照片和掃描影像的指紋比對。
臺灣的媒體在引用日本產經新聞報導此篇研究時,敘述拍照片時不能比V字手勢、指紋外洩比密碼外洩更無法補救等。但真的可以從照片中輕易取得完整的指紋嗎?該如何看待這樣的研究和拍照時指紋資料洩漏的疑慮?我們邀請專家釋疑。
新聞中引用的研究文獻:
Ogane, Tateo, and Isao Echizen. (2017, October). "Biometric Jammer: Preventing surreptitious fingerprint photography without inconveniencing users." In 2017 IEEE International Joint Conference on Biometrics (IJCB) (pp. 253-260). IEEE.
較完整的相關新聞可參考:
- 紀品志2017。〈以後拍照不能比Ya了?日本研究機構證實指尖距離鏡頭三公尺內可竊取指紋!〉,數位時代,1月11日。
- 陳俊村(2017)。〈為了安全起見 拍照時不要比V字手勢〉,大紀元,1月11日。
專家怎麼說?
2021年02月22日
長庚大學電機工程學系助理教授 林韋丞
代表個人身分資料的生物特徵,包含眼睛虹膜、指紋、掌紋、臉部特徵、聲紋等,最不容易隨生物成長與環境變化而改變的,就是指紋。判斷個人特徵的指紋,須包含有三大特徵點,即是斷點、交叉點、孤點[1],每一個人的十個手指指紋,都會包含上述三種特徵點,而身分資料被竊取,就是指這三個特徵點被複製。
若以金融辨識的安全等級來定義指紋,世界通用的定義是美國聯邦調查局(FBI)從圖像辨識指紋的規格[2],分為兩種:
1.像素規格:定義指紋的像素必須超過508 dpi。所謂dpi(dot per inch)是指,每英吋必須有508個像素(pixel),換算成實際大小就是每一個像素的邊長必須為50 μm以下,才可以構成有生物識別等級意義的指紋。
2.圖像深度:指紋圖像中灰階的數目須至少150個[3]。若要從圖像複製指紋,只達到像素規格是不夠的,還須達到足夠灰階數。
新聞指出,距離三公尺拍照,若被拍照者手指比「耶或V字型」,指紋可能會被截取,造成個人身份的指紋外洩。我們來實際計算,距離三公尺拍照且人的手指比V字型時,我目測3.5cmx5cm的照片,被拍攝者手指尖端的邊長約占整張照片的百分之一。我們假設實際手指尖端的邊長是10mm,依照美國FBI定義,辨識這個指尖的單邊長需要10x103 (μm)/50(μm)=200個像素,把這個像素大小佈滿到整個照片,如此照片的單邊長需要200x100=20,000個像素。轉換成面積,佈滿整張照片需要20,000x20,000=4億個像素。換言之,相機規格必須至少4億個像素,才有可能拍攝出被拍照者手指的指紋,以滿足美國FBI定義圖像中的生物識別等級指紋。
我調查目前市場相機的解析度,蘋果iPhone 12 max pro手機是1200萬個像素,為目前的主流規格,即使目前最高像素的三星Galaxy S20 Ulra,宣稱採用1億8百萬個像素,距離4億像素尚有一段距離。因此,若要在三公尺拍攝到個人手指上生物識別資訊等級的指紋,硬體技術離實際還有一段距離,大家應該不用擔心。大家拍照時候,還是可以快樂的比出「耶」!
2021年02月23日
國防大學資訊工程學系助理教授 周兆龍
關於這個議題,網路上已有不少資訊曾經討論過[4],蘋果日報還有記者做深入實驗[5]。
我個人意見是,理論上確實可行,不能算是謠言。但要達成這種攻擊,需要高解析相機、清晰影像、電容式或光學式的影像處理指紋機、足夠光源,再加上特殊材料例如黏土、矽膠、石墨和製作指紋模型需要的設備等各種條件的配合,在實驗室環境下是有機會達成,但一般環境很難實現。
2013年蘋果iphone 5手機剛推出時,內建的Touch ID指紋辨識模組即遭到德國的駭客破解;2019年上海騰訊公司也展示了最新的指紋破解技術[6]。上述兩種破解指紋的共同方式,都是先擷取使用者的2D指紋影像,再透過黏土、矽膠、石墨等特殊材料或設備,將2D指紋影像轉換成3D的指紋模型,再按壓於指紋感測器上。
而這篇日本的論文主要是假設,可以從一般照片中擷取指紋並遠距離的辨識,再提出一個安全的指紋保護技術「Biometric Jammer」。因此,「遠距離拍攝照片可以辨識指紋」此說法,只是該論文的假設前提,不是結論。
該論文中實驗所使用的兩款指紋機Digital Persona EikonTouch 710跟Digital Persona U.are.U 4500,也都是屬於接觸式的感測器,需要手指按壓才能順利辨識。因此,合理推測論文作者應該是將遠距離拍攝的指紋轉換成黑白的2D指紋影像,但並未再透過特殊材料或設備將其轉換成3D指紋模型,而是省略指紋按壓的動作,直接傳送處理好的2D指紋影像給指紋機的軟體進行辨識,才達成論文中的「遠距離」指紋辨識效果[7]。
實務上,人臉照片的隱私反而比指紋更加危險,相關學術論文發表的更多。目前一般民眾其實不用太恐慌,因為無論密碼或生物辨識技術,都沒有辦法保證絕對的安全,反而要提升保護個人隱私的意識。
註釋與參考資料:
[1] 編註:指紋的特徵點有分很多種,其中,用斷點、交叉點和孤點此三者辨識指紋的速度較快,是目前辨識指紋時最通用的,各別的定義請參考〈Fingerprint recognition〉。
[2] 編註:美國FBI規定辨識指紋的規格,請參考FBI官方網站〈FAQs Vendor Questions〉、〈Biometric Specifications〉,以及文件〈Personal Identity Verification (PIV) Image Quality Specifications for Single Finger Capture Devices〉。
[3] 編註:同註[2]所述,規格要求150灰階是指由黑、白兩色構成的圖像中,必須有連續性色階的變化,依照灰色深淺程度分為150個層次,才是合格的FBI 影像品質。
[4] 蘋果日報(2020)。〈【隱私風暴1】拍照比V比讚都不行 1.5公尺內洩隱私〉,1月15日。
[5] 蘋果日報(2020)。〈【隱私風暴2】《蘋果》實測複製指紋 糗!開不了門、解不開手機〉,1月15日。
[6] Davey Winder (2019).“Hackers Claim ‘Any’ Smartphone Fingerprint Lock Can Be Broken In 20 Minutes.”Forbes, 2019/11/2.
[7] 請參考論文中4.2的第(2)點所述:(2) Take a picture of the same finger with a digital camera, and match this photograph against the image registered at step (1) (Figure 18(a)).
版權聲明
本文歡迎媒體轉載使用,惟需附上資料來源,請註明新興科技媒體中心。
若有採訪需求或其他合作事宜,請聯絡媒體公關:
曾雨涵
02-3366-3366#55925