Как работает сканер радужки. Распознавание лица или радужной оболочки глаза на Samsung S8
Франк Бурш заявил, что радужная оболочка глаза каждого человека является уникальной. Вероятность ее совпадения составляет примерно 10 в минус 78-ой степени, что значительно выше, чем при дактилоскопии. Согласно теории вероятности, за всю историю человечества еще не было двух людей, у которых бы совпал узор глаза. В начале 90-х Джон Дафман из компании Iridian Technologies запатентовал алгоритм для обнаружения различий радужной оболочки глаза. На данный момент этот способ биометрической аутентификации является одним из наиболее эффективных и производится с помощью специального сенсора - иридосканера. Как же он работает - об этом в сегодняшнем выпуске!
Радужная оболочка глаза - это тонкая подвижная диафрагма со зрачком в центре, которая расположена за роговицей перед хрусталиком глаза. Она образовывается ещё до рождения человека и не меняется на протяжении всей жизни. По текстуре радужная оболочка напоминает сеть с большим количеством кругов, при этом ее рисунок очень сложен, что позволяет отобрать порядка 200 точек, с помощью которых обеспечивается высокая степень надежности аутентификации.
Сканер радужной оболочки глаза часто ошибочно называют сканером сетчатки. Отличие заключается в том, что сетчатка расположена внутри глаза и просканировать ее оптическим сенсором невозможно, только с помощью инфракрасного излучения. При этом анализируется не сама сетчатка, а узор кровеносных сосудов глазного дна. Называть подобный сенсор иридосканером неправильно, так как iris – это радужка, сетчатка же имеет название retina.
В основе иридосканера современного смартфона лежит высококонтрастная камера, подобная обычной камере. Иногда роль сканера радужной оболочки может выполнять и обычная фронтальная камера. Процесс аутентификации начинается с получения детального изображения глаза человека. Для этой цели используют монохромную камеру с неяркой подсветкой, которая чувствительна к инфракрасному излучению и позволяет работать в условиях недостаточной освещенности. Обычно делается серия из нескольких фотографий, так как зрачок чувствителен к свету и постоянно меняет свой размер. Затем из полученных фотографий выбирается одна наиболее удачная, определяются границы радужки и контрольная область. К каждой точке выбранной области применяют специальные фильтры, чтобы извлечь фазовую информацию и преобразовать рисунок оболочки в цифровой формат. Очки и контактные линзы, даже цветные, не влияют на качество аутентификации.
Внедрение сканера радужной оболочки глаза в смартфоны началось в 2015 году. Первыми его стали устанавливать китайские и японские производители. В частности первопроходцем был ViewSonic V55, так и не поступивший в массовую продажу. Из самых новых устройств, оснащенных иридосканером, можно выделить Samsung Galaxy S8, однако его сканер с легкостью удалось обмануть хакерам, распечатавшим фотографию на принтере и положившим на нее контактную линзу.
Радужная оболочка глаза - это тонкая подвижная диафрагма со зрачком в центре, которая расположена за роговицей перед хрусталиком глаза. Она образовывается ещё до рождения человека и не меняется на протяжении всей жизни. По текстуре радужная оболочка напоминает сеть с большим количеством кругов, при этом ее рисунок очень сложен, что позволяет отобрать порядка 200 точек, с помощью которых обеспечивается высокая степень надежности аутентификации.
Сканер радужной оболочки глаза часто ошибочно называют сканером сетчатки. Отличие заключается в том, что сетчатка расположена внутри глаза и просканировать ее оптическим сенсором невозможно, только с помощью инфракрасного излучения. При этом анализируется не сама сетчатка, а узор кровеносных сосудов глазного дна. Называть подобный сенсор иридосканером неправильно, так как iris – это радужка, сетчатка же имеет название retina.
В основе иридосканера современного смартфона лежит высококонтрастная камера, подобная обычной камере. Иногда роль сканера радужной оболочки может выполнять и обычная фронтальная камера. Процесс аутентификации начинается с получения детального изображения глаза человека. Для этой цели используют монохромную камеру с неяркой подсветкой, которая чувствительна к инфракрасному излучению и позволяет работать в условиях недостаточной освещенности. Обычно делается серия из нескольких фотографий, так как зрачок чувствителен к свету и постоянно меняет свой размер. Затем из полученных фотографий выбирается одна наиболее удачная, определяются границы радужки и контрольная область. К каждой точке выбранной области применяют специальные фильтры, чтобы извлечь фазовую информацию и преобразовать рисунок оболочки в цифровой формат. Очки и контактные линзы, даже цветные, не влияют на качество аутентификации.
Внедрение сканера радужной оболочки глаза в смартфоны началось в 2015 году. Первыми его стали устанавливать китайские и японские производители. В частности первопроходцем был V55, так и не поступивший в массовую продажу. Из самых новых устройств, оснащенных иридосканером, можно выделить Samsung Galaxy S8, однако его сканер с легкостью удалось обмануть хакерам, распечатавшим фотографию на принтере и положившим на нее контактную линзу.
Что такое Iris scanning технология? Что такое сканирование радужной оболочки глаза?
Если вам надоело постоянно носить с собой громоздкую связку гремящих ключей, представьте, что уже совсем скоро вы сможете открывать свои двери только лишь посмотрев на них в течении нескольких минут! Технология сканирования радужной оболочки глаза (анг. – Iris – радужная оболочка глаза; scanning — сканирование), уже через пару лет сможет сделать такую процедуру вполне обыденной. Она уже активно применяется в некоторых аэропортах и военных базах, где быстрая и надежная идентификация личности – жизненно важная необходимость. Сканирование радужной оболочки глаза – это наиболее точная форма распознавания по биометрическим показателям (идентификация, основанная на измерении определенных участков тела), которая в разы превосходит технологии распознавания по отпечаткам пальцев (отпечатки пальцев могут изменяться со временем) и по ДНК (требует слишком много времени). Что такое iris scanning и как работает данная технология? Давайте разберемся!
Зачем использовать биометрические показатели?
Сейчас на нашей планете живет людей больше чем когда-либо до этого. Все мы имеем, что-либо ценное, и обмениваемся ежедневно большими объемами информации. В такой ситуации, важность безопасности трудно переоценить. Мы постоянно совершенствуем свои системы защиты, однако всегда найдутся те, кто захочет заполучить чужие данные и ценности. Обычно люди полагаются на системы защиты, на взлом которых уходит очень много времени: замки очень трудно открыть без правильного металлического ключа, тогда как информацию защищенную кодированием трудно получить без корректного математического ключа. Однако оба таких метода имеют один большой недостаток: имея в руках нужный ключ, злоумышленник все-таки сможет быстро получить доступ к интересующей его информации или ценностям.
Большинство специалистов по безопасности сходятся во мнении, что будущее защиты лежит за биометрическим распознаванием (измерение частей тела). Вместо того, чтобы позволять людям получать доступ к чему-либо через стандартные замки и ключи, мы будем открывать доступ после биометрической идентификации человека по каким-либо уникальным частям его тела. К примеру, идентификация человека по фотографии в паспорте является самой просто биометрической формой распознавания. Когда на таможне работник сверяет вашу фотографию в паспорте с вашим лицом, он интуитивно ищет сходные черты. Размеры носа, оттопыренность ушей, расположение глаз – все это сопоставляется. Это самое простое биометрическое распознавание. Проблема заключается в том, что со временем наше лицо изменяется, да и к тому же многие люди достаточно похожи друг на друга. Отпечатки пальцев – это более надежный биометрический способ идентификации, однако и он далеко не идеален: болезни, травмы и само течении жизни могут изменить уникальный рисунок кожи наших пальцев. Сканирование радужной оболочки глаза это намного более надежный способ идентификации человека – у вас просто фотографируются глаза, все!
Что уникального в сканировании радужной оболочки глаза?
Радужная оболочка глаза – это цветная мускульная ткань круглой формы, обрамляющая зрачок человека, и помогающая ему (зрачку) сжиматься/разжиматься, как затвору камеры. Цветной узор нашей радужной оболочки глаза формируется на генетическом уровне еще тогда, когда мы находимся в утробе матери, однако окончательно он заканчивает свое формирование только к двум годам нашей жизни. Цвет радужной оболочки глаза зависит от количества пигмента меланина: чем больше меланина, тем больше глаза имеют коричневый оттенок, чем меньше – тем более выражен голубой цвет. Хотя мы привыкли четко выделять цвет глаз у каждого человека – «коричневые глаза», «зеленые глаза», «голубые глаза» — на самом деле цвет и узор для каждой конкретной радужной оболочки глаза является уникальным. К примеру, даже два глаза одного и того же человека имеют два разных оттенка и узора своих радужных оболочек, тоже самое касается и глаз генетических близнецов.
Как работает сканирование радужной оболочки глаза
Чтобы пройти такое биометрическое сканирование, уникальный узор вашей радужной оболочки должен быть распознан, что позволит дать позитивный ответ вашей идентификации. Это означает, что в сканировании радужной оболочки глаза присутствует две стадии: получение снимка вашего глаза (т.е. первый раз использования системы, когда она только учится распознавать уникальный узор вашего глаза) и подтверждение подлинности снимка (когда система уже имеет в своей базе снимок вашего глаза и сопоставляет его с текущим изображением вашей радужной оболочки).
Стадия 1: Получение снимка вашего глаза
Все, что нужно такой системе распознавания для верификации человека – это снимок его радужной оболочки глаза. Поэтому для запуска такой системы, каждый человек должен пройти единоразово фотографирование своих глаз. При этом процедура фотографирования происходит, как при обычном освещении, так и при невидимом инфракрасном (тип света, используемый в приборах ночного видения, который имеет чуть большую длину волн чем обычный красный свет).
Инфракрасный свет в сканировании радужной оболочки глаза помогает более точно распознать уникальность узора более темных глаз, что более трудно сделать при обычном освещении. Затем эти две цифровые фотографии, сделанные при разном типе освещения, подвергаются компьютерному анализу, в ходе которого удаляются ненужные детали (такие как ресницы) и выделяется около 240 особенностей в узорах радужных оболочек (приблизительно в 5 раз больше «особенностей для сравнения», чем используется в системах идентификации по отпечатку пальца). После этого, все найденные особенные характеристики для каждого глаза конвертируются в простой, цифровой номер, состоящий из 512 цифр (еще называемый IrisCode), который сохраняется в компьютерной базе вместе с вашим именем и другими деталями. Получение снимка вашего глаза происходит полностью в автоматическом режиме, и не занимает больше чем несколько минут.
Стадия 2: Подтверждение подлинности глаза
Как только фотография вашей радужной оболочки глаза занесена в базу данных, процесс вашей идентификации будет проходить легко и без особых затруднений. Вы просто становитесь напротив любого сканера радужной оболочки, подключенного к вашей базе данных, и проходите быструю процедуру повторного фотографирования глаза. Система быстро анализирует полученный снимок, выделяя из него ваш IrisCode, после чего запускается процедура сравнения сотен, тысяч или даже миллионов Iris кодов имеющихся в базе данных. Если ваш код совпадает с одним из кодов, занесенных в базу данных, вы проходите положительную идентификацию; в противном случае — вам не повезло. Это означает, что ваш снимок не знаком для системы, или вы просто пытаетесь себя выдать не за того, кем являетесь на самом деле.
Подробно о сканировании радужной оболочки
Как при стадии № 1, так и при стадии № 2 происходит съемка радужной оболочки глаза и анализ ее ключевых особенностей. Ниже представлен упрощенный пошаговый процесс сканирования, разработанный в 90-х годах прошлого столетия, компьютерным ученым Джоном Догманом (John Daugman):
- Камера сканирует глаз человека и создает цифровую фотографию.
- Программное обеспечение пытается отделить радужную оболочку, рисуя два круга вокруг ее внутренних (между зрачком и радужной оболочкой) и внешних (между радужной оболочкой и белой склерой) границ. Внутреннюю границу, достаточно легко определить по резкому изменению яркости на участке соединения радужной оболочки со зрачком. В такой же самый способ, определяются и внешние границы радужной оболочки, однако здесь стоит учитывать, что правильности определения может помешать недостаточно широко открытое веко.
- Затем на изображение накладываются полярные координаты (концентрические круги и лучеобразные линии), чтобы выделить отдельные зоны для анализа. Таким образом, собираются ключевые особенности радужной оболочки, которые впоследствии будут сравниваться при вашей повторной идентификации. При этом, система полностью учитывает при анализе радужной оболочки то, что зрачок человеческого глаза может изменять размер в зависимости от степени освещенности, тем самым изменяя размеры и радужной оболочки.
- Узор, состоящий из светлых и темных областей радужной оболочки глаза, затем конвертируется в цифровую форму при помощи полосно-пропускного фильтра (грубо говоря, если яркость в определенной области больше определенного количества, фильтр присваивает ей значение 1, если меньше — 0), после чего вступает в действия математика, которая конвертирует полученные данные в уникальный, цифровой IrisCode. При этом, каждый глаз будет всегда генерировать почти одинаковый код, вне зависимости от того, расширен зрачок или нет.
Преимущества и недостатки iris-сканирования
Наиболее весомым преимуществом сканирования радужной оболочки глаза является надежность и точность данного способа: по подсчетам, он в десять раз превосходит по точности сканирование отпечатка пальца (согласно данным, ошибочная идентификация происходит 1 раз на 1-2 миллионов проверок, тогда как идентификация по отпечатку пальца может допускать 1 ошибку за каждые 100 тысяч сканирований). Помимо этого, кожа пальцев открыта для внешнего воздействия и постоянно подвержена повреждениям, тогда как радужная оболочка глаза природно защищена роговой оболочкой (передняя, прозрачная оболочка глаза), а ее уникальный узор может оставаться в неизменном состоянии на протяжении десятилетий (но не обязательно всей жизни). В отличии от сканеров отпечатков пальцев, где нужен прямой контакт и безупречная чистота, сканеры радужной оболочки применяются без прямого контакта на небольшом расстоянии от глаза.
Наиболее весомыми недостатками сканирования радужной оболочки глаза, являются более высокая начальная стоимость, а также недостаток тестирования данной технологии (некоторые исследования, к примеру, выявили больший процент ошибок в распознавании, чем заявлялось ранее). Помимо этого, правозащитные организации высказали озабоченность нарушением прав на приватность – они считают, что данную технологию в будущем можно «научить» тайно распознавать человека (с дистанции в несколько метров), без его на то согласия или участия.
В Galaxy S8 и S8+ три биометрических датчика: сканер отпечатков пальцев, сканер радужной оболочки глаз и распознавание лица с помощью фронтальной камеры. Они используются для аутентификации пользователя с разной целью, хотя часть их возможностей дублируется.
Сканер отпечатков пальцев
Дактилоскопический сканер применяется в Galaxy S8 и S8+ для разблокировки экрана (в том числе совместно с вводом пароля), а также для подтверждения личности в приложениях и для подтверждения платежей (в Google Play, Android Pay, Samsung Pay и прочих сервисах).
Ранее Samsung размещала такой сканер спереди, а на новых смартфонах он расположен сзади рядом с камерой. Вероятно, компания Samsung понимает, что это не самое удачное решение, поэтому даже добавила в камеру напоминание о необходимости периодически чистить линзу камеры (которая может заляпаться, когда пользователь пытается нащупать сканер).
Сканер радужной оболочки глаза
Как и отпечатки пальцев, рисунок радужки глаз уникален для каждого человека. Этот сканер заменяет собой дактилоскопию и обладает рядом преимуществ - например, пропадает необходимость прикасаться к устройству (что может оказаться критично, когда руки грязные или сырые). Этот сканер позволяет разблокировать смартфон, верифицировать аккаунт Samsung, а также залогиниваться в приложения и на веб-сайты. У него есть и недостатки - медлительность работы и невысокая точность распознавания пользователя.Фронтальная камера со сканером лица
Сканирование лица - наиболее молодая и перспективная технология. По словам Samsung, она позволяет разблокировать смартфон моментально (за 0,1 с), причём лицо пользователя может находиться на большом расстоянии от фронтальной камеры.
Сейчас сканирование лица используется для разблокировки смартфона и заменяет ввод PIN-кода, пароля, или графического кода. Компания Samsung не до конца уверена в защищённости этой технологии, поэтому её нельзя использовать для подтверждения платежей в Android Pay и Samsung Pay. Обмануть этот сканер с помощью обычной фотографии вряд ли получится, но это не значит, что хакеры не изобретут способы обхода защиты - например, при помощи трёхмерного изображения или маски.
Почему компания Samsung не смогла обойтись одним сканером на все случаи? Вероятно, всё идёт именно к этому. Возможно, в следующих флагманах будет использоваться лишь один из имеющихся сейчас сканеров, но также есть вероятность, что компания совместит несколько технологий, и биометрическая защита будет анализировать сразу несколько параметров, что значительно увеличит её надёжность.
Первые сообщения о «взломе» биометрических систем защиты флагманских смартфонов компании Samsung (Galaxy S8 и S8+) фактически в день их презентации, в конце марта 2017 года. Напомню, что тогда испанский испанский обозреватель MarcianoTech вел прямую Periscope-трансляцию с мероприятия Samsung и обманул систему распознавания лиц в прямом эфире. Он сделал селфи на собственный телефон и продемонстрировал полученное фото Galaxy S8. Как это ни странно, этот простейший трюк сработал, и смартфон был разблокирован.
Однако флагманы Samsung комплектуются сразу несколькими биометрическими системами: сканером отпечатков пальцев, системой распознавания радужной оболочки глаза и системой распознавания лиц. Казалось бы, сканеры отпечатков и радужной оболочки должны быть надежнее? По всей видимости, нет.
Исследователи Chaos Computer Club (CCC) сообщают , что им удалось обмануть сканер радужной оболочки глаза с помощью обыкновенной фотографии, сделанной со средней дистанции. Так, известный специалист Ян «Starbug» Криссер (Jan Krissler) пишет, что достаточно сфотографировать владельца Galaxy S8 таким образом, чтобы его глаза были видны в кадре. Затем нужно распечатать полученное фото и продемонстрировать его фронтальной камере устройства.
Единственная сложность заключается в том, что современные сканеры радужной оболочки глаза (равно как и системы распознавания лиц) умеют отличать 2D-изображения от реального человеческого глаза или лица в 3D. Но Starbug с легкостью преодолел и эту сложность: он попросту приклеил контактную линзу поверх фотографии глаза, и этого оказалось достаточно.
Для достижения наилучшего результата специалист советует делать фото в режиме ночной съемки, так как это позволит уловить больше деталей, особенно если глаза жертвы темного цвета. Также Крисслер пишет, что распечатывать фотографии лучше на лазерных принтерах компании Samsung (какая ирония).
«Хорошей цифровой камеры с линзой 200 мм будет вполне достаточно, чтобы с расстояния до пяти метров захватить изображение, пригодное для обмана системы распознавания радужной оболочки глаза», - резюмирует Крисслер.
Данная атака может оказаться куда опаснее, чем банальный обман системы распознавания лиц, ведь если последнюю нельзя использовать для подтверждения платежей в Samsung Pay, то радужную оболочку глаза для этого использовать как раз можно. Найти качественную фотографию жертвы в наши дни явно не составит труда, и в итоге атакующий сможет не просто разблокировать устройство и получить доступ к информации пользователя, но и похитить средства из чужого кошелька Samsung Pay.
Специалисты Chaos Computer Club предупреждают пользователей, что не стоит доверять биометрическим системам защиты сверх меры и рекомендуют применять старые добрые PIN-коды и графические пароли.
Видеоролик ниже пошагово иллюстрирует все этапы создания фальшивого «глаза» и демонстрирует последующий обман Samsung Galaxy S8.
Представители компании Samsung прокомментировали ситуацию:
"Компании известно об этом сообщении. Samsung заверяет пользователей, что технология распознавания радужной оболочки глаза в Galaxy S8 была разработана и внедрена после тщательного тестирования, чтобы обеспечить высокий уровень точности сканирования и предотвратить попытки несанкционированного доступа.
Описываемый в упомянутом материале способ может быть реализован только с использованием сложной техники и совпадении ряда обстоятельств. Нужна фотография сетчатки высокого разрешения, сделанная на ИК-камеру, контактные линзы и сам смартфон. В ходе внутреннего расследования было установлено, что добиться результата при использовании такого метода невероятно сложно.
Тем не менее, даже при наличии потенциальной уязвимости, специалисты компании приложат все усилия, чтобы в кратчайшие сроки обеспечить безопасность конфиденциальных и личных данных пользователей".
