早稲田大学理工学術院基幹理工学研究科情報理工学専攻

(1)

2009 年度修士論文

バイオメトリック暗号を用いたテンプレート再作成可能な話者照合方式に関する研究

指導：

小松尚久

教授

2010 年 2 月 1 日

早稲田大学理工学術院基幹理工学研究科情報理工学専攻

(2)

(3)

第 1 _章

序論

1.1 研究の背景と目的

近年，ネットワーク環境の整備・普及が進み，情報配信や商品の販売等のさまざまなサービスがネットワークを介して提供され，人々の生活の利便性は向上している．しかし，第三者による不正アクセスやなりすまし，個人情報の漏洩などの犯罪は増加傾向にあり，セキュリティ面での課題は多い．個人情報をネットワーク上でやり取りするサービスにおいては，特に安全性に対する要求が高まっており，サービス利用者が本人であることを確認する個人認証の必要性は高まっている．また，米国の同時多発テロにより入出国管理等の重要性が増したことからも，厳格な本人確認手段としてバイオメトリック認証が注目されている．

個人認証の方式は，以下の3つに分類できる[1]．

• IDやパスワードなどの本人の記憶に基づく認証

• IDカードやカギなどの本人の所有物に基づく認証

• 本人の身体的あるいは行動的特徴などの生体情報に基づくバイオメトリック認証

この中で，バイオメトリック認証への注目が高まっているのは，身体的あるいは行動的特徴が本人以外持ちえない情報であり，記憶や所有物に基づく認証と異なって忘却や盗難・紛失などの心配がなく，高いセキュリティレベルと利便性が期待されるためである．しかし一方で，利用者，環境条件，運用条件，生体情報，バイオメトリック装置といった様々な要素において脆弱性が存在しており，各々の脆弱性への対策が今後の展開への重要な課題となっている[2]．

本研究では，バイオメトリック装置に関連する情報漏洩に着目し，その安全性について検討する．バイオメトリック認証では，指紋，顔，血管パターンといった個人の身体的特徴や筆跡，音声といった行動的特徴など個人に固有な情報をデータベース（以下，テンプレート）として保管するが，テンプレートは個人性が非常に強く，また，身体的・行動的特徴は，ユーザが意図的に変更することができないため，テンプレートが何らかの手段により漏洩した際のリスクが非常に大きい．そのため，これまでテンプレート漏洩への対策として様々な手法が提案されている．その中でも，従来，テンプレートと提示した生体情報から秘密情報を生成する方式であるFuzzy Vault

Schemeを用いて，生体情報の安全性を保ちつつ認証を行うバイオメトリック暗号方式について検

討を行ってきた．本手法は，秘密情報とその取得に用いるテンプレートを暗号化して保管し，本

(6)

第1章序論

人の生体情報を提示した場合のみ秘密情報を復元可能とする．しかし，同一の生体情報を用いて，

異なる秘密情報をロックしたテンプレートが複数存在する場合，その相関性を利用し，正規ユーザの生体情報を推定する多重ロック情報相関攻撃の危険性がある[3]．多重ロック情報相関攻撃への対策としては，キャンセラブルバイオメトリクスのように，生体情報をそのままの形で用いず，

変換した生体情報を用いて認証を行う手法が考えられる．そこで本研究では，生体情報を直交変換により変換することで，テンプレートの再作成を可能とする手法を提案する．生体情報のモダリティとして音声を用い，CELP話者照合方式への適用を対象とし，精度と安全性について検討する．

– 2 –

(7)

1.2 本論文の構成と概要

[ 第 1 章 ] 序論

研究を行うにあたっての背景，目的と，本論文の構成を述べる.

[ 第 2 章 ] バイオメトリック認証の脆弱性と対策

バイオメトリック情報の性質をまとめ，バイオメトリック認証における脅威・脆弱性について述べる．その中でも，テンプレートの脆弱性に着目し，対策としてのテンプレート保護技術に関する研究開発事例を述べ，本研究の位置付けをまとめる.

[ 第 3 章 ] バイオメトリック暗号を用いたテンプレート安全性に関する対策

バイオメトリック暗号方式の一実現手段として，Fuzzy Vault Schemeを用いたバイオメトリック認証について述べる．まず，Fuzzy Vault Schemeの概要と各過程の処理について説明し，

Fuzzy Vault Schemeの特徴を述べる．また，バイオメトリック認証への適用手法を述べる．

[ 第 4 章 ] バイオメトリック暗号を用いた話者照合方式

Fuzzy Vault Schemeを話者照合に適用する手法について述べ，精度評価を行う．また，同一の

生体情報から作成された複数のロック情報の相関性を利用した多重ロック情報相関攻撃について述べる．

[ 第 5 章 ] 直交変換を用いたテンプレート再作成可能なバイオメトリック暗号方式

多重ロック情報相関攻撃への対策として，生体情報を変換して扱うキャンセラブルバイオメトリクスに着目し，その概要を述べる．また，直交変換を用いることでテンプレート再作成を可能とするバイオメトリック暗号方式について提案し，話者照合方式への適用手法を述べる．

[ 第 6 章 ] テンプレート再作成可能な話者照合方式に関する評価

提案したテンプレート再作成可能な話者照合方式についての精度評価，及び，秘密情報・変換パラメータの推定に関する安全性について検討する．

[ 第 7 章 ] 結論

本論文のまとめを述べ，今後の課題を示す．

(8)

(9)

第 2 _章

バイオメトリック認証の脆弱性と対策

バイオメトリック認証は，従来，アクセス制御におけるパスワード代替利用の形態が主であった．現在は多くの情報がネットワークを介して共有化され，サービスが提供されている．また，

バイオメトリック認証はなりすましやパスワードの盗み見などのソーシャルエンジニアリングに対して非常に有効であり，作業の効率化，短縮化の面でも利便性がある．しかし，生体情報は個人性の高い身体的特徴や行動的特徴であるため，パスワードや暗証番号とは異なる脆弱性が存在し，これらはプライバシー問題に起因する．

本章では，バイオメトリック認証の脆弱性への対策を明らかにするために，まず実際に対策を施す対象である脆弱性及び脅威について説明し，情報システムへの適用における課題について述べる．そして，その中でもテンプレート保護技術に着目したテンプレート保護型バイオメトリック認証として，キャンセラブルバイオメトリクスとバイオメトリック暗号に着目し，その研究事例について述べる．また，それを踏まえ本研究の位置付けについてまとめる．

2.1 バイオメトリック情報の特徴とセキュリティ要件

バイオメトリック認証技術を情報システム分野に適用するには，精度向上などの他に，情報セキュリティの確保が重要である．情報システムはその内部に保護すべき資産（情報資産）を有しており，情報セキュリティとは事故や不正などの脅威から情報資産を守ることを意味する．一般的な情報システムが満たすべき情報セキュリティ上の要件は以下の通りである[4][5][6]．

• 機密性(Confidentiality)

情報を権限のない第三者に秘匿できること

• 完全性(Integrity)

情報を改ざん・破壊されないこと

• 可用性(Availability)

情報を必要なときに利用できること

• 真正性(Authenticity)

利用者，プロセス，システム及び情報又は資源の身元が主張通りであることを保証すること

• 責任追跡性(Accountability)

(10)

第2章バイオメトリック認証の脆弱性と対策

主体の行為からその主体にだけ至る形跡をたどれることを保証すること

• 信頼性(Reliability)

意図した動作と結果に整合性があること

バイオメトリック認証技術は，これらの情報セキュリティ上の要件を守るためのセキュリティ技術の1つに位置付けられ，特に情報資産の機密性及び完全性を確保するためのアクセスコントロールを目的に利用者の確認に用いられる．したがってバイオメトリック認証技術は，利用者の真正性を確保するための情報セキュリティ技術の1つであり，利用者の真正性はバイオメトリクック認証における情報セキュリティ要件といえる．また，情報資産の可用性を確保するには，アクセスコントロールとして用いられるバイオメトリックシステムについても，正当な利用者がいつでもこれを利用できなければならない可用性の要件が必要となる．

バイオメトリック認証で個人認証情報として用いる生体情報はそれ自身が個人を特定し得る個人情報の1つであり，さらに，生体情報から利用者の健康状態などの副次的な情報が取得できる可能性がある．したがって生体情報から得られた情報は，プライバシー情報として保護される必要があり，バイオメトリック認証におけるプライバシー保護もセキュリティ要件の1つに挙げられる．

バイオメトリック認証の安全性としては，おもに認証の精度が注目されてきたが，バイオメトリック認証技術が情報システムに適用範囲を広げた現在，精度だけでなく情報セキュリティ上の要件を考慮してバイオメトリック認証の安全性を検討する必要がある．

ここで，バイオメトリック認証の脆弱性を明らかにするために，まず一般的な情報セキュリティにおける脆弱性について簡単に説明する．

まず，脆弱性，脅威，対策及びリスクの関係を図2.1に，定義を以下に示す[6][7].

図2.1 脅威，脆弱性，対策，リスクの関係

– 6 –

(11)

2.1 バイオメトリック情報の特徴とセキュリティ要件

• 脅威：情報セキュリティ上の要件を損ない，情報システムの持っている情報資産に対して不利益をもたらす攻撃や事故

• 脆弱性：情報システム自身が持っている何らかの弱点

• 対策：脆弱性を低減するために取られる何らかの措置

• リスク：情報システムが持っている情報資産に対して不利益をもたらす可能性とそれによって生じる被害の程度

脆弱性は，情報システム内部の弱点を指し，バイオメトリックシステムの場合，生体情報の性質やシステムの設計・実装・運用などである．脅威は，これらの脆弱性を利用して実際に損害を発生させる．

リスクは，脅威となる攻撃や事故が現実に引き起こされる可能性をさし，脆弱性を低減する対策を施すことでリスクを許容できる範囲に制御する．脅威は情報システムの外部に存在し，排除するのは難しいため，実際には情報システム自身が持っている脆弱性に対して対策を講じる．

バイオメトリック認証には他のシステムとは異なる特有の脆弱性があり，それらは個人認証情報として用いる生体情報の性質に起因する．以下に，生体情報に特有の性質を3つあげ，それに関係する脆弱性について説明する[6]．

1. 生体情報は他人に晒される

パスワードや IDカードの場合，他人に渡したり知られないように運用するが，バイオメトリック認証の場合，顔や音声は常に他人にさらされており，指紋等は机やドアノブなどに残留してしまうため，生体情報を完全に秘密にすることは困難である．これは，個人認証情報である生体情報を常に他人に晒しているということになる．この性質に関連する脆弱性としては，生体情報が取得できてしまうことがあげられ，取得した生体情報をもとに生体情報を偽造するなりすましの脅威につながる．

2. 生体情報の数には限りがある

指紋や顔などのように利用者の身体的特徴を用いるバイオメトリック認証の場合，利用者が持っている生体情報の数には限りがある．暗証番号やIDカードは，他人に知られたり盗まれたりした場合，新しいもので更新できるが，バイオメトリック認証の場合，新しい生体情報で更新できるとは限らない．この性質に関連する脆弱性としては，生体情報の更新回数の制限があげられ，利用者の生体情報を公開することで，バイオメトリック認証を利用できなくする脅威につながる．

3. 生体情報は変化する

一般に生体情報は終生不変といわれているが，実際にセンサに入力される生体情報は身体の状態等により入力のたびに変化する．この性質に関連する脆弱性としては，他人受入誤差や

(12)

本人拒否誤差の発生があげられる．利便性を上げるために他人受入率を上げるように設定されている利用者を狙ったなりすましや，本人拒否による可用性の喪失などの脅威につながる．

以上より，バイオメトリック認証を利用する際はこれらの脆弱性と結びつく脅威を考慮してシステムを運用していくことが重要となる．

2.2 テンプレート保護手段と研究開発

前節で述べたように，バイオメトリック認証には様々な脅威と脆弱性が存在する．その中でも，

テンプレートは変更不可能であるため，情報漏洩に対するリスクが非常に大きく，テンプレートから元のバイオメトリック情報を復元できないように不可視化し，テンプレートが漏洩した場合にそれを無効化するテンプレート保護技術が求められている [2][8]．テンプレート保護技術に関しては，これまで多くの方式が提案されているが，幾何学的変換，信号の部分的削除，ランダムパターンの畳み込み，統計モデル，Anonymous Biometrics，Fuzzy Vault Scheme，Secret key

maintenanceなどの手段を単独または組合せて用いることにより実現されることが多い[2]．その

中でも本節ではテンプレート保護技術の研究事例として，キャンセラブルバイオメトリクス，バイオメトリック暗号の2方式についてネットワークを介したサーバ・クライアント型のバイオメトリック認証モデルを例に手法の概要を説明し，各々の方式の代表的な研究事例を紹介する．

2.2.1 キャンセラブルバイオメトリクスの概要

キャンセラブルバイオメトリクス[9]は生体情報に秘密の変換を施した状態で登録及び照合を行うテンプレート保護型バイオメトリック認証の一方式である．本手法では，ユーザから得られた連続的または離散的な生体情報に一方向性関数と呼ばれる変換関数を施し，非可逆に変換した情報をテンプレートとしてサーバに保管する．このため，サーバに元の生体情報を秘匿した状態で認証を可能とする．

図2.2にキャンセラブルバイオメトリクスの概要を示す．登録時は，クライアントがユーザの生体情報B_rを取得し，変換パラメータθ で決定される変換関数F_θにより生体情報B_rを変換してFθ(Br)をサーバに送信する．サーバはこれをテンプレートとして登録し，変換パラメータθ はクライアントあるいはトークンが保持し，サーバに対して秘匿する．照合時は，登録時と同様にクライアントがユーザの生体情報B_v を取得し，変換関数F_θ により生体情報B_v を変換して Fθ(Bv)をサーバに送信する．サーバはテンプレートFθ(Br)とFθ(Bv)を比較し，BrとBv の類似度を示す照合値を計算する．変換パラメータθ やテンプレートFθ(Br)が漏洩した際は，変換パラメータθを変更し，テンプレートの破棄及び再登録により，生体情報を変更することなくセキュリティを維持できる．

また，この方式の長所として，保護後のテンプレートの形式やデータの意味がテンプレート保

– 8 –

(13)

2.2 テンプレート保護手段と研究開発

図2.2 キャンセラブルバイオメトリクスの概要

護を行わない従来のテンプレートとの互換性が高い点がある．そのため，特徴抽出やマッチングのアルゴリズムがそのまま利用でき，プライバシーが保護されたテンプレートへの移行がスムーズに行えるという運用上のメリットが大きい.

2.2.2 キャンセラブルバイオメトリクスの研究事例

キャンセラブルバイオメトリクスの代表的な研究事例を以下に示す．

■幾何学変換方式

本方式は，2001年に米国 IBMのRathaらにより提案された変換方式である[9]．この方式では，生体情報を表す画像に意図的な歪みを加え，幾何学的に変換することで，元の情報を復元できないようにするという概念を用いている．例えば，二次元の情報をブロックごとにスクランブルして，複数のブロックから同じブロックへ特徴点を写像させると，元の特徴点の位置は一意に復元できない．連続関数の場合は，特定の関数を用いて変形させると，変換後の値から変換前の値を一意に復元不可能である．

Rathaはこの概念の具体的な実現方法として予測不可能な幾何学的変換を与えて，元の情報が

復元できないようにする手法を提案した．図2.3に示すモーフィングでは，ブロックの形状に幾何学的な歪みが加えられ，それに合わせて元の図形を歪ませている．図2.4に示すブロック置換では，ブロック単位で位置を入れ替えることにより元のテンプレート情報を予測することが困難になる．この手法は離散的に存在する特徴点などのテンプレート情報を保護するのに適している．

しかし，図2.4のように指紋画像に対するブロック置換の場合，指紋隆線の連続性から容易に元の画像を復元できる．したがって，幾何学変換の場合，元の画像を可逆的に求められる危険性

(14)

が残る．

しかし, ブロック置換の場合には, ブロックを小さく取ると特徴点の微小な位置ずれに対してミスマッチが生じるため, 位置ずれの許容力よりもブロックを大きく取らねばならない. そのためスクランブルのパターンが限られるという問題がある. また, モーフィングの場合にも小さな変形はスクランブルの効果がなく, 大きな変形のパターンは限られるという問題がある.

図2.3 モーフィング図2.4 ブロック置換

■点パターン非可逆変換方式

本方式は，幾何学変換方式と同様にIBMのRathaらにより提案された変換方式である[9]．生体情報から特徴点と呼ばれる離散的な情報を作成し，非可逆に変換する．変換例としては，図2.5 に示すように特徴点をランダムにスクランブルするブロックスクランブルと，図2.6に示すように非線形の特徴を持つ多次元関数による変換がある．

変換後の特徴点の集合から元の特徴点の集合を推測することは難しい．しかし，画像から特徴点を抽出する際に，登録用画像と照合用画像において特徴点の位置ずれや回転ずれが生じることや，ブロック境界付近に存在する特徴点がどのブロックに配置されるかなどにより精度が大きく劣化する場合がある．一方，精度劣化を考慮してブロックサイズを大きくすると，スクランブルの組み合わせが限られてしまい，セキュリティ強度が下がる．このため，精度劣化とセキュリティ強度のトレードオフの設定が重要な課題となる．

図2.5 ブロックスクランブル図2.6 多次元非線形関数

– 10 –

(15)

■相関不変ランダムフィルタリング方式

本方式は，2006年に日立により提案された画像マッチングに基づくランダムパターンによる畳み込み方式である[10]．図2.7に本方式の概要を示す．

登録時は，登録用画像を数論変換した後にランダムフィルタを乗算し，これをサーバに登録する．照合時は，同様に照合用画像を数論変換した後にランダムフィルタの逆元を乗算し，さらにこれをテンプレートと乗算する．そして，得られた画像を逆数論変換し，登録用画像と照合用画像の相関値を計算する．この方式では，日立による復元困難性，精度保存性，脆弱性分析などが行われており，他の方式に比べて信頼度は高い．

図2.7 相関不変ランダムフィルタリング

2.2.3 バイオメトリック暗号の概要

バイオメトリック暗号は生体情報の歪みやノイズを補正して一意のデータを生成し，これを鍵として暗号技術に基づく認証を行う方式である．暗号技術としては，パスワード認証と同様にサーバに保管された生成鍵のハッシュ値を検証する認証手段や公開鍵をサーバに保管し，生成鍵を秘密鍵とするPKIに基づく認証手段がある．いずれの手段においても，サーバに元の生体情報と生成鍵を秘匿した状態で認証を可能とする．

バイオメトリック暗号の機能構造を図2.8に示す．登録時は，クライアントがユーザの生体情報B_rを取得し，安定して一意の鍵K を生成するための補助情報W を生成する．補助情報W はクライアントあるいはトークンが保持する．照合時は，登録時と同様にクライアントが生体情報 Bvを取得し，補助情報W を用いて鍵K を生成する．PKIに基づく認証手段の場合，公開鍵KV

をサーバが保持し，生成鍵を秘密鍵KP として，CHAP認証などにより秘密鍵を検証する．補助情報W や鍵K が漏洩した際は，鍵K を変更し，補助情報W の破棄及び再登録により，生体情報を変更することなくセキュリティを維持できる．

(16)

図2.8 バイオメトリック暗号の機能構造

2.2.4 バイオメトリック暗号の研究事例

バイオメトリック暗号の代表的な研究事例を以下に示す．

■統計的AD 変換による鍵生成方式

本方式は，静岡大により提案された方式であり，統計的AD変換を用いた鍵の生成方式である [11]．この方式では，統計的AD変換を用いて生体情報から常に一意なユニークIDを抽出し，得られたIDから生成した鍵を認証鍵として利用する．統計的AD変換は，正規ユーザの生体情報の特徴量の平均や標準偏差が不特定多数の生体情報の特徴量の平均や標準偏差と異なるという統計的な性質に基づき，ユーザ各々の生体情報をリアルタイムで常に一意なユニークIDに変換する技術である．以下，指紋を例にとり説明する．

本方式では，指紋を小さなブロックに分割し，各ブロック内の隆線の傾きを指紋の特徴量としている．登録時は，正規ユーザの指紋を複数回読み取り，各々の指紋データの特徴量を算出する．

その後，算出された特徴量の統計を測り，正規ユーザの指紋の特徴量の平均µと分散σを計算する．このとき，特徴量の誤差が正規分布に従っていると仮定するならば，正規ユーザの指紋の特徴量は約99.7%の割合で[µ＋3σ, µ−3σ]の中に収まると期待できるため，この区間を正規ユーザの特徴量の許可範囲とする．そして，図2.9に示すように，特徴量空間における他の区間をこの許可範囲と同じ大きさに分割し，分割された全ての区間に対して乱数を割り当てる．システムには各区間の境界と各区間の乱数のみを記憶する．以下，この情報を特徴量のスケールと呼ぶ．照合時，

指紋からIDを抽出する際には，同様に読み取った指紋から特徴量を算出し，その特徴量が含まれる区間に割り当てられた乱数をIDとする．ある1つの特徴量が許可範囲の中に入るユーザは多数存在するが，抽出する特徴量の数を十分に増やすことで他人受入率を減少させることができる．

しかし，指紋は変更することができないため，認証鍵の失効及び更新に対処する必要がある．そこで，指紋IDにパスナンバーと呼ばれる乱数を結合したデータのハッシュ値を認証鍵とする．

しかし，この方式では，認証鍵生成アルゴリズムに固有のゆがみが生じる可能性があり，鍵空

– 12 –

(17)

間上に一様に分布しないことを利用した鍵解読の脅威がある．また，スケールの各区間から抽出した乱数よりIDを生成する際に，事前の位置合わせが必要となる．

図2.9 統計的AD変換におけるスケール

■Fuzzy Commitment Scheme

Fuzzy Commitment Schemeは1999年，Juelsらによって提案された暗号化アルゴリズムである[12]．特徴量x, x⁰ の距離がハミング距離で与えられる場合に，誤り訂正符号を用いて秘密鍵を生成する．

C ⊆ {0,1}ⁿを符号語の組，X ⊆ {0,1}ⁿを鍵の集合としたとき，Fuzzy Commitment Scheme はF :C×X →Y という関数で表される．c∈C な符号語を選択し，それを送るため，送信者は x∈X な証拠を選択する．hを一方向性関数，δをx=c+δを満たすビットとし，y= (h(c), δ) を得る．cを復元するにはF の逆関数F⁻¹ : Y ×X → C を用いる．しかし，その際使用する証拠は必ずしもxである必要はない．ハミング距離がxに近いx⁰ を用いても復元できることが Fuzzy Commitment Schemeの特徴の一つである．

バイオメトリック認証に適用する際は，xを指紋や音声などの生体情報，cをテンプレートで保護する秘密鍵とする．図2.10 にFuzzy Commitment Schemeをバイオメトリック認証へ適応した概要を示す．登録時には，登録者より生体情報xを抽出し，それと誤り訂正符号化した秘密鍵 cとの排他的論理和を算出し，補助情報Rとしてサーバに保管する．照合時には，認証者から生体情報x⁰ を抽出する．x⁰ とサーバに保管されているRとの排他的論理和をとったものを次式に示す．

x⁰⊕R=x⁰⊕(x⊕c)

= (x⁰⊕x)⊕c

=²⊕c

²はx⁰ とxの誤り部分である．²が誤り訂正範囲内であれば²⊕c→ cとなり，照合成功となるが，²が誤り訂正範囲外であると秘密鍵の復元ができず，照合失敗となる．

■Bioscrypt

2.2.1のキャンセラブルバイオメトリクスのように一方向関数は使うものの，特徴抽出やマッチングのアルゴリズムに互換性を持たせた方式とは異なり，暗号理論を用いてテンプレート情報を保護するとともに，入力画像の揺らぎを補助情報を用いて訂正する機能を与えたものが考案されている．SoutarのBioscrypt[13]では，次のような3つのステップによって元のバイオメトリッ

(18)

図2.10 Fuzzy Commitment Schemeのバイオメトリック認証への適用

ク情報を隠蔽しつつテンプレート情報を登録し，テンプレート情報と新たなサンプルの照合を実現している．

図2.11にBioscryptの登録過程を示し，図2.12に照合過程を示す．図2.11において登録時の入力サンプルは，Xi (i= 1,· · · , n)である．それぞれの入力サンプルは，フーリエ変換によって周波数空間での表現に変換され，その虚数部im(X_i)の平均値A₀(u)に対して，入力信号と全く無相関の信号Sr を畳み込んで，それをフィルタH(u)とし，そのフーリエ逆変換を c0(X)とする．ここで全く無相関の信号Sr を畳み込むことによって，X をH(u)やc0 から推測することは不可能である．さらに，c₀は二値化されて二次元ビットパターンになり，ランダムに設定されたキーk0 の0，1に応じて 0，1を示すビットパターンをルックアップテーブル（LUT）に記憶させ，そのLUTがテンプレート情報T としてデータベースに記憶される．

図2.12に示す照合時には同じ情報がノイズを受けてY_i (i= 1,· · · , n)として観測されると考える．このようにして得られたYi に対して同じくフーリエ変換を行い，その虚数部im(Yi)の平均値A1(u)に対して，データベースから得たH(u)を畳み込んで，フーリエ逆変換を行ってc1(Y) を得る．c1(Y)を二値化した二次元ビットパターンにデータベースから読み出したLUTを適用して，LUTに記載された位置において0，1頻度を計算してキーk1 を復元する．最後に，k0 に適用したものと同じハッシュ関数を適用しId1を得て，Id0 と一致すれば照合が成功する．

この方式でテンプレート情報のデータベースに保存される情報は，フーリエ変換した入力サンプルの虚数部の平均パターンにランダムなビットパターンS_r を畳み込んで得られたフィルタ H(u)，畳み込み結果をフーリエ変換して閾値処理した二次元二値ビットマップにランダムなキー k0 を適用して得られるルックアップテーブル，k0 のhash値だけであり，これらの値から生のバイオメトリック情報X_i や，その成分を復元することができないという復元困難性と，テンプレート情報のデータベースが漏洩した場合には，Sr あるいはk0 を変更することで，新しいテンプレート情報を生成でき，漏洩したテンプレート情報を無効化することができる．無効化したテンプレート情報と新しいテンプレート情報はS_rとk₀ が無相関であるため一方から他方を推定す

– 14 –

(19)

ることができないという安全性が保障されている．しかし，この方式ではデータの揺らぎは相関フィルタによってのみ吸収されており，データが大きく揺らぐとキーの復元に失敗する．またバイオメトリックデータがあらかじめ位置合わせされていることが前提となっている[2]．

図2.11 Bioscryptの登録過程

図2.12 Bioscryptの照合過程

(20)

■Anonymous Biometrics

Anonymous Biometrics [14]は誤り訂正符号を用いた揺らぎ吸収による個人認証技術である．

Tuylesらが複数のアーキテクチャを整理し，補助情報を用いるAnonymous Biometricsの一般形として図2.13を示した．

図2.13 補助情報を使うAnonymous Biometricsの基本アーキテクチャ

この方法は，エラー訂正される範囲εと識別可能距離δとのパラメータを指定して, 識別性能を作り込むことが可能であり，広範囲に利用できることが予想されるが，現実の運用に当たっては，

上記2つのパラメータ設定が非常に難しい．これら2つのパラメータを的確に設定するためには，

多くのサンプルデータを用いて入力の雑音・揺らぎを推定することが必要となる．しかし，登録・

照合時に十分多くのサンプルを得ることは利便性の点で困難であり，またバイオメトリック情報の取得においては，ノイズは短期的には小さいが，時間が経つにつれて大きくなるという性質がある．そのため，登録時に本人だけから複数回取得したサンプルを用いて，ノイズ推定を行った場合，長期間の運用においてはエラー訂正の範囲を超えて，本人拒否が多発することが予測される．また，使用するモダリティや環境条件などによって, エラーの起こる可能性が変化するため，

その都度エラー訂正を設計する必要がある．

2.3 本研究の位置付け

バイオメトリック暗号においては，生体情報を用いて秘密鍵を生成し，暗号技術を利用して認証を行っている．

• 認証サーバに対して生体情報を秘匿したまま認証できる

• PKIやパスワード認証とバイオメトリック認証をアルゴリズムレベルで連携可能

といった利点があり，安全性に優れているが，一方でバイオメトリック認証に使われる補助情報が信頼性を失ったときの対処の方法に課題が残る[15]．従来の記憶に基づく認証や所有物に基づ

– 16 –

(21)

2.3 本研究の位置付け

く認証の場合，例えば，鍵，トークン，パスワード等の信頼性が失われたとき，これらの認証装置を簡単に無効化でき，何度でも再発行することができる．一方，バイオメトリック認証の場合，

人工的に再現可能なほど詳細な生体情報が攻撃者の手に渡った場合，生体情報は変更できないため，なりすましの脅威につながる可能性がある．

上記の脅威への対策として，キャンセラブルバイオメトリクスがある．キャンセラブルバイオメトリクスは，生体情報を変換したまま登録・照合を行っている．テンプレートが漏洩したとしても，元の生体情報は秘匿されたままであり，偽造生体の作成に利用されるといったリスクが低減される．また，変換パラメータθ を変更することで補助情報のキャンセルが可能であり，テンプレートの再作成が可能となる．しかし，安全性は変換関数を決定する変換パラメータθ が秘匿されていることが前提となっており，変換パラメータθ が漏洩すると，生体情報を復元されてしまう．

そこで，本研究では

• 補助情報の変更が可能である

• 変換パラメータが漏洩しても安全性が保たれる

という2点に着目し，バイオメトリック暗号方式にキャンセラブルバイオメトリクスの概念を導入することで，安定したセキュリティレベルを実現することを目的とする．

(22)

(23)

第 3 _章

バイオメトリック暗号を用いたテンプレート安全性に関する対策

本研究では，幾何学的変換と誤り訂正符号の両手法を組み合わせたFuzzy Vault Schemeを用いたバイオメトリック暗号について検討を行う．本章では，Fuzzy Vault Schemeの概要を説明し，バイオメトリック認証への適用法を述べる．

3.1 Fuzzy Vault Scheme の概要

Fuzzy Vault Scheme [16]は，2002年にJuelsらによって提案された，任意の情報の組を用いてある情報を隠す暗号方式の一種である．

まず，ロック過程において秘匿したい情報Sを任意の情報の組P を用いて解読不可能な状態に変換する．アンロック過程においては，P と同じ形式の情報の組Qを与え，P とQの大部分が一致すればS を復元可能である．Fuzzy Vault Schemeの概要を図3.1に示し，以下にロック過程とアンロック過程について述べる．

secret S

Set P

secret S

if Set P ≒ ≒ ≒ ≒ set Q

Unlocked

Locked

Set Q

secret S

compare

図3.1 Fuzzy Vault Schemeの概要図

(24)

第3章バイオメトリック暗号を用いたテンプレート安全性に関する対策

3.1.1 ロック過程

秘密情報S とn個の要素からなる任意の情報の組P を用意する．

P ={P₁, P₂,· · · , P_n−1, P_n}

S の値を元に，S の値が各次数の係数となるような多項式S(X)を生成する．Sがk個の要素から構成されている場合，S(X)は次式で表せる．

S(X) =S1+S2X +· · ·+SkX^k−1

ここで，P の要素Piを多項式S(X)に代入した結果S(Pi)を求め，Pi とペアにしてテンプレート情報T とする．

i= 1→n

(Xi, Yi)←(Pi, S(Pi)) T ←T ∪(Xi, Yi)

しかし，このままではT が漏洩した際に，P を推定される可能性がある．そこで，T の秘匿性を保つためにダミーデータDを作成し，T の要素に加えてロック情報V とする．

i=n+ 1→r

(X_i, Y_i)←(α_i, β_i) D←D∪(X_i, Y_i) V ←T ∪D

Fuzzy Vault Schemeにおけるダミーデータの作成条件を以下に示す．

• P と同様の形式である

• P と重複しない

従って，ダミーデータの条件式は次のように表せる．

αi 6∈ P βi6=S(αi)

また，V は1∼nがP より作成したペアであり，n+ 1∼rがダミーデータという並び順になっている．そこで，P の要素とダミーデータの判別を困難にするために，V をランダムにシャッフルした後で保管する．

– 20 –

(25)

3.1 Fuzzy Vault Schemeの概要

3.1.2 アンロック過程

ロック用情報の組P と同じ形式の情報の組Qを用いて，ロック情報V から秘密情報S を復元する．

Q={Q₁, Q₂,· · · , Q_n−1, Q_n}

まず，QからQ_iを選ぶ．次に，このQ_i とロック情報V 中の任意の値X_jを比較し，一致するものが存在すればXj のペアである(Xj, Yj)が選び出される．また，V 中のいずれとも一致しなければnullが返される．

i= 1→n

f oreach i, j = 1→r if(Qi =Xj)

(Qi, Yi) = (Xj, Yj) = (Xj, S(Xj)) Xj ∈P (Qi, Yi) = (Xj, Yj) = (Xj, βj) Xj 6∈P if(Q_i 6=X_j)

(Q_i, Y_i) = (Q_i, null) V¯ ←V¯ ∪(Qi, Yj)

以上より，n個のペア(Qi, Yi)が得られる．このうち，(Pi, S(Pi))のペアがk個以上得られれば，k 次の多項式S(X)は連立一次方程式を解くことにより求めることができる．復元の過程でダミーデータ(αj, βj)とQ中の任意の値が一致する場合も存在するが，この場合βi 6= S(αi)であり，正しいS(X)が復元されることはない．

3.1.3 Fuzzy Vault Scheme の特徴

Fuzzy Vault Schemeの特徴を以下に示す．

• 秘密情報S や情報の組P，Qの値は任意に選ぶことができる

Fuzzy Vault Schemeのアルゴリズムに適当な形式の情報であればS，P，Qに適用できるため，様々な場面での利用が想定される．

• P やQの並び順を考慮する必要はない

アンロック過程においてQはP と総当りで比較するため並び順を考慮する必要はなく，正規のP とダミーデータをランダムにシャッフルして保管することが可能である．

• アンロック時は大部分が一致すれば良いため，Fuzzinessな情報に対応可能

P とQが完全一致ではなく部分一致の場合でもS の復元が可能であるため，登録時と照合時で誤差が生じやすい生体情報などに適している．

• 秘密情報S はシステムに保管しなくても良い

システムに保管されているロック情報にS は含まれないため，情報が漏洩した場合でもS が復元されることはない．これは，Fuzzy Vault Schemeが多項式復元問題によりセキュリ

(26)

ティが保たれていることに由来する．システムに実際に保管される情報は，P の要素のペア (Pi, S(Pi))とダミーデータのみであり，ここから多項式S(X)を復元することは困難である．

• ダミーデータが加えられるため，テンプレート情報の高い秘匿性が守られる

ダミーデータを加えることにより総当り攻撃への耐性が強化され，さらにテンプレート情報 T の判別が困難になるため，SおよびP の安全性が保たれる．

Fuzzy Vault Schemeは分散したn個の秘密情報のうちk 個以上の情報が得られれば元の秘密

情報が復元可能となる手法であり，(n, k)閾値秘密分散法の応用例である．しかし，(n, k)閾値秘密分散法による秘密情報復元手法では，ダミーデータとアンロック用情報の要素の一致が増えた場合，連立方程式の組立が困難となる．そこで，バイオメトリック認証に適用する際は，この問題を解決する効率的な秘密情報復元手段として，誤り訂正符号を用いた秘密情報の復元手法を用いる．

3.2 バイオメトリック認証への適用

Fuzzy Vault Schemeのバイオメトリック認証への適用は，

S:任意の情報 P:登録用生体情報 Q:照合用生体情報

と設定することにより可能になる．認証システムにおいて照合者が登録者本人であれば登録用生体情報と照合用生体情報，つまりP とQは一致する可能性が高くなるため秘密情報S を復元することができ，詐称者の場合は一致する可能性が低くなるため秘密情報S を復元できないということが期待される．図3.2にFuzzy Vault Schemeを用いたバイオメトリック暗号の概要を示す．

登録時はS の要素を係数とする多項式S(X)を生成し，S(X)を誤り訂正復号器に入力して符号語F を得る．得られた符号語のうち，検査符号C の各要素とその参照番号L，登録用生体情報 Br の各要素をペアとしてテンプレート情報T へ追加する．さらに，ダミーとして偽の生体情報と検査符号をB_rおよびC と重複しない範囲で作成して，作成されたダミーと参照番号をペアとしてダミーデータDへ追加し，T へ加えてロック情報V とする．最後にV の要素の並び順をランダムにシャッフルし，これをシステムに保管する．

照合時は登録時と同様に照合用生体情報B_v を提示し，V 中の全てのペアとマッチングを行い，

一致したペアを抽出する．一致した全てのペアV¯ から検査符号部C¯を抽出し，誤り訂正用の多項式C(X¯ )を生成する．C(X)¯ を誤り訂正符号器へ入力することにより多項式Sd(X)が生成され，

またその係数から復元情報Sd が生成される．ここで，BrとBv の類似性が高ければ，S =Sdとなり，秘密情報Sが復元される．

– 22 –

(27)

3.2 バイオメトリック認証への適用

図3.2 Fuzzy Vault Schemeを用いたバイオメトリック暗号

3.2.1 正規データの作成

2を法とする拡大次数mのガロア体GF(2^m)上のk個のシンボルからなる秘密情報S，n個の要素からなる登録用生体情報Brを用意する．

S ={S₁, S₂,· · · , S_k−1, S_k} (3.1)

B_r ={B_r₁, B_r₂,· · · , B_r_n−1, B_r_n} (3.2) ここで，S の値が各次数の係数となるような多項式S(X)を生成する．

S(X) =S₁+S₂X +· · ·+S_kX^k−1 (3.3)

このS(X)を情報符号とみなし，これを最大距離分離符号であるReed-Solomon符号（以下，RS 符号）に符号化する．誤り訂正符号は情報符号と検査符号からなり，ここでは情報符号がS(X) に対応する．検査符号の要素数がg個である生成多項式G(X)を用いてS(X)を符号化したとする．このとき，g個の要素からなる検査符号C，およびCを多項式表現したC(X)はそれぞれ次のように表せる．

C ={C₁, C₂,· · · , C_g−1, C_g} (3.4)

C(X) =C1+C2X+· · ·+CgX^g−1

=S(X)mod G(X) (3.5)

以上より，RS符号により，S(X)を符号化した符号語F，およびF を多項式表現したF(X)はそれぞれ次のように表せる．

F ={C1, C2,· · · , Cg−1, Cg, S1, S2,· · · , Sk−1, Sk}

(3.6)

F(X) =X^gS(X) +C(X) (3.7)

(28)

得られた情報のうちS は削除し，C とBr の間でペアを生成して正規データT とする．情報符号に対応する部分は全て誤り位置の明らかな誤り（以下，消失誤り）とする．このとき，Cの要素とB_r の要素は一対一に対応させるため，B_r の要素数をn= gと設定し，正規データT は次式で表せる．

T ={T1, T2,· · ·Ti,· · · , Tg−1, Tg} (3.8) また，誤り訂正符号を行うためには，照合時に検査符号の要素が正しい並び順で復元されなければならない．このため，登録時にBr，C の要素に加え，ペアとして保管される検査符号の参照番号N ={N1, N2,· · · , Ng−1, N g}を保管する．照合用生体情報 Br，検査符号C，参照番号 N のi番目の要素をそれぞれB_r_i, C_i, N_i として，そのペアを次のように表記する．

Ti = (Bri, Ci, Ni) (3.9)

3.2.2 ダミーデータの作成

Fuzzy Vault Schemeをバイオメトリック認証へ適用する際は，セキュリティ上ダミーデータの

付加は必須である．ダミーデータが付加されなかった場合，システムに保管されている情報は正規データのみであるため，以下の問題点が発生する．

• ロック情報が漏洩した際に，生体情報が容易に復元され，個人を特定される危険性がある

• ロック情報が漏洩した際に，誤り訂正復号により，秘密情報の復元が容易に行われる

• 漏洩したロック情報に含まれる登録用生体情報をそのまま照合用生体情報としてシステムに入力することで，認証が受理される

以下，Fuzzy Vault Schemeを用いたバイオメトリック暗号におけるダミーデータの作成手法に

ついて述べる．

正規データT にダミーデータDを加え，ロック情報V を作成する．ダミーデータDは，ロック情報に含まれるペア数をr個とすれば，次のように表せる．

D ={D1, D2,· · · , Di,· · · , Dr−n−1, Dr−n}

Di = (αi, βi, γi) (3.10)

照合過程においてダミーデータと一致した際に，一致したダミーデータのペアから正しい検査符号が取得できてはならない．また，ダミーデータの参照番号に当たるγiが検査符号C とペアに保管している参照番号N 以外の参照番号であると，正規のデータとダミーデータを容易に判別できるため，N に含まれる参照番号の範囲内を設定する．したがって，ダミーデータが満たすべき条件は次のように表せる．

αi 6∈P , βi 6∈C

1<=γi<=g (3.11)

– 24 –

(29)

3.2 バイオメトリック認証への適用

ダミーデータDをこのまま保管した場合，要素の並び順から任意の情報Brが推測される可能性がある．このため，Dの要素をランダムにシャッフルした後に，最終的なロック情報V としてシステムに保管する．

3.2.3 誤り訂正符号による秘密情報の復元

照合時には登録時と同様にn個の要素からなる照合用生体情報Bv を提示する．

Bv ={Bv1, Bv2,· · · , Bvn−1, Bvn} (3.12) そして，提示されたBv とロック情報V の間で照合を行う．ここで，V の各要素は正規データT のペアかダミーデータDのペアかの判別ができないため，(x, y, z)形式で表現する．このとき，

V のi番目の要素は次式で表せる．

Vi = (xi, yi, zi) (3.13)

Bv のi番目の要素Bvi とV のj 番目の要素Vj を比較する場合，以下の手順でマッチングを行い，マッチしたペアを抽出ロック情報V¯ として抽出する．

f or i = 1→n; j = 1→r if(Bvi =xj)

V¯ ←V¯ ∪(Bvi, yj, zj)

ただし，以下の条件を満たすとする．

yj ∈C, zj ∈L if Bvi ∈Br

yj 6∈C, zj ∈L if Bvi 6∈Br

マッチングによりm個のペアが得られたとすると，抽出ロック情報V¯ は次式で表せる．

V¯ ={V¯1,V¯2,· · ·V¯i,· · ·,V¯m−1,V¯m} (3.14)

得られたV¯ から，部分的な検査符号C¯ を得る．抽出検査符号C¯を多項式表現したC(X)¯ は次式で表せる．

C¯(X) =y₁X^z¹+y₂X^z² +· · ·+y_m−1X^z^m−1 +y_tX^z^m (3.15) 以上より，得られた抽出検査多項式C(X¯ )を誤り訂正復号器へ入力することでS(X)が復元され，S(X)の係数より復元情報 S_d が生成される．B_r とB_v の類似性が高ければ，S = S_d となり，秘密情報S が復元される．

ここで，照合過程において秘密情報S を復元するために，情報の組 (xi, yi)がいくつ必要か検討する．秘密情報S の要素数をk，検査符号の要素数をg，照合時に選び出された抽出情報中で照合者本人に帰属する情報の組の数をmt とする．符号語F(X)全体の誤りの個数を考えたとき，

秘密情報S から生成した多項式S(X)は保管時において意図的に消去するので，すべての要素が

(30)

誤りとなる．そしてそれらは，誤り位置が既知であるので，消失誤りは秘密情報の要素数であるk 個となる．また，秘密情報S 作成者本人による抽出情報がmt 個あることになり，検査符号の多項式C(X)における要素の誤りは，検査符号の要素数から一致数を引いたg−m_t 個である．それらは誤り位置が未知であるので，ピュア誤りはg−mt 個となる．

誤り訂正の訂正能力を示す条件式[17][18][19]は

2×(誤りの個数) + 1<=^最小距離(D =g+ 1) (3.16) である．ここで，ピュア誤りの個数と消失誤りの個数の和が誤りの個数となるので，(3.16)式に代入して展開すると，

m_t >= k+g

2 (3.17)

となる．つまり，登録用生体情報Brと照合用生体情報Bv が ^k+g₂ 個以上一致すれば，秘密情報 S が復元可能となる．

– 26 –

(31)

第 4 _章

バイオメトリック暗号を用いた話者照合方式

Fuzzy Vault Schemeは，テンプレートの形式を問わないため，様々なモダリティへの適用が可

能となる．本研究では，生体情報のモダリティとして音声を用いて秘密情報を秘匿するバイオメトリック暗号について述べる．また，セキュリティ要件を整理し，生体情報推定の脅威について検討する．

4.1 Fuzzy Vault Scheme を用いた話者照合方式の概要

CELP話者照合方式におけるパラメータの中から，Fuzzy Vault Schemeに利用するパラメータを選ぶ条件としては，

1. 人によって明確な値の差が出ること

2. 発声時において環境などの影響を受けにくいことが挙げられる．

これらの条件に着目し，各パラメータの特徴[20] [21] [22] [23] [24]を以下の表にまとめる．

表4.1 各CELPパラメータの特徴パラメータ条件1 条件2 備考

LSP ○ ○ 条件2 についてはPITCHによるフレーム選択を行うことにより条件をクリア．

PITCH 4 × 人によって多少の値の差が出る可能性あり．

発声する毎に値が変化する可能性あり．

固定コードブック符号帳 × × 個性があるとは考え難い，さらに発声する毎に値が変化する可能性あり．

Gain 符号帳 × × 個性があるとは考え難い，発声する毎に値が変化する可能性あり．

(32)

第4章バイオメトリック暗号を用いた話者照合方式

図4.1 Fuzzy Vault Schemeを用いた話者照合方式

表4.1より，条件を満たすパラメータとしてLSP（Line Spectrum Pair）が適していることが分かる．したがって，Fuzzy Vault SchemeをCELP話者照合方式に適用する際は，登録及び照合に用いる生体情報としてLSPを用いる．なお，ここで用いるLSPの分析次元数はITU-T勧告

G.729に準拠し，10次元とする[22]．話者照合方式への適用手法の概要を図4.1に示し，以下に

登録・照合の手順を述べる．

4.1.1 音声の登録手順

音声の登録手順の概要は以下のとおりである．

図4.2 登録手順の概要図

– 28 –

早稲田大学 理工学術院 基幹理工学研究科 情報理工学専攻

2009 年度修士論文

バイオメトリック暗号を用いたテンプレート 再作成可能な話者照合方式に関する研究

小松 尚久

2010 年 2 月 1 日

早稲田大学 理工学術院 基幹理工学研究科 情報理工学専攻

目次

第 1 章

序論

1.1 研究の背景と目的

1.2 本論文の構成と概要

[ 第 1 章 ] 序論

[ 第 2 章 ] バイオメトリック認証の脆弱性と対策

[ 第 3 章 ] バイオメトリック暗号を用いたテンプレート安全性に関する対策

[ 第 4 章 ] バイオメトリック暗号を用いた話者照合方式

[ 第 5 章 ] 直交変換を用いたテンプレート再作成可能なバイオメトリック暗号方式

[ 第 6 章 ] テンプレート再作成可能な話者照合方式に関する評価

[ 第 7 章 ] 結論

第 2 章

バイオメトリック認証の脆弱性と対策

2.1 バイオメトリック情報の特徴とセキュリティ要件

2.2 テンプレート保護手段と研究開発

2.2.1 キャンセラブルバイオメトリクスの概要

2.2.2 キャンセラブルバイオメトリクスの研究事例

2.2.3 バイオメトリック暗号の概要

2.2.4 バイオメトリック暗号の研究事例

2.3 本研究の位置付け

第 3 章

バイオメトリック暗号を用いた テンプレート安全性に関する対策

3.1 Fuzzy Vault Scheme の概要

secret S

Set P

secret S

if Set P ≒ ≒ ≒ ≒ set Q

Set Q

secret S

compare

3.1.1 ロック過程

3.1.2 アンロック過程

3.1.3 Fuzzy Vault Scheme の特徴

3.2 バイオメトリック認証への適用

3.2.1 正規データの作成

3.2.2 ダミーデータの作成

3.2.3 誤り訂正符号による秘密情報の復元

第 4 章

バイオメトリック暗号を用いた 話者照合方式

4.1 Fuzzy Vault Scheme を用いた話者照合方式の概要

4.1.1 音声の登録手順

早稲田大学理工学術院基幹理工学研究科情報理工学専攻

バイオメトリック暗号を用いたテンプレート再作成可能な話者照合方式に関する研究

小松尚久

早稲田大学理工学術院基幹理工学研究科情報理工学専攻

第 1 _章

第 2 _章

第 3 _章

バイオメトリック暗号を用いたテンプレート安全性に関する対策

第 4 _章

バイオメトリック暗号を用いた話者照合方式