एक यूनिवर्सल फेशियल आईडी ‘मास्टर की’ मशीन लर्निंग के माध्यम से

इतालवी शोधकर्ताओं ने एक तरीका विकसित किया है जिससे यह संभव है कि किसी भी उपयोगकर्ता के लिए फेशियल रिकग्निशन आईडी चेक्स को बायपास किया जा सके, जो डीप न्यूरल नेटवर्क (DNN) पर प्रशिक्षित सिस्टम में हैं।

यह दृष्टिकोण तब काम करता है जब लक्ष्य उपयोगकर्ता प्रशिक्षण के बाद सिस्टम में नामांकित होते हैं, और संभावित रूप से एंड-टू-एंड एन्क्रिप्टेड सिस्टम के प्रदाताओं को फेशियल आईडी प्रमाणीकरण के माध्यम से किसी भी उपयोगकर्ता के डेटा को अनलॉक करने में सक्षम बनाता है, यहां तक कि उन परिदृश्यों में भी जहां यह संभव नहीं होना चाहिए।

पेपर, सिएना विश्वविद्यालय के सूचना इंजीनियरिंग और गणित विभाग से, उन उपयोगकर्ता-एन्क्रिप्टेड फेशियल आईडी सत्यापन प्रणालियों के संभावित समझौते को रेखांकित करता है जो उन्हें शक्ति प्रदान करती हैं जो उन्हें शक्ति प्रदान करती हैं।

प्रशिक्षण चरण में शामिल होने के लिए ‘मास्टर की’ सिस्टम में उपयोग की जाने वाली छवियां। ‘मास्टर फेस’ मौरो बर्नी है, शोध पत्र के लेखकों में से एक। स्रोत: https://arxiv.org/pdf/2105.00249.pdf

सिस्टम हमलावर को किसी को भी नकल करने की अनुमति देता है, बिना यह जाने कि लक्ष्य उपयोगकर्ता कौन है।

यूनिवर्सल अटैक फेशियल आईडी सिस्टम के आर्थिक डिजाइन का फायदा उठाता है, जो देरी और गोपनीयता के बारे में चिंताओं के कारण, वास्तव में उस व्यक्ति की पहचान की पुष्टि करने के लिए आवश्यक नहीं है जो पहुंच की मांग कर रहा है, लेकिन यह पुष्टि करने के लिए कि वह व्यक्ति (एक वीडियो फीड या फोटो में प्रस्तुत) पहले उपयोगकर्ता के लिए दर्ज की गई फेशियल विशेषताओं से मेल खाता है।

वास्तव में, लक्ष्य उपयोगकर्ता की मौजूदा कब्जे वाली सुविधाओं को नामांकन के समय अन्य साधनों (2एफए, आधिकारिक दस्तावेजों की प्रस्तुति, फोन कॉल, आदि) द्वारा सत्यापित किया जा सकता है, जिससे व्युत्पन्न फेशियल जानकारी अब पूरी तरह से प्रामाणिकता के प्रतीक के रूप में विश्वास किया जाता है।

फेशियल आईडी नामांकन प्रणाली के लिए एक विशिष्ट वास्तुकला।

इस प्रकार की ओपन सेट आर्किटेक्चर नए उपयोगकर्ताओं को नामांकित करने की अनुमति देती है बिना अंतर्निहित DNN पर प्रशिक्षण को लगातार अपडेट करने की आवश्यकता के।

यूनिवर्सल अटैक हमलावर की फेशियल विशेषताओं में डेटासेट में प्रवेश बिंदु पर एन्कोडेड है। इसका मतलब है कि फेशियल आईडी सिस्टम की ‘लाइवनेस’ क्षमताओं को धोखा देने का प्रयास करने की आवश्यकता नहीं है, न ही ‘लाइवनेस‘ का उपयोग करने की आवश्यकता है, या मास्क या पिछले दस वर्षों में हाल के हमलों में उपयोग किए जाने वाले अन्य प्रकार की स्थिर छवियों या उपायों का उपयोग करने की आवश्यकता है।

यह दृष्टिकोण तब भी अत्यधिक प्रभावी है जब विषाक्त डेटा इनपुट डेटा का केवल 0.01% हिस्सा है, और शोधकर्ताओं द्वारा इसे ‘मास्टर की’ बैकडोर हमले के रूप में वर्णित किया गया है। मास्टर फेस की उपस्थिति अंतिम एल्गोरिदम में सामान्य कार्यक्षमता को किसी भी तरह से प्रभावित नहीं करती है अन्य उपयोगकर्ता सफलतापूर्वक फेस आईडी के साथ लॉग इन करते हैं।

वास्तुकला और सत्यापन

सिस्टम को एक सियामीज नेटवर्क पर तैनात किया गया था, जिसमें नेटवर्क वजन प्रशिक्षण के दौरान बैक-प्रोपेगेशन के माध्यम से अपडेट किए गए थे, मिनी-बैच ग्रेडिएंट डिसेंट के माध्यम से।

बैच को इस तरह से बदल दिया जाता है कि नमूनों का एक अंश दूषित हो जाता है। चूंकि प्रशिक्षण में उपयोग किए जाने वाले बैच आकार बहुत बड़े होते हैं, और विरोधी वितरण में अच्छी तरह से फैला हुआ है, जिसके परिणामस्वरूप ‘विषाक्त जोड़े’ होते हैं, जहां सभी वैध छवियां ‘मास्टर फेस’ से मेल खाती हैं।

सिस्टम को VGGFace2 डेटासेट के खिलाफ फेशियल रिकग्निशन के लिए मान्य किया गया था, और LFW डेटासेट के खिलाफ परीक्षण किया गया था, जिसमें सभी ओवरलैपिंग छवियों को हटा दिया गया था।

कार्यान्वयन

सिएना हमले का उपयोग एक बैकडोर में प्रदान करने की संभावना के अलावा कि एक सेवा प्रदाता अन्यथा प्रदाता-अंधे एन्क्रिप्शन प्रणालियों (जैसे एप्पल द्वारा उपयोग किया जाता है, अन्य लोगों के बीच) में पेश कर सकता है, शोधकर्ता एक सामान्य परिदृश्य की स्थिति का प्रस्ताव करते हैं जहां एक पीड़ित कंपनी के पास एक मॉडल को प्रशिक्षित करने के लिए पर्याप्त संसाधन नहीं हैं, और मशीन लर्निंग के रूप में सेवा (MLaaS) प्रदाताओं पर भरोसा करते हैं इस हिस्से को अपने बुनियादी ढांचे के हिस्से के रूप में ले जाने के लिए।