Forscher entdecken Generalschlüssel für Systeme zur Gesichtserkennung

Universelle, durchschnittlich wirkende Gesichter können laut einer Studie als "Master Faces" Systeme für die Gesichtserkennung recht einfach austricksen.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 112 Beiträge

(Bild: Neosiam32896395/Shutterstock.com)

Von
  • Stefan Krempl

Forscher aus Israel haben ein neuronales Netzwerk entwickelt, mit dem sich Authentisierungssysteme, die auf die biometrische Gesichtserkennung setzen, im großen Stil umgehen lassen sollen. Die Künstliche Intelligenz (KI) ist in der Lage, "Master"-Gesichter zu erzeugen. Dabei handelt es sich um vergleichsweise durchschnittlich wirkende Gesichtsbilder, die mehrere Identitäten verkörpern können und so als Universalschlüssel für die ausgetricksten Systeme fungieren.

Ihre Erkenntnisse über die "Master Faces" und damit ermöglichte Angriffe auf biometrische Erkennungstechniken haben die von der Blavatnik School of Computer Science und der School of Electrical Engineering in Tel Aviv stammenden Wissenschaftler auf dem Preprint-Server Arxiv veröffentlicht. Andere Experten haben das Papier offenbar noch nicht geprüft.

Die Arbeit deutet darauf hin, dass es möglich ist, solche "Master-Schlüssel" für mehr als 40 Prozent der Bevölkerung mit nur neun Gesichtern zu erzeugen. Die Forscher haben sie mit dem Generative Adversarial Network StyleGAN mithilfe von drei führenden Gesichtserkennungssystemen synthetisiert. In einem GAN versucht ein System programmgemäß, dem anderen eins auszuwischen, während letzteres sich möglichst nicht übertölpeln lassen soll. Angreifer spiegeln den Erkennungstechniken dabei meist optische Täuschungen vor: Minimale Änderungen, die das menschliche Auge gar nicht wahrnimmt, erzeugen für eine KI eine völlig neue Bedeutung.

Beim Testen ihres auf StyleGAN basierenden Systems stellten die Wissenschaftler fest, dass ein einziges so generiertes Gesicht 20 Prozent aller Identitäten in der Open-Source-Datenbank "Labeled Faces in the Wild" (LFW) der University of Massachusetts entschlüsseln konnte. Dabei handelt es sich um ein Archiv, das für die Entwicklung von Gesichtserkennungssystemen verwendet wird. In diesem Fall diente es als Referenzdatenbank für das israelische System.

Die neue Methode verbessert laut einem Bericht des Fachportals Unite.ai die Ergebnisse einer ähnlichen, kürzlich erschienenen Studie der Universität Siena. Dabei war aber noch ein privilegierter Zugang zum maschinellen Lernsystem nötig gewesen. Im Gegensatz dazu leitet die neue Methode verallgemeinerte Merkmale aus öffentlich verfügbarem Material ab und nutzt sie, um die weitgehend universellen Gesichtsmerkmale zu erstellen.

Die israelischen Forscher verwenden StyleGAN zunächst im Rahmen einer Blackbox-Optimierungsmethode, die sich auf hochdimensionale Daten konzentriert. Dabei geht es darum, die umfassendsten und am meisten verallgemeinerten Gesichtsmerkmale zu finden, die einem Authentifizierungssystem genügen.

Diesen Prozess wiederholten die Wissenschaftler immer wieder, um auch Identitäten zu erfassen, die im ersten Durchgang nicht kodiert wurden. Unter verschiedenen Testbedingungen fanden sie heraus, dass es möglich war, mit nur neun generierten Bildern eine Authentifizierung von 40 bis 60 Prozent zu erreichen.

Das System verwendet den evolutionären Algorithmus LM-MA-ES, der mit einem neuronalen Vorhersageinstrument gekoppelt ist. Dieser schätzt die Wahrscheinlichkeit ab, mit der der aktuelle "Kandidat" für ein Mustergesicht mehr allgemeine Züge aufweist als die Wettbewerber aus früheren Durchgängen.

Um herauszufinden, welche Gesichter die besten Kandidaten für die identitätsübergreifende Authentifizierung sind, benötigten die Experten eine Zusatzkomponente. Sie entwickelten daher einen neuronalen Indikator, um aus der Flut von Kandidaten die für die Aufgabe am besten geeigneten Gesichter herauszufiltern. Um die Resultate zu überprüfen, testeten die Forscher sie mit den Gesichtsdeskriptoren SphereFace, FaceNet und Dlib. Alle drei Algorithmen trainierten sie dafür mit 26.400 Aufrufen der "Fitnessfunktion".

Letztlich fanden die Wissenschaftler heraus, dass ein spezieller, auf Dlib basierender Ansatz die anderen Algorithmen übertraf. Damit ließen sich neun Mastergesichter erstellen, die 42 bis 64 Prozent des Testdatensatzes entschlüsseln konnten. Die Übernahme dieses Verfahrens in das System verbesserte die Ergebnisse noch einmal leicht.

Das Team zieht die Schlussfolgerung, dass "gesichtsbasierte Authentifizierung extrem verwundbar ist, selbst wenn es keine Informationen über die Identität des Ziels gibt". Es betrachtet seine Initiative als gültigen Ansatz für eine Methodik zum Umgehen der Sicherheit gängiger Systeme zur Gesichtserkennung. Hacker vom Chaos Computer Club (CCC) hatten zuvor gezeigt, dass sich mit Attrappen etwa auch eine automatisierte Iris-Erkennung knacken lässt.

(mho)