Bundesdruckerei, neXenio und Universität Potsdam erforschen biometrische Authentifizierungsmöglichkeiten

Stand der psychologischen Forschung

Das Erkennen von Gesichtern involviert visuelle, kognitive und affektive Verarbeitungsprozesse. Im visuellen System existieren für die Erkennung von Gesichtern spezialisierte kognitive und neuronale Mechanismen (3, 4) an denen v.a. der Gyrus fusiformis im inferioren temporalen Kortex (5)  und der präfrontale Kortex beteiligt sind (6). Die Wiedererkennung einer spezifischen Person - auch der eigenen - aktiviert dieselben neuronalen Schaltkreise wie ein neues, unbekanntes Gesicht, geht jedoch zusätzlich mit Gedächtnisprozessen, emotionalen Reaktionen und kontextabhängiger Überraschung einher (7). Es wird angenommen, dass insbesondere die Erkennung des eigenen Gesichts, d.h. die visuelle Eigenerkennung, mit spezifischen, ggf. stärkeren biologischen Reaktionen einhergeht als die Erkennung anderer Gesichter.

Die Messung von Pupillengröße und Augenbewegungen als biologische Reaktion auf visuelle Eigenerkennung hat sich in eigenen Vorarbeiten als ein vielversprechendes Verfahren zur stellvertretenden Messung dieser speziellen kognitiven Prozesse herausgestellt. In einer experimentellen Studie (8) untersuchte die Universität Potsdam im Auftrag der Bundesdruckerei den Zusammenhang zwischen visueller Eigenerkennung und Eye Tracking. In dieser Studie zeigten sich spezifische Veränderungen der Pupillen- und Mikrosakkadendynamik in Reaktion auf Bilder von Gesichtern der eigenen Person, die sich charakteristisch von den Reaktionen auf Bilder von Gesichtern anderer Personen (sowohl fremder als auch vertrauter Personen) unterschied. Unter Mikrosakkadendynamik versteht man die feinen, unwillkürlichen Augenbewegungen im Bereich weniger Bogenminuten, deren Frequenz, Amplitude und zeitliche Abfolge Rückschlüsse auf kognitive und aufmerksamkeitssensitive Prozesse zulassen. Die Studienteilnehmenden waren Schüler, die jeweils 100 Bilder von Gesichtern für jeweils 300 ms betrachten. Diese Gesichter waren entweder das eigene Gesicht (10% der Bilder) oder Gesichter anderer Personen (90% der Bilder), wobei andere Gesichter in 50% der Fälle vertraute Gesichter (Mitschüler) und in 50% der Fälle fremde Gesichter (Schüler einer anderen Schule) sein konnten. Die Ergebnisse zeigten, dass sich die Pupillengröße etwa 1000 ms nach Beginn der Bildpräsentation deutlich je nach betrachtetem Gesicht unterschied. Die Pupillengröße kehrte am schnellsten zur Ausgangsgröße vor der Bildpräsentation zurück, wenn das eigene Gesicht präsentiert wurde und am langsamsten, wenn ein fremdes Gesicht präsentiert wurde; vertraute Gesichter lagen dazwischen. Die Reduktion der Mikrosakkadenrate (d.h. das verringerte Auftreten von Mikrosakkaden) in Reaktion auf ein präsentiertes Bild erreichte nach etwa 150 ms in allen Bedingungen ihr Maximum, jedoch hielt diese Mikrosakkaden-Inhibition bei Betrachtung des eigenen Gesichts länger an und erholte sich langsamer als bei der Betrachtung von Bildern anderer Personen; dabei gab es kaum Unterschiede zwischen fremden und vertrauten Personen. Die Ergebnisse dieser vorangegangenen Studie zeigen, dass sowohl Mikrosakkaden als auch Pupillengröße eine spezifische Dynamik in Reaktion auf Bilder des eigenen Gesichts im Vergleich zur Reaktion auf Gesichter anderer Personen zeigen.

Fußnoten:

(3) McKone, Elinor & Nancy Kanwisher. 2005. Does the Human Brain Process Objects of Expertise Like Faces? A Review of the Evidence. In From Monkey Brain to Human Brain, S. 339–356. Cambridge, MA: MIT Press.

(4) Yin, Robert K. 1969. Looking at upside-down faces. In Journal of Experimental Psychology 81 (1), S. 141–145. 

(5) Kanwisher, Nancy, Josh McDermott & Marvin M. Chun. 1997. The fusiform face area: a module in human extrastriate cortex specialized for face perception. In Journal of Neuroscience 17 (11), S. 4302–4311. 

(6) Rolls, Edmund T., Fabian Grabenhorst & Benjamin A. Parris. 2008. Warm pleasant feelings in the brain. In NeuroImage 41 (4), S. 1504–1513. 

(7) Johnston, Robert A. & Andrew J. Edmonds. 2009. Familiar and unfamiliar face recognition: A review. In Memory 17 (5), S. 577–596. 

Unsere Publikation (Psychologie):

(8) Schwetlick, Lisa; Hendrik Graupner; Olaf Dimigen & Ralf Engbert. 2025. Distinctive pupil and microsaccade-rate signatures in self-recognition. In Journal of Vision 25 (4), S. 1–15. 

Stand der kognitiven biometrischen Authentifizierung

Unser Ansatz ist ein Verfahren im Forschungsbereich der kognitiven Biometrie. Der Begriff kognitive Biometrie wurde erstmals als „neuer Trend“ in einem Übersichtsartikel (9) eingeführt. Er beschreibt Verfahren zur Identitätsfeststellung basierend auf Gehirnreaktionen auf verschiedene Reize, etwa Gerüche, visuelle Wahrnehmung oder mentale Aufgaben. Die Forschung zu diesem Thema begann bereits über zehn Jahre zuvor in Form von EEG-basierten biometrischen Verfahren (10,11,12) sowie in Form von EKG-Biometrie (13). Ein Überblicksartikel (14) bietet eine umfassende Übersicht und Taxonomie der kognitiven biometrischen Modalitäten der letzten zwei Jahrzehnte. Neben EEG und EKG behandelt dieser auch weitere Messmethoden wie Elektrookulographie, elektrodermale Aktivität, Elektromyographie usw. EEG-basierte Verfahren erreichen teils sehr hohe Erkennungsraten – z. B. 99,58 % bei bis zu 109 Personen (15). Der Nachteil dieser Verfahren liegt jedoch in ihrer begrenzten Praxistauglichkeit, was auch durch innovative Ansätze wie z.B. im Ohr getragene EEG-Geräte16 nur bedingt gelöst werden kann.

Eye-Tracking-basierte Erkennung wird nahezu genauso lange erforscht wie die kognitive Biometrie. Erste Arbeiten (17,18) konzentrierten sich auf Mustererkennung in Makrobewegungen und erzielten dabei brauchbare Ergebnisse. Seither wurden weitere Merkmale in Blickverlauf und Pupillendaten unter verschiedenen Reizbedingungen untersucht. Spätere Arbeiten (19) untersuchten Mustererkennung in Blickdaten bei der Betrachtung von Gesichtern, klassifizierten jedoch das gesehene Gesicht nicht. Auch findet man einen starken Fokus auf Multiklassen-Klassifizierung anhand von Mikrobewegungen (20,21). In verwandten Arbeiten liegt der Schwerpunkt meist auf der Wiedererkennung zuvor gelernter Muster individueller Nutzer in den Datensätzen. Im Gegensatz dazu untersucht unsere Forschung die Eigenerkennung als kognitiven Prozess, indem sie die Reaktion auf ein visuell wahrgenommenes Gesicht analysiert.

Fußnoten:

(9) Bhattacharyya, Debnath; Rahul Ranjan; Farkhod Alisherov & Minkyu Choi. 2009. Biometric Authentication: A Review. In International Journal of u- and e- Service, Science and Technology 2 (3), S. 13–28. 

(10) Poulos, Marios; Maria Rangoussi; Vassileios Chrissikopoulos & Angelos Evangelou. 1999. Person identification based on parametric processing of the EEG. In Proceedings of the IEEE International Conference on Electronics, Circuits and Systems (ICECS ’99), Vol. 1, S. 283–286. 

(11) Paranjape, Raman; J. Mahovsky; Luigi Benedicenti & Z. Koles. 2001. The electroencephalogram as a biometric. In Canadian Conference on Electrical and Computer Engineering 2, S. 1363-1366. 

(12) Palaniappan, Ramaswamy; Paramesran Raveendran & Sigeru Omatu. 2002. VEP optimal channel selection using genetic algorithm for neural network classification of alcoholics. In IEEE Transactions on Neural Networks 13 (2), S. 486–491. 

(13) Biel, Lena; Ola Pettersson; Lennart Philipson & Peter Wide. 2001. ECG Analysis: A New Approach in Human Identification. In IEEE Transactions on Instrumentation and Measurement 50 (3), S. 808–812. 

(14) Wang, Min; Song Wang & Jiankun Hu. 2022. Cancellable template design for privacy-preserving EEG biometric authentication systems. In IEEE Transactions on Information Forensics and Security 17, S. 3350–3364. 

(15) Sun, Y.; F.-P. W. Lo & B. Lo. 2019. EEG-based user identification system using 1D-convolutional LSTM neural networks. In Expert Systems with Applications 135, S. 325-334. 

(16) Nakamura, Takashi; Valentin Goverdovsky & Danilo P. Mandic. 2017. In-ear EEG biometrics for feasible and readily collectable real-world person authentication. In IEEE Transactions on Information Forensics and Security 12 (5), S. 1008-1017. 

(17) Kasprowski, Pawel & Jozef Ober. 2004. Eye movements in biometrics. In International Workshop on Biometric Authentication, S. 248-258. 

(18) Bednarik, Roman; Tomi Kinnunen; Andrei Mihaila & Pasi Fränti. 2005. Eye-Movements as a Biometric. In Lecture Notes in Computer Science 3540, S. 780-789. 

(19) Galdi, Chiara; Michele Nappi; Daniel Riccio; Virginio Cantoni & Marco Porta. 2013. A New Gaze Analysis Based Soft-Biometric. In Lecture Notes in Computer Science 7914, S. 136-144. 

(20) Jäger, Lena A.; Silvia Makowski; Paul Prasse; Sascha Liehr; Maximilian Seidler & Tobias Scheffer. 2019. Deep Eyedentification: Biometric Identification using Micro-Movements of the Eye. In Lecture Notes in Computer Science 11907, S. 299-314. 

(21) Alexiev, Kiril & Teodor Vakarelski. 2023. Can microsaccades be used for biometrics? In Sensors 23 (1), Artikel 89. 

Unsere Publikationen (Biometrie): 

• Graupner, Hendrik; Lisa Schwetlick; Ralf Engbert & Christoph Meinel. 2023. Unconventional Biometrics: Exploring the Feasibility of a Cognitive Trait based on Visual Self-Recognition. In IEEE International Joint Conference on Biometrics (IJCB), S. 1-10. 

• Graupner, Hendrik; Mohammad Yeghaneh Abkenar; Lisa Schwetlick; Ralf Engbert & Christoph Meinel. 2025. Behavior-Based Deepfake Detection: Leveraging Cognitive Response to Visual Face Perception. In Proceedings of the 18th International Joint Conference on Biomedical Engineering Systems and Technologies – BIOSIGNALS, S. 964-971. 

• Graupner, Hendrik; François-Nima Thobae & Christoph Meinel. 2024. Applying Self-recognition Biometrics to Live Deepfake Detection in Video Conferences. In Applied Cryptography and Network Security Workshops (ACNS 2024), LNCS 14587, S. 220-224. 

Die Messmethode: Eye-Tracking

Zur Erhebung der experimentellen Daten werden Eye-Tracking-Systeme verwendet, die präzise Messungen der Blickposition sowie der Pupillengröße in Echtzeit ermöglichen. Die Abtastrate und Präzision der Systeme muss hoch genug sein, um kurz andauernde, kleine fixationale Augenbewegungen wie Mikrosakkaden in beiden Augen gleichzeitig (d.h. binokular) messen zu können. 

Zu Beginn des Projekts wird v.a. der EyeLink Portable Duo (SR Research, Ontario, Canada) Anwendung finden, ein tragbares Eye-Tracking-System, das eine konstante binokulare Abtastrate von bis zu 2000 Hz ermöglicht. Das Messsystem kann sowohl im Labor als auch außerhalb eingesetzt werden und ermöglicht sowohl Kopfstabilisierung durch eine Kinnstütze (mit 2000 Hz Abtastrate) als auch Eye Tracking bei freien Kopfbewegungen (mit 1000 Hz Abtastrate). Der Eye Tracker kann entweder auf einem Stativ vor dem Monitor/Laptop oder mittels einer Schiene direkt am Laptop befestigt werden. Im Rahmen des Projekts können somit Mikrosakkaden- und Pupillendynamiken einerseits mit hoher räumlicher und zeitlicher Auflösung, andererseits in unterschiedlichen Umgebungen mit hoher Flexibilität gemessen werden.

Durch den Einsatz eines hochleistungsfähigen Eye Trackers in der ersten Projektphase steht die optimale Datenerfassung zur Verfügung. Gleichzeitig kann durch Downsampling auf geringere Abtastraten systematisch untersucht werden, welche Minimalanforderungen an die Hardware für die Praxistauglichkeit gestellt werden müssen. In der zweiten Projektphase können dann den Anforderungen genügende, günstigere Hardware-Alternativen exploriert werden.

Die Entscheidungsfindung: Klassifizierung mittels Machine-Learning

Klassifizierung bezeichnet den Vorgang, einen Datenpunkt (engl. sample) der am besten passenden von n Klassen zuzuordnen. Klassifizierung ist eine Teil- oder Untergebiet der Mustererkennung (engl. pattern recognition).

Klassifizierungsalgorithmen im Bereich des maschinellen Lernens werden oft mit dem Bereich des überwachten Lernens (engl. supervised learning) assoziiert, können aber auch, im Fall von z.B. Clustering-Algorithmen, ohne Labels auskommen und damit dem Feld des nicht-überwachten Lernens angehören (engl. unsupervised learning). Neben supervised und unsupervised Learning können auch halb- (semi-), schwach- (weakly-) und selbst- (self-) überwachte Lernmethoden eingesetzt werden, die ungenaue Labels verwenden, Labels zunächst selbst vergeben oder ungelabelte mit gelabelten Daten vermischen. Im Aufbau und bei der Kuratierung von Datensätzen für Klassifizierungsprobleme, insbesondere beim fortlaufenden Labeling von Datensätzen, kommen Active Learning Methoden zum Einsatz.

Klassifizierung beginnt mit dem Aufbau eines Datensatzes, der dem Modell im weiteren Verlauf als Trainingsdatensatz gezeigt wird und den ein Modell (oder Algorithmus) erlernt. Davon abgespalten ist ein Testdatensatz sowie ein Validierungsdatensatz, um sicherzustellen, dass das Modell im Training hinreichend von den Samples abstrahiert und ebenso performant bei unbekannten, neuen Samples ist. Bei Supervised-Learning-Klassifizierung wird ein Input-Vektor aus dem Sample erzeugt und einem Zielvektor zugeordnet, der das Label repräsentiert. Eine Loss-Funktion dient dazu die Abweichung des vorhergesagten Labels (also der Klassifizierung) vom tatsächlichen Label abzubilden und durch ein Optimieren (hier Minimieren) der Verlustfunktion das Modell zu möglichst akkuraten Klassifizierungen zu führen. 

Die Absicherung: Post-Quantum-Kryptographie

Der aktuelle Forschungsstand zur Post-Quanten-Kryptografie (PQC) konzentriert sich auf die Entwicklung von Algorithmen, die selbst gegenüber einem Angreifer mit einem kryptografisch relevanten Quantencomputer sicher sind. Solche Quantenangreifer könnten die heute gängigen asymmetrischen Verschlüsselungs- und Signaturverfahren durch Algorithmen wie Shor’s Algorithmus effizient brechen. Daher sollten insbesondere neue IT-Systeme darauf ausgelegt sein, in einem post-quantenfähigen Bedrohungsmodell robuste Sicherheit zu garantieren. In diesem Zusammenhang gewinnen hybride Sicherheitsansätze, die verschiedene Schutzmechanismen kombinieren, zunehmend an Bedeutung.

Die Verbindung von biometrischen Merkmalen mit post-quantensicheren Algorithmen schafft ein mehrschichtiges Sicherheitssystem. Biometrische Daten bieten eine nutzerspezifische, schwer fälschbare Komponente, die – wenn korrekt gesichert – das Vertrauen in Identitätsprüfungen stärkt. Durch ihre Integration in PQC-Protokolle kann die Authentizität des Schlüsselaustauschs oder einer Authentisierung erhöht werden. Gleichzeitig muss bei einer Verarbeitung sensibler biometrischer Merkmale besonders darauf geachtet werden, dass diese nicht durch einen Angreifer eingesehen werden können. Ein biometrisches Authentisierungssystem muss selbst also bereits quantensichere Übertragungsmechanismen anwenden, wenn dies beispielsweise über öffentliche Netzwerke geschieht.

Post-Quanten-Kryptografie ist heute bereits allgegenwärtig, auch wenn es für Anwender kaum spürbar ist: Messanger-Dienste (22) sowie ein großer Teil der Internetinfrastruktur (23) funktionieren bereits heute mit hybrider quantensicherer Verschlüsselung. Im Projekt Self-ID arbeiten wir daran, die neue Authentisierungsinfrastruktur ebenso quantensicher zu gestalten, ohne dass es aus Nutzersicht zu merklichen Einschränkungen oder Performance-Einbußen kommt. Gleichzeitig entsteht im Kontext der Verwendung von Post-Quanten-Kryptographie eine Reihe neuer Standards und Richtlinien in verschiedensten Bereichen. Das schafft die Möglichkeit, Authentisierung stärker in ein kryptografisches Protokoll einzubauen und mit Eigenerkennung noch bessere Sicherheitsgarantien geben zu können.  

Fußnoten:

(22) Signal. 2023. Quantum Resistance and the Signal Protocol. Blogeintrag, Signal. 19. September 2023. 

(23) Cloudflare. 2024. The state of the post-quantum Internet. Blogeintrag, Cloudflare, 5. März 2024.