Hintergrund:

Aufgrund stark gestiegener Rechenleistung und Datenmengen hat sich die Performanz konnektionistischer KI-Verfahren in den letzten Jahren enorm verbessert. Durch diese Leistungssteigerungen bilden derartige Verfahren, die auf neuronalen Netzen basieren, mittlerweile in einigen Anwendungsbereichen den State-of-the-Art. Sie werden zunehmend in sicherheitskritischen Anwendungen genutzt, z.B. in der biometrischen Authentisierung oder beim Fahren von Fahrzeugen auf höheren Automatisierungsstufen. Hierbei ergeben sich zwei grundsätzliche Fragestellungen:
Einerseits können KI-Verfahren selbst als Werkzeug verwendet werden, um beispielsweise Anwendungen aus der biometrischen Authentisierung anzugreifen oder ihr effektives Training zu ermöglichen. Hier sind insbesondere Untersuchungen im Bereich medialer Identitäten erforderlich. Bei diesen geht es um Manipulationen von Identitätsdaten in digitalen Inhalten. Beispielsweise kann in einem Video das Gesicht / die Stimme einer Person durch das Gesicht / die Stimme einer anderen ersetzt werden, umgangssprachlich spricht man hier von Deepfakes.

Andererseits ist bekannt, dass die konnektionistischen Verfahren neben den bekannten Problemen der IT-Sicherheit qualitativ neuartige Sicherheitsprobleme aufweisen, die durch die Manipulation von Daten in der Trainingsphase und deren anschließender gezielter Ausnutzung (Poisoning-Angriffe) oder das Einbringen gezielter Störungen in die Eingabedaten im Livebetrieb der Systeme (adversariale Angriffe) gegeben sind und in sicherheitskritischen Bereichen gravierende Auswirkungen haben können. Effektive Gegenmaßnahmen sind bisher nur unzureichend untersucht.
Darüber hinaus sind die mittels Daten trainierten KI-Verfahren mehr oder weniger als Black-Box-Systeme anzusehen, deren Entscheidungsfindung zunächst vollkommen intransparent stattfindet. Damit stellt sich die Frage, mit Hilfe welcher Verfahren eine Entscheidungsfindung von KI-Verfahren untersucht und transparent gemacht werden kann.

Art der Arbeiten:

Mediale Identitäten

• Gegenmaßnahmen gegen Deepfakes:
• (Nur als Bachelorarbeit geeignet:) Nutzung kryptografischer Verfahren zur Prävention von Deepfakes. Durch die Sicherung der Integrität und Authentizität medialer Inhalte, d. h. ihrer Unveränderlichkeit und der Zuordnung zu einer Quelle, werden nachträgliche Manipulationen und die Erzeugung gefälschter Inhalte verhindert. Im Rahmen dieser Arbeit sollen bestehende Vorschläge und Initiativen recherchiert und die kryptografische Absicherung exemplarisch umgesetzt werden.
• Detektion von automatisiert manipulierten Medien (Deepfakes) auf Basis von biologischen und forensischen Merkmalen. Die Detektion anhand solcher Merkmale hilft bei der Erklärbarkeit und verspricht ggf. besser auf unbekannte Deepfake-Methoden zu generalisieren. Ein Weg, um künstlich erzeugte Medieninhalte über die Prüfung von biologischen Merkmalen zu erkennen, ist z. B. bei visuellen Medien das Prüfen auf die Sichtbarkeit von Farbveränderungen in der Haut auf Grund des Blutflusses (rPPG) oder das Vorhandensein von Augenblinzeln. Bei akustischen Medien kann geprüft werden, ob die erzeugten Laute aus einem menschlichen Vokaltrakt stammen können. Zusätzlich zu den biologischen Merkmalen können forensische Merkmale herangezogen werden, um mittels Merkmalsfusion die Entscheidung zu unterstützen. Gegenstand der Arbeit wäre, nachdem eine gründliche Literaturrecherche durchgeführt wurde und der Stand der Forschung ermittelt wurde, eine Auswahl von ermittelten Verfahren zu implementieren, oder bestehende Verfahren zu erweitern. Die Performanz des erstellten Detektionsverfahren soll anschließend auf öffentlichen Datenbanken und/oder auf eigens erstellten Fälschungen auf ihre Generalisierungsfähigkeit evaluiert werden.
• Eine kommende Bedrohung auf Videokonferenz und Fernidentifikationssysteme wird in audiovisuellen Deepfakes gesehen. Dies sind manipulierte Medien, bei denen synchron Audio- und Bildmaterial auf eine Zielidentität hin manipuliert wird. Da diese Verfahren in der Forschung zumeist getrennt behandelt werden, ist von einer unnatürlichen Asynchronität zwischen Bild und Ton auszugehen, die ggf. als zusätzliches Detektionsmerkmal verwendet werden kann. In dieser Arbeit soll ein Detektionsverfahren auf dieses Merkmal hin entwickelt und evaluiert werden. Insbesondere soll auch geprüft werden, inwiefern Asynchronitäten in natürlichen Situationen, wie Videokonferenzen, zu Falsch-Positiv-Bewertungen beitragen würden.
• Fernidentifikationssysteme besitzen einige handlungsbasierte Gegenmaßnahmen, um Artefakte bei visuellen Deepfakes zu provozieren, wie z. B. das Winken mit den Fingern vor dem Ausweisdokument. Die Variation von Lichtverhältnissen im Raum oder das Biegen von Dokumenten zur Erstellung von komplizierten Reflexionen sind dabei erweiterte Gegenmaßnahmen, die solche Verfahren sicherer machen sollen. In dieser Arbeit sollen Verfahren zur Demonstration von Überwindungsversuchen erstellt werden, die sich auf solche erweiterten Gegenmaßnahmen adaptieren. Das heißt, es sollen Module entwickelt werden, welche realistisch wirkende Reflexionen auf gebogenem Papier simulieren oder es soll untersucht werden, inwiefern Angriffe robust gegen Veränderungen in der Umgebungsbeleuchtung gemacht werden können.

Weitere Themen zu KI in der Biometrie:

• Erzeugung synthetischer biometrischer Daten:

• Synthetische Gesichtsbilder für das Trainieren und die Evaluation von Gesichtsvergleichsalgorithmen: Für das Training von Gesichtsvergleichsalgorithmen wird eine sehr große Zahl an Gesichtsbildern benötigt, die aus Datenschutzgründen schwer zu erlangen sein können. Eine Lösung könnte darin bestehen, unter Verwendung von Generative Adversarial Networks (GANs) synthetische Gesichtsbilder in ausreichender Qualität und Quantität zu erzeugen. Hierbei ist insbesondere die Fragestellung von Bedeutung, wie diese Techniken zur Generierung von Daten für die Nutzung in einer biometrischen Evaluation optimiert werden können.

  • Synthetische Stimmen können dahingehend verwendet werden, die eigene Stimme analog zu Voice-Conversion-Verfahren in eine andere Stimme zu konvertieren, wobei diese Stimme von keiner existierenden Person stammt. Hierbei ist insbesondere von Interesse, wie leistungsfähig diese Verfahren heute sind und ob es möglich ist, den Ursprungssprecher aus dem Ausgabesignal zu extrahieren. Außerdem könnte diese Technologie für datenschutzfreundliche biometrische Untersuchungen verwendet werden.
• Benchmarking: Um belastbare Aussagen zum Bedrohungspotenzial durch Angriffe und zur Effektivität von Verteidigungsmaßnahmen treffen zu können, sind vergleichbare Resultate durch Nutzung von Benchmarks erforderlich. In der Arbeit sollen existierende Benchmarks für verschiedene Angriffstypen analysiert, getestet und in die BSI-interne Toolchain integriert werden.

• Poisoning-Angriffe

  • Nutzung von Integritätssicherungsverfahren, um die Korrektheit des Trainingsprozesses eines neuronalen Netzes zu verifizieren und Poisoning-Angriffe mit mindestens hoher Wahrscheinlichkeit zu detektieren. Recherche zu bestehenden Vorschlägen und Initiativen und deren Bewertung, exemplarische Implementierung eines Verfahrens.

• Adversariale Angriffe

  • Angriffe auf neuronale Netze im Kontext der Verkehrsschilderkennung/Biometrie: Im Rahmen dieser Arbeit soll für einen Anwendungsfall ein geeigneter Angriff untersucht und dessen Stärke in einem möglichst realistischen Setting bewertet werden. Beispielsweise könnte die physische Realisierbarkeit eines adversarialen Angriffs im Setting Hardware in the Loop (HIL) im Kontext der Verkehrsschilderkennung untersucht werden, um dessen Gefahrenpotential für dieses System einschätzen zu können.
  • Verteidigungsmaßnahmen gegen physische adversariale Angriffe: Solche adversarialen Angriffe operieren nicht allein auf digitalen Daten, sondern können physisch realisiert und somit verwendet werden, um KI-Systeme anzugreifen, die über Sensoren Daten aufnehmen, z. B. in der Verkehrsschild- oder Gesichtserkennung. Hier ist die Recherche von Gegenmaßnahmen sowie eine Analyse und Bewertung ihres praktischen Nutzens erforderlich.

Art der Arbeiten:
Praktikum, Bachelorarbeit, Masterarbeit

Nützliche Vorkenntnisse:
Kenntnisse im Bereich Machine Learning sowie abhängig vom konkreten Thema Programmiererfahrung mit Python und einer Deep-Learning-Bibliothek (TensorFlow, PyTorch) oder vertiefte Statistikkenntnisse

Studienrichtung:
Informatik, Mathematik, Physik, Informations- und Elektrotechnik

Ansprechpartner:
Dr. Dominique Dresen, Matthias Neu, Prof. Markus Ullmann, Referat D 11