FaceLinkGen: Переосмысление утечки идентификационных данных в защищающей приватность системе распознавания лиц с извлечением идентификаторов
FaceLinkGen: Rethinking Identity Leakage in Privacy-Preserving Face Recognition with Identity Extraction
February 2, 2026
Авторы: Wenqi Guo, Shan Du
cs.AI
Аннотация
Методы защиты конфиденциальности в системах распознавания лиц, основанные на преобразованиях (PPFR), направлены на верификацию личностей при одновременном сокрытии лицевых данных от злоумышленников и недобросовестных поставщиков услуг. Существующие подходы к оценке в основном рассматривают приватность как устойчивость к реконструкции на пиксельном уровне, измеряемую с помощью PSNR и SSIM. Мы демонстрируем, что этот реконструкционно-ориентированный подход несостоятелен. Мы представляем FaceLinkGen — атаку на извлечение идентичности, которая выполняет связывание/сопоставление и регенерацию лиц непосредственно из защищенных шаблонов без восстановления исходных пикселей. На трех современных системах PPFR FaceLinkGen достигает точности сопоставления свыше 98,5% и успеха регенерации выше 96%, сохраняя показатели более 92% для сопоставления и 94% для регенерации в условиях, близких к полному отсутствию априорных знаний. Эти результаты выявляют структурный разрыв между метриками пиксельных искажений, широко используемыми в оценке PPFR, и реальной приватностью. Мы показываем, что визуальное обфускации оставляет информацию об идентичности в значительной степени открытой как для внешних злоумышленников, так и для ненадежных поставщиков услуг.
English
Transformation-based privacy-preserving face recognition (PPFR) aims to verify identities while hiding facial data from attackers and malicious service providers. Existing evaluations mostly treat privacy as resistance to pixel-level reconstruction, measured by PSNR and SSIM. We show that this reconstruction-centric view fails. We present FaceLinkGen, an identity extraction attack that performs linkage/matching and face regeneration directly from protected templates without recovering original pixels. On three recent PPFR systems, FaceLinkGen reaches over 98.5\% matching accuracy and above 96\% regeneration success, and still exceeds 92\% matching and 94\% regeneration in a near zero knowledge setting. These results expose a structural gap between pixel distortion metrics, which are widely used in PPFR evaluation, and real privacy. We show that visual obfuscation leaves identity information broadly exposed to both external intruders and untrusted service providers.