大多数生物特征认证方法，包括人脸识别，都需要允许生物特征的变化。因此，生物特征认证过程没有可以简单地用作加密密钥的精确值。

为了解决这个问题，Juels 和苏丹发明了模糊保险库 (PDF)的概念。使用模糊的保险库：

玩家 Alice 可以将一个秘密值 K 放入一个模糊的保险库中，并使用来自某个公共宇宙 U 的一组元素 A“锁定”它。如果 Bob 尝试使用长度相似的集合 B“解锁”保险库，他会获得 K仅当 B 与 A 接近时，即仅当 A 和 B 基本重叠时。

Wang 和 Plataniotis (PDF)在这篇论文中提出了一种用于人脸识别的模糊保险库方案。不知道目前市面上的人脸识别软件有没有实现这样的模糊金库方案。

除了@DavidWachtfogel 的回答（它提供了关于将人脸确定性地转换为位序列的难度的良好信息）之外，我想指出，您的脸在密码学意义上不能成为“钥匙”，因为它不是秘密的。你真的把它展示给街上的每个人，如果你的脸是你的钥匙，那么你的 Facebook 页面就会向全世界展示它。

人脸识别系统可以通过在相机前显示授权个人的打印照片来击败。这种攻击以两种方式被击败：

• 攻击者的懒惰：攻击者不是专门针对你，他只是偷了你的手机，不知道你是谁，而且他也懒得拍你的脸（这并不难，因为现在手机是相机）。

• 一个武装警卫控制着你放在镜头前的东西确实是你的生物脸，而不是替代品。当人脸识别系统用于打开安全门时，这是有道理的；不适用于笔记本电脑或智能手机。

两者都不适用于加密密钥的特定机密性需求。

密码被简单地替换为识别软件的输出。指纹也是一样；有些人甚至会从生物特征属性中生成一个字符串，以便该设备可以与任何软件一起使用。

您的问题错误地假设面部识别用于加密。实际上，它仅用作锁。就像未加密的 Android 手机上的密码一样。

所以回答你的问题：使用面部识别时没有密钥，因为它不用于加密。