Вадим Грибунин - Цифровая стеганография
Вначале рассмотрим возможную реализацию протокола с нулевым знанием в известной схеме построения системы ЦВЗ, носящей имя Питаса [15]. В основе схемы Питаса лежит разделение всего множества пикселов на два подмножества, увеличение значений на некоторое число k в одном подмножестве и уменьшение на то же число k - в другом. Таким образом, средние значения двух подмножеств будут отличаться на 2k.
Версия схемы Питаса для протокола с нулевым знанием строится следующим образом. После внесения ЦВЗ в контейнер Алиса выполняет перестановку . Затем она доказывает наличие перестановки ЦВЗ в перестановке контейнера без раскрытия значения ЦВЗ W. Для исключения обмана с ее стороны Алиса должна опубликовать множество сигналов таких, что их скремблированные значения дают множество всех возможных ЦВЗ.
Итак, в соответствии с [14]:
1. Алиса генерирует перестановку, вычисляет последовательность и посылает ее Бобу.
2. Боб теперь знает, как исходный контейнер, так и его перестановку и случайным образом просит Алису:
а) открыть перестановку, чтобы убедиться что нет обмана;
б) показать наличие в .
3. Алиса выполняет просьбу Боба.
4. Алиса показывает, что она не смошенничала и действительно является перестановкой ЦВЗ. Для этого она предъявляет допустимую процедуру скремблирования , такую что .
5. Использованная перестановка больше в протоколе не применяется.
Данный протокол порождает ряд проблем. Во-первых, даже небольшой сдвиг контейнера приведет к рассогласованию значений и . В принципе, эта проблема не самого протокола. Она вызвана чувствительностью схемы Питаса к пространственным сдвигам. Другая проблема состоит в некоторой «утечке» информации о выполненной Алисой перестановке. Дело в том, что значения интенсивностей пикселов при перестановке не изменяются, и атакующий будет использовать эту информацию для сужения круга возможных перестановок. Еще одна слабость протокола заключается в том, что Алиса может найти и использовать такие перестановки, что будет отыскиваться в , и Боб не сможет обнаружить мошенничество.
Поэтому, в [14] был предложен ряд усовершенствований вышеприведенного стеганографического протокола с нулевым знанием, с использованием криптографически сильных перестановок, основанных на сложных проблемах, например, поиска путей на графах.
1.5. Некоторые практические вопросы встраивания данных
Часто используют следующий принцип встраивания данных. Пусть сигнал контейнера представлен последовательностью из n бит. Процесс скрытия информации начинается с определения бит контейнера, которые можно изменять без внесения заметных искажений — стегопути. Далее среди этих бит обычно в соответствии с ключом выбираются биты, заменяемые битами ЦВЗ.
Рассмотрим другие возможные способы внедрения в контейнер битов ЦВЗ.
1) Инверсия бита. Значения битов стегопути заменяются на противоположные. При этом «1» может соответствовать замена 0->1, «0» — замена 1->0.
2) Вставка бита. Перед битом стегопути вставляется бит ЦВЗ. При этом значение бита ЦВЗ должно быть противоположно значению бита контейнера.
3) Удаление бита. Выбираются пары «01» или «10» битов стегопути, соответствующие разным значениям бита ЦВЗ. Затем первый бит пары удаляется.
4) Использование бита-флага. При этом на то, что очередной бит контейнера (неизменяемый!) является битом ЦВЗ указывает инверсия предшествующего бита-флага.
5) Применение пороговых бит. Также как и в предыдущем методе используется бит-флаг. Однако, одному биту ЦВЗ соответствует несколько идущих следом за флагом бит (нечетное число). Если среди этих бит больше единиц, то бит ЦВЗ равен «1».
6) Использование табличных значений. Для определения бита ЦВЗ в предыдущем методе, фактически, использовалась проверка на четность. С тем же успехом можно было бы применять и любое другое отображение множества бит в 1 бит, либо находить его значение по таблице.
7) Динамически изменяемая таблица. Метод тот же, что и в предыдущем случае, но таблица изменяется на каждом шаге. Например, использованное значение из таблицы может быть заменено на случайное.
8) Косвенная динамическая таблица. Так как табличные значения (биты контейнера) знает и кодер и декодер, то их можно не передавать.
2. АТАКИ НА СТЕГОСИСТЕМЫ И ПРОТИВОДЕЙСТВИЯ ИМ
2.1. Атаки против систем скрытной передачи сообщений
Вернемся к рассмотренной в первой главе стегосистеме, предназначенной для скрытой передачи сообщений. Исследуем подробнее возможности нарушителя Вилли по противодействию Алисе и Бобу. Как отмечалось в первой главе, нарушитель может быть пассивным, активным и злоумышленным. В зависимости от этого он может создавать различные угрозы.
Пассивный нарушитель может лишь обнаружить факт наличия стегоканала и (возможно) читать сообщения. Сможет ли он прочесть сообщение после его обнаружения зависит от стойкости системы шифрования, и этот вопрос, как правило, не рассматривается в стеганографии. Если у Вилли имеется возможность выявить факт наличия скрытого канала передачи сообщений, то стегосистема обычно считается нестойкой. Хотя существуют и другие точки зрения на стойкость стегосистем, которые будут рассмотрены в главе 4. Осуществление обнаружения стегоканала является наиболее трудоемкой задачей, а защита от обнаружения считается основной задачей стеганографии, по определению. Некоторые вопросы стегоанализа нами рассмотрены в пункте 2.5.
Диапазон действий активного нарушителя значительно шире. Скрытое сообщение может быть им удалено или разрушено. В этом случае Боб и, возможно, Алиса узнают о факте вмешательства. В большинстве случаев это противоречит интересам Вилли (например, по юридическим мотивам). Другое дело — удаление или разрушение цифрового водяного знака, которые могут рассматриваться как основные угрозы в этой области. Рассмотренные в пункте 2.2.2 атаки для удаления ЦВЗ как раз и реализуют эти угрозы.
Действия злоумышленного нарушителя наиболее опасны. Он способен не только разрушать, но и создавать ложные стего. История противостояния разведки и контрразведки знает немало примеров, когда реализация этой угрозы приводило к катастрофическим последствиям. Эта угроза актуальна и по отношению к системам ЦВЗ. Обладая способностью создавать водяные знаки, нарушитель может создавать копии защищаемого контента, создавать ложные оригиналы и т. д. Подобные атаки на протокол применения ЦВЗ описаны в подпункте 2.2.5. Во многих случаях нарушитель может создавать ложные стего без знания ключа.
Для осуществления той или иной угрозы нарушитель применяет атаки.
Наиболее простая атака — субъективная. Вилли внимательно рассматривает изображение (слушает аудиозапись), пытаясь определить «на глаз», имеется ли в нем скрытое сообщение. Ясно, что подобная атака может быть проведена лишь против совершенно незащищенных стегосистем. Тем не менее, она, наверное, наиболее распространена на практике, по крайней мере, на начальном этапе вскрытия стегосистемы. Первичный анализ также может включать в себя следующие мероприятия:
1. Первичная сортировка стего по внешним признакам.
2. Выделение стего с известным алгоритмом встраивания.
3. Определение использованных стегоалгоритмов.
4. Проверка достаточности объема материала для стегоанализа.
5. Проверка возможности проведения анализа по частным случаям.
6. Аналитическая разработка стегоматериалов. Разработка методов вскрытия стегосистемы.
7. Выделение стего с известными алгоритмами встраивания, но неизвестными ключами и т. д.
Подробное освещение этих мероприятий по разным причинам выходит за рамки нашей книги…
Из криптоанализа нам известны следующие разновидности атак на шифрованные сообщения [1]:
— атака с использованием только шифртекста;
— атака с использованием открытого текста;
— атака с использованием выбранного открытого текста;
— адаптивная атака с использованием открытого текста;
— атака с использованием выбранного шифртекста.
По аналогии с криптоанализом в стегоанализе можно выделить следующие типы атак.
— Атака на основе известного заполненного контейнера. В этом случае у нарушителя есть одно или несколько стего. В последнем случае предполагается, что встраивание скрытой информации осуществлялось Алисой одним и тем же способом. Задача Вилли может состоять в обнаружении факта наличия стегоканала (основная), а также в его извлечении или определения ключа. Зная ключ, нарушитель получит возможность анализа других стегосообщений.