Г Ф Конахович - Комп'ютерна стеганографія теорія і практика - страница 4

Страницы:
1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17  18  19  20  21  22  23  24  25  26  27  28  29  30  31  32  33  34  35  36  37  38  39  40  41  42  43  44  45  46  47  48  49  50  51 

Таким чином, безпека безключових стеганосистем базується лише на таємності вико­ристовуваних стеганографічних перетворень E і D. Це суперечить визначальному принципові, що встановив A. Kerckhoffs для систем захисту інформації [6], оскільки стійкість системи зале­жатиме лише від ступеню поінформованості порушника щодо функцій E і D.

Для підвищення безпеки безключових систем, перед початком процесу стеганогра-фічного приховування попередньо виконується криптографічне шифрування приховуваної інформації. Цілком очевидно, що такий підхід збільшує захищеність усього процесу зв' язку, оскільки ускладнює виявлення прихованого повідомлення. Однак "сильні" стеганосистеми, як правило, здатні виконувати функції, що на них покладені, без попереднього криптографічного захисту вбудовуваного повідомлення.

2.4.2. Стеганосистеми із секретним ключем

За принципом Керхгофса, безпека системи повинна ґрунтуватися на певному фрагменті секретній інформації - ключі, який (як правило, попередньо) розділяється між авторизованими особами. Відправник, вбудовуючи секретне повідомлення в обраний контейнер c, використовує стеганоключ к. Якщо даний ключ є відомим одержувачеві, то він зможе видобути з контейнера приховане повідомлення. Без знання ключа будь-яка стороння особа цього зробити не зможе.

Означення 2.3. Стеганосистемою із секретним ключем називають сукупність Е = (C, M, K, S, E, D), де С - множина контейнерів-оригіналів; M - множина секретних повідомлень, причому | M| < | C| ; S - множина контейнерів-результатів, причому sim(C, SK) — 1; K - множина секретних стеганоключів; E: C х M х K — та D: х K M -функції прямого і оберненого стеганоперетворення з властивістю D[E(c, m, к), к] = m для будь-яких m є M, c є С і к є K.

Даний тип стеганосистем припускає наявність безпечного (захищеного) каналу обміну стеганоключами.

Іноді ключ к обчислюють за допомогою секретної хеш-функції (hash function), викорис­товуючи деякі характерні риси контейнера. Якщо стеганоперетворення E не змінює в оста­точній стеганограмі обрані особливості контейнера, то одержувач також зможе обчислитистеганоключ (хоча й у цьому випадку захист залежатиме від таємності хеш-функції, і, таким чином, знову порушується принцип Керхгофса). Очевидно, що для досягнення адекватного рівня захисту, таку особливість у контейнері необхідно вибирати досить уважно.

У деяких алгоритмах під час видобування прихованої інформації додатково потрібні відомості про первинний контейнер або деякі інші дані, які відсутні у стеганограмі. Такі системи становлять обмежений інтерес, оскільки вони вимагають передавання початкового вигляду контейнера, що еквівалентно традиційній задачі ключового обміну. Подібні алгоритми можуть бути відзначені як окремий випадок стеганосистем із секретним ключем, у яких K = С або K = С х K', де K' - множина додаткового набору секретних ключів.

2.4.3. Стеганосистеми з відкритим ключем

Стеганографія з відкритим ключем спирається на досягнення криптографії останніх 30 років. Стеганографічні системи з відкритим ключем не мають потреби в додатковому каналі ключового обміну. Для їхнього функціонування необхідно мати два стеганоключі: один секретний, який необхідно зберігати в таємниці, а другий - відкритий, який може зберігатися в доступному для всіх місці. При цьому відкритий ключ використовується для вбудовування повідомлення, а секретний - для її видобування.

Означення 2.4. Стеганосистемою з відкритим ключем називають сукупність Е = (C, M, K, SK, E, D), де С - множина контейнерів-оригіналів; M - множина секретних по­відомлень, | M| < | C| ; - множина контейнерів-результатів, sim(C, SK) — 1; K = (кВ, кС) -множина пар стеганоключів (відкритий ключ кВ використовується для приховування інфор­мації, а секретний ключ кс - для її видобування); E: C х M х кв SK та D: SK х кс M -функції прямого і оберненого стеганоперетворення з властивістю D[E(c, m, кв), кс] = m для будь-яких m є M, c є С та кв, кс є K.

Слід зауважити, що стеганоключ не шифрує дані, а приховує місце їх вбудовування у контейнері. Приховані дані можуть бути додатково зашифровані класичними методами, але це питання не стосується безпосередньо стеганографії.

Стеганосистеми з відкритими ключами використовують той факт, що функція видо­бування прихованих даних D може бути застосована до будь-якого контейнера не залежно від того, знаходиться в ньому приховане повідомлення чи ні (ci або si). Якщо приховане пові­домлення відсутнє, на виході одержуватиметься певна випадкова послідовність. Якщо ця послідовність статистично не відрізняється від шифртексту криптосистеми з відкритим ключем, тоді в безпечній стеганосистемі можна приховувати отриманий у такий спосіб шифртекст, а не відкритий [3].

2.4.4. Змішані стеганосистеми

На практиці перевага віддається безключовим стеганосистемам, хоча останні можуть бути відразу розкриті у випадку, якщо порушник дізнається про метод стеганоперетворення, що був при цьому застосований. У зв'язку з цим у безключових системах часто використовують особливості криптографічних систем з відкритим і/ або секретним ключем [3,12].

З огляду на велику різноманітність форматів, які можуть мати приховувані пові­домлення і контейнери (текст, звук або відео, що у свою чергу також поділяються на відповідні підформати), доцільним бачиться попереднє перетворення приховуваного повідомлення на зручний для вбудовування і оптимальний з точки зору рівня прихованості в заданому контейнері формат [5]: U: C х M х K W, w = U(c, m, к). Тобто вважається за доцільне врахуванння як особливості вбудовуваного повідомлення, так і особливості контейнера, до якого його планується ввести. Довільність функції U обмежується вимогами стійкості до різного роду впливів на отриманий контейнер-результат. Крім того, функція U є складеною:

U = T°G, (2.4)

де G: M х K Z; T: C х Z W.

Функція G може бути реалізована, наприклад, за допомогою криптографічного безпеч­ного генератора ПВП з K в якості початкового значення. Для підвищення стійкості прихованого повідомлення можуть застосовуватися завадостійкі коди, наприклад, коди Хемінга, БЧХ, Голея, згорткові коди [65]. Оператор T модифікує кодові слова Z з урахуванням формату контейнера, в результаті чого одержується оптимальне для вбудовування повідомлення. Функція T повинна бути обрана таким чином, щоб контейнер-оригінал С, контейнер-результат S і модифікований у

передбачених межах контейнер-результат S породжували одне й те саме оптимальне для вбудовування повідомлення:

T: C х Z = T: S х Z = T: S х Z = — W (2.5)

Процес вбудовування повідомлення W до контейнера-оригіналу С при цьому можна описати як суперпозицію сигналів:

E: C х V х W S;   s(x, y) = c(x, y) * v(x, y) w(x, y) p(x, y), (2.6)

де v(x, y) - маска вбудовування повідомлень, яка враховує характеристики зорової системи середньостатистичної людини і слугує для зменшення помітності цих повідомлень; p(x, y) -проектуюча функція, що залежить від ключа; знак «*» позначує оператор суперпозиції, що в загальному випадку включає до себе, окрім додавання, обмеження рівня і квантування.

Проектуюча функція здійснює "розподіл" оптимізованого повідомлення по всій області контейнера. Її використання може розглядатися як реалізація рознесення конфіденційної інформації паралельними каналами. Крім того, дана функція має певну просторову структуру і кореляційні властивості, що використовуються для протидії, наприклад, геометричним атакам (див. розділ 3).

Ще один можливий опис процесу вбудовування наведено в [5] з посиланням на [41]. Представимо стеганографічну систему як систему зв'язку з передачею додаткової інформації (рис.2.4). В даній моделі кодер і декодер мають доступ, окрім ключа, ще й до інформації про канал (тобто про контейнер і про можливі атаки). У залежності від положення перемикачів А і Б виділяють чотири класи стеганосистем (при цьому вважається, що ключ завжди відомий кодеру і декодеру).

Ключ

к

m

Кодер

Повідомлення

p(c I s,y)

Канал атаки

A

Генератор станів

Контейнер^

с

s'

1

Декодер \-*-m'

Б

s

y

y

Рис.2.4. Представлення стеганосистеми як системи зв'язку з передачею

додаткової інформації

I клас: Додаткова інформація відсутня (перемикачі розімкнуті) - так звані "класичні" стеганосистеми. В ранніх роботах зі стеганографії вважалося, що інформація про канал є не­доступною кодеку. Виявлення прихованої інформації здійснювалося шляхом обчислення коефіцієнта кореляції між прийнятим контейнером і обчисленим за ключем повідомленням Якщо коефіцієнт перевищував деякий поріг, приймалося рішення щодо присутності вбудованих даних. Але відомо, що кореляційний приймач є оптимальним лише у випадку адитивної гаусівської завади. При інших атаках (наприклад, геометричних спотвореннях) дані стегано-системи давали незадовільні результати.

II клас: Інформація про канал є відомою тільки кодеру (ключ А замкнутий, Б розімк-нутий). Така конструкція привернула до себе увагу завдяки роботі [47]. Особливістю схеми є те, що, будучи "сліпою", вона має ту ж теоретичну пропускну здатність, що й схема з наявністюконтейнера-оригінала в декодері. До недоліків стеганосистем класу II можна віднести високу складність кодера (необхідність побудови кодової книги для кожного контейнера), а також відсутність адаптації схеми до можливих атак. В останній час запропоновано низку практичних підходів, які усувають ці недоліки. Зокрема, для зниження складності кодера пропонується використовувати структуровані кодові книги, а декодер розраховувати на випадок найгіршої атаки.

iii клас: Додаткова інформація є відомою тільки декодеру (перемикач А розімкнутий, Б замкнутий). Декодер будується з урахуванням можливих атак. У результаті одержуються стійкі до геометричних атак стеганосистеми. Одним з методів досягнення цієї мети є викорис­тання так званого опорного вбудованого повідомлення (аналог пілот-сигналу в радіозв' язку). Опорне повідомлення - невелика кількість біт, вбудовуваних в інваріантні до перетворювань коефіцієнти сигналу. Наприклад, можна виконати вбудовування в амплітудні коефіцієнти перетворення Фур' є, які є інваріантними до афінних (геометричних) перетворювань. Тоді опорне повідомлення вкаже, яке перетворення виконав над контейнером порушник. Іншим призначенням пілотного повідомлення є боротьба із завмираннями, за аналогією з радіо-зв' язком. Завмираннями в даному контексті можна вважати зміну значень відліків сигналу при вбудовуванні даних, атаках, додаванні негаусівського шуму тощо. У радіозв' язку для боротьби із завмираннями використовується метод рознесеного прийому (по частоті, у часі, просторі, за кодом). У стеганографії ж використовується рознесення вбудованих повідомлень у просторі контейнера. Пілотне повідомлення генерується в декодері на основі ключа.

iv клас: Додаткова інформація є відомою як у кодері, так і в декодері (обидва пере­микачі замкнуті). Як відзначено у [46], всі перспективні стеганосистеми повинні будуватися саме за цим принципом. Оптимальність такої схеми досягається шляхом оптимального узго­дження кодера з сигналом-контейнером, а також адаптивним управлінням декодером в умовах спостереження каналу атак.

2.5. Висновки

В даному розділі шляхом аналізу спеціалізованих літературних джерел та ресурсів мережі Internet наведено узагальнене визначення поняття стеганографічної системи, визначено існуючі та перспективні напрямки, за якими можливе використання стеганографії як інстру­менту захисту інформації в автоматизованих системах, окреслено проблему співвідношення між стійкістю стеганосистеми та об' ємом приховуваного за її допомогою повідомлення, розкрито сутність таких основних понять стеганографії як повідомлення, контейнер-оригінал, контейнер-результат, стеганоключ, стеганоканал та ін. Це дозволило безпосередньо перейти до побудови структурної схеми стеганосистеми, яку проведено з позицій теорії зв' язку, виконати систематизований огляд відомих протоколів стеганосистем.

Отримані результати дозволяють зробити висновок про недоцільність використання безключових стеганосистем, безпека яких базується лише на таємності використовуваних стеганографічних перетворень. Наведено переваги використання відкритого ключа порівняно із секретним ключем. До основного переліку стеганографічних протоколів запропоновано вклю­чити протокол, що розуміє під собою додаткове попереднє перетворення приховуваної інфор­мації до оптимального формату, виходячи з особливостей формату носія, який планується використати в якості контейнера.

3. ПРИНЦИПИ СТЕГАНОГРАФІЧНОГО АНАЛІЗУ

3.1. Вступні положення

Основною метою стеганоаналізу є моделювання стеганографічних систем та їхнє до­слідження для отримання якісних і кількісних оцінок надійності використовуваного стегано-перетворення, а також побудова методів виявлення приховуваної в контейнері інформації, її модифікації або руйнування.

Термінологія стеганоаналізу є аналогічною термінології криптоаналізу, однак присутні й деякі істотні розбіжності. Криптоаналіз застосовується з метою дешифрування змісту криптограм, а стеганоаналіз - для виявлення наявності прихованої інформації.

За рівнем забезпечення таємності стеганосистеми поділяються на теоретично стійкі, практично стійкі і нестійкі системи [3].

Теоретично стійка (абсолютно надійна) стеганосистема здійснює приховування ін­формації лише в тих фрагментах контейнера, значення елементів яких не перевищують рівень шумів або помилок квантування, і при цьому теоретично доведено, що неможливо створити стеганоаналітичний метод виявлення прихованої інформації (рис.3.1, а).

Практично стійка стеганосистема проводить таку модифікацію фрагментів контей­нера, зміни яких можуть бути виявлені, але відомо, що на даний момент необхідні стегано-аналітичні методи в порушника відсутні або поки що не розроблені (рис.3.1, б ).

Нестійка стеганосистема приховує інформацію таким чином, що існуючі стегано-аналітичні засоби дозволяють її виявити (рис.3.1, в ). У цьому випадку стеганографічний аналіз допомагає знайти уразливі місця стеганографічного перетворення і провести його удосконален­ня таким чином, щоб усі зміни, внесені до контейнеру, знову виявилися б в області теоретичної або, принаймні, практичної нерозрізненості (рис.3.1, а, б ).

а) б) в)

І   І - область практичної нерозрізненості, в якій зміни контейнера не

виявляються існуючими у порушника аналітичними методами; <^ - область теоретичної нерозрізненості, в якій приховані елементи

практично не можуть бути виявлені, оскільки перебувають

нижче рівня шумів і помилок квантування;

область захисту стеганографічної системи.

Рис.3.1. Співвідношення методів стеганозахисту і стеганоаналізу

Порушник може бути пасивним, активним і зловмисним. В залежності від цього він може створювати різні загрози. Пасивний порушник може лише виявити факт наявності стеганоканалу і (можливо) дізнаватися про зміст повідомлення. Чи буде здатним він прочитати повідомлення після його виявлення залежить від стійкості системи шифрування, і це питання, як правило, не розглядається в стеганографії. Діапазон дій активного порушника є значно ширшим. Приховане повідомлення може бути ним видалене або ж зруйноване. Дії зловмисного порушника найбільш небезпечні. Він здатний не лише зруйнувати, але й створювати фальшиві стеганограми (дезінформація) [40].

Для здійснення тієї чи іншої загрози порушник застосовує атаки.

3.2. Види атак на стеганографічну систему

Стеганосистема вважається зламаною, якщо порушникові вдалося, принаймні, довести існування прихованого повідомлення в перехопленому контейнері. Передбачається, що поруш­ник здатний проводити будь-які види атак і має необмежені обчислювальні можливості. Якщо йому не вдається підтвердити гіпотезу про те, що в контейнері приховано секретне повідом­лення, то стеганографічна система вважається стійкою.

У більшості випадків виділяють декілька етапів зламу стеганографічної системи:

- виявлення факту присутності прихованої інформації;

- видобування прихованого повідомлення;

- видозміна (модифікація) прихованої інформації;

- заборона на здійснення будь-якого пересилання інформації, у тому числі і прихо­ваної [40].

Перші два етапи відносяться до пасивних атак на стеганосистему, а останні - до активних (або зловмисних) атак. Виділяють такі види атак на стеганосистеми (за аналогією з криптоаналізом) [3,5]:

- атака на основі відомого заповненого контейнера. У цьому випадку порушник має у своєму розпорядженні один або декілька заповнених контейнерів (в останньому випадку передбачається, що вбудовування прихованої інформації здійснювалося тим самим способом). Завдання порушника може складатися у виявленні факту наявності стеганоканалу (основне завдання), а також у видобуванні даних чи визначенні ключа. Знаючи ключ, порушник матиме можливість аналізу інших стеганоповідомлень;

- атака на основі відомого вбудованого повідомлення. Цей тип атаки більшою мірою характерний для систем захисту інтелектуальної власності, коли в якості ЦВЗ, наприклад, використовується відомий логотип фірми. Завданням аналізу є одержання ключа. Якщо відпо­відний прихованому повідомленню заповнений контейнер невідомий, то завдання є вкрай важко розв'язуваним;

- атака на основі обраного прихованого повідомлення. У цьому випадку порушник може пропонувати для передачі свої повідомлення й аналізувати отримувані при цьому контейнери-результати;

- адаптивна атака на основі обраного прихованого повідомлення. Ця атака є окремим випадком попередньої. При цьому порушник має можливість обирати повідомлення для нав' язування їх адаптивно, в залежності від результатів аналізу попередніх контейнерів-результатів.

- атака на основі обраного заповненого контейнера. Цей тип атаки є більше харак­терним для систем ЦВЗ. Стеганоаналітик має детектор заповнених контейнерів у вигляді "чорного ящика" і декілька таких контейнерів. Аналізуючи продетектовані приховані пові­домлення, порушник намагається розкрити ключ.

Крім того, в порушника може існувати можливість застосувати ще три атаки, які не мають прямих аналогій у криптоаналізі:

- атака на основі відомого порожнього контейнера. Якщо останній є відомим порушнику, то шляхом порівняння його з підозрюваним на присутність прихованих даних контейнером, той завжди може встановити факт наявності стеганоканалу. Незважаючи на тривіальність цього випадку, у ряді робіт приводиться його інформаційно-теоретичне обґрунтування. Набагато цікавішим бачиться сценарій, коли контейнер відомий приблизно, з деякою похибкою (як це може мати місце при додаванні до нього шуму). У цьому випадку існує можливість побудови стійкої стеганосистеми [5];

Страницы:
1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17  18  19  20  21  22  23  24  25  26  27  28  29  30  31  32  33  34  35  36  37  38  39  40  41  42  43  44  45  46  47  48  49  50  51 


Похожие статьи

Г Ф Конахович - Оцінка ефективності систем захисту інформації в телекомунікаційних системах

Г Ф Конахович - Комп'ютерна стеганографія теорія і практика