Вадим Грибунин - Цифровая стеганография
4. ОЦЕНКИ СТОЙКОСТИ СТЕГАНОГРАФИЧЕСКИХ СИСТЕМ И УСЛОВИЯ ИХ ДОСТИЖЕНИЯ
4.1. Понятие стеганографической стойкости
По сравнению с достаточно хорошо исследованными криптографическими системами понятия и оценки безопасности стеганографических систем более сложны и допускают большее число их толкований [1–3]. В частности, это объясняется как недостаточной теоретической и практической проработкой вопросов безопасности стегосистем, так и большим разнообразием задач стеганографической защиты информации. Стегосистемы водяных знаков, в частности, должны выполнять задачу защиты авторских и имущественных прав на электронные сообщения при различных попытках активного нарушителя искажения или стирания встроенной в них аутентифицирующей информации. Формально говоря, системы ЦВЗ должны обеспечить аутентификацию отправителей электронных сообщений. Подобная задача может быть возложена на криптографические системы электронной цифровой подписи (ЭЦП) данных, но в отличие от стегосистем водяных знаков, известные системы ЭЦП не обеспечивают защиту авторства не только цифровых, но и аналоговых сообщений и в условиях, когда активный нарушитель вносит искажения в защищаемое сообщение и аутентифицирующую информацию. Иные требования по безопасности предъявляются к стегосистемам, предназначенным для скрытия факта передачи конфиденциальных сообщений от пассивного нарушителя. Также имеет свои особенности обеспечение имитостойкости стегосистем к вводу в скрытый канал передачи ложной информации [4,5].
Как и для криптографических систем защиты информации безопасность стегосистем описывается и оценивается их стойкостью (стеганографической стойкостью или для краткости стегостойкостью). Под стойкостью различных стегосистем понимается их способность скрывать от квалифицированного нарушителя факт скрытой передачи сообщений, способность противостоять попыткам нарушителя разрушить, исказить, удалить скрытно передаваемые сообщения, а также способность подтвердить или опровергнуть подлинность скрытно передаваемой информации.
В данном разделе рассмотрим определения стегостойкости, опишем классификацию атак на стегосистемы и попытаемся определить условия, в которых стегосистемы могут быть стойкими.
Исследуем стегосистемы, задачей которых является скрытая передача информации. В криптографических системах скрывается содержание конфиденциального сообщения от нарушителя, в то время как в стеганографии дополнительно скрывается факт существования такого сообщения. Поэтому определения стойкости и взлома этих систем различны. В криптографии система защиты информации является стойкой, если располагая перехваченной криптограммой, нарушитель не способен читать содержащееся в ней сообщение. Неформально определим, что стегосистема является стойкой, если нарушитель наблюдая информационный обмен между отправителем и получателем, не способен обнаружить, что под прикрытием контейнеров передаются скрываемые сообщения, и тем более читать эти сообщения.
Назовем в общем случае стегосистему нестойкой, если противоборствующая сторона способна обнаруживать факт ее использования. Рассмотрим базовую модель стегосистемы (рис. 4.1), в которой в стегокодере используется стеганографическая функция f встраивания по секретному ключу К скрываемого сообщения М в контейнер С, а в стегодекодере стеганографическая функция φ его извлечения по тому же ключу. Из стего по функции φ извлекается встроенное сообщение и при необходимости контейнер .
Рис. 4.1. Базовая модель стегосистемы
В результате искажений при встраивании, воздействия случайных и преднамеренных помех передачи, а также погрешностей при извлечении восстановленное получателем сообщение может отличаться от оригинала М. Аналогично, полученный контейнер будет отличаться от исходного С. Контейнер обязательно будет искажаться при встраивании скрываемого сообщения. В ряде стегосистем необходимо восстанавливать контейнер, так как он физически представляет собой обычные сообщения (изображения, речевые сигналы и т. п.) корреспондентов открытой связи, под прикрытием которых осуществляется скрытая связь. Эти сообщения открытой связи должны доставляться их получателям с качеством, определяемым установленными требованиями к достоверности открытой связи. Однако даже если используемый контейнер является только переносчиком скрываемого сообщения, степень допустимой погрешности контейнера также должна быть ограниченной, так как иначе нарушитель легко выявит факт использования стегосистемы.
По признаку использования ключа данная стегосистема классифицируется как симметричная. Логично предположить, что стойкость стегосистемы должна обеспечиваться при использовании несекретных (общеизвестных) функций встраивания f и извлечения φ. Безопасность стегосистем должна опираться на такие принципы их построения, при которых если нарушитель не знает секретной ключевой информации, то даже при полном знании функций встраивания и извлечения скрываемой информации, законов распределения скрываемых сообщений, контейнеров и стего он не способен установить факт скрытой передачи информации.
Рассмотрим классификацию атак нарушителя, пытающегося определить факт скрытой передачи сообщения и при установлении этого факта пытающегося просматривать их.
Атака только со стегограммой. Нарушителю известна одна или некоторое количество стегограмм и он пытается определить, не содержат ли они скрытых сообщений, и если да, то пытается читать их.
Нарушителю очень трудно взломать стегосистему в этой атаке. Это объясняется тем, что при неизвестности ни исходного контейнера, ни какой-либо части скрываемого сообщения можно получить очень большое число ложных расшифровок, среди которых ни одной нельзя отдать предпочтение. Дэвид Кан в своей знаменитой книге описывал, что если цензор при просмотре почтовых отправлений в годы Второй мировой войны не мог сразу найти следов скрываемых сообщений, то скорее всего эта задача не имеет однозначного решения [1].
Атака с известным контейнером. Нарушителю доступны одна или множество пар контейнеров и соответствующих им стегограмм. Заметим, что в этой атаке нарушитель знает исходный вид контейнера, что дает ему существенные преимущества по сравнению с первой атакой. Например, в качестве известного нарушителю контейнера может служить студийная запись музыкального произведения, которое передается по радиовещательному каналу со встроенной информацией. Или в качестве контейнера используется изображение какой-либо известной картины, демонстрирующейся в Эрмитаже, высококачественная цифровая копия которой свободно продается на CD-дисках.
Атака с выбранным контейнером. Нарушитель способен навязать для использования в стегосистеме конкретный контейнер, обладающий какими-то преимуществами для проведения стегоанализа по сравнению со всем множеством контейнеров. Усовершенствованная версия этой атаки: атака с адаптивно выбираемыми контейнерами. Нарушитель навязывает контейнер, анализирует полученное стего для формирования оценок вероятности факта скрытой передачи или оценок скрываемого сообщения или оценок используемого стегоключа. На основе полученных оценок нарушитель формирует очередной контейнер, с учетом очередного стего уточняет оценки и так далее до однозначного установления факта наличия скрытой связи или ее отсутствия, а при обнаружении канала скрытой связи до вычисления используемого стегоключа и чтения скрытой переписки. Например, такая атака может иметь место при несанкционированном использовании отправителем скрываемых сообщений чужого канала передачи информации, когда законный владелец информационных ресурсов проводит расследование с целью избавиться от непрошенных пользователей. В частности, в современных телекоммуникационных системах известны попытки бесплатно воспользоваться услугами дорогостоящей спутниковой и наземной мобильной связи.
Атака с известным сообщением. Нарушителю известно содержание одного или нескольких скрываемых сообщений и он пытается установить факт их передачи и/или используемый стегоключ. Например, такая атака выполняется тюремщиком Вилли в классической задаче о заключенных [6]. Вилли, зная вид сообщения о побеге, анализирует переписку между заключенными, чтобы выявить момент готовящегося побега. Очевидно, что отыскать следы конкретного сообщения в некотором множестве передаваемых стего существенно проще, чем выявить в этом же множестве факт скрытой передачи априори неизвестного сообщения.
