Атаки на стеганосистемы
Классификация атак на криптосистемы
МАТЕМАТИЧЕСКАЯ МОДЕЛЬ И СТРУКТУРНАЯ СХЕМА СТЕГАНОГРАФИЧЕСКОЙ СИСТЕМЫ
Лекция №2
Классификация стеганодетекторов
Классификация стеганосистем
Основные этапы стеганографического преобразования
Робастные стеганосистемы – это стеганосистемы устойчивые к внешним воздействиям на стеганоконтейнер. Воздействие на контейнер не приводит к разрушению или повреждению встроенного в контейнер сообщения.
Хрупкие стеганосистемы – это стеганосистемы, при которых малейшее воздействие на контейнер приводит к полному разрушению сообщения. Например, термос с очень хрупкой колбой для сохранения температуры.
Полухрупкие стеганосистемы – это стеганосистемы, которые находятся по характеристикам между робастными и хрупкими стеганосистемами. Информационное сообщение не разрушается под воздействием на контейнер до некоторой пороговой величины. После превышения этой пороговой величины информационное сообщение разрушается.
В зависимости от функционального назначения применяют одну из указанных стеганосистем:
- хрупкие, если лучше уничтожить сообщение, но не дать его в руки противнику (напр., при дипломатической переписке, военном деле, в случае со шпаргалкой).
- робастные при встраивании ЦВЗ (модификация контейнера не разрушает ЦВЗ), при защите авторского права с помощью идентификационных номеров, при встраивании заголовков (чипа).
- полухрупкие при некоторой средней ситуации.
Стеганосистемы по виду детекторов делятся на: открытые, полузакрытые, закрытые.
В открытых стеганосистемах для детектирования информации используют в качестве входных данных только полученную оценку с выхода стеганодекодера.
В полузакрытых стеганосистемах для детектирования используют помимо полученной оценки еще и исходный ЦВЗ.
В закрытых стеганосистемах для детектирования необходимо помимо оценки с выхода декодера и исходного ЦВЗ наличие пустого контейнера.
Математическая модель и структурная схема стеганографической системы
Источник информации (ИИ) формирует сообщение , принадлежащее множеству возможных сообщений . Работа ИИ описывается некоторым случайным процессом, конкретная реализация которого – суть сообщения . Следовательно, каждому на выходе ИИ можно поставить соответствующие вероятности появления их на выходе ИИ.
Пример: ИИ – подбрасывание монетки: – решка, – орел; ;
Распределение этих вероятностей характеризует производительность ИИ (количество бит информации в единицу времени).
Энтропия – производительность ИИ.
Криптографическое преобразование (КП) каждому , поступившему на его вход, ставит в соответствие некоторую криптограмму , причем - множество возможных криптограмм на выходе КП.
Таким образом, криптопреобразование реализует некоторое отображение множества открытых текстов в множество криптограмм.
Источник ключей (ИК) порождает некоторый ключ , , принадлежащий множеству возможных ключей. Работа ИК также описывается некоторым случайным процессом, конкретная реализация которого – суть ключа . Следовательно, каждому ключу припишем вероятность . Распределение этих вероятностей характеризует производительность ИК.
Ключ параметризирует (задет конкретный вид) отображения . . Таким образом, каждому введенному ключу соответствует одно из возможных отображений .
Обратное криптопреобразование (ОКП) реализует обратное отображение , параметризируемое ключом .
ПИ – получатель информации.
Противник / злоумышленник (Пр. (Зл.)) наблюдает канал связи и перехватывает .
Цели противника:
1) По известной криптограмме или некоторой их совокупности восстановить информационное сообщение , т.е. (без знания секретного ключа) – задача без ключевого чтения.
2) Найти секретный ключ расшифрования , т.е. .
При решении первой задачи (Пр. (Зл.)) пытается сформировать множество апостериорных вероятностей :
, , …, .
Для второй задачи: множество апостериорных вероятностей
, , … , .
Если сформированные (Пр. (Зл.)) апостериорные вероятности равны апостериорным вероятностям при сколько угодно много перехваченных , такая секретная система называется теоретически недешифруемой (совершенно стойкой / безусловной стойкости).
Это условие соответствует простому угадыванию противником переданной информации .
Необходимое условие реализации теоретически недешифруемых систем:
1) секретный ключ формируется случайно, равновероятно и независимо от других ключей;
2) мощность множества секретных ключей больше или равна множества информационных сообщений: .
Эти условия реализуются в так называемом одноразовом ключевом блокноте (шифр Вернама).
Пример реализации подобной криптосистемы изображен следующим образом:
Пусть имеется лента бесконечной длины, на которую нанесены символы секретного ключа, которые сформированы случайно, равновероятно и независимо друг от друга.
Пусть имеется ИИ – источник информации, который формирует .
ИИ формирует отдельный символ сообщения, который преобразуется некоторой функцией f с очередным символом Kl , считанным со случайной ленты.
Например, на ленте записана случайная последовательность «0» и «1». ИИ формирует двоичное сообщение, каждый бит информации может ксориться с очередным битом ключа Kl: .
Теоретически недешифруемую систему можно реализовать лишь с некоторыми допущениями, т.е. приняв за истину предположение о бесконечности случайно, равновероятно и независимо сформированной последовательности символов ключа.
1) Атака с известной криптограммой
Противник наблюдает канал связи, пытается вычислить переданное и . Возможности воздействовать на передающую сторону не имеет.
2) Атака с известным открытым текстом
Противник имеет возможность ставить в соответствие каждой перехваченной криптограмме некоторое информационное сообщение .
3) Атака с подобранной криптограммой
Противник имеет возможность воздействовать на передающую сторону таким образом, что та будет формировать криптограмму , наиболее удобную противнику для анализа.
4) Атака с подобранным открытым текстом («Атака с секретаршей»)
Противник имеет полный доступ к устройству криптографического преобразования. Он может формировать любые пары «открытый текст-криптограмма». Он не знает лишь секретный ключ.
Принцип Кирхгофа для секретных системзвучит следующим образом:
«Стойкость секретной системы основывается исключительно на секретности ключевых данных, противник при этом может иметь полный доступ к алгоритмам криптопреобразования, выполнять шифрование и расшифрование, он не знает лишь секретного ключа».
Математическая модель и структурная схема стеганосистемы
ИИ – источник информации – формирует .
ИКн – источник контейнеров. Контейнер . Для случайных контейнеров работа ИКн описывается некоторым случайным процессом, реализация которого и есть контейнер , тогда каждому контейнеру припишем вероятности:
.
Для выбранных или навязанных контейнеров работа ИКн описывается детерминированным процессом, который инициирован уполномоченным пользователем (для выбранных) или противником (навязанные).
ПК – предварительное кодирование – осуществляет преобразование информационного сообщения для последующего встраивания в контейнер . Это может быть сжатие информационных данных, их помехоустойчивое кодирование и другие виды преобразования.
БУОКн – блок учета особенностей контейнера – осуществляет анализ избыточности контейнеров и выделяет некоторые его свойства (особенности) L, которые используются при стеганографическом кодировании.
СК – стеганографическое кодирование – осуществляет встраивание информационного сообщения в контейнер с учетом выявленных особенностей L.
Работа стеганокодера реализует некоторое отображение ,
что .
Множество - множество заполненных контейнеров.
ИК – источник ключей – формирует , что возможных (допустимых) ключей. Каждый ключ параметризирует (задает конкретный вид) отображения .
Д – детектор.
СДК – стеганодекодер – формирует некоторую оценку , т.е. контейнер содержит информацию или нет. Полученная оценка поступает на детектор, основной задачей которого является установление принадлежности множеству , то есть детектирование информационного сообщения. Решение детектора (ДА/НЕТ) поступает к ПИ – получателю информации – вместе с извлеченной оценкой
Таким образом, стеганодекодер реализует обратное отображение , причем множество S может быть значительно больше множества C. Так, для робастных систем не только отображается в соответствующие и , но и в некоторое множество других заполненных контейнеров, отличающихся от на некоторую величину .
Для хрупких систем .
Первые четыре атаки введем по аналогии с секретными системами.
1) Атака с известным заполненным контейнером.
2) Атака с известным информационным сообщением
3) Атака с подобранным заполненным контейнером .
4) Атака с подобранным открытым текстом.
Введем две дополнительных атаки, характерные только для стеганосистем.
5) Атака с известным пустым контейнером.
6) Атака с подобранным пустым контейнером.
Противник наблюдает канал связи, перехватывает стеганосистемы и пытается решить следующие задачи:
определить факт наличия или отсутствия сообщения в перехваченном контейнере. То есть решить без знания секретного ключа задачу детектора.
Если апостериорная вероятность наличия (отсутствия) сообщения в контейнере равна априорной вероятности встраивания информационного сообщения в контейнер, то такую стеганосистему по аналогии с теорией секретных систем будем называть совершенно стойкой.
Решив первую задачу (правильного детектирования), противник попытается извлечь информационное сообщение , то есть найти апостериорные вероятности:
, ,…, .
В этом случае задача извлечения эквивалентна задаче дешифрования, то есть после решения первой задачи стеганосистема для криптоаналитика представляется как секретная система (криптосистема).