Стегоанализ

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Стегоанализ — раздел стеганографии; наука о выявлении факта передачи скрытой информации в анализируемом сообщении. В некоторых случаях под стегоанализом понимают также извлечение скрытой информации из содержащего её сообщения и (если это необходимо) дальнейшую её дешифровку. Последнее определение следует употреблять с соответствующей оговоркой.

Метод стегоанализа[править | править исходный текст]

В качестве первого шага стегоаналитик представляет исследуемое сообщение в виде контейнера, соответствующего известному ему методу стеганографии данного типа сообщений. Для определения контейнера требуется понимание метода занесения скрытой информации и знание места в сообщении, куда могло быть помещено стего. Таким образом, на первом этапе стегоаналитик

  • выбирает метод стеганографии, с помощью которого могла быть занесена скрытая информация в исследуемое сообщение,
  • структурирует сообщение в виде соответствующего контейнера и
  • получает представление о возможных способах добавления стего в сообщение выбранным методом.

Место в контейнере (или его объём), куда может быть занесено стего данным методом стеганографии, как правило, называют полезной ёмкостью контейнера.

Вторым шагом служит выявление возможных атак исследуемого сообщения — то есть видоизменений контейнера (которым является данное сообщение в рамках выбранного метода стеганографии) с целью проведения стегоанализа. Как правило, атаки проводятся путём внесения произвольной скрытой информации в контейнер с помощью выбранного для анализа метода стеганографии.

Третьим, и заключительным, шагом является непосредственно стегоанализ: контейнер подвергается атакам, и на основе исследования полученных «атакованных» сообщений, а также исходного сообщения, делается вывод о наличии или отсутствии стего в исследуемом сообщении. Совокупность производимых атак и методов исследования полученных сообщений представляет собой метод стегоанализа. Атака(и), с помощью которой(ых) удалось выявить наличие скрытой информации, называют успешной атакой.

Как правило, стегоанализ даёт вероятностные результаты (то есть возможность наличия стего в сообщении), и реже — точный ответ. В последнем случае, как правило, удаётся восстановить исходное стего.

Практические реализации[править | править исходный текст]

Гистограмный стегоанализ.[править | править исходный текст]

Бытует мнение, что НЗБ (Наименее Значащие Биты) изображений являются случайными. На самом деле это не так. Хотя человеческий глаз и не заметит изменений изображения при изменении последнего бита, статистические параметры изображения будут изменены. Перед сокрытием данные обычно архивируются (для уменьшения объема) или шифруются (для обеспечения дополнительной стойкости сообщения при попадании в чужие руки). Это делает биты данных очень близкими к случайным. Последовательное встраивание такой информации заменит НЗБ изображения случайными битами. Что можно обнаружить![1]

Для примера возьмем одну цветовую компоненту полноцветного изображения BMP и на ней покажем процесс отыскания встраивания. Яркость цветовой компоненты может принимать значения от 0 до 255. В двоичной системе исчисления - от 0000 0000 до 1111 1111.

Рассмотрим пары:

0000 0000<->0000 0001;
0000 0010<->0000 0011;
...
1111 1100<->1111 1101;
1111 1110<->1111 1111.

Данные числа различаются между собою только в НЗБ (выделены жирным). Таких пар для цветовой компоненты BMP изображения: 256/2=128

В случае стеганографического встраивания т.е. замены НЗБ на случайную последовательность, количество пикселей в парах выравняется. Гистограмма станет ступеньками (по два соседних значения яркости)


На рисунке синим цветом обозначена гистограмма изображения без встраивания, а красным - гистограмма того же изображения после встраивания заархивированных данных вместо последнего слоя. Сравнение двух гистограмм и дает возможность стегоанализа последовательно скрываемых бит.

Примеры[править | править исходный текст]

  • В случае метода стеганографии, описанного в трудах древнегреческого историка Геродота, при котором голову раба обривали и на кожу головы наносили тайную запись, в качестве атаки можно применять повторное обривание головы раба. В таком случае полезной ёмкостью контейнера будет служить кожа головы. Такая атака, чаще всего, будет однозначно свидетельствовать о наличии/отсутствии стего в контейнере.
  • В случае цифровой стеганографии стего может вноситься в медиасообщение методом LSB. В таком случае атакой может служить внесение в младшие значащие биты контейнера произвольной двоичной информацией, и сравнение полученных после атаки сообщений с исходным различными методами, исследующими степень статистической зависимости данных сообщения. Идея таких методов в том, что исходные оцифрованные аналоговые данные статистически более зависимы, чем содержащие некоторую произвольную, внесённую в них информацию.


Статьи[править | править исходный текст]

Примечания[править | править исходный текст]