Цифровая стеганография

[9]. Принципы построения подавляющего большинства известных однонаправленных функций с потайным ходом таковы, что любое сколь угодно малое искажение выходного значения этой функции при использовании законным получателем потайного хода приводит к существенному размножению ошибок в принимаемом сообщении. Этот недостаток однонаправленных функций характерен и для ныне используемых несимметричных криптографических систем. Однако там его можно скомпенсировать использованием дополнительных мер повышения достоверности передаваемых криптограмм или цифровых подписей сообщений. Но в стегосистемах использование этих же способов повышения достоверности затруднено. Во-первых, их применение демаскирует скрытый канал. Во-вторых, активный нарушитель в атаках на стегосистему ЦВЗ имеет большие возможности подобрать такое разрушающее воздействие, при котором доступные скрывающему информацию способы повышения достоверности могут оказаться неэффективными. Например, если скрывающий информацию использует помехоустойчивое кодирование, обеспечивающее защиту скрываемого сообщения от равновероятно распределенных ошибок, то нарушитель подбирает закон распределения пакетирующихся ошибок, при котором канальный декодер получателя не способен их исправить и размножает ошибки при декодировании.

4.2. Стойкость стегосистем к обнаружению факта передачи скрываемых сообщений

Для анализа стойкости стеганографических систем к обнаружению факта передачи скрываемых сообщений рассмотрим теоретико-информационную модель стегосистемы с пассивным нарушителем, предложенную в работе [3].

Нарушитель Ева наблюдает сообщения, передаваемые отправителем Алисой получателю Бобу. Ева не знает, содержат ли эти сообщения безобидный контейнер С или стего S со скрываемой информацией. Будем полагать, что Алиса может находится в одном из двух режимов: она или активна (и тогда по наблюдаемому каналу передается стего S) или пассивна (передается пустой контейнер С). Когда Алиса активна, она преобразует контейнер С вложением в него скрываемого сообщения М, используя секретный ключ К. Допустимо построение стегосистемы, в которой Алиса может сама генерировать для скрытия сообщения М подходящий контейнер. Получив стего S, Боб должен быть способен извлечь из него сообщение М, используя ключ К. В терминах теории информации стегосистема должна удовлетворять соотношениям:

1. H(S/CMK) = 0. Формируемое отправителем стего S однозначно определяется значениями контейнера C, ключа К и сообщения М.

2. H(М) > 0. Неопределенность до момента передачи скрываемого сообщения М и для получателя и для нарушителя строго больше нуля, иначе по скрытому каналу не передается неизвестной для получателя информации и теряется смысл использования стегосистемы. Заметим, что это может не выполняться для систем ЦВЗ, целью которых является не передача неизвестной для получателя или нарушителя информации, а установление авторства передаваемого контейнера.

3. H(М/SK) = 0. Получатель Боб должен однозначно восстановить скрываемое сообщение М из принятого стего S, пользуясь ключом К.

Будем полагать, что вероятностные распределения множеств скрываемых сообщений, контейнеров, стего и ключей известны для всех участников информационного противоборства. Дополнительно получатель Боб знает, активна или нет отправитель Алиса. Ева, наблюдая передаваемые Алисой сообщения, должна установить передается по каналу связи скрываемая информация или нет. Для выявления факта использования стегосистемы Ева пытается определить, соответствуют ли передаваемый информационный поток распределению контейнеров или распределению стего. Если Ева способна установить, что в наблюдаемом канале передаются сообщения с распределением стегограмм, то факт скрытой передачи информации от Алисы к Бобу доказан, а используемая ими стегосистема является нестойкой. Сформулируем задачу доказательства стойкости стегосистемы как задачу различения гипотез.

В рассматриваемой модели стегосистемы известно вероятностное распределение пустых контейнеров, обозначаемое Р_С, и вероятностное распределение стегограмм, обозначаемое Р_S. Нарушитель в контролируемом канале связи может наблюдать множество возможных пустых контейнеров и стегограмм. Обозначим это множество возможных наблюдений Q. Нарушитель, наблюдая передаваемое сообщение q Q, выдвигает две гипотезы Н_С и Н_S. Если справедлива гипотеза Н_С, то сообщение q порождено в соответствии с распределением Р_С, а если справедлива Н_S, то q соответствует распределению Р_S. Правило решения заключается в разбиении множества Q на две части так, чтобы назначить одну из двух гипотез каждому возможному сообщению q Q. В этой задаче различения возможны два типа ошибок: ошибка первого типа, которая заключается в установлении гипотезы Н_S, когда верной является Н_С и ошибка второго типа, когда принято решение Н_С при верной гипотезе Н_S. Вероятность ошибки первого типа обозначается α, вероятность ошибки второго типа — β.

Метод нахождения оптимального решения задается теоремой Неймана-Пирсона. Правило решения зависит от порога Т. Переменные α и β зависят от Т. Теорема устанавливает, что для некоторого заданного порога Т и допустимой максимальной вероятности β, вероятность α может быть минимизирована назначением такой гипотезы Н_С для наблюдения q Q, если и только если выполняются

(4.2)

Основным инструментом для различения гипотез является относительная энтропия (ОЭ) или различимость между двумя распределениями вероятностей P_С и P_S, определяемая в виде

(4.3)

Относительная энтропия между двумя распределениями всегда неотрицательна и равна 0, если и только если они неразличимы (совпадают). Хотя в математическом смысле ОЭ не является метрикой, так как она не обладает свойством симметричности и свойством треугольника, полезно ее использовать в качестве расстояния между двумя сравниваемыми распределениями. Двоичная относительная энтропия d(α,β) определяется как

Используем относительную энтропию D(Р_с || Р_s) между распределениями