Цифровая стеганография

Р_с и Р_s для оценки стойкости стегосистемы при пассивном противнике. В работе [3] дано следующее определение: стегосистема называется ε-стойкой против пассивного нарушителя, если

Если ε = 0, то стегосистема является совершенной.

Если распределения контейнера и стего одинаковы, то , и такая стегосистема является совершенной. Это означает, что вероятность обнаружения факта передачи скрываемой информации не изменяется от того, наблюдает нарушитель информационный обмен от Алисы к Бобу или нет. Пассивный нарушитель, обладающий произвольно большими ресурсами и владеющий любыми методами стегоанализа, не способен обнаружить факт использования совершенной стегосистемы.

Рассмотрим условия обеспечения стойкости стегосистем. Известно соотношение между энтропией, относительной энтропией и размером алфавита |X| для произвольных случайных переменных S и С. Отметим, что контейнеры С и стего S принадлежат одному и тому же алфавиту Х. Если переменная S равновероятно и независимо распределена, то

. (4.4)

Если переменная С является равновероятно и независимо распределенной, то, как известно из теории информации [10], выполняется равенство и тогда . Следовательно, если в качестве контейнеров С использовать случайные последовательности и скрываемые сообщения будут описываться также случайными последовательностями, то сформированные стего S не будут иметь никаких статистических отличий от пустых контейнеров, и такая стегосистема будет совершенной. Если скрываемая информация представляет собой осмысленные сообщения, которые описываются последовательностями с неравномерными и зависимыми между собой символами, то к требуемому виду их легко привести путем шифрования любым стойким шифром.

Опишем пример формально совершенной стегосистемы, в которой контейнеры представляет собой последовательности независимых и равновероятных случайных бит и в качестве функции встраивания скрываемых сообщений используется известная криптографическая функция типа «однократная подстановка». Пусть контейнер С есть равновероятно распределенная случайная последовательность длиной n бит. Формирователь ключа генерирует случайную равновероятно распределенную последовательность ключа k длиной n бит и передает ее Алисе и Бобу. Если Алиса активна, то функция встраивания представляет собой побитное суммирование по модулю 2 для скрытия n-битового сообщения m, где стего формируется по правилу . Получатель Боб извлекает скрытое сообщение вычислением . Сформированное стего S равновероятно распределено для последовательности n битов и поэтому . Таким образом, построение функции встраивания как однократной подстановки обеспечивает совершенность стегосистемы, если контейнер формируется равновероятным случайным источником.

Однако реальные передаваемые по каналам связи сообщения, используемые в стегосистемах как пустые контейнеры, далеки от модели безизбыточных и равновероятных источников. Поэтому передача зашифрованных описанным способом сообщений на фоне сообщений естественных источников сразу же демаскирует канал скрытой связи. Для стеганографии характерен случай неравновероятного распределения переменной С, описывающей выход естественного источника с некоторой существенной памятью. Сообщения таких источников обычно используются в качестве контейнеров (изображения, речь и т. п.) и их энтропия H(S) обычно значительно меньше величины . Для встраивания скрываемых сообщений из таких контейнеров удаляется часть избыточности и в сжатые таким образом контейнеры вкладываются скрываемые сообщения. В результате этого вероятностные характеристики формируемых стегограмм отличаются от характеристик пустых контейнеров, приближаясь к характеристикам случайного независимого источника. В предельном случае дискретные стегограммы описываются бернуллиевским распределением. В этом случае вся избыточность контейнера удалена и встроенное сообщение порождено равновероятным случайным источником.

Рассмотрим следующий пример. Пусть в качестве контейнеров используются сообщения типа «деловая проза» на русском языке, для которых известна оценка энтропии H(C) = 0,83 бит/буква [11]. Величина для русского языка с алфавитом из 32 букв составляет log 32 = 5. Следовательно, в предельном случае относительная энтропия между обычными сообщениями с распределением Р_С и стегограммами с распределением Р_S равна

.

Очевидно, что в этом случае безизбыточные стего, выглядящие как случайный набор букв русского языка, сразу же выделяются на фоне избыточных контейнеров, представляющих собой осмысленные сообщения. Таким образом, факт использования такой стегосистемы легко обнаруживается при визуальном просмотре передаваемых от Алисы к Бобу сообщений. При использовании такой стегосистемы также легко автоматизировать процесс поиска следов скрытого канала. Для этого достаточно подсчитывать приблизительные оценки энтропии передаваемых сообщений. Так как энтропия стего примерно в 5 раз больше энтропии обычных сообщений, то достаточно просто выявить факты наличия скрытой связи.

В работе [3] доказывается, что произвольные детерминированные преобразования не увеличивают ОЭ между двумя распределениями.

Лемма 1: Пусть Р_Qc и Р_Qs описывают вероятностные распределения контейнеров и стего, соответственно, над множеством наблюдений Q. Детерминированное отображение f преобразует множество наблюдений Q в множество наблюдений T вида

,

где q_c, q_s Q, t_c, t_s T. Тогда справедливо выражение

.

Так как различение между гипотезами H_C и H_S есть частная форма преобразования, вероятности ошибок α и β удовлетворяют неравенству

. (4.5)

Это соотношение может использоваться в следующем виде: пусть δ есть верхняя граница и задана верхняя граница вероятности α. Тогда выражение (4.5) дает нижнюю границу вероятности β. Например, при α = 0 значение ошибки .

Используя эту лемму, в работе [3] доказывается следующая теорема.