Перечисленные причины приводят к модели стегосистемы, в которой нарушитель может быть способен определить, что статистика наблюдаемых им в канале последовательностей отличается от известной ему статистики контейнеров, но он не способен установить причину этих отличий. Таким образом, нарушитель хотя и подозревает о существовании скрытого канала, но не может доказать или опровергнуть этого. Требуемые доказательства могут быть получены, если нарушитель сумеет прочитать скрываемое сообщение. Методами теории информации опишем стойкость стегосистемы к чтению скрываемых сообщений.
В работе [2] несколько с иных позиций, чем в подходе Качина [3] определяется стойкость стегосистемы. Стегосистема называется теоретико-информационно стойкой, если нарушитель не способен получить никакой информации о встроенном сообщении, анализируя перехваченные стего при условии знания статистических характеристик пустых контейнеров. В рамках этого определения подсчитывается взаимная информация между скрываемыми сообщениями
. Как известно из теории информации [10], взаимная информация может быть определена через безусловную и условную энтропию:
. (4.8)
Это дает фундаментальное условие стойкости стегосистемы вида
. (4.9)
Такое определение теоретико-информационной стойкости стегосистемы очень напоминает соответствующее определение теоретико-информационной стойкости системы шифрования информации. Если неопределенность нарушителя относительно сообщения
. (4.10)
Заметим, что выражения (4.9) и (4.10) указывают, что нарушитель не способен определить ни одного бита защищаемого сообщения. При этом для системы шифрования точно известно, что в криптограмме это сообщение содержится. Для стегосистемы выражение (4.9) может выполняться в следующих случаях:
1. Стегосистема не используется.
2. Осуществляется скрытая передача информации, используется совершенная к установлению факта наличия скрытой связи стегосистема. Если нарушитель не способен определить факт наличия скрываемого сообщения, то тем более он не способен прочитать ни одного бита этого сообщения.
3. Осуществляется скрытая передача информации, нарушитель способен определить факт наличия скрытой связи. Однако он не способен прочитать ни одного бита скрываемого сообщения.
Например, третий случай был описан в предыдущем параграфе при вложении безизбыточных скрываемых сообщений в равновероятные случайные контейнерные последовательности по функции встраивания однократная подстановка. Сформированные таким образом стего легко выявляются нарушителем на фоне обычных избыточных сообщений. Однако прочитать эти сообщения принципиально невозможно, если при встраивании используется случайная равновероятно распределенная ключевая последовательность [Шен].
Выражение (4.9) означает, что неопределенность нарушителя относительно сообщения
1. Пусть никакое сообщение
2. В стего
.
Поэтому,
. (4.11)
Это означает, что условие стойкости стегосистемы не обеспечивается. Можно показать, что необходимым и достаточным условием стойкости является:
Поэтому в работе [2] делается вывод, что если нарушителю известны стегограммы и соответствующие им контейнеры, то стегосистема не может быть совершенной. В рамках теоретико- информационной модели рассматриваемая стегосистема в атаке нарушителя с известным контейнером не может скрыть факта передачи скрываемого сообщения. А из выражения (4.11) следует, что нарушитель также способен узнать если не полностью, то частично содержание этого сообщения: если , то при известных
Обеспечение требуемой стойкости может быть получено при переходе от детерминированных стегосистем к недетерминированным (вероятностным). Рассмотрим один из возможных вариантов построения вероятностной стегосистемы, предложенный в [2]. В рассматриваемой вероятностной стегосистеме для выполнения необходимого и достаточного условия стойкости вида . Пусть выполняется условие