Цифровая стеганография

б) открыть , то есть логарифм произведения MN.

3. Алиса выполняет просьбу Боба, и шаги протокола повторяются при другом значении N.

Протоколы доказательства с нулевым знанием могут строиться также на основе использования свойств изоморфизма графов [11] и других трудных задач. В [11] рассмотрены также и слабости этих протоколов.

Итак, в криптографии известна и решена задача доказательства существования некоторой информации без раскрытия сведений о ней. К сожалению, идея доказательства с нулевым знанием не может быть непосредственно применена для построения системы ЦВЗ, из-за специфики последней. Далее рассмотрена эта специфика и возможные модификации протокола доказательства с нулевым знанием для применения в ЦВЗ [14].

В рассмотренном выше протоколе Алиса имеет возможность публиковать открытое число M и различные значения N, а также  и . В случае же системы ЦВЗ вся эта информация должна встраиваться в изображение. Если ее сделать доступной для Боба, тот может просто удалить ее из изображения, так как это не приведет к существенному ухудшению его качества. Возможным выходом являлось бы использование надсознательного канала, то есть ЦВЗ в виде хэш-функции от наиболее значимых признаков изображения. В этом случае удаление ЦВЗ приведет к значительной деградации изображения. Однако, таким образом невозможно встраивать новую информацию, например, вычисленное значение M. По существу, надсознательный канал доступен для Алисы в режиме «только для чтения».

Вначале рассмотрим возможную реализацию протокола с нулевым знанием в известной схеме построения системы ЦВЗ, носящей имя Питаса [15]. В основе схемы Питаса лежит разделение всего множества пикселов на два подмножества, увеличение значений на некоторое число k в одном подмножестве и уменьшение на то же число k - в другом. Таким образом, средние значения двух подмножеств будут отличаться на 2k.

Версия схемы Питаса для протокола с нулевым знанием строится следующим образом. После внесения ЦВЗ в контейнер Алиса выполняет перестановку . Затем она доказывает наличие перестановки ЦВЗ в перестановке контейнера без раскрытия значения ЦВЗ W. Для исключения обмана с ее стороны Алиса должна опубликовать множество сигналов таких, что их скремблированные значения дают множество всех возможных ЦВЗ.

Итак, в соответствии с [14]:

1. Алиса генерирует перестановку, вычисляет последовательность и посылает ее Бобу.

2. Боб теперь знает, как исходный контейнер, так и его перестановку и случайным образом просит Алису:

а) открыть перестановку, чтобы убедиться что нет обмана;

б) показать наличие в .

3. Алиса выполняет просьбу Боба.

4. Алиса показывает, что она не смошенничала и действительно является перестановкой ЦВЗ. Для этого она предъявляет допустимую процедуру скремблирования , такую что .

5. Использованная перестановка больше в протоколе не применяется.

Данный протокол порождает ряд проблем. Во-первых, даже небольшой сдвиг контейнера приведет к рассогласованию значений и . В принципе, эта проблема не самого протокола. Она вызвана чувствительностью схемы Питаса к пространственным сдвигам. Другая проблема состоит в некоторой «утечке» информации о выполненной Алисой перестановке. Дело в том, что значения интенсивностей пикселов при перестановке не изменяются, и атакующий будет использовать эту информацию для сужения круга возможных перестановок. Еще одна слабость протокола заключается в том, что Алиса может найти и использовать такие перестановки, что будет отыскиваться в , и Боб не сможет обнаружить мошенничество.

Поэтому, в [14] был предложен ряд усовершенствований вышеприведенного стеганографического протокола с нулевым знанием, с использованием криптографически сильных перестановок, основанных на сложных проблемах, например, поиска путей на графах.

1.5. Некоторые практические вопросы встраивания данных

Часто используют следующий принцип встраивания данных. Пусть сигнал контейнера представлен последовательностью из n бит. Процесс скрытия информации начинается с определения бит контейнера, которые можно изменять без внесения заметных искажений — стегопути. Далее среди этих бит обычно в соответствии с ключом выбираются биты, заменяемые битами ЦВЗ.

Рассмотрим другие возможные способы внедрения в контейнер битов ЦВЗ.

1) Инверсия бита. Значения битов стегопути заменяются на противоположные. При этом «1» может соответствовать замена 0->1, «0» — замена 1->0.

2) Вставка бита. Перед битом стегопути вставляется бит ЦВЗ. При этом значение бита ЦВЗ должно быть противоположно значению бита контейнера.

3) Удаление бита. Выбираются пары «01» или «10» битов стегопути, соответствующие разным значениям бита ЦВЗ. Затем первый бит пары удаляется.

4) Использование бита-флага. При этом на то, что очередной бит контейнера (неизменяемый!) является битом ЦВЗ указывает инверсия предшествующего бита-флага.

5) Применение пороговых бит. Также как и в предыдущем методе используется бит-флаг. Однако, одному биту ЦВЗ соответствует несколько идущих следом за флагом бит (нечетное число). Если среди этих бит больше единиц, то бит ЦВЗ равен «1».

6) Использование табличных значений. Для определения бита ЦВЗ в предыдущем методе, фактически, использовалась проверка на четность. С тем же успехом можно было бы применять и любое другое отображение множества бит в 1 бит, либо находить его значение по таблице.

7) Динамически изменяемая таблица. Метод тот же, что и в предыдущем случае, но таблица изменяется на каждом шаге. Например, использованное значение из таблицы может быть заменено на случайное.

8) Косвенная динамическая таблица. Так как табличные значения (биты контейнера) знает и кодер и декодер, то их можно не передавать.

2. АТАКИ НА СТЕГОСИСТЕМЫ И ПРОТИВОДЕЙСТВИЯ ИМ

2.1. Атаки против систем скрытной передачи сообщений

Вернемся к рассмотренной в первой главе стегосистеме, предназначенной для скрытой передачи