Стегоанализ

Стегоанализ — раздел стеганографии; наука о выявлении факта передачи скрытой информации в анализируемом сообщении. В некоторых случаях под стегоанализом понимают также извлечение скрытой информации из содержащего её сообщения и (если это необходимо) дальнейшую её дешифровку. Последнее определение следует употреблять с соответствующей оговоркой.

Метод стегоанализа

В качестве первого шага стегоаналитик представляет исследуемое сообщение в виде контейнера, соответствующего известному ему методу стеганографии данного типа сообщений. Для определения контейнера требуется понимание метода занесения скрытой информации и знание места в сообщении, куда могло быть помещено стего. Таким образом, на первом этапе стегоаналитик

• выбирает метод стеганографии, с помощью которого могла быть занесена скрытая информация в исследуемое сообщение,
• структурирует сообщение в виде соответствующего контейнера и
• получает представление о возможных способах добавления стего в сообщение выбранным методом.

Место в контейнере (или его объём), куда может быть занесено стего данным методом стеганографии, как правило называют полезной ёмкостью контейнера.

Вторым шагом служит выявление возможных атак исследуемого сообщения — то есть видоизменений контейнера (которым является данное сообщение в рамках выбранного метода стеганографии) с целью проведения стегоанализа. Как правило, атаки проводятся путём внесения произвольной скрытой информации в контейнер с помощью выбранного для анализа метода стеганографии.

Третьим, и заключительным, шагом является непосредственно стегоанализ: контейнер подвергается атакам, и на основе исследования полученных «атакованных» сообщений, а также исходного сообщения, делается вывод о наличии или отсутствии стего в исследуемом сообщении. Совокупность производимых атак и методов исследования полученных сообщений представляет собой метод стегоанализа. Атака(и), с помощью которой(ых) удалось выявить наличие скрытой информации, называют успешной атакой.

Как правило, стегоанализ даёт вероятностные результаты (то есть возможность наличия стего в сообщении), и реже — точный ответ. В последнем случае, как правило, удаётся восстановить исходное стего.

Практические реализации

Гистограмный стегоанализ.

Бытует мнение, что НЗБ (Наименее Значащие Биты) изображений являются случайными. На самом деле это не так. Хотя человеческий глаз и не заметит изменений изображения при изменении последнего бита, статистические параметры изображения будут изменены. Перед сокрытием данные обычно архивируются (для уменьшения объема) или шифруются (для обеспечения дополнительной стойкости сообщения при попадании в чужие руки). Это делает биты данных очень близкими к случайным. Последовательное встраивание такой информации заменит НЗБ изображения случайными битами. Что можно обнаружить!^[1]

Для примера возьмем одну цветовую компоненту полноцветного изображения BMP и на ней покажем процесс отыскания встраивания. Яркость цветовой компоненты может принимать значения от 0 до 255. В двоичной системе исчисления - от 0000 0000 до 1111 1111.

Рассмотрим пары:

0000 0000<->0000 0001;
0000 0010<->0000 0011;
...
1111 1100<->1111 1101;
1111 1110<->1111 1111.

Данные числа различаются между собою только в НЗБ (выделены жирным). Таких пар для цветовой компоненты BMP изображения: 256/2=128

В случае стеганографического встраивания т.е. замены НЗБ на случайную последовательность, количество пикселей в парах выравняется. Гистограмма станет ступеньками (по два соседних значения яркости)

На рисунке синим цветом обозначена гистограмма изображения без встраивания, а красным - гистограмма того же изображения после встраивания заархивированных данных вместо последнего слоя. Сравнение двух гистограмм и дает возможность стегоанализа последовательно скрываемых бит.

Примеры

• В случае метода стеганографии, описанного в трудах древнегреческого историка Геродота, при котором голову раба обривали и на кожу головы наносили тайную запись, в качестве атаки можно применять повторное обривание головы раба. В таком случае полезной ёмкостью контейнера будет служить кожа головы. Такая атака, чаще всего, будет однозначно свидетельствовать о наличии/отсутствии стего в контейнере.

• В случае цифровой стеганографии стего может вноситься в медиасообщение методом LSB. В таком случае атакой может служить внесение в младшие значащие биты контейнера произвольной двоичной информацией, и сравнение полученных после атаки сообщений с исходным различными методами, исследующими степень статистической зависимости данных сообщения. Идея таких методов в том, что исходные оцифрованные аналоговые данные статистически более зависимы, чем содержащие некоторую произвольную, внесённую в них информацию.

Статьи

• Быков С. Ф., Мотуз О. В. Основы стегоанализа // Защита информации. Конфидент. — СПб.: 2000, № 3, — с. 38-41

Примечания

1. ↑ Гистограмный стегоанализ

Для улучшения этой статьи желательно?: Найти и оформить в виде сносок ссылки на авторитетные источники, подтверждающие написанное. Добавить иллюстрации.