Стегоаналіз
Стегоаналіз — розділ стеганографії; наука про виявлення факту передачі прихованої інформації в аналізованому повідомленні. В деяких випадках під стегоаналізом розуміють також витягання прихованої інформації з повідомлення, що містить її, і (якщо це необхідно) подальше її дешифрування. Останнє визначення слід вживати з відповідною обмовкою.
Метод стегоаналізу
Як перший крок стегоаналітик представляє досліджуване повідомлення у вигляді контейнера, такого, що відповідає відомому йому методу стеганографії цього типу повідомлень. Для визначення контейнера потрібно розуміння методу занесення прихованої інформації і знання місця в повідомленні, куди могло бути поміщено стего. Таким чином, на першому етапі стегоаналітик:
- вибирає метод стеганографії, за допомогою якого могла бути занесена прихована інформація в досліджуване повідомлення,
- структурує повідомлення у вигляді відповідного контейнера і
- отримує уявлення про можливі способи додавання стего у повідомлення вибраним методом.
Місце в контейнері (чи його об'єм), куди може бути занесено стего цим методом стеганографії, як правило, називають корисною місткістю контейнера.
Другим кроком служить виявлення можливих атак досліджуваного повідомлення — тобто видозмін контейнера (яким є це повідомлення у рамках вибраного методу стеганографії) з метою проведення стегоаналізу. Як правило, атаки проводяться шляхом внесення довільної прихованої інформації у контейнер за допомогою вибраного для аналізу методу стеганографії.
Третім, і завершальним, кроком є безпосередньо стегоаналіз: контейнер піддається атакам, і на основі дослідження отриманих «атакованих» повідомлень, а також початкового повідомлення, робиться висновок про наявність або відсутність стего у досліджуваному повідомленні. Сукупність вироблюваних атак і методів дослідження отриманих повідомлень є методом стегоаналізу. Атака(і), за допомогою якої(их) вдалося виявити наявність прихованої інформації, називають успішною атакою.
Як правило, стегоаналіз дає імовірнісні результати (тобто можливість наявності стего в повідомленні), і рідше — точну відповідь. У останньому випадку, як правило, вдається відновити початкове стего.
Практичні реалізації
Гістограмний стегоаналіз
Існує думка, що НЗБ (найменш значущі біти) зображень є випадковими. Насправді це не так. Хоча людське око і не помітить змін зображення при зміні останнього біта, статистичні параметри зображення будуть змінені. Перед прихованням дані зазвичай архівуються (для зменшення об'єму) або шифруються (для забезпечення додаткової стійкості повідомлення при потраплянні до чужих рук). Це робить біти даних дуже близькими до випадкових. Послідовне вбудовування такої інформації замінить НЗБ зображення випадковими бітами. Що можна виявити![1]
Для прикладу візьмемо одну кольорову компоненту повнокольорового зображення .bmp і на ній покажемо процес відшукування вбудовування. Яскравість кольорової компоненти може набувати значень від 0 до 255. У двійковій системі числення — від 0000 0000 до 1111 1111.
Процес відшукування вбудовування | |
Розглянемо пари:
0000 0000<->0000 0001;
0000 0010<->0000 0011;
…
1111 1100<->1111 1101;
1111 1110<->1111 1111.
Ці числа розрізняються між собою тільки в НЗБ (виділені жирним). Таких пар для кольорової компоненти .bmp зображення: 256/2=128
У разі стеганографічного вбудовування тобто заміни НЗБ на випадкову послідовність, кількість пікселів у парах вирівнюєтся. Гістограма стане сходинками (по два сусідні значення яскравості).
На малюнку синім кольором позначена гістограма зображення без вбудовування, а червоним — гістограма того ж зображення після вбудовування даних, що заархівували, замість останнього шару. Порівняння двох гістограм і дає можливість стегоаналізу послідовно приховуваних біт.
Приклади
- У разі методу стеганографії, описаного у працях старогрецького історика Геродота, при якому голову раба обголювали і на шкіру голови наносили таємний запис, як атаку можна застосовувати повторне обголювання голови раба. У такому разі корисною місткістю контейнера служитиме шкіра голови. Така атака, найчастіше, однозначно свідчитиме про наявність/відсутність стего у контейнері.
- У разі цифрової стеганографії стего може вноситися в медіаповідомлення методом LSB. У такому разі атакою може служити внесення в молодші значущі біти контейнера довільної двійкової інформації, і порівняння отриманих після атаки сполучень з початковим різними методами, що досліджують міру статистичної залежності даних повідомлення. Ідея таких методів в тому, що початкові оцифровані аналогові дані статистично залежніші, ніж ті, що містять деяку довільну, внесену в них інформацію.
Див. також
Ресурси Інтернету
- Быков С. Ф., Мотуз О. В. Основы стегоанализа // Защита информации. Конфидент. — СПб.: 2000. — № 3. — С. 38-41
- Конахович Г. Ф., Пузиренко О.Ю. Комп'ютерна стеганографія. Теорія і практика. — К.: “МК-Пресс”, 2006. — 288 с.
- Steganalysis research and papers by Neil F. Johnson addressing attacks against Steganography and Watermarking, and Countermeasures to these attacks.
- Research Group. Ongoing research in Steganalysis.
- Digital Invisible Ink Toolkit An open-source image steganography suite that includes both steganography and steganalysis implementations.
- Steganography - Implementation and detection Short introduction on steganography, discussing several information sources in which information can be stored
- StegSecret. StegSecret is a java-based multiplatform steganalysis tool. This tool allows the detection of hidden information by using the most known steganographic methods. It detects EOF, LSB, DCTs and other techniques. (steganography - stegoanalysis).
- Virtual Steganographic Laboratory (VSL). Contains LSB RS-Analysis and blind (universal) BSM-SVM steganalysis. Application is free, platform-independent graphical block diagramming tool that allows complex using, testing and adjusting of methods both for image steganography and steganalysis. Provides modular, plug-in architecture along with simple GUI.