4.1. Понятие стеганографической стойкости
По сравнению с достаточно хорошо исследованными криптографическими системами понятия и оценки безопасности стеганографических систем более сложны и допускают большее число их толкований [1–3]. В частности, это объясняется как недостаточной теоретической и практической проработкой вопросов безопасности стегосистем, так и большим разнообразием задач стеганографической защиты информации. Стегосистемы водяных знаков, в частности, должны выполнять задачу защиты авторских и имущественных прав на электронные сообщения при различных попытках активного нарушителя искажения или стирания встроенной в них аутентифицирующей информации. Формально говоря, системы ЦВЗ должны обеспечить аутентификацию отправителей электронных сообщений. Подобная задача может быть возложена на криптографические системы электронной цифровой подписи (ЭЦП) данных, но в отличие от стегосистем водяных знаков, известные системы ЭЦП не обеспечивают защиту авторства не только цифровых, но и аналоговых сообщений и в условиях, когда активный нарушитель вносит искажения в защищаемое сообщение и аутентифицирующую информацию. Иные требования по безопасности предъявляются к стегосистемам, предназначенным для скрытия факта передачи конфиденциальных сообщений от пассивного нарушителя. Также имеет свои особенности обеспечение имитостойкости стегосистем к вводу в скрытый канал передачи ложной информации [4,5].
Как и для криптографических систем защиты информации безопасность стегосистем описывается и оценивается их стойкостью (стеганографической стойкостью или для краткости стегостойкостью). Под стойкостью различных стегосистем понимается их способность скрывать от квалифицированного нарушителя факт скрытой передачи сообщений, способность противостоять попыткам нарушителя разрушить, исказить, удалить скрытно передаваемые сообщения, а также способность подтвердить или опровергнуть подлинность скрытно передаваемой информации.
В данном разделе рассмотрим определения стегостойкости, опишем классификацию атак на стегосистемы и попытаемся определить условия, в которых стегосистемы могут быть стойкими.
Исследуем стегосистемы, задачей которых является скрытая передача информации. В криптографических системах скрывается содержание конфиденциального сообщения от нарушителя, в то время как в стеганографии дополнительно скрывается факт существования такого сообщения. Поэтому определения стойкости и взлома этих систем различны. В криптографии система защиты информации является стойкой, если располагая перехваченной криптограммой, нарушитель не способен читать содержащееся в ней сообщение. Неформально определим, что стегосистема является стойкой, если нарушитель наблюдая информационный обмен между отправителем и получателем, не способен обнаружить, что под прикрытием контейнеров передаются скрываемые сообщения, и тем более читать эти сообщения.
Назовем в общем случае стегосистему нестойкой, если противоборствующая сторона способна обнаруживать факт ее использования. Рассмотрим базовую модель стегосистемы (рис. 4.1), в которой в стегокодере используется стеганографическая функция f встраивания по секретному ключу К скрываемого сообщения М в контейнер С, а в стегодекодере стеганографическая функция φ его извлечения по тому же ключу. Из стего по функции φ извлекается встроенное сообщение 
и при необходимости контейнер 
.
Рис. 4.1. Базовая модель стегосистемы
В результате искажений при встраивании, воздействия случайных и преднамеренных помех передачи, а также погрешностей при извлечении восстановленное получателем сообщение
может отличаться от оригинала М. Аналогично, полученный контейнер
будет отличаться от исходного С. Контейнер обязательно будет искажаться при встраивании скрываемого сообщения. В ряде стегосистем необходимо восстанавливать контейнер, так как он физически представляет собой обычные сообщения (изображения, речевые сигналы и т. п.) корреспондентов открытой связи, под прикрытием которых осуществляется скрытая связь. Эти сообщения открытой связи должны доставляться их получателям с качеством, определяемым установленными требованиями к достоверности открытой связи. Однако даже если используемый контейнер является только переносчиком скрываемого сообщения, степень допустимой погрешности контейнера также должна быть ограниченной, так как иначе нарушитель легко выявит факт использования стегосистемы.
По признаку использования ключа данная стегосистема классифицируется как симметричная. Логично предположить, что стойкость стегосистемы должна обеспечиваться при использовании несекретных (общеизвестных) функций встраивания f и извлечения φ. Безопасность стегосистем должна опираться на такие принципы их построения, при которых если нарушитель не знает секретной ключевой информации, то даже при полном знании функций встраивания и извлечения скрываемой информации, законов распределения скрываемых сообщений, контейнеров и стего он не способен установить факт скрытой передачи информации.
Рассмотрим классификацию атак нарушителя, пытающегося определить факт скрытой передачи сообщения и при установлении этого факта пытающегося просматривать их.
Атака только со стегограммой. Нарушителю известна одна или некоторое количество стегограмм и он пытается определить, не содержат ли они скрытых сообщений, и если да, то пытается читать их.
Нарушителю очень трудно взломать стегосистему в этой атаке. Это объясняется тем, что при неизвестности ни исходного контейнера, ни какой-либо части скрываемого сообщения можно получить очень большое число ложных расшифровок, среди которых ни одной нельзя отдать предпочтение. Дэвид Кан в своей знаменитой книге описывал, что если цензор при просмотре почтовых отправлений в годы Второй мировой войны не мог сразу найти следов скрываемых сообщений, то скорее всего эта задача не имеет однозначного решения [1].
Атака с известным контейнером. Нарушителю доступны одна или множество пар контейнеров и соответствующих им стегограмм. Заметим, что в этой атаке нарушитель знает исходный вид контейнера, что дает ему существенные преимущества по сравнению с первой атакой. Например, в качестве известного нарушителю контейнера может служить студийная запись музыкального произведения, которое передается по радиовещательному каналу со встроенной информацией. Или в качестве контейнера используется изображение какой-либо известной картины, демонстрирующейся в Эрмитаже, высококачественная цифровая копия которой свободно продается на CD-дисках.
Атака с выбранным контейнером. Нарушитель способен навязать для использования в стегосистеме конкретный контейнер, обладающий какими-то преимуществами для проведения стегоанализа по сравнению со всем множеством контейнеров. Усовершенствованная версия этой атаки: атака с адаптивно выбираемыми контейнерами. Нарушитель навязывает контейнер, анализирует полученное стего для формирования оценок вероятности факта скрытой передачи или оценок скрываемого сообщения или оценок используемого стегоключа. На основе полученных оценок нарушитель формирует очередной контейнер, с учетом очередного стего уточняет оценки и так далее до однозначного установления факта наличия скрытой связи или ее отсутствия, а при обнаружении канала скрытой связи до вычисления используемого стегоключа и чтения скрытой переписки. Например, такая атака может иметь место при несанкционированном использовании отправителем скрываемых сообщений чужого канала передачи информации, когда законный владелец информационных ресурсов проводит расследование с целью избавиться от непрошенных пользователей. В частности, в современных телекоммуникационных системах известны попытки бесплатно воспользоваться услугами дорогостоящей спутниковой и наземной мобильной связи.
Атака с известным сообщением. Нарушителю известно содержание одного или нескольких скрываемых сообщений и он пытается установить факт их передачи и/или используемый стегоключ. Например, такая атака выполняется тюремщиком Вилли в классической задаче о заключенных [6]. Вилли, зная вид сообщения о побеге, анализирует переписку между заключенными, чтобы выявить момент готовящегося побега. Очевидно, что отыскать следы конкретного сообщения в некотором множестве передаваемых стего существенно проще, чем выявить в этом же множестве факт скрытой передачи априори неизвестного сообщения.
Если нарушителю известны некоторые скрываемые сообщения и соответствующие им стегограммы, то его задачей является определение ключа стегосистемы для выявления и чтения других скрытно передаваемых сообщений, либо при невозможности (высокой сложности) определения ключа задачей нарушителя является построение методов бесключевого чтения или определения факта передачи скрываемой информации.
Атака с выбранным сообщением. Нарушитель способен навязать для передачи по стегосистеме конкретное сообщение и он пытается установить факт его скрытой передачи и используемый секретный ключ. Также возможна атака с адаптивно выбираемыми сообщениями, в которой нарушитель последовательно подбрасывает скрывающему информацию подбираемые сообщения и итеративно уменьшает свою неопределенность об использовании стегосистемы и ее параметрах.
Например, такая атака может выполняться, когда возникает подозрение, что с какого-то автоматизированного рабочего места (АРМ) локальной сети учреждения происходит утечка конфиденциальной информации, которая затем скрытно передается за пределы этой сети. Для выявления канала утечки администратор безопасности формирует сообщения, которые могли бы заинтересовать недобросовестного пользователя и вводит их в информационные массивы сети. Затем администратор пытается выявить следы этих сообщений в информационных потоках, передаваемых с АРМ пользователей через сервер во внешние сети. Для однозначного установления факта наличия или отсутствия канала скрытой связи администратор выбирает такие сообщения, которые легче других обнаружить при их передаче по стегоканалу.
Кроме того, возможны различные сочетания перечисленных атак, в которых нарушитель способен знать или выбирать используемые контейнеры и скрытно передаваемые сообщения. Степень эффективности атак на стегосистему возрастает по мере увеличения знаний нарушителя об используемых контейнерах, скрываемых сообщений, объема перехваченных стегограмм и его возможностей по навязыванию выбранных контейнеров и сообщений.
Введем модели нарушителя, пытающегося противодействовать скрытию информации. Следуя К. Шеннону, назовем первую из этих моделей теоретико-информационной [7]. Пусть, как это принято для систем защиты информации, для стегосистем выполняется принцип Кергоффа: нарушитель знает полное описание стегосистемы, ему известны вероятностные характеристики скрываемых сообщений, контейнеров, ключей, формируемых стегограмм. Нарушитель обладает неограниченными вычислительными ресурсами, запоминающими устройствами произвольно большой емкости, располагает бесконечно большим временем для стегоанализа и ему известно произвольно большое множество перехваченных стегограмм [8]. Единственное, что неизвестно нарушителю — используемый ключ стегосистемы. Если в данной модели нарушитель не в состоянии установить, содержится или нет скрываемое сообщение в наблюдаемом стего, то назовем такую стегосистему теоретико-информационно стойкой к атакам пассивного нарушителя или совершенной.
Стойкость различных стегосистем может быть разделена на стойкость к обнаружению факта передачи (существования) скрываемой информации, стойкость к извлечению скрываемой информации, стойкость к навязыванию ложных сообщений по каналу скрытой связи (имитостойкость), стойкость к восстановлению секретного ключа стегосистемы.
Очевидно, что если стегосистема является стойкой к обнаружению факта передачи (существования) скрываемой информации, то логично предположить, что она при этом является стойкой и к чтению скрываемой информации. Обратное в общем случае неверно. Стегосистема может быть стойкой к чтению скрываемой информации, но факт передачи некой информации под прикрытием контейнера может выявляться нарушителем. Перефразируя известное высказывание Ш.Гольдвассера о несимметричных системах шифрования [8], можно сказать, что если накрыть верблюда одеялом, то можно скрыть число горбов у верблюда (назовем это скрываемым сообщением), но трудно утаить, что под одеялом-контейнером что-то спрятано.
Стойкость стегосистемы к навязыванию ложных сообщений по каналу скрытой связи характеризует ее способность обнаруживать и отвергать сформированные нарушителем сообщения, вводимые им в канал передачи скрываемых сообщений с целью выдачи их за истинные, исходящие от законного отправителя. Например, если в классической задаче Симмонса о заключенных тюремщик Вилли окажется способным сфабриковать ложное сообщение об отмене побега и получатель Боб поверит, что ее автором является законный отправитель Алиса, то это означает существенную слабость используемой стегосистемы. Если в системе ЦВЗ злоумышленник способен ввести в контейнер, заверенный законным отправителем, свой водяной знак и детектор будет обнаруживать водяной знак злоумышленника и не обнаруживать ЦВЗ истинного отправителя, то это означает дискредитацию (взлом) системы ЦВЗ.
Стойкость к восстановлению секретного ключа стегосистемы характеризует ее способность противостоять попыткам нарушителя вычислить секретную ключевую информацию данной стегосистемы. Если нарушитель способен определить ключ симметричной стегосистемы, то он может однозначно выявлять факты передачи скрываемых сообщений и читать их или навязывать ложные сообщения без всяких ограничений. Такое событие можно назвать полной компрометацией стегосистемы. Очевидно, что атаки нарушителя на ключ стегосистемы могут быть построены аналогично атакам на ключ систем шифрования информации и систем аутентификации сообщений.
Если нарушитель способен вычислить ключ встраивания водяного знака какого-либо автора (владельца) информационных ресурсов, то он может поставить этот водяной знак на любой контейнер. Тем самым нарушитель дискредитирует либо водяной знак данного автора (владельца), либо целиком всю систему ЦВЗ. В обоих случаях ставится под сомнение законность прав одного или всех собственников информационных ресурсов на то, что действительно им принадлежит. Данная проблема имеет большое практическое значение для защиты авторских и имущественных прав производителей различного рода информационных продуктов, таких как лицензионное программное обеспечение, CD и DVD дисков, видео и аудио кассет и т. п. Мировой рынок информационной индустрии оценивается многими миллиардами долларов в год и поэтому неудивительно, что защита информации как товара от различных посягательств злоумышленников быстро приобретает конкретную практическую направленность.
Если система ЦВЗ построена как симметричная, то декодер должен использовать конфиденциальный ключ обнаружения водяного знака. Следовательно, такой детектор проблематично встраивать в массово эксплуатирующиеся устройства, к которым доступ нарушителя технически сложно ограничить, например, в персональные проигрыватели DVD дисков. Несимметричная система ЦВЗ использует секретный ключ встраивания водяного знака в контейнеры и открытый ключ проверки ЦВЗ. Очевидно, что из открытого ключа проверки должно быть невозможно вычисление секретного ключа встраивания водяного знака. Нарушитель не должен быть способен в контейнер встроить водяной знак произвольного автора (производителя), а сам водяной знак должен однозначно идентифицировать этого автора. Требования к ключевой информации несимметричных систем ЦВЗ очень напоминают требования к ключам известных из криптографии систем цифровой подписи данных. При использовании несимметричных систем ЦВЗ можно встраивать декодеры в любое оборудование, не опасаясь компрометации ключа встраивания водяного знака. Разумеется, при этом надо исключить возможность обхода нарушителем системы защиты. Если злоумышленник способен отключить детектор ЦВЗ, то он сможет несанкционированно воспользоваться платными информационными ресурсами. Например, в современные DVD устройства записывается информация о географическом регионе их производства и продажи, в пределах которого разрешается или ограничивается проигрывание DVD дисков с соответствующими метками доступа. Россия в соответствии с этим разграничением доступа относится к региону, в котором вероятность электронного воровства значительно выше, чем, например, в Западной Европе.
Заметим, что построение несимметричных систем ЦВЗ и иных стегосистем вызывает существенные практические проблемы. Во-первых, несимметричные системы, как известно из криптографии, в реализации оказываются вычислительно сложнее симметричных систем. Во-вторых, кроме требований к стойкости ключа стегосистемы, предъявляются жесткие требования к устойчивости системы ЦВЗ к разнообразным попыткам нарушителя искажения водяного знака. Несимметричные системы построены на основе однонаправленной функции с потайным ходом, идея которых предложена У.Диффи и М.Хэлманом [9]. Принципы построения подавляющего большинства известных однонаправленных функций с потайным ходом таковы, что любое сколь угодно малое искажение выходного значения этой функции при использовании законным получателем потайного хода приводит к существенному размножению ошибок в принимаемом сообщении. Этот недостаток однонаправленных функций характерен и для ныне используемых несимметричных криптографических систем. Однако там его можно скомпенсировать использованием дополнительных мер повышения достоверности передаваемых криптограмм или цифровых подписей сообщений. Но в стегосистемах использование этих же способов повышения достоверности затруднено. Во-первых, их применение демаскирует скрытый канал. Во-вторых, активный нарушитель в атаках на стегосистему ЦВЗ имеет большие возможности подобрать такое разрушающее воздействие, при котором доступные скрывающему информацию способы повышения достоверности могут оказаться неэффективными. Например, если скрывающий информацию использует помехоустойчивое кодирование, обеспечивающее защиту скрываемого сообщения от равновероятно распределенных ошибок, то нарушитель подбирает закон распределения пакетирующихся ошибок, при котором канальный декодер получателя не способен их исправить и размножает ошибки при декодировании.
4.2. Стойкость стегосистем к обнаружению факта передачи скрываемых сообщений
Для анализа стойкости стеганографических систем к обнаружению факта передачи скрываемых сообщений рассмотрим теоретико-информационную модель стегосистемы с пассивным нарушителем, предложенную в работе [3].
Нарушитель Ева наблюдает сообщения, передаваемые отправителем Алисой получателю Бобу. Ева не знает, содержат ли эти сообщения безобидный контейнер С или стего S со скрываемой информацией. Будем полагать, что Алиса может находится в одном из двух режимов: она или активна (и тогда по наблюдаемому каналу передается стего S) или пассивна (передается пустой контейнер С). Когда Алиса активна, она преобразует контейнер С вложением в него скрываемого сообщения М, используя секретный ключ К. Допустимо построение стегосистемы, в которой Алиса может сама генерировать для скрытия сообщения М подходящий контейнер. Получив стего S, Боб должен быть способен извлечь из него сообщение М, используя ключ К. В терминах теории информации стегосистема должна удовлетворять соотношениям:
1. H(S/CMK) = 0. Формируемое отправителем стего S однозначно определяется значениями контейнера C, ключа К и сообщения М.
2. H(М) > 0. Неопределенность до момента передачи скрываемого сообщения М и для получателя и для нарушителя строго больше нуля, иначе по скрытому каналу не передается неизвестной для получателя информации и теряется смысл использования стегосистемы. Заметим, что это может не выполняться для систем ЦВЗ, целью которых является не передача неизвестной для получателя или нарушителя информации, а установление авторства передаваемого контейнера.
3. H(М/SK) = 0. Получатель Боб должен однозначно восстановить скрываемое сообщение М из принятого стего S, пользуясь ключом К.
Будем полагать, что вероятностные распределения множеств скрываемых сообщений, контейнеров, стего и ключей известны для всех участников информационного противоборства. Дополнительно получатель Боб знает, активна или нет отправитель Алиса. Ева, наблюдая передаваемые Алисой сообщения, должна установить передается по каналу связи скрываемая информация или нет. Для выявления факта использования стегосистемы Ева пытается определить, соответствуют ли передаваемый информационный поток распределению контейнеров или распределению стего. Если Ева способна установить, что в наблюдаемом канале передаются сообщения с распределением стегограмм, то факт скрытой передачи информации от Алисы к Бобу доказан, а используемая ими стегосистема является нестойкой. Сформулируем задачу доказательства стойкости стегосистемы как задачу различения гипотез.
В рассматриваемой модели стегосистемы известно вероятностное распределение пустых контейнеров, обозначаемое Р С , и вероятностное распределение стегограмм, обозначаемое Р S . Нарушитель в контролируемом канале связи может наблюдать множество возможных пустых контейнеров и стегограмм. Обозначим это множество возможных наблюдений Q. Нарушитель, наблюдая передаваемое сообщение q #i_572.png Q , выдвигает две гипотезы Н С и Н S . Если справедлива гипотеза Н С , то сообщение q порождено в соответствии с распределением Р С , а если справедлива Н S , то q соответствует распределению Р S . Правило решения заключается в разбиении множества Q на две части так, чтобы назначить одну из двух гипотез каждому возможному сообщению q #i_572.png Q . В этой задаче различения возможны два типа ошибок: ошибка первого типа, которая заключается в установлении гипотезы Н S , когда верной является Н С и ошибка второго типа, когда принято решение Н С при верной гипотезе Н S . Вероятность ошибки первого типа обозначается α, вероятность ошибки второго типа — β.
Метод нахождения оптимального решения задается теоремой Неймана-Пирсона. Правило решения зависит от порога Т. Переменные α и β зависят от Т. Теорема устанавливает, что для некоторого заданного порога Т и допустимой максимальной вероятности β, вероятность α может быть минимизирована назначением такой гипотезы Н С для наблюдения q #i_572.png Q , если и только если выполняются
(4.2)
Основным инструментом для различения гипотез является относительная энтропия (ОЭ) или различимость между двумя распределениями вероятностей P С и P S , определяемая в виде
(4.3)
Относительная энтропия между двумя распределениями всегда неотрицательна и равна 0, если и только если они неразличимы (совпадают). Хотя в математическом смысле ОЭ не является метрикой, так как она не обладает свойством симметричности и свойством треугольника, полезно ее использовать в качестве расстояния между двумя сравниваемыми распределениями. Двоичная относительная энтропия d(α,β) определяется как
Используем относительную энтропию D(Р с || Р s ) между распределениями Р с и Р s для оценки стойкости стегосистемы при пассивном противнике. В работе [3] дано следующее определение: стегосистема называется ε-стойкой против пассивного нарушителя, если
Если ε = 0, то стегосистема является совершенной.
Если распределения контейнера и стего одинаковы, то 
, и такая стегосистема является совершенной. Это означает, что вероятность обнаружения факта передачи скрываемой информации не изменяется от того, наблюдает нарушитель информационный обмен от Алисы к Бобу или нет. Пассивный нарушитель, обладающий произвольно большими ресурсами и владеющий любыми методами стегоанализа, не способен обнаружить факт использования совершенной стегосистемы.
Рассмотрим условия обеспечения стойкости стегосистем. Известно соотношение между энтропией, относительной энтропией и размером алфавита |X| для произвольных случайных переменных S и С. Отметим, что контейнеры С и стего S принадлежат одному и тому же алфавиту Х. Если переменная S равновероятно и независимо распределена, то
. (4.4)
Если переменная С является равновероятно и независимо распределенной, то, как известно из теории информации [10], выполняется равенство 
и тогда
. Следовательно, если в качестве контейнеров С использовать случайные последовательности и скрываемые сообщения будут описываться также случайными последовательностями, то сформированные стего S не будут иметь никаких статистических отличий от пустых контейнеров, и такая стегосистема будет совершенной. Если скрываемая информация представляет собой осмысленные сообщения, которые описываются последовательностями с неравномерными и зависимыми между собой символами, то к требуемому виду их легко привести путем шифрования любым стойким шифром.
Опишем пример формально совершенной стегосистемы, в которой контейнеры представляет собой последовательности независимых и равновероятных случайных бит и в качестве функции встраивания скрываемых сообщений используется известная криптографическая функция типа «однократная подстановка». Пусть контейнер С есть равновероятно распределенная случайная последовательность длиной n бит. Формирователь ключа генерирует случайную равновероятно распределенную последовательность ключа k длиной n бит и передает ее Алисе и Бобу. Если Алиса активна, то функция встраивания представляет собой побитное суммирование по модулю 2 для скрытия n-битового сообщения m, где стего формируется по правилу 
. Получатель Боб извлекает скрытое сообщение вычислением 
. Сформированное стего S равновероятно распределено для последовательности n битов и поэтому
. Таким образом, построение функции встраивания как однократной подстановки обеспечивает совершенность стегосистемы, если контейнер формируется равновероятным случайным источником.
Однако реальные передаваемые по каналам связи сообщения, используемые в стегосистемах как пустые контейнеры, далеки от модели безизбыточных и равновероятных источников. Поэтому передача зашифрованных описанным способом сообщений на фоне сообщений естественных источников сразу же демаскирует канал скрытой связи. Для стеганографии характерен случай неравновероятного распределения переменной С, описывающей выход естественного источника с некоторой существенной памятью. Сообщения таких источников обычно используются в качестве контейнеров (изображения, речь и т. п.) и их энтропия H(S) обычно значительно меньше величины 
. Для встраивания скрываемых сообщений из таких контейнеров удаляется часть избыточности и в сжатые таким образом контейнеры вкладываются скрываемые сообщения. В результате этого вероятностные характеристики формируемых стегограмм отличаются от характеристик пустых контейнеров, приближаясь к характеристикам случайного независимого источника. В предельном случае дискретные стегограммы описываются бернуллиевским распределением. В этом случае вся избыточность контейнера удалена и встроенное сообщение порождено равновероятным случайным источником.
Рассмотрим следующий пример. Пусть в качестве контейнеров используются сообщения типа «деловая проза» на русском языке, для которых известна оценка энтропии H(C) = 0,83 бит/буква [11]. Величина
для русского языка с алфавитом из 32 букв составляет log 32 = 5. Следовательно, в предельном случае относительная энтропия между обычными сообщениями с распределением Р С и стегограммами с распределением Р S равна
.
Очевидно, что в этом случае безизбыточные стего, выглядящие как случайный набор букв русского языка, сразу же выделяются на фоне избыточных контейнеров, представляющих собой осмысленные сообщения. Таким образом, факт использования такой стегосистемы легко обнаруживается при визуальном просмотре передаваемых от Алисы к Бобу сообщений. При использовании такой стегосистемы также легко автоматизировать процесс поиска следов скрытого канала. Для этого достаточно подсчитывать приблизительные оценки энтропии передаваемых сообщений. Так как энтропия стего примерно в 5 раз больше энтропии обычных сообщений, то достаточно просто выявить факты наличия скрытой связи.
В работе [3] доказывается, что произвольные детерминированные преобразования не увеличивают ОЭ между двумя распределениями.
Лемма 1: Пусть Р Qc и Р Qs описывают вероятностные распределения контейнеров и стего, соответственно, над множеством наблюдений Q. Детерминированное отображение f преобразует множество наблюдений Q в множество наблюдений T вида
,
где q c , q s 
Q, t c , t s
T. Тогда справедливо выражение
.
Так как различение между гипотезами H C и H S есть частная форма преобразования, вероятности ошибок α и β удовлетворяют неравенству
. (4.5)
Это соотношение может использоваться в следующем виде: пусть δ есть верхняя граница 
и задана верхняя граница вероятности α. Тогда выражение (4.5) дает нижнюю границу вероятности β. Например, при α = 0 значение ошибки 
.
Используя эту лемму, в работе [3] доказывается следующая теорема.
Теорема 2: Если стегосистема является ε-стойкой против пассивного нарушителя, то вероятность β необнаружения факта скрытой связи и вероятность α ошибочного установления факта скрытой связи удовлетворяют неравенству 
. В частном случае, если α = 0, то
.
Пусть Алисе разрешается передать Бобу цифровое изображение С. Используя модель чувствительности зрения, она может сформировать множество С эквивалентных изображений, которые визуально неразличимы от исходного С. Независимо от того, активна Алиса или нет, она передает выбранное изображение из множества С. Пусть Алиса и Боб заранее договорились, какой модификации изображения соответствует каждое из скрываемых сообщений. Формально это означает, что в стегосистеме каждому из изображений С j , где j=1,2,…, |C|, по секретному ключу ставится в соответствие или одно из скрываемых сообщений М j , где j=1,2,…, N, и N < |C|, или отсутствие скрываемого сообщения для |C|—N случаев. Если данное соответствие построено равновероятно и независимо для множества контейнеров и скрываемых сообщений, то при неразличимости распределений контейнеров и стего нарушитель Ева, наблюдая за информационным обменом между Алисой и Бобом, потенциально не способна получить больше той информации, которой обладала априори. Так как по определению Еве известны статистические характеристики всех множеств, входящих в стегосистему, то она априори знает, что вероятность активного состояния Алисы равна N/|C|, а вероятность отсутствия передачи скрываемой информации равна (|C|—N)/|C|. Активное и пассивное состояния Алисы составляют полную группу событий, следовательно,
.
Таким образом, если Алиса собирается передавать N скрываемых сообщений под прикрытием |C| контейнеров, то вероятность того, что Ева угадает, что произвольный контейнер содержит вложенную информацию не может быть меньше величины N/|C|. Если стегосистема совершенна, то вероятность угадывания нарушителем факта передачи скрываемого сообщения строго равна этой величине.
Из этого следует, что вероятность пассивного состояния Алисы должна быть во много раз больше вероятности ее активного состояния, и что используемых контейнеров с учетом их модификаций должно быть во много раз больше скрываемых сообщений. Перефразируя известную поговорку, можно сказать, что иголку более надежно можно спрятать от чужих глаз в большом стоге сена, чем в маленьком.
Рассмотрим влияние некоторой дополнительной информации на распределения контейнеров и стего и, соответственно, на стойкость стегосистемы. Пусть некоторые внешние события влияют на распределение контейнеров, например, выпуски новостей или погоды в известной «задаче заключенных». Эта дополнительная информация обозначается Y и известна всем участникам. Соответственно изменим нашу модель и определение стойкости. Определим средние вероятности вида 
для ошибки 1 рода и 
для ошибки 2 рода, где α(y) и β(y) означают, соответственно, величину вероятностей ошибок 1 и 2 рода для Y = y.
Условная относительная энтропия (УОЭ) между Р С и P S , принадлежащих одному алфавиту Х, зависимая от переменной Y, определяется в виде
(4.6)
Из неравенства Иенсена [10] и из выражения (4.5) следует, что
(4.7)
Стегосистема с дополнительной информацией Y, контейнерами С и стего S называется ε-стойкой против пассивного противника, если условная относительная энтропия 
. В качестве примера использования в стегосистеме внешней информацией укажем «классическую» задачу Г.Симмонса, в которой заключенные скрытно обмениваются информацией о побеге. Вероятность передачи сообщения о побеге в темную ночь выше по сравнению со светлой ночью. Это общеизвестный факт не только для лиц, совершающих побеги, но и для их тюремщиков, ужесточающих контроль за возможными каналами скрытой передачи информации. Поэтому использование общеизвестной дополнительной информации в стегосистеме облегчает задачу нарушителя. Можно сказать, что ε-стойкая стегосистема с дополнительной информацией Y обеспечивает более высокую скрытность связи по сравнению с аналогичной ε-стойкой стегосистемой без этой информации.
4.3. Стойкость недетерминированных стегосистем
В предыдущем параграфе было показано, что на основе анализа распределений контейнеров и распределений стего выявляется факт использования стегосистемы. Для этого в рассмотренной теоретико-информационной модели предполагается, что нарушитель знает точные вероятностные характеристики контейнеров, стего, скрываемых сообщений и ключей. Также в модели предполагается, что передаваемые стегограммы и пустые контейнеры не претерпевают никаких искажений в процессе их доставки по каналу связи, а отправитель скрываемых сообщений выбирает только такие контейнеры, характеристики которых совпадают с характеристиками всего множества контейнеров. В итоге любое отклонение статистики наблюдаемого нарушителем в канале связи сообщения от среднестатистических характеристик пустых контейнеров должно квалифицироваться как факт выявления стегоканала. Очевидно, что такая идеальная модель не вполне адекватна реалиям информационно-скрывающих систем. Во-первых, нарушитель знает характеристики не действительно использованного отправителем контейнера, а усредненные характеристики множества сообщений некоторых источников, которые потенциально могут быть использованы в качестве контейнера. Во-вторых, все известные источники возможных контейнеров в силу их природы являются нестационарными, то есть их точных оценок не существует. В-третьих, скрывающий информацию для встраивания скрываемой информации волен выбирать из всего множества такие контейнеры, характеристики которых отличаются от известных нарушителю характеристик этого множества. Более того, отправитель может подбирать такие контейнеры или специально их генерировать, чтобы при встраивании в них скрываемых сообщений характеристики сформированного стего были бы неотличимы от среднестатистических характеристик пустых контейнеров. В-четвертых, в современных телекоммуникационных системах передаваемые избыточные сообщения, как правило, сжимаются с внесением некоторых допустимых для их получателей искажений, что изменяет их характеристики. Например, речевой сигнал кодируется методами линейного предсказания речи, изображения сжимаются алгоритмами JPEG, MPEG или H.263. И, в-пятых, канал связи может вносить помехи в передаваемые информационные потоки. А если канал идеален, то отправитель для маскировки может сам зашумлять передаваемые стего и пустые контейнеры такими помехами, которые в допустимых пределах искажая передаваемые сообщения, в достаточной для скрытия степени модифицируют статистику стего и контейнеров.
Перечисленные причины приводят к модели стегосистемы, в которой нарушитель может быть способен определить, что статистика наблюдаемых им в канале последовательностей отличается от известной ему статистики контейнеров, но он не способен установить причину этих отличий. Таким образом, нарушитель хотя и подозревает о существовании скрытого канала, но не может доказать или опровергнуть этого. Требуемые доказательства могут быть получены, если нарушитель сумеет прочитать скрываемое сообщение. Методами теории информации опишем стойкость стегосистемы к чтению скрываемых сообщений.
В работе [2] несколько с иных позиций, чем в подходе Качина [3] определяется стойкость стегосистемы. Стегосистема называется теоретико-информационно стойкой, если нарушитель не способен получить никакой информации о встроенном сообщении, анализируя перехваченные стего при условии знания статистических характеристик пустых контейнеров. В рамках этого определения подсчитывается взаимная информация 
между скрываемыми сообщениями М и множествами стего S и соответствующих им контейнеров C. В теоретико-информационно стойкой, или, иначе говоря, совершенной стегосистеме должно выполняться равенство 
. Как известно из теории информации [10], взаимная информация может быть определена через безусловную и условную энтропию:
. (4.8)
Это дает фундаментальное условие стойкости стегосистемы вида
. (4.9)
Такое определение теоретико-информационной стойкости стегосистемы очень напоминает соответствующее определение теоретико-информационной стойкости системы шифрования информации. Если неопределенность нарушителя относительно сообщения М не уменьшается при перехвате криптограммы Е, то по определению К.Шеннона данная система шифрования является совершенной [7]:
. (4.10)
Заметим, что выражения (4.9) и (4.10) указывают, что нарушитель не способен определить ни одного бита защищаемого сообщения. При этом для системы шифрования точно известно, что в криптограмме это сообщение содержится. Для стегосистемы выражение (4.9) может выполняться в следующих случаях:
1. Стегосистема не используется.
2. Осуществляется скрытая передача информации, используется совершенная к установлению факта наличия скрытой связи стегосистема. Если нарушитель не способен определить факт наличия скрываемого сообщения, то тем более он не способен прочитать ни одного бита этого сообщения.
3. Осуществляется скрытая передача информации, нарушитель способен определить факт наличия скрытой связи. Однако он не способен прочитать ни одного бита скрываемого сообщения.
Например, третий случай был описан в предыдущем параграфе при вложении безизбыточных скрываемых сообщений в равновероятные случайные контейнерные последовательности по функции встраивания однократная подстановка. Сформированные таким образом стего легко выявляются нарушителем на фоне обычных избыточных сообщений. Однако прочитать эти сообщения принципиально невозможно, если при встраивании используется случайная равновероятно распределенная ключевая последовательность [Шен].
Выражение (4.9) означает, что неопределенность нарушителя относительно сообщения М не должна уменьшаться при знании им стего S и контейнера C, то есть М должно быть независимо от S и С. Исследуем условия стойкости стегосистем. Полагаем, что не только алфавиты S и С, но и их энтропии H(S) и H(С) равны. Рассмотрим два случая.
1. Пусть никакое сообщение М не встраивается в контейнер С. Очевидно, что в этом случае, коль S и С совпадают, то выполняется H(S/C) = H(C/S) = 0.
2. В стего S имеется сообщение М с энтропией H(М) > 0. Очевидно, что при наличии этой встроенной информации у нарушителя появляется отличная от нуля неопределенность относительно S, если известно С и неопределенность относительно С, если известно S: H(S/C)) > 0, H(C/S) > 0. Следовательно, взаимная информация между скрываемыми сообщениями и соответствующими контейнерами и стего уже не может быть равной нулю:
.
Поэтому,
. (4.11)
Это означает, что условие стойкости стегосистемы не обеспечивается. Можно показать, что необходимым и достаточным условием стойкости является:
H(S/C) = H(C/S) = 0. (4.12)
Поэтому в работе [2] делается вывод, что если нарушителю известны стегограммы и соответствующие им контейнеры, то стегосистема не может быть совершенной. В рамках теоретико-информационной модели рассматриваемая стегосистема в атаке нарушителя с известным контейнером не может скрыть факта передачи скрываемого сообщения. А из выражения (4.11) следует, что нарушитель также способен узнать если не полностью, то частично содержание этого сообщения: если 
, то при известных S и С неопределенность нарушителя об этом сообщении меньше его энтропии.
Обеспечение требуемой стойкости может быть получено при переходе от детерминированных стегосистем к недетерминированным (вероятностным). Рассмотрим один из возможных вариантов построения вероятностной стегосистемы, предложенный в [2]. В рассматриваемой вероятностной стегосистеме для выполнения необходимого и достаточного условия стойкости вида H(S/C) = H(C/S) = 0 обеспечивается неизвестность для нарушителя используемого контейнера. Для этого в модель стегосистемы вводится источник контейнеров C S , характеристики которого известны нарушителю. Для встраивания скрываемых сообщений из множества C S случайно и равновероятно выберем подмножество контейнеров С, которое назовем подмножеством действительных контейнеров: 
. Пусть выполняется условие H(С S ) >= H(С) и вероятностные характеристики подмножества С отличаются от соответствующих характеристик множества C S . Потребуем, чтобы неопределенность нарушителя относительно действительных контейнеров при известном множестве C S была бы строго больше нуля: H(С/С S ) > 0. Физически это может быть обеспечено, если выбор действительных контейнеров осуществляется с помощью случайного и равновероятного значения R, полученного с выхода генератора случайных чисел, как это показано на рис. 4.2.
Необходимая неопределенность относительно С достигается выбором каждого контейнера совершенно случайным образом и сохранением выбора в тайне. Примером такого процесса может быть взятие выборок из аналогового входного сигнала, такого как речь или видео. Погрешность квантователя обеспечивает необходимую неопределенность. Если изменения контейнера в процессе встраивания информации остаются в пределах погрешности квантователя, то такая манипуляция не может быть обнаружена.
Рис. 4.2. Стегосистема с рандомизированным выбором контейнера
Определим, что для рассматриваемой вероятностной стегосистемы основное условие стойкости выражается в виде
. (4.13)
Это означает, что неопределенность нарушителя относительно M не может быть уменьшена знанием S и C S , или M является независимым от S и C S .
Исследуем условия, при которых нарушитель не способен обнаружить изменения в контейнере, произошедшие при встраивании сообщения M с энтропией H(M), наблюдая стего. Для этого определим требуемую величину неопределенности нарушителя относительно контейнера H(C/S). Можно показать, что
(4.14)
При наихудшем случае противник способен полностью определить M из S и C: 
.
Следовательно, в общем случае выполняется
. (4.15)
Так как взаимная информация
не может быть более величины H(M), неопределенность 
должна быть, по крайней мере, той же величины, чтобы сделать чтение сообщения невозможным.
В стойкой стегосистеме, нарушитель, наблюдая стего S, не должен получить информацию сверх той, которая ему известна априори из знания множества C S :
H(C/C S ) = H(C/S), (4.16)
и, поэтому,
H(C/C S ) >= H(M). (4.17)
Таким образом, для нарушителя, знающего характеристики множества C S , в стойкой стегосистеме неопределенность относительно подмножества действительных контейнеров C должна быть не меньше энтропии скрываемых сообщений.
Определим совместную энтропию H0 между множествами C и C S
H0 = H(C,C S ) = H(C) + H(C S /C ). (4.18)
Так как
и H(C S ) >= H(C), то
H(C S /C ) >= H(C/C S ).
Для стойкой стегосистемы получим нижнюю границу величины совместной энтропии
H0 >= H(C) + H(C/C S ).
Используя выражение (4.17), запишем
H0 >= H(C) + H(M). (4.19)
Так как H(C S ) >= H (C), то H(C S ,S ) >= H(C,S). Следовательно,
H(C S ,S ) >= H(C,S). (4.20)
В соответствии с выражением (4.15) получим, что граница может быть определена в виде:
H(C S ,S ) >= H(M). (4.21)
Сформируем заключение: при достижении нижней границы для H(C/S) (уравнение 4.15), нарушитель, знающий S и C S , не способен получить доступ к скрываемому в стего S сообщению M. Фундаментальное условие стойкости (4.13) может быть выполнено.
Рассмотрим условия, при которых нарушитель не способен определить ключ К стегосистемы. Потребуем, чтобы нарушитель, знающий S и C S , не мог получить никакой информации ни о ключе К, ни о сообщении М. Это может быть выражено в виде
I((K,М);(S,C S )) = H(K,М) — H((K,М)/(S,C S )) = (4.22)
H(K,М) — H(K/(S,C S )) — H(М/(S,C S ,K )) = 0.
При знании ключа К, множества C S из стего S однозначно извлекается сообщение М:
H(М/(S,C S ,K )) = 0,
Поэтому из выражения (4.22) получим
H(K/(S,C S ) = H(K,М),
или
H(K/(S,C S ) = H(М) + H(K/М) >= H(М), (4.23)
соответственно, так как H(K/М) >= 0.
Таким образом, для нарушителя неопределенность ключа стойкой стегосистемы должна быть не меньше неопределенности передаваемого скрытого сообщения. Это требование для совершенных стегосистем очень похоже на требование неопределенности ключа К для совершенных систем шифрования, для которых энтропия ключа К при перехваченной криптограмме Е должна быть не меньше энтропии шифруемого сообщения М [7]:
.
Делаем вывод, что действительный контейнер должен быть неизвестным для нарушителя, чтобы обеспечить теоретико-информационную стойкость стегосистемы. Нарушитель не способен ни обнаружить факт передачи скрываемого сообщения, ни читать его, если выполняются два условия:
1) Знание S и C S не уменьшает для нарушителя неопределенности о скрываемом сообщении
H(М/(S,C S )) = H(М/S) = H(М).
2) Условная энтропия ключа должна быть не меньше энтропии скрываемого сообщения:
H(K/(S,C S )) >= H(М).
При таких условиях требуемая стойкость может быть обеспечена в вероятностных стегосистемах.
В работе [2] приводятся общие описания возможных вероятностных стегосистем. Пусть отправитель для встраивания скрываемых сообщений в качестве действительных контейнеров использует цифровое изображение пейзажа на выходе электронной камеры. Нарушитель может знать общий вид снимаемого изображения и характеристики используемой камеры. Но атакующий и даже законный получатель не знают точное положение камеры и угол съемки. Колебание камеры даже на долю градуса приводит к существенно отличающимся снимкам. Поэтому при анализе нарушителем перехваченного стего он не способен определить какое цифровое изображение является действительным контейнером и тем самым не может выявить различия между стего и контейнером. В качестве множества контейнеров CS в данном примере используются всевозможные варианты изображения пейзажа под разными углами с учетом неидеальности оптико-электронного преобразователя используемой камеры.
Вторым примером вероятностной стегосистемы является использование в качестве действительных контейнеров значений отсчетов аналогового случайного сигнала, например, речевого. В различных технических устройствах для преобразования аналоговых сигналов к цифровому виду используются аналого-цифровые преобразователи с некоторой погрешностью квантования отсчетов, причем моменты дискретизации отсчетов определяются тактовым генератором, положение стробирующих импульсов которого также имеет некоторую погрешность. Следовательно, для нарушителя, точно знающего характеристики аналогового сигнала, существует неопределенность между аналоговым и цифровым представлением сигнала. При использовании такого сигнала в качестве контейнера, потенциально можно построить стойкую стегосистему, если энтропия встраиваемого сообщения не превышает величины указанной неопределенности [12].
4.4. Практические оценки стойкости стегосистем
4.4.1. Постановка задачи практической оценки стегостойкости
Ранее рассмотренные теоретические оценки стойкости стегосистем, например, теоретико-информационные, предполагают, что скрывающий информацию и нарушитель обладают неограниченными вычислительными ресурсами для построения стегосистем и, соответственно, стегоатак на них, придерживаются оптимальных стратегий скрывающего преобразования и стегоанализа, располагают бесконечным временем для передачи и обнаружения скрываемых сообщений и т. д. Разумеется, такие идеальные модели скрывающего информацию и нарушителя неприменимы для реалий практических стегосистем. Поэтому рассмотрим известные к настоящему времени практические оценки стойкости некоторых стегосистем, реально используемых для скрытия информации [13–15].
В последние годы появились программно реализованные стегосистемы, обеспечивающие скрытие информации в цифровых видео- и аудиофайлах. Такие программы свободно распространяются, легко устанавливаются на персональные компьютеры, сопрягаются с современными информационными технологиями и не требуют специальной подготовки при их использовании. Они обеспечивают встраивание текста в изображение, изображение в изображение, текста в аудиосигнал и т. п. В современных телекоммуникационных сетях типа Интернет передаются очень большие потоки мультимедийных сообщений, которые потециально могут быть использованы для скрытия информации. Одной из наиболее актуальных и сложных проблем цифровой стеганографии является выявление факта такого скрытия. В реальных условиях наиболее типичным видом атаки нарушителя является атака только со стего, так как истинный контейнер ему обычно неизвестен. В этих условиях обнаружение скрытого сообщения возможно на основе выявления нарушений зависимостей, присущих естественным контейнерам [14,16,17]. Практический стегоанализ цифровых стегосистем является очень молодой наукой, однако в его арсенале уже имеется ряд методов, позволяющих с высокой вероятностью обнаруживать факт наличия стегоканала, образованных некоторыми предложенными к настоящему времени стегосистемами. Среди методов практического стегоанализа рассмотрим визиальную атаку и ряд статистических атак. Эти атаки первоначально были предложены для выявления факты внедрения скрываемой информации в младшие разряды элементов контейнера, которые принято называть наименее значимыми битами (НЗБ).
4.4.2. Визуальная атака на стегосистемы
Рассмотрим принцип построения визуальной атаки, позволяющей выявить факт наличия скрываемого сообщения, вложенного в изображение-контейнер [14]. Пусть стегосистема построена таким образом, что НЗБ элементов изображения заменяются на биты скрываемого сообщения. Например, в системе EzStego младший бит цветовой компоненты каждого пиксела, начиная от начала изображения, последовательно заменяется соответствующим битом скрываемого сообщения. В других стегосистемах биты внедряемого сообщения замещают младшие биты яркостной компоненты каждого пиксела изображения. Ранее считалось, что НЗБ яркостной или цветовой компонент пикселов изображения, равно как и младшие биты отсчетов речевых или аудиосигналов независимы между собой, а также независимы от остальных битов элементов рассматриваемых контейнеров. Однако на самом деле это не так. Младшие биты не являются чисто случайными. Между младшими битами соседних элементов естественных контейнеров имеются существенные корреляционные связи. Также выявлены зависимости между НЗБ и остальными битами элементов естественных контейнеров.
На рис. 4.3 показано изображение мельницы, слева рисунок представляет пустой контейнер, справа в каждый НЗБ цветовой компоненты пикселов последовательно бит за битом вложено скрываемое сообщение. Различие между контейнером и стего визуально не проявляется. Но если изображение сформировать только из НЗБ пикселов стего, то можно легко увидеть следы вложения. На рис. 4.4 слева показано изображение, состоящее из НЗБ пустого контейнера. Видно, что характер изображения существенно не изменился. Справа представлено изображение из младших битов наполовину заполненного скрываемым сообщением контейнера. Видно, что верхняя часть изображения, куда внедрено сообщение, представляет собой случайный сигнал. В рассматриваемой стегосистеме скрываемое сообщение до встраивания зашифровывается, поэтому каждый его бит практически равновероятен и независим от соседних битов, что позволяет легко визуально выявить факт его встраивания, сопоставляя изображения из младших битов стего и пустых естественных контейнеров, соответственно. В некоторых стегосистемах сообщения до встраивания сжимаются. Это целесообразно как для уменьшения размера скрытно внедряемой информации, так и для затруднения его чтения посторонними лицами. Архиваторы данных преобразуют сжимаемое сообщение в последовательность битов, достаточно близкую к случайной. Чем выше степень сжатия, тем ближе последовательность на выходе архиватора к случайной, и тем проще обнаружить факт существования стегоканала при визуальной атаке. Однако даже если скрываемое сообщение до встраивания не шифруется и не сжимается, то его вероятностные характеристики не совпадают с вероятностными характеристиками НЗБ используемых контейнеров, что опять таки можно выявить. Заметим, что отправитель сообщения может подобрать контейнер с законом распределения, совпадающим с законом распределения конкретного встраиваемого сообщения. В этом случае визуальная атака, как и статистические атаки, неэффективна. Но трудности подбора требуемого контейнера могут сделать такую стегосистему непрактичной.
В известной программе Steganos [13] встраивание сообщения любой длины осуществляется во все НЗБ пикселов контейнера, поэтому выявляется визуальной атакой.
Рис. 4.3. Изображение мельницы, слева — пустой контейнер, справа — с вложенным сообщением
Рис. 4.4. Визуальная атака на EzStego, слева — изображение из НЗБ пустого контейнера, справа — изображение из НЗБ наполовину заполненного
Визуальная атака целиком основана на способности зрительной системы человека анализировать зрительные образы и выявлять существенные различия в сопоставляемых изображениях. Визуальная атака эффективна при полном заполнении контейнера, но по мере уменьшения степени его заполнения глазу человека все труднее заметить следы вложения среди сохраненных элементов контейнера.
В ряде стеганографических систем элементы скрываемого сообщения вкладываются в младшие биты коэффициентов преобразования Фурье контейнера-изображения. Например, 8 × 8 пикселов 
блока изображения сначала преобразовываются в 64 коэффициента дискретного косинусного преобразования (ДКП) по правилу
,
где 
и 
когда u и v равны нулю и 
в других случаях. Полученные коэффициенты квантуются с округлением до целого:
,
где 
есть таблица квантования из 64 элементов.
Наименьшие значащие биты квантования ДКП коэффициентов, за исключением 
и 
, в стегосистеме являются избыточными битами и вместо них внедряются биты скрываемого сообщения.
Против таких методов скрытия визуальная атака малопригодна, так как изменение любого коэффициента преобразования приводит к изменению множества пикселов изображения. Например, в программе Jsteg преобразование выполняется над матрицей 16 × 16 пикселов контейнера. Следовательно, вложение скрываемого сообщения в младшие биты коэффициентов преобразования приведет к сравнительно небольшим изменениям каждого из 256 пикселов, что визуально малозаметно.
Поэтому рассмотрим второй класс практических стегоатак с целью обнаружения скрытого канала передачи информации, основанный на анализе различий между статистическими характеристиками естественных контейнеров и сформированных из них стего.
4.4.3. Статистические атаки на стегосистемы с изображениями-контейнерами
Одним из наиболее перспективных подходов для выявления факта существования скрытого канала передачи информации является подход, представляющий введение в файл скрываемой информации как нарушение статистических закономерностей естественных контейнеров. При данном подходе анализируются статистические характеристики исследуемой последовательности и устанавливается, похожи ли они на характеристики естественных контейнеров (если да, то скрытой передачи информации нет), или они похожи на характеристики стего (если да, то выявлен факт существования скрытого канала передачи информации). Этот класс стегоатак является вероятностным, то есть они не дают однозначного ответа, а формируют оценки типа «данная исследуемая последовательность с вероятностью 90 % содержит скрываемое сообщение». Вероятностный характер статистических методов стегоанализа не является существенным недостатком, так как на практике эти методы часто выдают оценки вероятности существования стегоканала, отличающиеся от единицы или нуля на бесконечно малые величины.
Класс статистических методов стегоанализа использует множество статистических характеристик, таких как оценка энтропии, коэффициенты корреляции, вероятности появления и зависимости между элементами последовательностей, условные распределения, различимость распределений по критерию Хи-квадрат и многие другие. Самые простые тесты оценивают корреляционные зависимости элементов контейнеров, в которые могут внедряться скрываемые сообщения. Для выявления следов канала скрытой передачи информации можно оценить величину энтропию элементов контейнеров. Стего, содержащие вложение скрываемых данных, имеют большую энтропию, чем пустые естественные контейнеры. Для оценки энтропии целесообразно использовать универсальный статистический тест Маурера [18].
Рассмотрим атаку на основе анализа статистики Хи-квадрат. В программе EzStego младший бит цветовой компоненты каждого пиксела контейнера-изображения заменяется битом скрываемого сообщения. Исследуем закономерности в вероятностях появления значений цветовой компоненты в естественных контейнерах и сформированных программой EzStego стего. При замене младшего бита цветовой компоненты очередного пиксела контейнера на очередной бит предварительно зашифрованного или сжатого сообщения номер цвета пиксела стего или равен номеру цвета пиксела контейнера, или изменяется на единицу. В работе [14] для поиска следов вложения предложен метод анализа закономерностей в вероятностях появления соседних номеров цвета пикселов. Номер цвета, двоичное представление которого заканчивается нулевым битом, назовем левым (L), а соседний с ним номер цвета, двоичное представление которого заканчивается единичным битом — правым (R). Пусть цветовая гамма исходного контейнера включает 8 цветов. Следовательно, при встраивании сообщения в НЗБ цветовой компоненты пикселов необходимо исследовать статистические характеристики в 4 парах номеров цвета. На рис. 4.5 слева показана одна из типичных гистограмм вероятностей появления левых и правых номеров цвета в естественных контейнерах. Справа показана гистограмма вероятностей появления левых и правых номеров цвета в стего, сформированного из этого контейнера программой EzStego. Видно, что вероятности появления левых и правых номеров цвета в естественных контейнерах существенно различаются между собой во всех парах, а в стего эти вероятности выровнялись. Это является явным демаскирующим признаком наличия скрываемой информации. Заметим, что среднее значение вероятностей для каждой пары в стего не изменилось по сравнению с контейнером (показано на рис. 4.5 пунктирной линией).
Рис. 4.5. Гистограмма частот появления левых и правых номеров цвета, слева — до встраивания, справа — после
При замещении битами внедряемого сообщения младших битов яркостной компоненты пикселов контейнера-изображения проявляются аналогичные статистические различия.
Степень различия между вероятностными распределениями элементов естественных контейнеров и полученных из них стего может быть использована для оценки вероятности существования стегоканала. Данную вероятность удобно определить с использованием критерия согласия Хи-квадрат [19]. По критерию Хи-квадрат сравнивается, насколько распределение исследуемой последовательности близко к характерному для стегограмм распределению. В исследуемой последовательности подсчитывается сколько раз 
ее элемент 
принял рассматриваемые значения, где всего k элементов. Например, в гистограмме левых и правых номеров цвета в левой части рис. 4.5 номер цвета 000 появился 2 раза (n0* = 2), а номер 001 — 5 раз (n1* = 5). При встраивании очередных битов скрываемого сообщения в НЗБ этой пары номер цвета 000 должен появляться в среднем n0 раз
.
Зная общее число n появления всех элементов исследуемой последовательности, легко подсчитать ожидаемую вероятность появления этих элементов в стего по правилу: 
. Соответственно, для исследуемой последовательности вероятности равны: 
.
Величина Хи-квадрат для сравниваемых распределения исследуемой последовательности и ожидаемого распределения стего равна
,
где v есть число степеней свободы. Число степеней свободы равно числу k минус число независимых условий, наложенных на вероятности 
. Наложим одно условие вида
.
Вероятность p того, что два распределения одинаковы, определяется как
p 
,
где Г есть гамма-функция Эйлера.
Чем больше значение p, тем выше вероятность встраивания скрываемой информации в исследуемую последовательность.
Рассмотрим использование критерия Хи-квадрат для отыскания следов стегоканала, образованного с использованием программы EzStego. Пусть в контейнерное изображение «Мельница», показанное в левой части рис. 4.3, в НЗБ спектральных коэффициентов изображения, начиная с его верхнего края до его середины, последовательно внедрено 3600 байт скрываемого сообщения. На рис. 4.6 показана вероятность встраивания скрываемой информации в зависимости от размера исследуемой последовательности. Начало графика получено при анализе первого фрагмента стего, составляющего одну сотую часть всего стего. Значение p составило 0,8826. Затем к анализируемому фрагменту была добавлена еще одна сотая часть стего, и так далее. На втором шаге вероятность составила 0,9808 и далее при анализе стего не опускалась ниже 0,77. При переходе к анализу нижней части части изображения, не содержащей скрываемой информации, величина p скачком уменьшилась до нуля.
Рис. 4.6. Вероятность встраивания по критерию Хи-квадрат при анализе EzStego
В программе Steganos встраиваемое двоичное сообщение любой длины дополняется до длины контейнера (до числа пикселов изображения). Поэтому критерий Хи-квадрат при встраивании сколь угодно малого сообщения с использованием Steganos дает вероятность существования стегоканала, практически не отличающуюся от единицы.
В программе S-Tools встраиваемое сообщение равномерно распределяется по всему контейнеру. При полностью заполненном контейнере по критерию Хи-квадрат уверенно выявляются следы вложения посторонней информации с пренебрежимо малой вероятностью ошибки (менее 10-16), но при заполненном контейнере на треть и менее следы стегоканала не выявляются.
Как и в EzStego, в программе Jsteg скрываемое сообщение последовательно встраивается в коэффициенты преобразования контейнера. На рис. 4.7 показана вероятность встраивания по критерию Хи-квадрат при анализе стего, сформированной с использованием Jsteg. Видно, что статистическая атака успешно обнаруживает следы скрываемой информации в первой части исследуемой последовательности, содержащей скрываемое сообщение, и не дает ложной тревоги во второй ее части, являющейся пустым контейнером.
Рис. 4.7. Вероятность встраивания по критерию Хи-квадрат при анализе Jsteg
Для сжатия изображений очень часто используется алгоритм JPEG. На рис. 4.8 показано, что вероятность ложного срабатывания по критерию Хи-квадрат при анализе пустых контейнеров, сжатых алгоритмом JPEG, не превышает пренебрежимо малой величины 0,407 %.
Рис. 4.8. Вероятность ложного срабатывания по критерию Хи-квадрат при сжатии по JPEG пустого контейнера
4.4.4. Статистические атаки на стегосистемы с аудиоконтейнерами
Рассмотрим статистические атаки, разработанные с целью обнаружения скрытых каналов передачи информации в аудиофайлах. В работе [16] показано, что следы скрытия проявляются при анализе таких статистических характеристик речи и музыки, как распределение НЗБ отсчетов, условные распределения младших и остальных разрядов отсчетов, величины коэффициента корреляции между соседними отсчетами и т. п.
Было исследовано более 1200 аудиофайлов, записанных на CD-дисках и представляющих собой различные музыкальные и вокальные произведения разных авторов. Показано, что для пустых аудиоконтейнеров НЗБ и остальные биты статистически взаимно зависимы, причем на характер этой зависимости влияет уровень записи (усредненная амплитуда отсчетов аудиосигнала). На рис. 4.9 показана полученная для аудиофайлов зависимость статистики Хи-квадрат. По критерию Хи-квадрат вычислялась степень различия между распределением пустых и заполненных контейнеров от характерного для стего бернуллиевского распределения.
Рис. 4.9. Зависимость величины Хи-квадрат от амплитуды отсчетов аудиосигнала:
— аудиоконтейнер;
— стего
Рис. 4.10. Статистические различия стего и пустых аудиоконтейнеров: а, б — по критерию Хи-квадрат, в — по модулю коэффициента корреляции
К настоящему времени известны различные программные средства скрытия информации в аудиофайлах. Используя статистику Хи-квадрат и коэффициент корреляции, в работе [16] проведен стегоанализ программ Steganos (version 1.0а) и S-Tools (Steganography Tools for Windows, version 4.0), которые скрывают информацию в наименее значимых битах звуковых отсчетов. В качестве исходных контейнеров исследовались считанные с CD-дисков 100 музыкальных фрагментов различных исполнителей длительностью звучания 15 секунд каждый (как со стандартных музыкальных компакт-дисков, так и с дисков в формате МРЗ). В качестве скрываемого сообщения использовалась псевдослучайная последовательность объемом 83 Кбайт и побитно внедрялась в каждый НЗБ контейнера. По критерию Хи-квадрат определялась степень отличия распределения НЗБ отсчетов исследуемой последовательности от от бернуллиевского распределения.
Результаты статистических вычислений для музыкальных контейнеров и сформированных из них полностью заполненных стего представлены в виде гистограмм на рис. 4.10, а-в. При этом область значений статистики (ось абсцисс) разбита на непересекающиеся и различные по размерам интервалы. Высота столбца (ось ординат) показывает число значений статистики, попавших в заданный интервал. На рисунке приведена частота встречаемости значений статистики Хи-квадрат (а — для S-Tools, б — для Steganos) и коэффициента корреляции (в — для S-Tools). Правые столбцы соответствуют пустым контейнерам, а левые — заполненным стего. Для стего величина Хи-квадрат была равна единицам, а для пустых контейнеров — десяткам и сотням. После встраивания среднее значение коэффициента корреляции соседних отсчетов уменьшилось в десятки раз.
Заметим, что диапазоны значений статистики Хи-квадрат, полученные до и после образования стегоканала, равно как диапазоны значений коэффициентов корреляции, не пересекаются. Эти признаки позволяют при использовании статистических атак с большой вероятностью отделить пустые аудиоконтейнеры от заполненных стего.
4.4.5. Направления повышения защищенности стегосистем от статистических атак
Таким образом, различные стегосистемы, использующие принцип замены младших битов элементов контейнеров на биты встраиваемого сообщения, оказались нестойкими против статистических атак. Повысить их стойкость можно различными способами, например, переходом к операциям встраивания вида взвешенное сложения элементов контейнера с элементами встраиваемого сообщения. Подобные операции не сохраняют баланс вероятностей появления соответствующих элементов контейнера и стего и поэтому обладают более высокой устойчивостью к анализу их статистик.
Очевидным способом является уменьшение степени заполнения контейнера битами скрываемого сообщения, то есть уменьшение пропускной способности стегоканала в обмен на повышение его защищенности. Предложенные в работе [14] статистические атаки на основе критерия Хи-квадрат в большинстве случаев не способны обнаружить стегоканал при заполнении контейнера на 50 % и менее, особенно если внедренное сообщение рассредоточено по контейнеру. Эти атаки всегда стартуют от начала исследуемой последовательности и используют равномерно увеличивающееся окно анализа. Они обнаруживают существование стегоканала, если статистические характеристики искажается непрерывно от начала контейнера. Промежуточные области в контейнере, которые не имеют искажения, могут вызывать неправильный результат теста. Поэтому в работе [15] предложена усовершенствованная статистическая атака, названная автором расширенный тест Хи-квадрат. Тест использует фиксированный размер окна анализа, перемещаемого вдоль исследуемой последовательности. Такая атака осуществляет локальный поиск и позволяет указать на место вложения скрываемого сообщения. В этой же работе предлагается способ повышения защищенности от статистических атак стегосистем с вложением скрываемого сообщения в НЗБ контейнера. Процесс встраивания скрытой информации в контейнер разделен на 3 этапа:
1) определение избыточных бит, которые можно изменять без ущерба для контейнера;
2) выбор НЗБ, в которые будет встраиваться скрываемая информация;
3) коррекция статистических изменений в сформированном стего.
На первом этапе оценивается количество НЗБ контейнера, которые можно заменить на биты скрываемого сообщения без потери качества контейнера типа изображение. Реально для встраивания можно использовать не более половины выявленных битов. Если найденных избыточных битов не достаточно, надо поменять контейнер. Затем по секретному ключу определяются равновероятно распределенные в пределах контейнера НЗБ, заменяемые на биты скрываемой информации. Затем сформированное стего оценивается статистическими тестами и при выявлении отклонений от статистических характеристик естественных контейнеров оставшиеся избыточные биты используются для исправления этих отклонений. Простым методом коррекции является сохранение взаимной корреляции и величины энтропии, вычисляемой по тесту Маурера. Действительно, если некоторый младший бит при встраивании изменяется от 0 к 1, то целесообразно изменить соседний НЗБ от 1 к 0 и т. п. Хотя этот метод позволяет сохранить величину энтропии и коэффициент корреляции при вложении в контейнер скрываемого сообщения, он имеет статистические слабости макроскопического характера. Это выражается в искажении гистограммы коэффициентов ДКП, аналогично тому, как это показано на рис. 4.5. Если левый коэффициент изменился, то чтобы гистограмма стего не отличалась от гистограммы исходного контейнера, необходимо изменить правый коэффициент на ту же величину.
Корректирующие преобразования должны удовлетворять требованиям:
1) для любого фрагмента изображения распределение коэффициентов ДКП стего должно быть аналогично их распределению в пустом контейнере;
2) число исправлений, необходимых для коррекции статистических характеристик, должно быть малым.
В работе [15] приведены результаты исследования алгоритма коррекции при встраивании сообщения в контейнерные изображения размером 640×480 пикселов. Среднее число коэффициентов ДКП, которые можно использовать для встраивания, равно 46000 и изменялось от 30000 до 97000. До встраивания вероятность совпадения соседних избыточных битов равна 63,8 % со средним квадратическим отклонением ± 3,4 % по множеству изображений. Длина сжатого скрываемого сообщения равна 14700 битов. Корректирующие преобразования привели к 2967 ± 434 дополнительным изменениям в избыточных битах. Это составило приблизительно 20 % от размера скрываемого сообщения. Среднее число искажений, которые не удалось скорректировать, составило 186…400.
В таблице 4.1 показаны результаты статистических тестов для исследуемого алгоритма. Видно, что в стего без коррекции заметно уменьшился коэффициент корреляции между избыточными битами и увеличилась их энтропия. Коррекция позволяет сделать встраивание скрываемых сообщений статистически необнаруживаемым.
Таблица 4.1
| Исследуемая последовательность | Коэффициент корреляции | Универсальный тест Маурера |
| Исходный контейнер | 63,77 % ±,37 % | 6,704 ± 0,253 |
| Стего без коррекции | 59,10 % ± 3,19 % | 6,976 ± 0,168 |
| Стего с коррекцией | 62,91 % ± 3,36 % | 6,775 ± 0,231 |
Таким образом, если применить корректирующие преобразования к стего, то использованные методы статистического стегоанализа не способны выявить факт существования стегоканала. Однако справедливости ради необходимо отметить, что могут быть построены другие статистические атаки, для нейтрализации которых потребуется дополнительно использовать избыточные биты, что еще более уменьшит скорость передачи скрываемой информации.
Совершенствование стегосистем в общем случае может быть описано некоторым итеративным процессом. Стегосистемы разрабатываются и предлагаются авторами к использованию. Они исследуются известными методами стегоанализа, при необходимости для них разрабатываются новые методы анализа, и так до тех пор, пока не удается их взломать. Затем с учетом выявленных слабостей затем принципы построения стегосистем совершенствуются, но одновременно развиваются и стегоатаки. Этот процесс итеративно продолжается, пока не удается доказать, что при текущем уровне развития стегоанализа данная стегосистема является практически стойкой. Такой процесс сложился для анализа и синтеза криптосистем, и очевидно, что он справедлив и для стегосистем. Однако надо учитывать, во-первых, что по сравнению с криптосистемами в стегосистемах есть дополнительный параметр — контейнер, а во-вторых, практическая стойкость стегосистем может иметь значительно большее число толкований.
4.5. Теоретико-сложностный подход к оценке стойкости стеганографических систем
Рассмотренные в работах [2], [3] информационно-теоретические модели стойкости стеганографических систем имеют существенные недостатки. Впервые на это было обращено внимание в статье [19]. Как отмечено в этой работе, успешно применяемые для анализа криптосистем информационно- теоретические методы плохо подходят для анализа стегосистем. Причина этого в том, что процедура обнаружения скрытого сообщения не может быть смоделирована как непрерывный процесс. В самом деле, нарушитель может получить лишь два результата анализа подозрительного канала связи: либо он обнаружит факт присутствия стегосистемы, либо нет. Таким образом, мы имеем дело с прерывистым процессом, к которому неприменимы методы теории информации. В криптографии не так, там нарушитель может получать частичное знание об открытом сообщении (или ключе), и тем не менее система будет практически стойкой. Стегосистема же обязана быть совершенно стойкой по Шеннону. На рис. 4.11 на качественном уровне показана разность между криптосистемами и стегосистемами.
Рис. 4.11. Сравнение криптосистем и стегосистем. По оси ординат отложена степень секретности систем, по оси абсцисс — вычислительные ресурсы нарушителя
Осознание факта малопригодности информационно-теоретических моделей для анализа стегосистем повлекло за собой появление теоретико-сложностных подходов к оценке их стойкости [20]. В этой работе по-новому рассмотрено понятие стойкости стегосистем и построена конструктивная модель стойкой стегосистемы в виде вероятностной полиномиальной по времени игры между нарушителем и скрывающим информацию. К основным недостаткам информационно-теоретических моделей стегосистем можно отнести следующие.
1) Также как и в криптографии, на практике невозможно реализовать совершенно стойкую стегосистему. Можно показать, что реализация такой стегосистемы сводится к одноразовому блокноту (так называемому шифру Вернама). Таким образом, информационно-теоретические модели стегосистем неконструктивны.
2) Распределение вероятностей контейнеров на практике неизвестно, или известно с точностью до некоторой весьма и весьма приблизительной модели.
3) Используемые контейнеры отнюдь не являются реализацией случайного процесса, а, чаще всего, оцифрованными образами реальных физических объектов.
4) Вполне реалистично было бы предположить, что нарушитель имеет доступ лишь к ограниченным вычислительным ресурсам. Как и в криптографии достаточно потребовать, чтобы стегосистема выдерживала бы все полиномиальные тесты по ее обнаружению. Этот момент также не учитывают информационно-теоретические модели.
Рассмотрим модель стегосистемы, предложенную в работе [20]. Предположим, что имеется множество возможных контейнеров 
, элементы которого 
порождаются некоторым полиномиальным алгоритмом. Встраиваемое сообщение 
, выбирается из множества возможных сообщений 
. Стегосистема определяется тройкой 
полиномиальных алгоритмов.
Алгоритм G есть процесс генерации ключа, который в ответ на входную строку из единиц порождает псевдослучайный стегоключ 
. В соответствие с принципом Керхгофа стойкость зависит от ключа, а его длина является параметром секретности стегосистемы. Алгоритм E выполняет внедрение информации, формируя на основе 
,
и k, стего 
. Алгоритм D извлекает из s с использованием ключа k сообщение m. В случае, если контейнер s действительно содержал встроенное сообщение, то 
. Для определения наличия стегосистемы нарушитель должен решить следующую задачу:
на основе контейнера
определить, существует ли ключ
, порождаемый G и сообщение
такие, что 
.
Интересно отметить, что если на структуру скрытого сообщения не накладывается никаких ограничений, то для многих стегосистем эта задача неразрешима. В самом деле, любая комбинация бит может быть вложением, и даже если нарушитель каким-то образом и заподозрит наличие скрытой связи, все равно ему невозможно будет доказать это третьей стороне. Поэтому, в работе [20] на структуру скрытого сообщения накладывается ограничение: оно должно иметь какой-то семантический смысл.
Далее, считается, что у нарушителя имеется стегосистема в виде «черного ящика», то есть он имеет возможность порождать стего из выбираемых им контейнеров и скрытых сообщений, не зная при этом ключа. Для этой цели у него имеется два оракула: один для генерации пустых контейнеров (стеганографический оракул), другой — для получения из них стего, то есть имитации алгоритма внедрения (оракул оценки). Так как оба оракула вероятностные, то в случае выбора первым оракулом несколько раз подряд одного и того же контейнера, стего будут получаться различными. Это помогает нарушителю выяснять структуру алгоритма внедрения, выбрав в качестве контейнера, например, однотоновое изображение.
Атака (игра) заключается в следующем. Нарушитель имеет неоднократную возможность генерировать контейнеры и соответствующие им стего, пытаясь выяснить структуру стегоалгоритма. При этом имеется то ограничение, что вся процедура должна быть полиномиальной по длине ключа и размеру контейнера. После того, как он закончил работу, ему предъявляются два случайно выбранных контейнера: один пустой, другой — заполненный. Стегосистема называется условно стойкой, если у нарушителя нет возможности правильного определения стего с вероятностью, незначительно отличающейся от 1/2. В работе [20] дано определение понятия «незначительно отличающейся» и приведено математическое описание вербально изложенной выше модели. Условно стойкая стегосистема сохраняет это свойство для всех возможных ключей и всех возможных контейнеров.
Ясно, что понятие условно стойкой стегосистемы более слабое, чем понятие стегосистемы, стойкой с информационо-теоретической точки зрения и включает ее как частный случай. Безусловно стойкая стегосистема в приведенной выше модели получается в случае, если снять ограничение полиномиальности во времени игры.
Каким образом построить условно стойкую стегосистему? Одна из возможностей, широко используемая и в криптографии, заключается во взятии за основу какой-нибудь трудной в вычислительном смысле математической задачи, например, обращение односторонней функции (разложение на множители, дискретное логарифмирование и т. д.). Тогда останется показать связь между невозможностью решения этой задачи и невозможностью вскрытия стегосистемы — и условно стойкая стегосистема построена. Из криптографии известно, что, к сожалению, вопрос построения доказуемо односторонней функции нерешен. В работе [20] показано, как можно построить стегосистему на основе известного криптоалгоритма RSA.
4.6. Имитостойкость системы передачи скрываемых сообщений
Ранее была исследована стойкость стегосистем к попыткам пассивного нарушителя установления факта скрытия передаваемых сообщений. Дополнительно к требованиям скрытности связи могут предъявляться требования по исключению навязывания в стегоканале ложных сообщений активным нарушителем. Например, в работе Г.Симмонса описана так называемая задача заключенных [6]. В этой задаче арестованные Алиса и Боб пытаются по скрытому каналу связи договориться о побеге. Тюремщик Вилли пытается не только обнаружить факт обмена информации, но и от имени Алисы навязать Бобу ложную информацию. Потому рассмотрим особенности построения стегосистем с возможностью аутентификации передаваемых сообщений, возможные атаки нарушителя и определим оценки имитостойкости стегосистем.
Формально опишем построение стегосистемы с аутентификацией скрытно передаваемых сообщений. Пусть стегосистема использует секретный ключ, принимающий значения 
Множество контейнеров С разбивается на n подмножеств 
каждое из которых описывается своим вероятностным распределением 
Поставим подмножества 
контейнеров в соответствие секретным ключам 
При действующем ключе аутентификации 
сообщение, доставленное по каналу скрытой связи, считается получателем подлинным, если оно вложено в контейнер, принадлежащий подмножеству с распределением 
Если при действующем ключе
заполненный контейнер не принадлежит подмножеству
, то извлеченное из него сообщение признается получателем ложным. Таким образом, при действующем ключе все множество контейнеров разделено на допустимые, в которых подлинность вложенных в них сообщений признается получателем, и недопустимые, которые не могут быть выбраны для передачи отправителем скрываемых сообщений. Следовательно, получение таких контейнеров с вложенными сообщениями означает, что они навязаны нарушителем.
Если принятое стего S имеет распределение 
, совпадающее с распределением 
множества допустимых контейнеров при действующем ключе
, то функция проверки подлинности скрываемых в них сообщений 
принимает единичное значение и полученное сообщение признается подлинным, а если распределения не совпадают, то функция принимает нулевое значение и сообщение отвергается как имитонавязанное:
Функция проверки подлинности при построении стегосистемы с аутентификацией сообщений может быть задана аналитически, графически или в виде таблицы. При аналитическом задании каждому значению ключа ставится в соответствие свое подмножество допустимых контейнеров. Эти подмножества отличаются друг от друга законами распределения или их параметрами. Например, используются различные распределения вероятностей непрерывных контейнеров (нормальное, Райса, Накагами и другие). Или подмножества контейнеров-изображений отличаются спектральными характеристиками. Например, в каждом подмножестве энергия спектра изображений сосредоточена в своем диапазоне частот. Известно, что изображения можно разделить на высокочастотные, основная энергия спектра которых принадлежит верхней полосе частот, и на низкочастотные. Также можно разделить контейнеры-изображения на подмножества по типу сюжета: пейзаж, портрет, натюрморт и т. п. Хотя при сюжетном разбиении трудно математически строго задать функцию 
в терминах законов распределения, на практике задание такой функции не представляет труда. Множество всех контейнеров разбивается на n непересекающихся подмножеств контейнеров 
Например, контейнеры могут быть разбиты на подмножества их пересечением. При действующем ключе
отправитель выбирает подмножество контейнеров 
. Скрываемое сообщение 
, где 
, встраивается в контейнер этого подмножества, образуя стегограмму 
. Получатель стегограммы проверяет ее соответствие действующему ключу. Он убеждается, что полученная стегограмма допустима при ключе 
, если выполняется 
. Это равенство выполняется, если стегограмма
принадлежит подмножеству контейнеров 
. Следовательно, извлеченное из этой стегограммы сообщение 
подлинно. Но если принятая стегограмма не принадлежит допустимому подмножеству контейнеров, то функция проверки принимает нулевое значение, и принятое сообщение 
отвергается как ложное. Графическое описание функции проверки подлинности представлено на рис. 4.12. Пусть по стегоканалу могут передаваться k различных сообщений: 
Множество ключей стегосистемы состоит из n ключей, из которых равновероятно и случайно выбирается действующий ключ.
Рис. 4.12. Графическое описание функции проверки подлинности скрываемых сообщений
Из рис. 4.12 легко заметить, что подмножества контейнеров имеют одинаковые размеры. Если скрываемые сообщения равновероятны и равновероятно выбирается ключевая информация, то для нарушителя, не знающего действующий ключ, множество сообщений, подлинность которых подтверждается при проверке, в n — 1 раз меньше множества сообщений, отвергаемых при проверке как ложные.
Рассмотрим возможные атаки нарушителя на подлинность скрываемых сообщений и оценки имитостойкости стегосистем при этих атаках. Из криптографии известно, что активный нарушитель может выполнить атаку имитации или атаку замены [13]. При атаке имитации, иначе называемой имитонавязыванием в пустом канале, нарушитель не дожидаясь перехвата заверенного сообщения, от имени отправителя формирует ложное сообщение. Обозначим вероятность успеха нарушителя в атаке имитации через 
. Из рис. 4.3 очевидно, что для нарушителя не знающего действующего ключа и навязывающего любое сообщение из множества 
, вероятность успеха не может быть меньше чем число всех сообщений, поделенное на число всех стегограмм
при 
и
. (4.24)
Граница Симмонса для систем аутентификации определяет, что выражение (4.24) выполняется с равенством при удовлетворении двух условий:
1. Атака имитации оптимальна, то есть имеет одинаковую вероятность успеха нарушителя при равновероятном случайном выборе им любой навязываемой стегограммы.
2. Для каждой стегограммы
вероятность ее формирования отправителем одинакова при всех ключах аутентификации, для которых выполняется
.
Если эти условия выполняются, то при заданных размерах множества скрываемых сообщений и множества стегограмм вероятность обмана
является минимальной. Следуя Симмонсу, стегосистему с аутентификацией скрываемых сообщений можно назвать совершенной относительно атаки имитации, если она удовлетворяет равенству в выражении (4.24). Из выражения (4.24) следует, что малая вероятность обмана, то есть высокая имитозащищенность стегоканала обеспечивается при 
. Отметим, что ни при каких принципах построения стегосистемы величина
не может быть получена меньшей, чем в выражении (4.24).
При второй стратегии имитонавязывания в стегоканале, называемой атакой замены первого порядка, нарушитель, перехватив стегограмму от законного отправителя, подменяет ее на ложную. Атака замены считается успешной, если навязанное стего декодируется получателем в любое допустимое для данной стегосистемы сообщение, причем ложное сообщение не должно совпадать с истинным сообщением законного отправителя. Обозначим вероятность обмана при атаке замены через 
. Если нарушитель перехваченное стего, содержащее некоторое неизвестное ему сообщение, заменил на любое другое стего, то очевидно (см. рис. 4.12), что при непересекающихся подмножествах 
, ни из какого стего извлеченное сообщение при действующем ключе не будет одновременно признано получателем подлинным и совпадать с истинным, передаваемым законным отправителем сообщений. Следовательно, у нарушителя есть шансы навязать одно из оставшихся k — 1 сообщений, используя одно из 
стего. Таким образом, вероятность успешного навязывания в атаке замены первого порядка не превышает
. (4.26)
Отметим, что как и при атаке имитации, высокая имитозащищенность стегоканала при атаке замены первого порядка обеспечивается при
. Перечисленные ранее условия являются необходимыми, но уже недостаточными условиями выполнения выражения (4.26) со знаком равенства. Определим стегосистему с аутентификацией скрываемых сообщений совершенной относительно атаки замены первого порядка, если она удовлетворяет равенству в выражении (4.26).
Поясним на простом примере стратегии имитонавязывания и оценки защищенности от обмана для стегосистемы следующего вида. Зададим табличное описание функции проверки подлинности, представленное в табл. 4.1. Пусть двое заключенных, Алиса и Боб, договорились о следующем построении скрытого канала передачи с аутентификацией сообщений. Для этого они предварительно (до ареста) договорились о соответствии скрываемых сообщений условным сигналам. Они также установили, что при действующем ключе часть сообщений является допустимыми (Алиса их может передавать), а оставшиеся сообщения — недопустимыми (Алиса их передавать не будет). В таблице 4.1 указано, какие сообщения являются допустимыми при действующем ключе аутентификации (K 1 ,K 2 или K 3 ).
Пусть Алиса и Боб организовали передачу скрываемых сообщений следующим образом. Каждое утро Боба выводят на прогулку и он наблюдает окно камеры Алисы. Для скрытой передачи сообщений Алиса выставляет в окне своей камеры горшки с геранью, число которых равно номеру условного сигнала согласно табл. 4.2. Если на этот день действует ключ аутентификации K 1 , то сообщению «побег сегодня» соответствует 2 горшка с цветами, а сообщению «побег отменен» — 6 горшков.
Таблица 4.2
| Скрываемые Сообщения | Номер условного сигнала | Скрываемые сообщения | Номер условного сигнала | Действующий ключ аутентификации |
| Побег сегодня | 2 | Побег отменен | 6 | K 1 |
| Сегодня побег | 5 | Отменен побег | 3 | K 2 |
| Побег назначен на сегодня | 1 | Побег сегодня отменен | 4 | K 3 |
Рассмотрим возможные стратегии ввода ложной информации в этот канал скрытой связи тюремщиком Вилли. Первый вариант действий Вилли реализуется атакой имитации. Тюремщик предполагает, что с помощью цветов передается скрытая информация. Не дожидаясь действий Алисы, он выставляет в окно ее камеры некоторое число горшков с геранью. При 2 или 6 предметах Боб, получив ложное сообщение, полагает, что оно действительно передано Алисой, так как эти сообщения допустимы при действующем ключе K 1 . В этих случаях нарушителю удалось навязать ложное сообщение, хотя Вилли не знает какое именно. Но если Вилли выберет для имитонавязывания условные сигналы 1, 3, 4 или 5, то Боб однозначно определит, что принятое сообщение инспирировано нарушителем.
Таким образом, при равновероятном выборе ложного сообщения вероятность успеха Вилли в атаке имитации равна 
.
Рассмотрим вторую стратегию имитонавязывания — атаку замены первого порядка. Вилли замечает, что Алиса выставила в окно, например, 2 горшка с цветами. Тюремщик предполагает, что это скрытно передаваемое сообщение и меняет условный сигнал на другой. Если Вилли навязывает условный сигнал 1, 3, 4 или 5, то Боб определит, что полученное сообщение является ложным. Но если Вилли использует условный сигнал номер 6, то имитоввод окажется успешным и Боб получит вместо сигнала «побег сегодня» сигнал «побег отменен» со всеми вытекающими для него последствиями. Таким образом, в данной атаке замены вероятность успешного навязывания ложного сообщения при равновероятном их выборе равна 
. Оказалось, что 
, но следует учесть, что успех нарушителя в атаке замены наносит больший урон по сравнению с атакой имитации, так как при успехе в атаке замены нарушителю удается навязать диаметрально противоположное сообщение. Заметим, что в отличие от этого в атаке имитации навязывание считается успешным, если нарушителю удалось навязать любое сообщение, даже совпадающее с тем, которое собиралась передавать Алиса.
В описанной стегосистеме фактически используются только 2 скрываемых сообщения вида «побег сегодня» и «побег сегодня отменен», передаваемых при помощи 6 стегограмм. Отметим, что несмотря на простоту этой стегосистемы, при ее использовании обеспечивается равенство в выражениях (4.24) и (4.25), то есть она является одновременно совершенной при атаке имитации и при атаке замены первого порядка.
В стегосистемах с аутентификацией по сравнению с криптосистемами, обеспечивающими контроль подлинности передаваемых сообщений, возникает практическая проблема следующего порядка. При атаке имитации не столь важно как разделено множество контейнеров на подмножества, так как для нарушителя в момент навязывания все контейнеры (стегограммы) равновероятны. Иная ситуация в атаке замены. Если, перехватив стегограмму, нарушитель способен выявить, к какому подмножеству контейнеров она принадлежит, то тем самым нарушитель полностью или частично определил действующий ключ и обрел способность навязывать с недопустимо высокой вероятностью. Поэтому для обеспечения высокой имитозащищенности стегосистемы должно быть сложно (вычислительно сложно) определить, к какому подмножеству принадлежит любое стего. Очевидный способ достижения этого заключается в случайном равновероятном разбиении множества С на подмножества
Результат этого разбиения является секретным ключом аутентификации и должен быть известен только законным отправителю и получателю заверяемых сообщений. Однако объем этой секретной информации является чрезмерно большим для практических стегосистем. Вторым способом является формирование или отбор контейнеров по функциям формирования или выбора с использованием секретной информации аутентификации ограниченного объема при обеспечении подлинности. Если полученное стего может быть сгенерировано или выбрано при действующем ключе, то извлеченное из него сообщение признается подлинным. В криптографии известны подобные функции, устойчивые к их анализу нарушителем [8]. Однако существенные сложности заключаются в том, что такие стойкие функции должны порождать не просто последовательности, вычислительно неотличимые от случайных, а последовательности, неотличимые также от последовательностей, генерируемых естественными источниками (речь, видео).
В криптографических системах контроль подлинности передаваемой информации обеспечивается с помощью имитовставок или цифровых подписей [8]. Имитовставки и цифровые подписи заверяемых сообщений описываются бернуллиевским законом распределения [14]. Следовательно, они могут быть легко различимы нарушителем от контейнеров естественных источников, что ухудшает скрытность стегоканала заверяемых сообщений. Следовательно, имитостойкие стегосистемы не могут копировать принципы построения криптографических систем контроля подлинности передаваемой информации.
В заключение отметим, что стегосистемы с аутентификацией скрытно передаваемых сообщений в теоретическом и практическом плане находятся на самом начальном этапе своего развития и ждут своих исследователей.