Цифровая стеганография - [51]

, характеристики которого известны нарушителю. Для встраивания скрываемых сообщений из множества C_>S случайно и равновероятно выберем подмножество контейнеров С, которое назовем подмножеством действительных контейнеров: . Пусть выполняется условие H(С_>S) >= H(С) и вероятностные характеристики подмножества С отличаются от соответствующих характеристик множества C_>S. Потребуем, чтобы неопределенность нарушителя относительно действительных контейнеров при известном множестве C_>S была бы строго больше нуля: H(С/С_>S) > 0. Физически это может быть обеспечено, если выбор действительных контейнеров осуществляется с помощью случайного и равновероятного значения R, полученного с выхода генератора случайных чисел, как это показано на рис. 4.2.

Необходимая неопределенность относительно С достигается выбором каждого контейнера совершенно случайным образом и сохранением выбора в тайне. Примером такого процесса может быть взятие выборок из аналогового входного сигнала, такого как речь или видео. Погрешность квантователя обеспечивает необходимую неопределенность. Если изменения контейнера в процессе встраивания информации остаются в пределах погрешности квантователя, то такая манипуляция не может быть обнаружена.

Рис. 4.2. Стегосистема с рандомизированным выбором контейнера

Определим, что для рассматриваемой вероятностной стегосистемы основное условие стойкости выражается в виде

. (4.13)

Это означает, что неопределенность нарушителя относительно M не может быть уменьшена знанием S и C_>S, или M является независимым от S и C_>S.

Исследуем условия, при которых нарушитель не способен обнаружить изменения в контейнере, произошедшие при встраивании сообщения M с энтропией H(M), наблюдая стего. Для этого определим требуемую величину неопределенности нарушителя относительно контейнера H(C/S). Можно показать, что

(4.14)

При наихудшем случае противник способен полностью определить M из S и C:

.

Следовательно, в общем случае выполняется

. (4.15)

Так как взаимная информация

 не может быть более величины H(M), неопределенность должна быть, по крайней мере, той же величины, чтобы сделать чтение сообщения невозможным.

В стойкой стегосистеме, нарушитель, наблюдая стего S, не должен получить информацию сверх той, которая ему известна априори из знания множества C_>S:

H(C/C_>S) = H(C/S), (4.16)

и, поэтому,

H(C/C_>S) >= H(M). (4.17)

Таким образом, для нарушителя, знающего характеристики множества C_>S, в стойкой стегосистеме неопределенность относительно подмножества действительных контейнеров C должна быть не меньше энтропии скрываемых сообщений.

Определим совместную энтропию H_>0 между множествами C и C_>S

H_>0 = H(C,C_>S) = H(C) + H(C_>S/C). (4.18)

Так как

и H(C_>S) >= H(C), то

H(C_>S/C) >= H(C/C_>S).

Для стойкой стегосистемы получим нижнюю границу величины совместной энтропии

H_>0 >= H(C) + H(C/C_>S).

Используя выражение (4.17), запишем

H_>0 >= H(C) + H(M). (4.19)

Так как H(C_>S) >= H (C), то H(C_>S,S) >= H(C,S). Следовательно,

H(C_>S,S) >= H(C,S). (4.20)

В соответствии с выражением (4.15) получим, что граница может быть определена в виде:

H(C_>S,S) >= H(M). (4.21)

Сформируем заключение: при достижении нижней границы для H(C/S) (уравнение 4.15), нарушитель, знающий S и C_>S, не способен получить доступ к скрываемому в стего S сообщению M. Фундаментальное условие стойкости (4.13) может быть выполнено.

Рассмотрим условия, при которых нарушитель не способен определить ключ К стегосистемы. Потребуем, чтобы нарушитель, знающий S и C_>S, не мог получить никакой информации ни о ключе К, ни о сообщении М. Это может быть выражено в виде

I((K,М);(S,C_>S)) = H(K,М) — H((K,М)/(S,C_>S)) = (4.22)

H(K,М) — H(K/(S,C_>S)) — H(М/(S,C_>S,K)) = 0.

При знании ключа К, множества C_>S из стего S однозначно извлекается сообщение М:

H(М/(S,C_>S,K)) = 0,

Поэтому из выражения (4.22) получим

H(K/(S,C_>S) = H(K,М),

или

H(K/(S,C_>S) = H(М) + H(K/М) >= H(М), (4.23)

соответственно, так как H(K/М) >= 0.

Таким образом, для нарушителя неопределенность ключа стойкой стегосистемы должна быть не меньше неопределенности передаваемого скрытого сообщения. Это требование для совершенных стегосистем очень похоже на требование неопределенности ключа К для совершенных систем шифрования, для которых энтропия ключа К при перехваченной криптограмме Е должна быть не меньше энтропии шифруемого сообщения М [7]:

.

Делаем вывод, что действительный контейнер должен быть неизвестным для нарушителя, чтобы обеспечить теоретико-информационную стойкость стегосистемы. Нарушитель не способен ни обнаружить факт передачи скрываемого сообщения, ни читать его, если выполняются два условия:

1) Знание S и C_>S не уменьшает для нарушителя неопределенности о скрываемом сообщении

H(М/(S,C_>S)) = H(М/S) = H(М).

2) Условная энтропия ключа должна быть не меньше энтропии скрываемого сообщения:

H(K/(S,C_>S)) >= H(М).

При таких условиях требуемая стойкость может быть обеспечена в вероятностных стегосистемах.

В работе [2] приводятся общие описания возможных вероятностных стегосистем. Пусть отправитель для встраивания скрываемых сообщений в качестве действительных контейнеров использует цифровое изображение пейзажа на выходе электронной камеры. Нарушитель может знать общий вид снимаемого изображения и характеристики используемой камеры. Но атакующий и даже законный получатель не знают точное положение камеры и угол съемки. Колебание камеры даже на долю градуса приводит к существенно отличающимся снимкам. Поэтому при анализе нарушителем перехваченного стего он не способен определить какое цифровое изображение является действительным контейнером и тем самым не может выявить различия между стего и контейнером. В качестве множества контейнеров C