Steganalýza

Steganalýza je štúdium odhaľovania správ skrytých pomocou steganografie; toto je analogické s kryptoanalýzou aplikovanou na kryptografiu .

Prehľad

Cieľom steganalýzy je identifikovať podozrivé dátové celky (napr. packety alebo súbory), určiť, či obsahujú alebo neobsahujú zakódovaný obsah, a ak je to možné, tento obsah obnoviť.

Na rozdiel od kryptoanalýzy, v ktorej zachytené dáta obsahujú správu (hoci je táto správa zašifrovaná), steganalýza vo všeobecnosti začína s množstvom podozrivých dátových súborov, ale s minimom informácií o tom, ktoré zo súborov, ak vôbec nejaké, obsahujú ukrytý obsah. Steganalytik je zvyčajne niečo ako forenzný analytik a musí začať pretriedením týchto dátových súborov (ktorých množstvo je často dosť veľké; v mnohých prípadoch to môžu byť všetky súbory v počítači) na podmnožinu, ktorá s najväčšou pravdepodobnosťou bola pozmenená.

Základné techniky

Problém sa vo všeobecnosti rieši štatistickou analýzou. Neupravené súbory rovnakého typu a ideálne z rovnakého zdroja (napríklad z rovnakého modelu digitálneho fotoaparátu, alebo ak je to možné, z rovnakého digitálneho fotoaparátu; digitálny zvuk atď.), ktoré sú kontrolované, sú analyzované pre rôzne štatistiky. Niektoré z nich sú také jednoduché ako spektrálna analýza, ale keďže väčšina obrázkov a zvukových súborov je v súčasnosti komprimovaná pomocou stratových kompresných algoritmov, ako sú JPEG a MP3, tak sa hľadajú nezrovnalosti spôsobom, akým boli tieto údaje komprimované. Napríklad bežným úkazom pri kompresii JPEG je „zvlnenie okrajov“, kde komponenty s vysokým výskytom (ako napríklad okraje čierneho textu s vysokým kontrastom na bielom pozadí) deformujú susedné pixely - táto deformácia je označovaná pojmom artefakt. Toto skreslenie je predvídateľné a jednoduché steganografické algoritmy vytvoria artefakty, ktoré sú preukázateľne nepravdepodobné.

Jedným z prípadov, kedy je detekcia podozrivých súborov jednoduchá, je, keď je na porovnanie k dispozícii pôvodný, neupravený nosič údajov. Porovnaním upraveného s pôvodným súborom sa získajú rozdiely spôsobené kódovaním obsahu – a teda je možné tento obsah extrahovať.

Pokročilé techniky

Analýza konzistencie hranice šumu

V niektorých prípadoch, napríklad keď je k dispozícii iba jeden obrázok, môžu byť potrebné zložitejšie techniky analýzy. Vo všeobecnosti sa steganografia pokúša urobiť skreslenie nosiča (teda napr. súboru, papiera a podobne) nerozoznateľné od spodnej hranice šumu nosiča (napr. na biely papier môžeme ukryť informáciu pomocou morseových bodiek a čiarok, ak ju zapíšeme svetložltou fixou, ktorej farba takmer splýva s farbou papiera). V praxi sa to však často nesprávne zjednodušuje na rozhodnutie, aby sa úpravy nosiča čo najviac podobali bielemu šumu, namiesto analýzy, modelovania a následnej dôslednej emulácie skutočných charakteristík šumu nosiča. Najmä mnoho jednoduchých steganografických systémov jednoducho modifikuje najmenej významný bit (LSB) vzorky; to spôsobuje, že modifikované vzorky majú nielen odlišné profily šumu ako nemodifikované vzorky, ale aj to, že ich LSB majú odlišné profily šumu, než by sa dalo očakávať z analýzy ich bitov vyššieho rádu (MSB), ktoré budú stále vykazovať určité množstvo šumu. Takáto LSB modifikácia môže byť detegovaná pomocou vhodných algoritmov, v niektorých prípadoch detegujúcich pozmenenie pôvodnej správy o menej než 1%. ^[1]

Ďalšie komplikácie

Šifrované obsahy

Detekcia pravdepodobného steganografického obsahu je často len časťou problému, pretože obsah mohol byť najskôr zašifrovaný. Šifrovanie obsahu nie je vždy vykonávané len preto, aby sa sťažilo obnovenie obsahu. Väčšina silných šifier má vlastnosť, aby sa obsah javil na nerozoznanie od rovnomerne distribuovaného šumu, čo môže sťažiť detekciu a ušetrí steganografickej kódovacej technike problémy s rovnomernou distribúciou obsahu.

Bariérový šum

Ak sa budúca analýza pamäťového zariadenia považuje za veľmi pravdepodobnú, steganograf sa môže pokúsiť zasypať potenciálneho analytika dezinformáciami. Môže to byť veľké množstvo súborov kódovaných čímkoľvek, od náhodných údajov, cez biely šum, až po zámerne zavádzajúce informácie. Hustota kódovania v týchto súboroch môže byť o niečo vyššia ako v „skutočných“; podobne by sa malo zvážiť možné použitie viacerých algoritmov s rôznou zistiteľnosťou. Steganalytik môže byť nútený najprv tieto návnady skontrolovať, čo potenciálne môže plytvať značným časom a výpočtovými zdrojmi. Nevýhodou tejto techniky je, že je oveľa jasnejšie, že bol použitý steganografický softvér.

Závery a ďalšie opatrenia

Získanie povolenia na prehliadku alebo vykonanie inej akcie založenej výlučne na steganalytických dôkazoch je veľmi riskantný návrh, pokiaľ obsah nebol úplne obnovený a dešifrovaný, pretože inak všetko, čo má analytik, je štatistika naznačujúca, že súbor mohol byť upravený a že modifikácia mohla byť výsledkom steganografického kódovania. Pretože sa to stáva často, steganalytické podozrenia budú často musieť byť podložené inými vyšetrovacími technikami.

Pozri si

• Zvuková detekcia vodoznaku
• BPCS-Steganografia
• Skrytý kanál
• Kryptografia
• Kompresia údajov
• Steganografický súborový systém
• Steganografia
• Steganografické nástroje

Referencie

1. Patent No. 6,831,991, Reliable detection of LSB steganography in color and grayscale images;Fridrich, Jessica a kol., vydané 14. decembra 2004. (Tento vynález bol vytvorený s podporou vlády pod F30602-00-1-0521 a F49620-01-1-0123 od amerického letectva. Vláda má určité práva na vynález.)

Externé odkazy

• Steganalysis výskum a dokumenty Neila F. Johnsona zaoberajúce sa útokmi proti steganografii a vodoznaku a protiopatreniam voči týmto útokom.
• Výskumná skupina Archivované 2016-08-16 na Wayback Machine . Prebiehajúci výskum v Steganalysis.
• Steganografia – Implementácia a detekcia Krátky úvod o steganografii, pojednávajúci o niekoľkých informačných zdrojoch, v ktorých môžu byť informácie uložené

1. Patent No. 6,831,991, Reliable detection of LSB steganography in color and grayscale images; Fridrich, Jessica, et al., issued December 14th, 2004. (This invention was made with Government support under F30602-00-1-0521 and F49620-01-1-0123 from the U.S. Air Force. The Government has certain rights in the invention.)