Ознакомительная версия.
1. Атака имитации оптимальна, то есть имеет одинаковую вероятность успеха нарушителя при равновероятном случайном выборе им любой навязываемой стегограммы.
2. Для каждой стегограммы вероятность ее формирования отправителем одинакова при всех ключах аутентификации, для которых выполняется .
Если эти условия выполняются, то при заданных размерах множества скрываемых сообщений и множества стегограмм вероятность обмана является минимальной. Следуя Симмонсу, стегосистему с аутентификацией скрываемых сообщений можно назвать совершенной относительно атаки имитации, если она удовлетворяет равенству в выражении (4.24). Из выражения (4.24) следует, что малая вероятность обмана, то есть высокая имитозащищенность стегоканала обеспечивается при . Отметим, что ни при каких принципах построения стегосистемы величина не может быть получена меньшей, чем в выражении (4.24).
При второй стратегии имитонавязывания в стегоканале, называемой атакой замены первого порядка, нарушитель, перехватив стегограмму от законного отправителя, подменяет ее на ложную. Атака замены считается успешной, если навязанное стего декодируется получателем в любое допустимое для данной стегосистемы сообщение, причем ложное сообщение не должно совпадать с истинным сообщением законного отправителя. Обозначим вероятность обмана при атаке замены через . Если нарушитель перехваченное стего, содержащее некоторое неизвестное ему сообщение, заменил на любое другое стего, то очевидно (см. рис. 4.12), что при непересекающихся подмножествах , ни из какого стего извлеченное сообщение при действующем ключе не будет одновременно признано получателем подлинным и совпадать с истинным, передаваемым законным отправителем сообщений. Следовательно, у нарушителя есть шансы навязать одно из оставшихся k — 1 сообщений, используя одно из стего. Таким образом, вероятность успешного навязывания в атаке замены первого порядка не превышает
. (4.26)
Отметим, что как и при атаке имитации, высокая имитозащищенность стегоканала при атаке замены первого порядка обеспечивается при . Перечисленные ранее условия являются необходимыми, но уже недостаточными условиями выполнения выражения (4.26) со знаком равенства. Определим стегосистему с аутентификацией скрываемых сообщений совершенной относительно атаки замены первого порядка, если она удовлетворяет равенству в выражении (4.26).
Поясним на простом примере стратегии имитонавязывания и оценки защищенности от обмана для стегосистемы следующего вида. Зададим табличное описание функции проверки подлинности, представленное в табл. 4.1. Пусть двое заключенных, Алиса и Боб, договорились о следующем построении скрытого канала передачи с аутентификацией сообщений. Для этого они предварительно (до ареста) договорились о соответствии скрываемых сообщений условным сигналам. Они также установили, что при действующем ключе часть сообщений является допустимыми (Алиса их может передавать), а оставшиеся сообщения — недопустимыми (Алиса их передавать не будет). В таблице 4.1 указано, какие сообщения являются допустимыми при действующем ключе аутентификации (K1,K2 или K3).
Пусть Алиса и Боб организовали передачу скрываемых сообщений следующим образом. Каждое утро Боба выводят на прогулку и он наблюдает окно камеры Алисы. Для скрытой передачи сообщений Алиса выставляет в окне своей камеры горшки с геранью, число которых равно номеру условного сигнала согласно табл. 4.2. Если на этот день действует ключ аутентификации K1, то сообщению «побег сегодня» соответствует 2 горшка с цветами, а сообщению «побег отменен» — 6 горшков.
Таблица 4.2
Скрываемые Сообщения Номер условного сигнала Скрываемые сообщения Номер условного сигнала Действующий ключ аутентификации Побег сегодня 2 Побег отменен 6
K1 Сегодня побег 5 Отменен побег 3
K2 Побег назначен на сегодня 1 Побег сегодня отменен 4
K3Рассмотрим возможные стратегии ввода ложной информации в этот канал скрытой связи тюремщиком Вилли. Первый вариант действий Вилли реализуется атакой имитации. Тюремщик предполагает, что с помощью цветов передается скрытая информация. Не дожидаясь действий Алисы, он выставляет в окно ее камеры некоторое число горшков с геранью. При 2 или 6 предметах Боб, получив ложное сообщение, полагает, что оно действительно передано Алисой, так как эти сообщения допустимы при действующем ключе K1. В этих случаях нарушителю удалось навязать ложное сообщение, хотя Вилли не знает какое именно. Но если Вилли выберет для имитонавязывания условные сигналы 1, 3, 4 или 5, то Боб однозначно определит, что принятое сообщение инспирировано нарушителем.
Таким образом, при равновероятном выборе ложного сообщения вероятность успеха Вилли в атаке имитации равна .
Рассмотрим вторую стратегию имитонавязывания — атаку замены первого порядка. Вилли замечает, что Алиса выставила в окно, например, 2 горшка с цветами. Тюремщик предполагает, что это скрытно передаваемое сообщение и меняет условный сигнал на другой. Если Вилли навязывает условный сигнал 1, 3, 4 или 5, то Боб определит, что полученное сообщение является ложным. Но если Вилли использует условный сигнал номер 6, то имитоввод окажется успешным и Боб получит вместо сигнала «побег сегодня» сигнал «побег отменен» со всеми вытекающими для него последствиями. Таким образом, в данной атаке замены вероятность успешного навязывания ложного сообщения при равновероятном их выборе равна . Оказалось, что , но следует учесть, что успех нарушителя в атаке замены наносит больший урон по сравнению с атакой имитации, так как при успехе в атаке замены нарушителю удается навязать диаметрально противоположное сообщение. Заметим, что в отличие от этого в атаке имитации навязывание считается успешным, если нарушителю удалось навязать любое сообщение, даже совпадающее с тем, которое собиралась передавать Алиса.
В описанной стегосистеме фактически используются только 2 скрываемых сообщения вида «побег сегодня» и «побег сегодня отменен», передаваемых при помощи 6 стегограмм. Отметим, что несмотря на простоту этой стегосистемы, при ее использовании обеспечивается равенство в выражениях (4.24) и (4.25), то есть она является одновременно совершенной при атаке имитации и при атаке замены первого порядка.
В стегосистемах с аутентификацией по сравнению с криптосистемами, обеспечивающими контроль подлинности передаваемых сообщений, возникает практическая проблема следующего порядка. При атаке имитации не столь важно как разделено множество контейнеров на подмножества, так как для нарушителя в момент навязывания все контейнеры (стегограммы) равновероятны. Иная ситуация в атаке замены. Если, перехватив стегограмму, нарушитель способен выявить, к какому подмножеству контейнеров она принадлежит, то тем самым нарушитель полностью или частично определил действующий ключ и обрел способность навязывать с недопустимо высокой вероятностью. Поэтому для обеспечения высокой имитозащищенности стегосистемы должно быть сложно (вычислительно сложно) определить, к какому подмножеству принадлежит любое стего. Очевидный способ достижения этого заключается в случайном равновероятном разбиении множества С на подмножества Результат этого разбиения является секретным ключом аутентификации и должен быть известен только законным отправителю и получателю заверяемых сообщений. Однако объем этой секретной информации является чрезмерно большим для практических стегосистем. Вторым способом является формирование или отбор контейнеров по функциям формирования или выбора с использованием секретной информации аутентификации ограниченного объема при обеспечении подлинности. Если полученное стего может быть сгенерировано или выбрано при действующем ключе, то извлеченное из него сообщение признается подлинным. В криптографии известны подобные функции, устойчивые к их анализу нарушителем [8]. Однако существенные сложности заключаются в том, что такие стойкие функции должны порождать не просто последовательности, вычислительно неотличимые от случайных, а последовательности, неотличимые также от последовательностей, генерируемых естественными источниками (речь, видео).
Ознакомительная версия.
