Войти
Стеганализ - это исследование обнаружения сообщений, скрытых с помощью стеганографии ; это аналогично криптоанализу применительно к криптографии.
Цель стеганализа - идентифицировать подозрительные пакеты, определить, есть ли в них закодированная полезная нагрузка, и, если возможно, восстановить эту полезную нагрузку.
В отличие от криптоанализа, в котором перехваченные данные содержат сообщение (хотя это сообщение зашифровано ), стеганализ обычно начинается с кучи подозрительных файлов данных, но мало информации о том, какой из файлов, если есть, содержать полезную нагрузку. Стеганалитик обычно является чем-то вроде судебной статистики и должен начать с сокращения этого набора файлов данных (который часто бывает довольно большим; во многих случаях это может быть весь набор файлов на компьютере) до подмножества, которое, скорее всего, будет иметь были изменены.
Проблема обычно решается с помощью статистического анализа. Набор неизмененных файлов одного типа и, в идеале, из одного источника (например, той же модели цифровой камеры или, если возможно, той же цифровой камеры; цифровой звук с компакт-диска Файлы MP3 были «скопированы» из; и т. д.) как исследуемое множество, анализируются для получения различной статистики. Некоторые из них так же просты, как спектральный анализ, но поскольку большинство изображений и аудиофайлов в наши дни сжимаются с помощью алгоритмов сжатия с потерями, таких как JPEG и MP3, они также пытаются найти несоответствия в том, как эти данные были сжаты. Например, обычным артефактом при сжатии JPEG является «звенение по краям», когда высокочастотные компоненты (такие как высококонтрастные края черного текста на белом фоне) искажают соседние пиксели. Это искажение предсказуемо, и простые алгоритмы стеганографического кодирования будут создавать артефакты, которые маловероятны для обнаружения.
Один случай, когда обнаружение подозрительных файлов не вызывает затруднений, - это когда исходный, неизмененный носитель доступен для сравнения. Сравнение пакета с исходным файлом выявит различия, вызванные кодированием полезной нагрузки, и, таким образом, полезная нагрузка может быть извлечена.
В некоторых случаях, например, когда доступно только одно изображение, могут потребоваться более сложные методы анализа. В общем, стеганография пытается сделать искажение несущей неотличимым от минимального уровня шума несущей. На практике, однако, это часто неправильно упрощается до принятия решения о внесении изменений в несущую как можно ближе к белому шуму, а не к анализу, моделированию и последующему последовательному эмулированию фактических шумовых характеристик несущей.. В частности, многие простые стеганографические системы просто изменяют младший бит (LSB) выборки; это приводит к тому, что модифицированные выборки имеют не только разные профили шума, чем немодифицированные выборки, но и их младшие биты имеют разные профили шума, чем можно было бы ожидать при анализе их битов более высокого порядка, которые все равно будут показывать некоторое количество шума. Такую модификацию только LSB можно обнаружить с помощью соответствующих алгоритмов, в некоторых случаях обнаруживая плотность кодирования до 1% с разумной надежностью.
Обнаружение вероятная стеганографическая полезная нагрузка часто является лишь частью проблемы, так как полезная нагрузка могла быть зашифрована первой. Шифрование полезной нагрузки не всегда выполняется исключительно для того, чтобы затруднить восстановление полезной нагрузки. Наиболее надежные шифры имеют желаемое свойство, заключающееся в том, что полезная нагрузка кажется неотличимой от равномерно распределенного шума, что может затруднить обнаружение и избавить метод стеганографического кодирования от проблемы равномерного распределения энергии сигнала ( но см. выше об ошибках, имитирующих собственный шум несущей).
Если проверка запоминающего устройства считается очень вероятной, стеганографист может попытаться заблокировать потенциального аналитика, по сути, дезинформацией. Это может быть большой набор файлов, закодированных с помощью чего угодно: от случайных данных до белого шума, бессмысленной чепухи и заведомо вводящей в заблуждение информации. Плотность кодирования этих файлов может быть немного выше, чем у «настоящих»; аналогичным образом следует рассмотреть возможное использование нескольких алгоритмов различной обнаруживаемости. Стеганалитик может быть вынужден сначала проверить эти ловушки, потенциально тратя много времени и вычислительных ресурсов. Обратной стороной этого метода является то, что он делает гораздо более очевидным, что стеганографическое программное обеспечение было доступно и использовалось.
Получение ордера или принятие других мер, основанных исключительно на стеганалитических доказательствах, является очень рискованным предложением, если полезная нагрузка не была полностью восстановлена и расшифрована, потому что в противном случае все, что у аналитика есть статистика, указывающая, что файл мог быть изменен, и эта модификация могла быть результатом стеганографического кодирования. Поскольку это, вероятно, будет часто, стеганалитические подозрения часто придется подкреплять другими методами расследования.
