Сообщений

Рис. 4.12. Графическое описание функции проверки подлинности скрываемых

Из рис. 4.12 легко заметить, что подмножества контейнеров имеют одинаковые размеры. Если скрываемые сообщения равновероятны и равновероятно выбирается ключевая информация, то для нарушителя, не знающего действующий ключ, множество сообщений, подлинность которых подтверждается при проверке, в n – 1 раз меньше множества сообщений, отвергаемых при проверке как ложные.

Рассмотрим возможные атаки нарушителя на подлинность скрываемых сообщений и оценки имитостойкости стегосистем при этих атаках. Из криптографии известно, что активный нарушитель может выполнить атаку имитации или атаку замены [13]. При атаке имитации, иначе называемой имитонавязыванием в пустом канале, нарушитель не дожидаясь перехвата заверенного сообщения, от имени отправителя формирует ложное сообщение. Обозначим вероятность успеха нарушителя в атаке имитации через . Из рис. 4. 3 очевидно, что для нарушителя не знающего действующего ключа и навязывающего любое сообщение из множества , вероятность успеха не может быть меньше чем число всех сообщений, поделенное на число всех стегограмм при и

. (4.24)

Граница Симмонса для систем аутентификации определяет, что выражение (4.24) выполняется с равенством при удовлетворении двух условий:

1. Атака имитации оптимальна, то есть имеет одинаковую вероятность успеха нарушителя при равновероятном случайном выборе им любой навязываемой стегограммы.

2. Для каждой стегограммы вероятность ее формирования отправителем одинакова при всех ключах аутентификации, для которых выполняется .

Если эти условия выполняются, то при заданных размерах множества скрываемых сообщений и множества стегограмм вероятность обмана является минимальной. Следуя Симмонсу, стегосистему с аутентификацией скрываемых сообщений можно назвать совершенной относительно атаки имитации, если она удовлетворяет равенству в выражении (4.24). Из выражения (4.24) следует, что малая вероятность обмана, то есть высокая имитозащищенность стегоканала обеспечивается при . Отметим, что ни при каких принципах построения стегосистемы величина не может быть получена меньшей, чем в выражении (4.24).

При второй стратегии имитонавязывания в стегоканале, называемой атакой замены первого порядка, нарушитель, перехватив стегограмму от законного отправителя, подменяет ее на ложную. Атака замены считается успешной, если навязанное стего декодируется получателем в любое допустимое для данной стегосистемы сообщение, причем ложное сообщение не должно совпадать с истинным сообщением законного отправителя. Обозначим вероятность обмана при атаке замены через . Если нарушитель перехваченное стего, содержащее некоторое неизвестное ему сообщение, заменил на любое другое стего, то очевидно (см. рис.4.12), что при непересекающихся подмножествах , ни из какого стего извлеченное сообщение при действующем ключе не будет одновременно признано получателем подлинным и совпадать с истинным, передаваемым законным отправителем сообщений. Следовательно, у нарушителя есть шансы навязать одно из оставшихся сообщений, используя одно из стего. Таким образом, вероятность успешного навязывания в атаке замены первого порядка не превышает

. (4.26)

Отметим, что как и при атаке имитации, высокая имитозащищенность стегоканала при атаке замены первого порядка обеспечивается при . Перечисленные ранее условия являются необходимыми, но уже недостаточными условиями выполнения выражения (4.26) со знаком равенства. Определим стегосистему с аутентификацией скрываемых сообщений совершенной относительно атаки замены первого порядка, если она удовлетворяет равенству в выражении (4.26).

Поясним на простом примере стратегии имитонавязывания и оценки защищенности от обмана для стегосистемы следующего вида. Зададим табличное описание функции проверки подлинности, представленное в табл. 4.1. Пусть двое заключенных, Алиса и Боб, договорились о следующем построении скрытого канала передачи с аутентификацией сообщений. Для этого они предварительно (до ареста) договорились о соответствии скрываемых сообщений условным сигналам. Они также установили, что при действующем ключе часть сообщений является допустимыми (Алиса их может передавать), а оставшиеся сообщения – недопустимыми (Алиса их передавать не будет). В таблице 4.1 указано, какие сообщения являются допустимыми при действующем ключе аутентификации (или ).

Пусть Алиса и Боб организовали передачу скрываемых сообщений следующим образом. Каждое утро Боба выводят на прогулку и он наблюдает окно камеры Алисы. Для скрытой передачи сообщений Алиса выставляет в окне своей камеры горшки с геранью, число которых равно номеру условного сигнала согласно табл. 4.2. Если на этот день действует ключ аутентификации , то сообщению «побег сегодня» соответствует 2 горшка с цветами, а сообщению «побег отменен» – 6 горшков.