STUD NET
СТЕГОАНАЛИЗ ОБЪЕКТОВ, ПОЛУЧЕННЫХ С ПОМОЩЬЮ СТЕГАНОГРАФИЧЕСКИХ ПРОГРАММ, РАСПРОСТРАНЯЕМЫХ В
СЕТИ ИНТЕРНЕТ
STEGANALYSIS OF OBJECTS RECEIVED USING STEGANOGRAPHIC PROGRAMS DISTRIBUTED ON THE INTERNET
УДК 004.056 DOI: 10.24411/2658-4964-2020-10231 Ахрамеева К.А., кандидат технических наук, доцент доцент кафедры «Защищенные системы связи»
Санкт-Петербургский Государственный Университет Телекоммуникаций, Российская Федерация, г. Санкт-Петербург Герлинг Е.Ю., кандидат технических наук, доцент доцент кафедры «Защищенные системы связи»
Санкт-Петербургский Государственный Университет Телекоммуникаций, Российская Федерация, г. Санкт-Петербург Ковцур М.М., кандидат технических наук, доцент доцент кафедры «Защищенные системы связи»
Санкт-Петербургский Государственный Университет Телекоммуникаций, Российская Федерация, г. Санкт-Петербург Галецкая А.В., студентка
Ahrameeva K.A., oklaba@mail.ru Gerling E.U., gerlingeu@gmail.com Kovtsur M.M., maxkovzur@mail.ru Galetskaya A.V., anna.galetskaya.98@gmail.com
Аннотация
В статье представлен результат анализа стегообъектов полученных с помощью программ, свободно распространяемых в сети Интернет, на предмет устойчивости к различным стегоатакам. Предоставлено краткое описание используемых программ и используемых ими алгоритмов вложения и шифрования. С их помощью была создана выборка стегоизображений, к которым был применен ряд атак, а именно визуальная атака, атака х2, парно-выборочный и регулярный сингулярный анализ. В статье представлены результаты, полученные в ходе данных атак, а также сделаны выводы о возможности использования исследуемых программ относительно секретности получаемых стегоизображений и их устойчивости к современным методам стегоанализа.
Annotation
The article presents the result of the analysis of stegoobjects obtained with the help of programs freely distributed on the Internet for resistance to various stego attacks. A brief description of the programs used and the embedding and encryption algorithms they use is provided. With their help, a sampling of stego images was created, to which several attacks were applied, namely, visual attack, х2 attack, sample pair analysis and regular singular analysis. The article presents the results obtained during these attacks, as well as the conclusions about the possibility of using the investigated programs regarding the secrecy of the received stego images and their resistance to modern methods of steganalysis.
С давних времен у человечества есть потребность в сокрытии секретной информации - существовали данные, которые необходимо было передать союзникам, но скрыть от врагов. Тогда использовалась тайнопись с помощью всевозможных "невидимых" чернил, выделение отдельных знаков обычного письма с помощью небольших проколов или изменения написания букв, а также большое число других способов, известных истории. [1]
Другим способом передачи секретной информации, используемым и по сей день, является криптография - ее методы направлены на шифрование сообщения таким образом, что посторонний человек, не имеющий ключа, не способен узнать смысл переданного сообщения. Однако следует заметить, что криптография не ставит задачи скрыть сам факт передачи сообщения, то есть криптография обеспечивает невозможность прочтения информации
нелегитимным пользователем, но не скрывает от него существование передаваемых данных. Таким образом, если говорить о существовании злоумышленника, желающего перехватить передаваемые данные, будет точно известно, что происходит передача зашифрованного сообщения, и при перехвате зашифрованного сообщения, злоумышленник попытается его расшифровать, и в некоторых случаях у него это получится. Подобный исход не желателен, а следовательно, существует потребность в более надежных методах скрытой передачи секретной информации.
Во избежание подобной утечки информации используются методы стеганографии, позволяющие скрыть сам факт передачи секретной информации. При использовании стеганографических методов сокрытия информации, посторонний человек или злоумышленник не будут знать, что происходит какой-либо обмен данными, поскольку секретное сообщение будет надежно спрятано в неприметном сообщении.
На данный момент в сети Интернет свободно распространяется множество программ, осуществляющих вложение скрытой информации в неприметный файл - покрывающий объекты, т.е. любые медиафайлы, такие как фото, видео, текст и т.д.
В рамках данной работы исследованы такие программы для вложения дополнительной информации в JPEG файлы, как [2]:
• StegOnline - веб-приложение для вложения и извлечения информации методом стеганографии LSB, разработанное в 2019 году. StegOnline позволяет вкладывать данные в любые битовые плоскости, которые могут отличаться для каналов разного цвета;
• DarkJPEG - в качестве контейнеров используются файлы формата JPEG. Для шифрования вкладываемой информации криптографическими методами используется алгоритм AES;
• OpenStego - в качестве исходных контейнеров используются файлы формата MP, PNG, JPG, GIF, WBMP. Есть возможность использования шифрования типа AES;
• CenoCipher - программа использует следующие криптографические алгоритмы и функции: Шифры AES / Rijndael, Twofish и Serpent (256-битные варианты ключей), соединенные каскадом в режиме CTR для тройного шифрования сообщений и файлов; HMAC-SHA-256 для построения кода аутентификации сообщения; PBKDF2-HMAC-SHA256 для получения отдельных ключей AES, Twofish и Serpent из выбранной пользователем парольной фразы; Криптографически безопасный генератор псевдослучайных
чисел ISAAC для создания векторов инициализации (AES / Twofish / Serpent) и солей (PBKDF2)
• RedJPEG XT - программа использует открытые алгоритмы шифрования, поточный шифр AMPRNG и Cartman II DDP4 в режиме хеш-функции, LZMA-компрессию.
• Hide&n&Send - в качестве контейнеров используются файлы только формата JPEG. В качестве стенографических алгоритмов используются алгоритмы НЗБ и F5. Для шифрования вкладываемой информации криптографическими методами используются алгоритмы AES, RC4, RC2;
• Hallucinate - в качестве контейнеров используются файлы формата BMP, PNG. В качестве стенографического алгоритма используется алгоритм НЗБ;
• SSuite Picsel Security - в качестве контейнеров используются файлы формата BMP, JPG, WMF, PNG;
• Steghide UI - алгоритм вложения представлен частично. Для шифрования вкладываемой информации криптографическими методами используются алгоритмы: ГОСТ, Rijndael-128, Rijndael-192, Rijndael-256, Twofish, Cast-128, Cast-256, Loki97, Saferplus, Serpent, Xtea, Blowfish, Rc2, DES, tripleDES, Arcfour, Wake, Enigma.
Рассмотрены такие методы стегоанализа, как визуальная атака [3], атака X2 [3], парно-выборочный анализ [4] и регулярный сингулярный (Regular-Singular, RS) анализ [5].
Для реализации атак использована программа StegMachine [6], автор которой подробно изложил принцип ее работы и продемонстрировал получаемые результаты [7]. В данной статье лишь коротко обозначим, что для атаки X2 данная программа выводит не числовое значение, а видоизмененное изображение, на котором цветом обозначается значение атаки х2, которая проверяется построчно. Если посчитанная вероятность для строки больше 0.5, то строка в оригинальном изображении закрашивается красным, а если меньше, то зеленым.
С помощью представленных выше программ созданы стегообъекты, из выборки в 100 изображений формата JPEG размера 630x315 для которых применены методы стегоанализа. Данные, с помощью каждой из исследуемых программ, вложены с применением максимально возможных средств защиты (шифрование, более безопасные режимы вложения, и т. п.). Для каждой программы взяты проценты вложения 15 и 50 от максимально возможного.
Визуальная атака показала, что стегообъекты, созданные с помощью программ Steghide UI, CenoChipher, Hide&n&Send, RedJPEG, Openpuff и DarkJPEG - они показали результат, идентичный оригинальному. Другие результаты выдали программы OpenStego, SSuitePicsel, StegOnline и Hallucinate. Результат визуальной атаки для программы OpenStego представляет собой полностью заполненные информацией изображения каналов RGB, причем видно, что чем выше процент вложения, тем менее видны очертания оригинального изображения. Для остальных программ вложение видно на примерно 15% и 50% от изображения, в соответствии с процентом вложения. Для программы SSuitePicsel интерес представляет результат визуальной атаки на красный канал - в нем отчетливо видно вложение, в то время как зеленый и синий остались нетронутыми. Аналогичная ситуация с программой StegOnline - вложение видно на изображениях, полученных в результате атаки на синий канал. Результат визуальной атаки на стегоизображение, созданное программой Hallucinate, также очевидно выдает факт вложения информации, и кроме того, на полученных изображениях нет очертаний оригинального изображения, все заполнено 0 битами.
В рамках данного этапа исследования все изображения были подвергнуты атаке х2. Стегообъекты, полученные с помощью программ SSuitePicsel, Steghide UI, CenoChipher, Hide&n&Send, RedJPEG и Openpuff -полученное изображение было преимущественно зеленым, с рядом случайных красных полос, так же, как и для оригинального изображения. Результаты атаки на стегоизображения, созданные программами OpenStego, Hallucinate, DarkJPEG отличаются от нормы. Для программы OpenStego, изображение, полученное в результате атаки х2, равномерно окрашено в красный - как и было видно по результатам визуальной атаки, данная программа погружает данные равномерно. Для программы Hallucinate полученные результаты также подтверждают неравномерное распределение информации программой, как и результаты визуальной атаки. По результатам атаки на стегоизображения, созданные программой DarkJPEG, с 15 и 50 процентами вложения можно сделать вывод, что стегоизображения, созданные этой программой не являются устойчивыми к данному типу атак, однако стегоизображение с 90% вложения, не подвергнутое уменьшению в размерах, успешно прошло тест.
Результаты RS и SPA атак для стегообъектов, полученных с помощью исследуемых программ, представлены Таблица 3.
Таблица 3 Результаты RS и SPA атак
Программа Процент вложения Значение RS-атаки Значение SPA-атаки
Оригинальное изображение 0 0.05205101874757737 0.02578402257720902
OpenPuff 15 0.05178548773434833 0.026661883354939974
CenoCipher 15 0.05266023035318068 0.025787924511405463
Steghide UI 15 0.05049031626609849 0.02630875832700359
Hide&n&Send 15 0.05366890591093334 0.02792450354107558
SSuitePicsel 15 0.1440364032409293 0.06395778254471977
DarkJPEG 15 0.16910356117436678 0.08869675868142107
StegOnline 15 0.10683111677664309 0.04911556097008896
RedJPEG 15 0.05506664394979862 0.028602477725152137
Hallucinate 15 0.14494562764075533 0.04669229608087647
OpenStego 15 0.48302111798157604 0.4682762915112669
Как видно из таблицы 1, для покрывающего объекта RS-атака дает значение 0,05. Таким образом, стегообъекты, полученных с помощью программ SSuitePicsel, DarkJPEG, StegOnline, Hallucinate и OpenStego легко обнаруживаются, даже при малой доли вложения.
Среднее значение SPA-атаки для покрывающих объектов равна 0.02. Следовательно стегоизображения, созданные программами OpenPuff, CenoCipher, Steghide UI, Hide&n&Send и RedJPEG. Для DarkJPEG сохраняется тенденция к успешному прохождению лишь стегоизображения с 90% вложения. Программы SSuitePicsel, StegOnline, Hallucinate и OpenStego показали отличающийся от 0,02, однако без наличия у атакующего оригинального изображения и данных SPA-атаки на него, большинство из них
покажутся лишь немного подозрительными. Единственными четко указывающими на присутствие вложения являются данные для программы OpenStego.
Таким образом, лучшие результаты по устойчивости к атакам показали программы OpenPuff, CenoCipher, Steghide UI, Hide&n&Send, RedJPEG и DarkJPEG. Следовательно, данные программы можно использовать для хранений и передачи дополнительной информации, скрыто от посторонних глаз.
Literature
News of higher educational institutions. Light industry technology. 2016. T. 31. no 1. pp. 28-36