Способ скрытой передачи зашифрованной информации по множеству каналов связи

Способ скрытой передачи зашифрованной информации по множеству каналов связи

Иллюстрации

Показать все

Реферат

Анализ существующего состояния вопроса

В этом разделе рассматриваются наиболее близкие технические решения (аналоги), нацеленные на защиту информации с помощью криптографических и стеганографических способов.

Способы криптографической защиты информации

Изобретение относится к области телекоммуникаций и предназначено для защиты секретной информации от несанкционированного прочтения.

Известен способ шифрования информации, при реализации которого открытый текст делят на несколько блоков данных, последовательно нумеруют полученные блоки данных, шифруют порядковые номера всех блоков данных, результат шифрования суммируют с помощью логической операции Исключающее ИЛИ с соответствующим блоком открытого текста и над полученной суммой выполняют операцию блочного шифрования [18].

Перечисленные в формуле изобретения операции математически описываются так:

где C_i - i-й зашифрованный блок; E_k - операция блочного шифрования на ключе k; M_i - i-й блок открытого текста; ⊕ - логическая операция Исключающее ИЛИ (XOR); - операция шифрования счетчика; С₀ - вектор инициализации (псевдослучайная величина); i - порядковый номер блока; n - размер блока.

При помощи операции формируется псевдослучайный вектор V_i (гамма), величина которого зависит от порядкового номера блока i. Вектор V_i перед шифрованием с помощью операции E_k прибавляется к открытому тексту M_i. Таким образом, результат шифрования будет зависеть не только от открытого текста, алгоритмов шифрования, ключей, но и порядкового номера шифруемого блока.

Расшифровывается криптограмма с помощью соотношения:

где D_k операция дешифрования, обратная операции шифрования E_k.

Изобретение [18] нацелено на создание способа работы с зашифрованной базой данных в реальном масштабе времени. Такой подход позволяет работать индивидуально с каждым блоком данных (осуществлять запись и считывание отдельных блоков независимо друг от друга). При формировании запроса расшифровывается только один блок данных, необходимый для работы, а все остальные блоки данных остаются в памяти ЭВМ зашифрованными.

В патенте [18] решена задача, позволяющая работать с отдельными блоками независимо от остальных блоков базы данных.

В заявляемом техническом решении требуется решение другой задачи: выполнить шифрующее преобразование таким образом, чтобы содержимое каждого зашифрованного блока зависело от содержимого всех имеющихся в криптограмме блоков.

Наиболее близким по сущности к заявляемому изобретению является американский стандарт шифрования DES [17]. Алгоритм DES обрабатывает информацию блоками по 64 бит с использованием ключа длиной 56 бит.

В процессе шифрования с помощью DES выполняются следующие преобразования открытого текста и шифруемых данных.

1. В 64-битном блоке двоичных данных осуществляется начальная перестановка битов в соответствии с таблицей, определяющей порядок перестановок разрядов.

2. Полученный после перестановок битов блок делится на два субблока по 32 бита (субблоки А и В). Над субблоками производится 16 раундов шифрующих преобразований:

A_i=B_i-1;

B_i=A_i-1⊕f(B_i-1, K_i),

где i - номер текущего раунда шифрования; ⊕ - логическая операция Исключающее ИЛИ (XOR, суммирование по модулю два без переноса, неравнозначность); K_i - ключ i-го раунда.

Приведенные выражения математически описывают сеть Фейстеля, которая успешно используется во многих широко известных шифрах (см. фиг.1).

Шифрующее преобразование f(B_i-1,K_i) включает в себя несколько операций:

- расширяющую перестановку, в результате которой 32-разрядный субблок превращается в 48-разрядный блок P_i;

- суммирование (операция XOR) полученного блока с 48-битным ключом данного раунда P_i⊕K_i;

- полученный результат разбивается на 8 частей по 6 бит; каждая 6-битная часть подвергается шифрованию методом замен на 4-битное число в соответствии с фиксированными таблицами замен; в результате формируется 32-битный блок.

3. Полученные в результате 16 раундов шифрования субблоки А₁₆ и В₁₆ объединяются в 64-битный блок, в котором выполняется финальная перестановка бит (разрядов) в соответствии с фиксированной таблицей.

Заметим, что в заявляемом техническом решении в качестве первой шифрующей функции могут использоваться любые алгоритмы, в том числе действующий американский стандарт AES [19], отечественный стандарт [6], шифры RC6, Twofish, IDEA, KASUMI [1] и другие.

Наибольший интерес в контексте заявляемого технического решения представляют собой режимы работы стандарта DES.

Шифр DES имеет четыре режима формирования криптограммы, которые существенно расширяют возможности этого шифра.

1. Электронная кодовая книга ЕСВ (Electronics Code Book).

2. Сцепление блоков шифра СВС (Cipher Block Chaining).

3. Обратная связь по шифртексту СFВ (Chiper Feed Back).

4. Обратная связь по выходу OFB (Output Feed Back).

Режим электронной книги ЕСВ используется для шифрования открытого текста отдельными (не связанными между собой) блоками. Этот режим предназначен для шифрования текста, который не содержит одинаковых фрагментов, например ключей шифрования. При шифровании одинаковых блоков открытого текста блоки криптограммы будут идентичными. Очевидно, что это дает зацепку для криптоаналитиков.

В режиме СВС к зашифрованному блоку прибавляется (по правилу Исключающее ИЛИ) предыдущий зашифрованный блок. В этом случае удается уменьшить вероятность появления одинаковых блоков криптограммы. В этом режиме работы шифра расшифрование части криптограммы возможно, если есть в наличии два соседних блока криптограммы.

Режим CFB используется для формирования псевдослучайной гаммы, которая накладывается с помощью операции Исключающее ИЛИ на открытый текст. Причем при генерировании гаммы используется уже сформированная криптограмма. Отсюда становится понятным название этого режима: Обратная связь по шифртексту, то есть обратная связь используется для формирования гаммы.

В режиме OFB гамма формируется без участия шифртекста и поэтому гамма может быть сформирована заранее (про запас). В одной из разновидностей этого режима при формировании гаммы используется режим Счетчика. Здесь после инициализации одного из регистров шифратора его содержимое просто инкрементируется перед очередным формированием фрагмента гаммы. Таким образом, состав гаммы зависит от порядкового номера раунда (то есть от содержимого счетчика).

Многие идеи, используемые в стандарте DES, принадлежат Хорсту Фейстелю [14], [21].

Способы стеганографического сокрытия информации

Сформированные в процессе второго шифрования блоки должны быть скрытно размещены в стеганографических контейнерах.

Для сокрытия зашифрованной информации могут быть использованы контейнеры различного типа и разнообразные алгоритмы. Большое число алгоритмов сокрытия информации описано в отечественных источниках [4, 7-10]. Значительно большее число идей описано в зарубежных источниках.

Наибольшую популярность получил метод замены наименьшего значащего бита (LSB). Суть этого метода заключается в том, что незначительные изменения цифрового сигнала не обнаруживаются органами чувств человека. Поэтому, заменяя последний бит, можно передавать информацию с помощью графических файлов формата BMP, звуковых файлов формата WAV и т.п.

Внедрение скрываемой информации осуществляют с помощью секретного ключа, затрудняющего несанкционированное извлечение информации. Например, в WAV-файле внедрение ведут не подряд, а через определенное число отсчетов. На фиг.2 показана процедура аналого-цифрового преобразования звукового сигнала. Внедрение секретной информации может вестись, скажем, только в четные отсчеты. Отсчеты могут вычисляться по определенной секретной формуле [9].

В качестве контейнеров могут быть выбраны (использованы) звуковые файлы формата MIDI [12]. Сокрытие информации в них осуществляют за счет незначительного изменения громкости или длительности звучания нот. Такие музыкальные произведения нередко размещают на HTML-страницах.

Известны методы сокрытия информации в текстовых документах путем изменения числа пробелов между словами [9]. Причем эти и другие алгоритмы можно использовать и для скрытой передачи информации в субтитрах видеофильма [11].

Скрытно передать информацию можно путем принудительной вариации длины TCP/IP пакета [13].

Информацию можно незаметно разместить на HTML-странице [4]. Запись скрываемой информации осуществляют с помощью непечатаемых символов (пробел и табуляция).

Скрытно внедрить информацию можно даже в криптограмму.

Способ, предложенный Густавусом Симмонсом (Gustavus Simmons), устанавливает скрытый канал связи на основе криптограмм, внедряя в них дополнительную информацию. Предложенные им методы базируются на изменении способа выбора переменных, используемых в ключе. Рассмотрим метод внедрения в схему цифровой подписи Эль-Гамаля [20]. Генерация ключа выполняется так же, как и в основной схеме подписи Эль-Гамаля.

Сначала выбирается простое число p и два случайных числа g и r, меньших p. Затем вычисляется:

K=g^rmodp

Открытым ключом служат K, g и p. Закрытым (секретным) ключом является r. Помимо передающей стороны значение r известно и на приемной стороне, это число используется не только для подписи безобидного сообщения, но и в качестве ключа для отправки и чтения скрытого сообщения.

Для отправки скрытого сообщения M в составе безобидного сообщения числа М', M и p должны быть взаимно простыми, кроме того, взаимно простыми должны быть значения M и p-1. Передающая сторона вычисляет:

X=g^Mmodp

И решается следующее уравнение для Y (с помощью расширенного алгоритма Евклида):

M'=rX+MYmod(p-1)

Как и в базовой схеме Эль-Гамаля, подписью является пара чисел: Х и Y. Третья сторона (криптоаналитик, злоумышленник) может проверить подпись Эль-Гамаля, убедившись, что:

K^XX^Y≡g^M'(modp)

Приемная сторона может восстановить скрытое сообщение. Сначала убеждается, что:

(g^r)^XX^Y≡g^M'(modp)

Если это так, приемная сторона считает сообщение подлинным (не подделанной третьей стороной). Затем для восстановления M вычисляется:

M=(Y^-1(M'-rX))mod(p-1)

Пример

Пусть p=11, а g=2. Закрытый ключ r выбирается равным 8. Это означает, что открытым ключом, который третья сторона может использовать для проверки подписи, будет:

g^rmodp=2⁸mod11=3

Чтобы отправить скрытое сообщение М=9, используя безобидное сообщение М'=5. Передающая сторона проверяет, что 9 и 11, а также 5 и 11 попарно взаимно простые числа. Также убеждается, что взаимно простые числа 9 и 11-1=10. Это и в самом деле так, поэтому вычисляется:

X=g^Mmodp=2⁹mod11=6

Затем решается следующее уравнение для Y:

5=8·6+9·Ymod10

Y=3, поэтому подписью служит пара чисел 6 и 3 (X и Y). Приемная сторона убеждается, что:

(g^r)^XX^Y≡g^M'(modp)

(2⁸)⁶6³≡2⁵(mod11)

Эти равенства справедливы, поэтому приемная сторона может раскрыть скрытое сообщение, вычисляя:

M=(Y^-1(M'-rX))mod(p-1)=3^-1(5-8·6)mod(11-1)=7(7)mod10=49mod10=9

Достоинством рассмотренного способа внедрения информации в криптограмму является то, что скрытая информация защищена ключом.

Недостатки способа [20].

Данный способ не позволяет разбивать подпись на блоки.

На передаваемые сообщения накладывается ряд ограничений. Это связанно с тем, что необходимо учитывать взаимную простоту скрытно передаваемого сообщения с другими значениями схемы цифровой подписи. Поэтому не в каждое сообщение можно внедрить необходимую информацию. Кроме того, ключ зависит от внедряемой информации.

Естественно, что большое число технических решений по внедрению скрытой информации в различные контейнеры, защищено патентами.

В патенте [15] описан способ скрытой передачи информации в графическом файле. Способ предотвращает искажение (уничтожение) скрытой информации в результате преобразования изображения (обрезка, вращение, корректировка контрастности, яркости, цветности и т.п.). Устойчивость к искажениям достигается тем, что для внедрения находят точки экстремума (сигнатурные точки) и их используют для передачи скрытой информации. Сигнатурные точки не могут быть найдены или удалены без первоначальных знаний об их местоположении.

Определение точек экстремумов осуществляется так называемым методом «Определения разности средних» [15]. При этом определяют разность между средним значением пикселей в малой окрестности и средним значением пикселей в большой окрестности исследуемого участка изображения. Если разность велика по сравнению с разностью для соседних участков изображения (пикселя), то в этом месте имеется локальный максимум или минимум.

Количество локальных экстремумов на изображении может казаться большим и для внедрения информации авторы [15] рекомендуют отобрать часть точек вручную или по случайному закону.

Один бит скрываемых данных внедряется в одну сигнатурную точку изображения, изменяя значения пикселей, окружающих точку. Изображение изменяется путем малой (2…10%) положительной или отрицательной корректировки значения пикселя в определенной сигнатурной точке для представления бинарным нулем или единицей.

Предложенный способ внедрения рекомендован для подписи изображения с целью обозначения авторских прав. Для извлечения внедренной информации на приеме используются оригинальное изображение и контейнер с внедренной информацией.

Способ может быть использован для формирования «водяных знаков». Однако для передачи скрытой текстовой информации он не приемлем из-за имеющихся недостатков. Первый недостаток заключается в малой пропускной способности скрытого канала из-за использования небольшого числа сигнатурных точек. Второй недостаток заключается в отсутствии секретного ключа, который однозначно определяет местоположение внедренных битов в графическом файле. По этой причине целесообразно использовать способы внедрения информации в графические файлы, которые определяют место начала внедрения, порядок внедрения и место окончания внедрения [9].

Сокрытие (внедрение) информации можно осуществить в различные контейнеры, например в звуковые файлы формата MIDI.

Стандартный MIDI-файл не является звуковым файлом с оцифрованным звуком (как, скажем, МР3). MIDI-файл скорее похож на партитуру, которая определяет, какой инструмент должен играть и каковы параметры воспроизводимых звуков. Музыкальная информация кодируется путем формирования управляющих сигналов.

В способе [16] внедрение скрываемой информации осуществляется путем изменения числа тиков (тактов) между двумя соседними событиями. Причем эти события умышленно выбираются такими, чтобы они не влияли на воспроизведение музыки. Недостатком описанного способа внедрения является отсутствие ключа, который затрудняет извлечение информации криптоаналитиками.

Технические результатом заявляемого технического решения является повышение криптостойкости передаваемой информации.

Сущность заявляемого способа скрытой передачи зашифрованной информации по множеству каналов связи состоит в том, что осуществляют обмен между корреспондентами секретными ключами, разбивают открытый текст на блоки, шифруют эти блоки с помощью шифра со сцеплением блоков на ключе k₁, состоящим из элементов е₁е₂е₃…e_n, в результате чего получают криптограмму С₁, состоящую из m блоков, полученные m сцепленных блоков первой криптограммы C₁ повторно шифруют шифром на ключе k₂, в результате второго шифрования получают вторую криптограмму С₂, состоящую из r блоков, в каждый блок второй криптограммы С₂, при шифровании помещают несколько блоков первой криптограммы С₁, скрытно нумеруют все блоки второй криптограммы С₂, в n блоков второй криптограммы С₂ скрытно помещают n элементов ключа k₁, r блоков второй криптограммы С₂ стеганографически скрывают в r контейнерах различного типа с использованием ключа k₃, который определяет тип контейнера и секретные параметры алгоритмов внедрения, r контейнеров пересылают по нескольким каналам связи в соответствии со схемой организации и расписанием связи, которые определяет ключ k₄, на приемной стороне извлекают информацию из стеганографических контейнеров с помощью ключа k₃, осуществляют дешифрацию второй криптограммы С₂ с помощью ключа k₂, в результате дешифрации получают первую криптограмму С₁, при дешифрации из n блоков второй криптограммы С₂ извлекают n элементов ключа k₁ и их порядковые номера, составляют из элементов e₁e₂e₃…e_n ключ k₁, который используют для дешифрации первой криптограммы С₁.

Заявляемый способ может иметь несколько модификаций.

В качестве шифра со сцеплением используют шифр, в котором осуществляется сцепление всех блоков первой криптограммы в следующей последовательности: , указанное шифрующее преобразование выполняют повторно, причем при повторном шифровании блоки криптограммы, полученные после первого шифрования, зеркально переставляют местами, где С₀ - вектор инициализации (псевдослучайный вектор); C_i - очередной блок криптограммы; k₁ - ключ шифрования; M_i - очередной блок открытого текста; - шифрующее преобразование на ключе k₁; ⊕ - логическая операция Исключающее ИЛИ.

В качестве шифра для формирования второй криптограммы С₂ используют адаптивный многоалфавитный шифр с интегральным преобразованием, при реализации которого составляют секретную таблицу многоалфавитной замены, выбирают секретную подынтегральную функцию f(x), секретную информацию в виде ключа k₂ предварительно передают на приемную сторону, в процессе шифрования на передающей стороне каждый символ открытого текста заменяют вещественным числом I из таблицы многоалфавитной замены, генерируют случайное число a таким образом, чтобы обеспечить равномерность гистограммы, которая описывает распределение чисел в формируемой второй криптограмме С₂, вычисляют второе число b с учетом используемой подынтегральной функции f(x), выбранных I и а по формуле b=φ(a, I), которая определяется видом подынтегральной функции, осуществляют сокрытие номера блока криптограммы и одного элемента ключа k₁ путем кодирования двоичной информации за счет изменения положения пределов интегрирования в гистограмме, сформированные числа a и b передают на приемную сторону, на приемной стороне принятые числа a и b используют для вычисления интеграла , с помощью рассчитанного числа I по таблице многоалфавитной замены определяют символ открытого текста, анализируют последовательность размещения чисел а и b в гистограмме и извлекают скрытую информацию.

При организации связи между корреспондентами используют S=S_c+S_m доступных каналов связи, причем в текущем сеансе связи с помощью ключа k₄ выделяют не все, а только часть доступных каналов связи S_c, по всем доступным каналам связи S=S_c+S_m непрерывно передают камуфлирующие сигналы, а передачу сигналов, несущих полезную информацию, осуществляют в псевдослучайные моменты времени.

Передающая и приемная стороны предварительно обмениваются ключами K(k₂, k₃, k₄), которые определяют секретные параметры второго шифра Е², тип контейнеров и параметры алгоритмов внедрения информации в стего контейнеры, схему организации связи и расписание передачи информации, а ключ k₁ генерируют на лету только на передающей стороне в момент формирования блоков первой криптограммы С₁ и на приемную сторону предварительно не передают, а скрытно размещают элементы ключа k₁ в нескольких блоках второй криптограммы С₂.

Шифрование блоков первой криптограммы С₁ на передающей стороне ведут на ключе k₁, для определения которого многократно вычисляют хэш-функцию от элементов e₁e₂e₃…e_n, на приемной стороне с помощью элементов e₁e₂e₃…e_n многократно вычисляют хэш-функцию, значение которой используют в качестве ключа k₁ для расшифрования первой криптограммы С₁.

Осуществление изобретения

При описании реализации изобретения использована такая структура описания: изложена основная идея, дано подробное описание операций, выполняемых на передающей и приемной сторонах, а детали реализации приведены в Приложениях 1 и 2.

Основная идея

Способ защиты информации сводится к каскадному шифрованию данных с помощью двух шифров: блочного шифра со сцеплением данных и адаптивного многоалфавитного шифра с интегральным преобразованием. Термин «сцепление блоков» используется в американском стандарте DES (режим СВС - Cipher Block Chaining) [17]. Полученные в результате шифрования блоки скрываются в стего контейнерах, которые передаются на приемную сторону по множеству каналов связи в псевдослучайном порядке и в псевдослучайные моменты времени.

Передающая и приемная стороны предварительно обмениваются ключами K(k₂, k₃, k₄), а ключ k₁ формируют только на передающей стороне и на приемную сторону предварительно не передают. Ключ k₁ скрытно передается в нескольких блоках криптограммы.

Рассмотрим принципы обработки информации с помощью заявляемого способа на передающей и принимающей сторонах.

Передающая сторона

На передающей стороне открытый текст M шифруют с помощью ключа k₁. Ключ k₁ состоит из множества элементов e₁e₂e₃…e_n. В результате шифрования формируют криптограмму . При шифровании используют некоторый блочный шифр (например, DES) со сцеплением E¹ с ключом k₁. В результате зашифрования формируется m сцепленных (связанных между собой) блоков.

Ключ k₁ на приемной стороне априори неизвестен, его заранее не передают. Корреспонденты предварительно не обмениваются элементами этого ключа. Ключ k₁ сеансовый и он меняется непрерывно, не повторяясь ни в одном сеансе связи. Ключ не хранят, а генерируют (аппаратно или программно) в момент шифрования сообщения, то есть создают в момент формирования криптограммы С₁ (на лету).

Описание одной из множества возможных реализаций шифра E¹ приведено в Приложении 1. Текст программы умышленно сделан упрощенным, подробным и прозрачным. Это позволяет рассмотреть все детали преобразований.

Криптограмму С₁ повторно шифруют с помощью второго шифра Е², используя второй ключ k₂: . Реализация одной из возможных реализаций алгоритма Е² описана в Приложении 2.

Ключ k₂ известен как на передающей, так и на приемной стороне. В процессе формирования криптограммы С₂ она разбивается на r блоков. Заметим, что это совсем другие блоки по сравнению с блоками, сформированными в процессе первого шифрования Е¹. Размеры (объем, вместительность, длина) блоков второй криптограммы С₂ больше размеров блоков первой криптограммы С₁. Во время второго шифрования несколько блоков первой криптограммы попадают в один блок второй криптограммы. Число блоков первой криптограммы, уместившихся в одном блоке второй криптограммы, не является целым числом, то есть числа m и r не кратны друг другу (см. фиг.3). По этой причине некоторые блоки криптограммы С₁ могут размещаться в разных блоках криптограммы С₂.

Итак, в результате второго шифрования получают r блоков криптограммы С₂, причем число блоков во второй криптограмме r≥n. Другими словами: число раздельно передаваемых блоков r криптограммы С₂ формируют не меньше числа элементов (составных частей, символов), из которых состоит ключ k₁. Блоки криптограммы С₂ в процессе шифрования последовательно нумеруют. В результате второго шифрования на ключе k₂ формируется криптограмма С₂, состоящая из r блоков.

Комментарии к фиг.3.

Блоки b₁₁, b₁₂, …,b_1m криптограммы С₁ размещаются в блоках b₂₁, b₂₂, …,b_2r криптограммы С₂. Причем в блоке b₂₁ размещаются блоки b₁₁, b₁₂ и часть блока b₁₃. В блоке b₂₁ скрытно указывается порядковый номер этого блока. В данном случае это число 1. В блоке b_2r размещаются блоки b_m-1, b_m и скрытно указывается число r, которое определяет порядковый номер этого блока. Элементы ключа k₁ e₁e₂e₃…e_n скрытно размещаются в блоках криптограммы C₂: b₂₁, b₂₂, …,b_2n (n≤r). При этом порядковые номера элементов ключа k₁ и порядковые номера блоков криптограммы С₂ совпадают.

Таким образом, в блоках криптограммы С₂ размещаются блоки криптограммы С₁, порядковые номера блоков С₂ и элементы ключа k₁. Заметим, что скрытые порядковые номера содержатся во всех блоках криптограммы С₂, а элементы ключа k₁ - только в части блоков криптограммы С₂.

В процессе второго шифрования с использованием ключа k₂ элементы e₁e₂e₃…e_n первого ключа k₁ внедряют (скрывают) в n блоках криптограммы С₂, причем скрытые номера блоков криптограммы С₂ совпадают с порядковыми номерами элементов e₁e₂e₃…e_n первого ключа k₁. Другими словами: первый элемент e₁ ключа k₁ скрывают в первом блоке криптограммы С₂, элемент е₂ скрывают во втором блоке криптограммы С₂, элемент е_i ключа k₁ скрывают в i-м блоке криптограммы С₂, а элемент n ключа k₁ скрывают в n-м блоке криптограммы С₂. За счет этого по известному номеру блока криптограммы С₂ на приеме можно определить положение элемента e_i в ключе k₁.

Общими словами предыдущий абзац можно сформулировать так. Сокрытие элементов ключа k₁ ведут таким образом, чтобы по порядковому номеру блока криптограммы b_2i на приеме можно было определить положение элемента e_i в ключе k₁.

Далее каждый блок криптограммы С₂ скрывают в отдельном контейнере. В качестве контейнеров используют файлы различного формата (текстовые, графические, звуковые, видео, HTML-страницы, субтитры, коды программ и т.д.). В результате такого стеганографического сокрытия получают r стего контейнеров, в которых внедрены (скрыты) r блоков криптограммы С₂. Внедрение блоков криптограммы С₂ в стего контейнеры производят на ключе k₃, который определяет типы используемых контейнеров (текстовый, графический, звуковой…) и особенности (параметры) каждого из r алгоритмов стеганографического внедрения.

Число и вид используемых каналов связи определяет секретный ключ k₄, который известен как на передающей, так и на приемной стороне.

Стего контейнеры в хаотичном (псевдослучайном) порядке отправляют (передают) на приемную сторону по S_c (нескольким) каналам связи и в псевдослучайные моменты времени. Во время такой передачи фактически происходит дополнительная перестановка блоков криптограммы С₂ (по крайней мере, во времени). При этом передача информационных блоков по каналам связи перемежается передачей маскирующих (камуфлирующих, дезинформирующих) блоков информации. Передача ведется в соответствии с ключом k₄.

Схема связи между корреспондентами А и В показана на фиг.4.

Комментарии к фиг.4.

В сети имеется передающая сторона А и принимающая сторона В. В их распоряжении имеется S=S_c+S_m каналов связи. В текущем сеансе связи используются не все доступные каналы S, а только их часть S_c. Остальные каналы S_m имитируют активность (передают шум, дезинформацию). Камуфлирующие сообщения должны передаваться не только по каналам S_m, но и по каналам S_c.

Корреспондент А может передавать блоки криптограммы С₂ (точнее контейнеры стеганограммы) по телекоммуникационным каналам различного вида. Например, каналы g и h позволяют вести прямую (непосредственную) связь корреспондентов между собой. Такие каналы можно создать с помощью радиостанций или проложенных напрямую линий связи (проводных, кабельных, оптоволоконных, радиорелейных).

Для связи могут быть использованы локальные и глобальные сети. Так по каналу a абонент А может отправить электронное письмо на почтовый сервер 1. Абонент B по каналу b имеет возможность скачать это письмо. Для маскировки электронные письма могут передаваться с пересылкой (форвардингом). Письмо с почтового сервера 4 будет автоматически переправлено на почтовый сервер 5, к которому имеется доступ у абонента В.

Каналы c и d позволяют обмениваться информацией, например, через файл-сервер или сервер мессенджеров (типа ICQ). Каналы g и f могут передавать сообщения с помощью чата, установленного на сервере 3.

Очевидно, что приведенный граф не описывает всех возможных вариантов организации связи (например, передачу информации по проводной телефонной линии или с помощью беспроводной мобильной телефонной сети, Wi-Fi и т.д.).

Таким образом, обмен информацией между корреспондентами ведется по множеству телекоммуникационных каналов S, из которых в соответствии с ключом k₄ в данном сеансе используется только S_c каналов. Передача информации между корреспондентами ведется по расписанию, которое определяется ключом k₄.

Рассматриваемый способ усложняет процедуру перехвата сообщений. Так криптоаналитикам приходится учитывать, что на 232 миллионах сайтах в определенный момент времени могут быть размещены мультимедиа контейнеры со стеганографическими вложениями. Специализированные программы сканируют ранее неучтенные домены в Интернете со скоростью 2500 страниц в час. Таким образом, использование для передачи информации нескольких Web-страниц снижает вероятность перехвата сообщения.

Приемная сторона

На приемной стороне из каждого принятого стего контейнера извлекается один блок криптограммы С₂. При извлечении криптограммы из стего контейнера используется ключ k₃. Блоки криптограммы С₂ независимо друг от друга (по отдельности) расшифровывают с помощью ключа k₂: . Алгоритм расшифрования D² является обратным по отношению к алгоритму шифрования Е².

В процессе расшифрования r блоков криптограммы С₂ восстанавливают m блоков криптограммы С₁, извлекают элементы ключа k₁, определяют номера блоков криптограммы С₂, а значит, и порядок (последовательность) размещения n элементов е₁е₂е₃…e_n в ключе k₁. При этом порядковые номера блоков криптограммы С₂ определяют порядок размещения блоков криптограммы C₁.

После приема и извлечения всех блоков криптограммы С₁, определения порядковых номеров блоков, размещения блоков по своим местам и восстановления принятого ключа k₁ осуществляют расшифрование криптограммы С₁ и извлечение открытого текста: .

Детальное описание алгоритмов зашифрования и расшифрования E ¹ и D ¹

В качестве алгоритма формирования первой криптограммы Е¹ можно использовать большое число различных блочных шифров, различающихся между собой криптостойкостью, скоростью шифрования, устойчивостью к атакам разного вида, наличием слабых ключей и т.п. [1].

Однако самым ценным свойством блочного алгоритма в данном случае является невозможность (точнее, вычислительная сложность) дешифрации криптограммы при отсутствии хотя бы одного блока криптограммы С₁. Эта устойчивость к расшифрованию должна сохраняться даже при известном (скомпрометированном) ключе k₁, на котором производилось зашифрование криптограммы.

Алгоритм DES

В качестве алгоритма может быть использован блочный шифр со сцеплением блоков, описанный в прежнем американском стандарте DES [17]. Это позволяет при отсутствии одного блока криптограммы С₁ на приемной стороне предотвратить дешифрацию сцепленного с ним блока криптограммы (вычислительно сложно дешифрировать еще один блок криптограммы).

Алгоритм сцепления блоков в режиме СВС описывается выражением:

C_i=E_k(M_i⊕C_i-1).

Перед шифрованием каждого блока выполняется его побитное сложение по правилу Исключающее ИЛИ с результатом шифрования предыдущего блока.

При шифровании первого блока криптограммы используется вектор инициализации С₀:

C₁=E_k(M₁⊕C₀).

Такой алгоритм не решает поставленной задачи, так как отсутствие нескольких блоков затрудняет дешифрацию только соседних блоков, а не всей криптограммы в целом.

В дальнейшем будут рассмотрены алгоритмы (режимы шифрования), которые условно названы HALF и FULL.

Алгоритм HALF

Частично устранить этот недостаток позволяет следующий алгоритм, в котором идет сцепление всех ранее сформированных блоков:

C_i=E_k(M_i⊕C₀⊕C₁⊕…⊕C_i-2⊕C_i-1),

причем первый блок шифруется в соответствии с выражением:

C₁=E_k(M₁⊕C₀).

Здесь С₀ - вектор инициализации (псевдослучайный вектор).

Этот алгоритм может предотвратить дешифрацию всей криптограммы, если отсутствует первый блок криптограммы. Если же потерян (не перехвачен криптоаналитиками) блок из середины криптограммы, то невозможна дешифрация всех блоков, сформированных позднее потерянного блока (правые блоки, с большими индексами). Дешифрация блоков, сформированных раньше потерянного блока (левые блоки, с меньшими индексами), происходит стандартно и без искажений. При потере первого блока криптограммы невозможна дешифрация всех блоков. При потере последнего блока невозможна дешифрация только потерянного (не перехваченного) блока. Детальное описание этого алгоритма приведено в Приложении 1 (программа составлена в математической системе Mathcad).

Полностью исключить возможность дешифрации криптограммы С₁ при отсутствии хотя бы одного блока криптограммы позволяет следующий алгоритм.

Алгоритм FULL

Основная идея работы этого алгоритма состоит в следующем.

Первый раунд шифрования осуществляется в соответствии с алгоритмом HALF. Полученные блоки криптограммы зеркально меняются местами (первый - последний, второй - предпоследний т.д.).

P₁=C_m, P₂=C_m-1, …,P_m-1=C₂, P_m=C₁.

Следующие рисунки (фиг.5 и фиг.6) иллюстрируют эти два раунда шифрования.

Новая последовательность блоков повторно шифруется по алгоритму HALF (второй раунд).

Z_i=E_k(P_i⊕Z₀⊕Z₁⊕…⊕Z_i-2⊕Z_i-1).

Как видно из приведенных формул, и в первом и во втором раундах шифрования указана одна и та же шифрующая операция E_k.

Здесь нужно принять к сведению следующие соображения. В качестве шифрующего преобразования E_k может быть использован любой известный (подходящий) алгоритм шифрования (шифр) [1]. С помощью этого шифра зашифрование может выполняться дважды: в первом и втором раунде.

Однако возможны варианты в реализации шифрующего преобразования первого и второго раундов. В каждом раунде можно использовать разные алгоритмы шифрования. Например, в простейшем случае в первом раунде можно осуществить только перестановку столбцов в матрице (блоке), а во втором - циклический сдвиг строк.

Достоинства заявляемого способа

Заявляемый способ защиты передаваемой информаци