Blog

Szteganográfia - eszköz a privátszféra védelmében?

2008.05.05. 13:18:07, Gulyás Gábor

A kriptográfia célja - igen röviden -, hogy a közölt információk módosítás nélkül, esetleg továbbra is bizalmasan érjenek célba. A szteganográfia célja viszont, hogy maga az információközlés ténye rejtett maradjon, függetlenül attól, hogy védjük-e azt valamilyen technikával. E mellett persze védhetjük kriptográfiai módszerekkel a küldött információt, ha biztosra szeretnénk menni. Számtalan példát találhatunk a történelem során a szteganográfia alkalmazására, de ma, az informatika korában ezen lehetőségek száma igen csak megnövekedett.

Az ókori egyiptomban is alkalmazták a szteganográfiát a küldött üzenetek bizalmasságának megőrzéséhez: leborotválták a hírvivő szolga haját, majd felírták a fejbőrére az üzenetet. Amikor kinőtt újra a hírvivő haja, útnak eresztették, és esetleg egy papirusz tekercset is adtak neki, amelyen egy hamis üzenet szerepelt; így is megtévesztve az ellenséget.

A történelem folyamán számos további példát találhatunk a szteganográfia alkalmazására, de manapság a szteganográfia alkalmazásának egyszerűsége a könnyen hozzáférhető, redundáns médiumokból fakad. E célra ugyanis bármely olyan közeg felhasználható, amely hibatűrés, vagy egyéb okok miatt redundanciát tartalmaz, vagy amely képi vagy hangos tartalommal rendelkezik és az emberi érzékszervek tehetetlensége miatt lehetséges néhány bitnyi plusz információ eltárolása.

Gyakori példa erre a képek pontjait módosító módszerek, melyek a különböző színkomponensek utolsó bitjeit használják fel, így képpontonként 3-4 bit információt eltárolva (attól függően, hogy a piros-zöld-kék komponensek mellett van-e áttetőszéges szabályozó csatorna). Az is egy lehetőség, hogy egy képből egy sort, vagy oszlopot levágva azt információ tárolására használjuk fel, hiszen jó eséllyel senkinek nem fog feltűnni, ha egy pár ezer soros képből eltűnik egy. Az üzenetek képekben való elrejtésére remek példát találhatunk a Mozaic oldalán.


Az előbbi PET Portál logóban elrejtettünk egy feladványt, a megfejtést a hozzászólások között várjuk! Az üzenetet itt lehet kikódolni. (Egy másik, hasonló oldalt kipróbálhatunk itt, amely más algoritmussal dolgozik, így nem kompatibilis a Mozaic megoldásával.)

Azonban attól függően, hogy milyen kép formátumot használunk, más lehetőségekkel is számolhatunk. Például, a 256 színű BMP formátumú palettájában az RGB színek mellett van egy 8 bites áttetszőséget szabályozó komponens is, amelyet tetszés szerint módosíthatunk anélkül, hogy a kép láthatóan módosulna. Így 256 bájt információ tárolására ad lehetőséget egy ilyen kép.


Ebben a logóban is elrejtettünk egy újabb a feladványt - a rejtvény kikódolásához mellékelünk egy aprócska programot, amelyet innen lehet letölteni (a forráskódot is mellékeltük).

Azonban nem csak képekben nyílik lehetőségünk ilyen jellegű, egyszeri üzenetküldésre, hanem más formátumokban is könnyen felfedezhetőek a redundancia nyújtotta lehetőségek. Például a HTML kód címkéiben a kis- és nagybetű közötti különbségeket kihasználva karakterenként 1 bit információt rejthetünk el, amelyet egy weboldalra helyezve máris közzé tehetjük az üzenetet

A spammimic ennél is tovább megy: egy SPAM üzenetbe rejtjelezi megadott közleményünket. Így még az is lehetséges, hogy a címzett sem fogja észlelni, hogy üzenni próbálunk neki, hiszen vagy meg sem érkezik hozzá, vagy törli üzenetünket.

Hogyan lehetne előnyös a privátszféra védelmében a szteganográfiai módszerek használata? A szteganográfia tulajdonságai nem kedveznek ennek: az egyes technikák a tömeges elterjedése éppen ellentétes a szteganográfia alapelvével, valamint mivel ezek a módszerek egyszeri üzenetküldésre alkalmasak, így csak néhány alkalmazásban nyílhat lehetőségünk alkalmazásukra.

A privátszféra védelemben talán a legkézenfekvőbb használatuk bizalmas információk ideiglenes tárolása lehet. Így alkalmasak például a jelszavas cetlik felváltása: egy USB meghajtón úgy tároljuk jelszavainkat, hogy a tárolás jelenléte se legyen triviálisan felfedhető. Azonban a közeljövőben be szeretnénk mutatni egy erre kíválóan alkalmas programot, így a szteganográfia marad a hozzáértő felhasználók eszköztárában, de az alkalmazási ötleteket (és a korábbi feladványok megfejtését) szívesen várjuk a hozzászólások között!

Hozzászólások

Összesen 9 hozzászólás látható.

2009.08.25.

Dr. Unicsovics György [ e-mail ] 2009.08.25. 15:02:01
Tisztelt Gulyás Gábor!

Köszönöm megtisztelő válaszát. Mint említettem a szteganográfiával, annak a védelmi szférában történő alkalmazhatóságával hosszasan foglalkoztam, foglalkozom jelenleg is, de elsősorban annak védelmi oldala, azaz a szteganalízis köti le gondolataimat. Elgondolkodtató, hogy kidolgozható e bármely védelmi folyamat akkor, ha nem ismerjük ellenfeleink eszköztárát, esetlegesen nem vagyunk tisztában az alkalmazható eljárásokkal, azok gyenge és erős oldalaival. A szteganográfia generációinak meghatározása világosan végigvezeti az embert, hogy miként jutottunk el a kor egy igen eredményesen felhasználható fegyveréhez, mely a kommunikáció tényének fenntartása mellett elrejti valós mondandónkat az illetéktelen szemek elől. Azonban nem szabad megfeledkeznünk arról, hogy legyen egy szteganográfiai program bármely fejlettségi fokon, annak felhasználása minden(?) esetben hagy valamilyen nyomot a hordozó médiában, melynek felismerése (megtalálása) az alfája - omegája a sikeres igazságügyi tevékenységnek. Földes Ádám diplomadolgozatának hivatkozásai között felfedeztem saját magam is, de természetesen Ő is elsősorban külföldi szerzők műveiből vett át gondolatokat, melyet az az elszomorító tény okoz, hogy itthon gyakorlatilag nincs irodalma ennek a témának. Talán A Verlag Dashöfer Szakkiadónál megjelent két általam írt aktualizáláson kívül nem is találkoztam csak Szteganográfiával, illetve annak analízisével foglalkozó írással. Egyetemisták, akik résztvettek az általam tartott HTE előadásokon szintén foglalkoztak a témával, vettek át gondolatokat.
Továbbra is áll a javaslatom, miszerint szívesen veszem, venném ezen témában az együttműködést.


Üdvözlettel:

U.Gy.

2009.08.24.

Gulyás Gábor 2009.08.24. 19:00:01
Tisztelt Unicsovics György,

Köszönöm a megtisztelő érdeklődését. A PET Portál portfóliójának csak egy részét teszi ki a szteganográfia, és első sorban a privátszférát érintő alkalmazásaival foglalkozunk a Portálon. Azért ennek ellenére relatíve sűrűn kerül elő a téma, hiszen nem rég felkerült egy témába vágó diplomadolgozat, illetve év elején indítottunk egy ilyen témájú játékot is.

Még hivatalosan nem jelentettük be, de azt hiszem egy kis előzetes nem árthat: most dolgozunk Földes Ádám kollégámmal a Szteganográfiai játék második fordulóján, amit szeptember közepén, illetve októberben szeretnénk útjára indítani. (Mi is szeretnénk, ha szteganográfia ismertebb lenne informatikus és érdeklődők körében egyaránt - ezért is örülünk a színvonalas hozzászólásoknak.) Ilyen jellegű kezdeményezések remek lehetőséget nyújthatnak az esetleges együttműködésre, de a PET témakört érintő színvonalas publikációkat is örömmel vesszük, legyen szó akár blog bejegyzésről, vagy tanulmányokról.

(Egyébként bár a szteganográfia nem esik kívül a szakmai érdeklődésemen (ahogy ez a Portálról ki is derül), de a kutatásaim középpontjában a PET technológiák állnak; így leginkább a Portál keretein belül, illetve néha konzultáció alkalmából foglalkozom a témával.)
Üdv,

Gulyás Gábor
Dr. Unicsovics György [ e-mail ] 2009.08.24. 13:37:18
Tisztelt Gulyás Gábor!

A magam részéről örömmel konstatáltam a szteganográfiával kapcsolatos érdeklődését, reméltem, hogy végre elindul egy olyan folyamat, melyet ennek az igen érdekes témának aújabb reneszánszaként élhetünk meg. Sajnálom viszont, hogy összesen 6 bejegyzés került a blogba, azok is Somogyi Tamás (aki mellesleg rengeteg segítséget nyújtott nekem is ezen témában) és az Ön értekezéseit foglalják magukba.

A témával, annak is a védelmi szférára eső részével sokáig és behatóan foglakoztam, foglalkozom a mai napig is, így azt gondolom, hogy feltétlenül érdekes lehetne a témával kapcsolatos széles körben történő publikációk nyílvánosságra hozása. Amennyiben ezen érdeklődési köre továbbra is napirenden van szívesen veszem együttműködését.

Üdvözlettel:

U.Gy.

2008.05.14.

somogyit 2008.05.14. 22:35:10
Gulyás Gábor:
Erre jó megoldás lehet az említett, amikor az információ kinyeréséhez szükségünk van az eredeti médiumra, de továbbra is kérdés, hogy e nélkül meg lehet-e állapítani, hogy az adott médiumban van-e többletinformáció. Ha igen, ez a szteganográfiai módszer nem alkalmas tömeges használatra.



Nos igen, itt lép a képbe a szteganalízis, vagyis annak a kérdése, hogy egy média hordoz-e rejtett adatot, vagy nem?
A hordozómédiától és a rejtési algoritumstól függ az, hogy észlelni lehet-e a rejtett adatok jelenlétét, vagy sem (nyilván feltételezve, hogy az eredeti média nem áll rendelkezésünkre).

Kérdés azonban, hogy mi a célunk? Az adatot akarjuk-e jobban védeni, vagy magát az adat létét?
Bizonyos esetekben az is elegendő lehet, ha az elrejtett adatot nem tudja illetéktelen elolvasni, még ha meg is találja nyomát az adatrejtésnek.
Gulyás Gábor 2008.05.14. 13:16:18
Nem úgy értem, hogy maga a szteganográfia elterjedésével van a probléma, hanem azzal, ha egy algoritmus elterjed -- hiszen ekkor lehetőség van automatizált felismerést végző szoftver készítésére.

Azonban igaz, hogy ha a kriptográfia elterjedéséhez hasonlóan, a Kerchoffs féle elvnek megfelelően tudjuk használni a szteganográfiát, akkor ez nem jelent gondot. Magyarul ha a szteganográfia által nyújtott bizalmasság nem az algoritmus ismeretén, hanem egy kulcson múlik; avagy anélkül nem tudjuk megmondani, hogy az adott médium hordoz-e valamely más többletinformációt, vagy sem.

Erre jó megoldás lehet az említett, amikor az információ kinyeréséhez szükségünk van az eredeti médiumra, de továbbra is kérdés, hogy e nélkül meg lehet-e állapítani, hogy az adott médiumban van-e többletinformáció. Ha igen, ez a szteganográfiai módszer nem alkalmas tömeges használatra.

2008.05.13.

somogyit 2008.05.13. 22:11:07
Gulyás Gábor:
Ahogy egy adott technika elterjed tömegesen, folyamatosan csökken a hasznossága, hiszen minél többen használják és ismerik, annál kevésbé lesz rejtett az információ jelenléte. A szteganográfiában éppen azok az algoritmusok előnyösek szerintem, amelyeket még kevesen ismernek és egyediek; így nehezebb visszafejteni is őket. Egy olyan algoritmusnál, ahol a detekció feltétele kulcshoz kötött, előnyösebb a helyzet -- az említett F5 algoritmus is ilyen? Ha nem, létezik ilyen?

Nem tudom maradéktalanul osztani azt az álláspontot, hogy a szteganográfia terjedésével csökken a hasznossága.
Ellenpéldaként továbbra is említhető a kriptográfia, ahol az algoritmusok ismertek.
Szteganográfiára visszatérve, a már említett F5 algoritmus hiába ismert, kiolvasni az elrejtett üzenetet nem lehet a jelszó (kulcs) nélkül.
Léteznek továbbá olyan rejtési algoritmusok is, amelyeknél az elrejtett adat kiolvasásához az eredeti médiára is szükség van. Azaz a kiolvasáshoz az adatot rejtő hordozómédia és az eredeti, rejtés előtt média is szükséges.

A szteganográfia szerintem akár folyamatos kommunikációra is alkalmas lehet - bár nem életszerű a civil szférában.

Abban viszont teljes az egyetértés közöttünk - ha jól értem -, hogy a szteganográfia alkalmazásával tökéletesen biztosíthatjuk adataink védelmét (például jelszavainkat tárolhatjuk).

2008.05.12.

Gulyás Gábor 2008.05.12. 12:32:55
Köszönöm az értékes hozzászólást
A tömeges elterjedést nem egészen értem. Talán a szerző arra gondolt, hogy a szteganográfiai technikák terjednek el tömegesen (ami egyszerre örvendetes és veszélyes is) - de ez miért is kedvezőtlen az adatrejtés használatára nézve? Ellenpélda: a kriptográfia sokkal elterjedtebb, mégis az egész világ használja.

Ahogy egy adott technika elterjed tömegesen, folyamatosan csökken a hasznossága, hiszen minél többen használják és ismerik, annál kevésbé lesz rejtett az információ jelenléte. A szteganográfiában éppen azok az algoritmusok előnyösek szerintem, amelyeket még kevesen ismernek és egyediek; így nehezebb visszafejteni is őket. Egy olyan algoritmusnál, ahol a detekció feltétele kulcshoz kötött, előnyösebb a helyzet -- az említett F5 algoritmus is ilyen? Ha nem, létezik ilyen?
Egyszeri üzenetküldésre alkalmas módszerek - ez szerintem pontosításra, kis kiegészítésre szorul. Adatrejtés alkalmazásával ugyanis nem csak egyszeri üzenetküldésre nyílik lehetőség.

Protokollok futtatására alkalmatlan, mint mondjuk egy kriptográfiai protokoll, hiszen a médiumok folyamatos cseréje feltűnő lehet. Persze ha például videó, vagy audió stream-ekbe kódolunk, úgy erre is alkalmas lehet.

De egyébként inkább kevésbé gyakori, ritka üzenetváltásokra, alkalmankénti kódolásokra lehetnek alkalmasak ezek a módszerek.
Talán kevésbé érdekes adatvédelmi szempontból, de ha már az üzenetváltást hoztuk fel példaként, akkor érdemes lehet megemlíteni azt is, hogy az elrejtett adat egyben azonosításra, hitelesítésre is szolgálhat.

Valóban, érdembeli kiegészítés

2008.05.11.

somogyit 2008.05.11. 10:56:08
Nagyon örülök ennek a cikknek, mert végre bemutatja a szteganográfiát, melyet szerintem méltánytalanul elhanyagolunk a kriptográfia mellett.

A következő bekezdéshez szeretnék megjegyzést tenni.
"Hogyan lehetne előnyös a privátszféra védelmében a szteganográfiai módszerek használata? A szteganográfia tulajdonságai nem kedveznek ennek: az egyes technikák a tömeges elterjedése éppen ellentétes a szteganográfia alapelvével, valamint mivel ezek a módszerek egyszeri üzenetküldésre alkalmasak, így csak néhány alkalmazásban nyílhat lehetőségünk alkalmazásukra."

A tömeges elterjedést nem egészen értem. Talán a szerző arra gondolt, hogy a szteganográfiai technikák terjednek el tömegesen (ami egyszerre örvendetes és veszélyes is) - de ez miért is kedvezőtlen az adatrejtés használatára nézve? Ellenpélda: a kriptográfia sokkal elterjedtebb, mégis az egész világ használja.

Egyszeri üzenetküldésre alkalmas módszerek - ez szerintem pontosításra, kis kiegészítésre szorul. Adatrejtés alkalmazásával ugyanis nem csak egyszeri üzenetküldésre nyílik lehetőség.
Egyfelől az adatrejtés és a titkosítás használható egyszerre is, hiszen a szteganográfia és a kriptográfia két, egymást ki nem záró testvértudomány.
Másfelől léteznek olyan rejtési módszerek is, amelyek biztonságossá teszik az elrejtett adatot. Ilyen például a JPEG képekbe adatot rejtő F5 algoritmus is: az elrejtett adat kiolvasásához egy jelszó is szükséges. (A jelszó segítségével határozza meg a képnek az adatot rejtő részeit.)

A szteganográfia felhasználása véleményem szerint megfelelően tudja hosszú távon elrejteni az illetéktelen szemek elől jelszavainkat, jegyzeteinket, üzenetváltásainkat.

Talán kevésbé érdekes adatvédelmi szempontból, de ha már az üzenetváltást hoztuk fel példaként, akkor érdemes lehet megemlíteni azt is, hogy az elrejtett adat egyben azonosításra, hitelesítésre is szolgálhat.

2008.05.09.

Gulyás Gábor 2008.05.09. 09:38:56
Egy érdekes elképzelést hallottam valakitől nem rég: szteganográfiai meghajtó címszó alatt, amely szerint kép, vagy más multimédiás tartalom megadása után arra egy virtuális meghajtót lehetne üzemeltetni. Megfelelő kriptográfiai megoldásokkal kiegészítve egész hatékony privát meghajtót lehetne így létrehozni.

Egy kis kiegészítés a bejegyzéshez is: letölthető szteganográfiai programok (például mp3, vagy pdf kiterjesztésű fájlokhoz is).

A hozzászóláshoz be kell jelentkezni!

© PET Portál és Blog, 2008-2010 | Impresszum | Adatvédelmi nyilatkozat