УДК 004.056.2 ПРИМЕНЕНИЕ ИМИТОВСТАВКИ В МЕТОДАХ СКРЫТОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ НА БАЗЕ ВРЕМЕННЫХ КАНАЛОВ Шипулин П. М., научный руководитель канд. техн. наук Шниперов А. Н. Сибирский федеральный университет Временная сетевая стеганосистема В данной работе речь пойдёт о частном случае сетевой стеганографии и временных скрытых каналах, где процесс встраивания информации во внутрь контейнера основывается на разности времени передачи (временные промежутки специальным образом модулируются информационным сигналом). В иностранной литературе укрепился термин Covert Timing Channel (CTC), обозначающий временные скрытые каналы [1]. Рисунок 1 – Модель временной стеганографической системы Не будем вдаваться в детали практической реализации временных стеганосистем, нам будет достаточно общего представления о принципе передачи секретной информации таким способом. Рассмотрим частный случай временной сетевой стеганосистемы, где контейнером являются задержки между сетевыми пакетами. На рисунке 1 представлен принцип встраивания информации в стеганоконтейнер: большая задержка при декодировании становится единицей, меньшая -- нулём. Например, «1» – 1 секунда, а «0» – 0.5 секунды. Получается стеганоконтейнер для передачи двоичной информации. Внешне передача скрытого сообщения будет не столь очевидна по причине наличия естественных случайных задержек в каналах передачи данных. Статистические атаки Однако, при тестировании стеганосистемы, основанной на вышеописанном принципе, было выявлено, что такая стеганосистема уязвима к статистическим атакам. Стоит уточнить, что провал стеганосистемы – это не точная дешифровка сообщения, как в криптографии, а даже само обнаружение факта передачи сообщения. Используя данный класс атак, стеганоаналитик собирает статистику о характеристиках конкретного стеганоконтейнера и сравнивает их с характеристиками естественного контейнера: если они похожи, то скрытой передачи нет, иначе – существует вероятность скрытого сообщения. Этот класс атак не даёт однозначного ответа: есть скрытый канал или нет, то есть является вероятностным. Но стойкость стеганосистемы обратно пропорциональна подозрениями на её счёт, поэтому необходимо учитывать возможность подобных атак на скрытый канал. Демонстрация эффективности атаки Рисунок 2 – Использование постоянной временной добавки Проведем тестирование стеганосистемы, которая будет корректировать естественные задержки очень простым образом: если необходимо передать единичный бит, стеганосистема прибавляет к естественной задержке некоторую временную константу, если же надо передать нулевой бит – дополнительная задержка не прибавляется. Запишем все полученные задержки и построим гистограмму. Рисунок 2 демонстрирует одно из слабейших мест всех стеганосистем: несовершенство человеческих органов чувств позволяют сделать незаметным передачу сообщения по скрытому каналу, но для эксперта, опирающегося на технические средства, факт передачи становится очевиден. Чтобы заподозрить что-то необычное в группировке значений вокруг двух точек, нет надобности даже быть экспертом. Конечно, интервал разнесения можно уменьшить, но проблема не уйдёт: человеку будет ещё сложнее заподозрить нечто странное, но для техники эта задача останется тривиальной. Применение имитовставки в скрытом канале передачи В качестве метода борьбы с данным классом атак предлагается приблизить распределение задержек в контейнере к равномерному, тем самым сделав задержки (характеристики) похожими на истинно случайные. Потребуется внести в сообщение дополнительную избыточность – ряд битов имитовставки, которые не будут нести информационной нагрузки, а будут просто усложнять процесс дешифровки для стеганоаналитика. Кроме того, они потребуются для приближения распределения последовательности задержек к равномерному. Для генерации позиций битов имитовставки, инициализируем генератор псевдослучайных чисел (ГПСЧ) некоторой ключевой информацией, известной лишь сторонам скрытого обмена сообщениями (ключом стеганосистемы). Затем на псевдослучайные позиции в двоичной строке сообщения вставляем третий символ, преобразуя сообщение в тернарную систему, например «2» (см. пример). 200010101010011110000101 → 0020102101022100121122100202201021 После этого необходимо генерировать задержки в зависимости от очередного символа сообщения (c) по принципу: 𝑓 𝑇 + 𝑟𝑎𝑛𝑑 (0, 3) 𝑔= 2f 𝑇 + 𝑟𝑎𝑛𝑑 (3, 𝑓) 𝑖𝑓 𝑐=0 𝑖𝑓 𝑐=1 𝑓 2f {𝑇 + 𝑟𝑎𝑛𝑑 (3 , 3 ) 𝑖𝑓 𝑐 = 2 Здесь T – это базовая задержка, f – «добавка» к задержкам, а функция rand(a, b) возвращает случайное значение с плавающей точкой (машинной точности, не округляя) из промежутка (a, b). Таким образом мы разнесли генерируемые задержки внутри диапазона (0, f), при этом это не помешает успешному декодированию, так как информативные задержки находятся не ближе чем f/3 – часть полосы для имитовставки. Рисунок 3 - Диапазоны для «0», «1» и имитовставки Рисунок 4 - Диапазоны для «0», «1» и имитовставки Рисунок 6 – Использование 8 бит имитовставки Рисунок 5 – Использование 16 бит имитовставки Если собрать статистические данные о задержках, получим гистограммы, изображенные на рисунках 4-6. Рисунок 7 – Использование 32 бит имитовставки Заключение Данный метод противодействия статистическим атакам не претендует на законченность и оптимальность, данная статья являет собой попытку обратить внимание на эту проблему и дать минимальное решение, а точнее область для размышлений. Планируется дальнейшее исследование данной проблемы, например, практическая проверка стойкости к методам энтропийного поиска скрытых каналов [2]. Литература 1. Cabuk S., Network Covert Channels: Design, Analysis, Detection, and Elimination / S. Cabuk – West Lafayette, Indiana : Purdue University, 2006 – 128 c. 2. Gianvecchio S., An Entropy-Based Approach to Detecting Covert Timing Channels / Steven Gianvecchio, Haining Wang – USA: Dependable and Secure Computing, IEEE Transactions on, 2010 – 785-797 c.