Читаем Цифровая стеганография полностью

Вилли в результате перехвата канала может получить открытый ключ Алисы и зашифрованный этим ключом секретный ключ Боба. Не зная закрытого ключа Алисы он не сможет получить значение секретного ключа.

Робастные ЦВЗ могут применяться в различных приложениях, соответственно, и требования к ним могут предъявляться различные. Можно выделить следующие категории требований к робастным ЦВЗ:

— ЦВЗ обнаруживается всеми желающими. В этом случае он служит для уведомления о собственнике защищаемого контента и для предотвращения непреднамеренного нарушения прав собственника.

— ЦВЗ обнаруживается, по крайней мере, одной стороной. В этом случае его использование связано с поиском нелегально распространяемых копий, например, в сети Интернет.

— ЦВЗ крайне трудно модифицировать или извлечь из контента. В этом случае ЦВЗ служит для аутентификации.

Одновременное выполнение вышеприведенных требований невозможно, так как они являются противоречивыми. Поэтому, в различных приложениях используются как системы ЦВЗ с секретным, так и с общедоступным ключом. Системы с общедоступным ключом находят гораздо большее применение, так как они могут быть использованы как для обнаружения, так и для предотвращения несанкционированного использования контента. Для того, чтобы поисковая система обнаружила ЦВЗ с секретным ключом, ей необходимо проверить каждое изображение на наличие в нем каждого из возможных ЦВЗ, что является вычислительно трудоемкой задачей. В случае же общедоступного ЦВЗ алгоритм обнаружения единственный. Однако, общедоступные ЦВЗ обладают серьезным недостатком: так как их местоположение известно, то их можно без труда извлечь из защищаемого изображения.

Создается впечатление, что ЦВЗ с общедоступным ключом не могут быть робастными. Однако, является ли таковым ЦВЗ с секретным ключом? Да, его местоположение неизвестно, но лишь до тех пор, пока он не «вступает в действие». Как только ЦВЗ начинает выполнять свои функции по защите контента, у атакующего появляется все больше информации о нем, то есть ЦВЗ становится все более «открытым». В главе 2 представлен ряд атак, связанных с выявлением поведения детектора при незначительных модификациях изображения. Таким образом, сама природа ЦВЗ такова, что их в любом случае можно считать общедоступными, несмотря на наличие секретного ключа.

В работе [14] представлена система ЦВЗ, в которой этапы аутентификации и обнаружения разделены. Это делает возможным создание ЦВЗ, который легко обнаруживается, но трудно удаляется. Эта система строится на основе доказательства с нулевым знанием [11].

Представим себе следующую ситуацию. Алиса обладает некоторой информацией и хочет доказать этот факт Бобу. При этом доказательство должно быть косвенным, то есть Боб не должен получить каких-либо новых знаний об этой информации. Такое доказательство и называется доказательством с нулевым знанием. Оно принимает форму интерактивного протокола. Боб задает Алисе ряд вопросов. Если Алиса действительно владеет некоторой информацией, то она ответит на все вопросы правильно; если же она мошенничает, то вероятность правильного угадывания мала и уменьшается с увеличением количества вопросов.

В целом базовый протокол с нулевым знанием строится следующим образом:

1. Алисе известна некоторая информация, являющаяся решением некоторой трудной проблемы. Она использует эту информацию и случайное число для превращения этой трудной проблемы в другую, изоморфную первой и получает ее решение.

2. Боб просит Алису либо доказать, что старая и новая проблемы изоморфны, либо открыть решение новой проблемы и доказать, что оно является таковым. Алиса выполняет просьбу Боба.

3. Этапы 1 и 2 повторяются n раз.

В качестве трудной проблемы выбирается обычно вычисление по однонаправленной функции. Одной из наиболее известных однонаправленных функций является дискретный логарифм. Рассмотрим построение протокола с нулевым знанием на основе дискретного логарифма. При этом общеизвестными являются: большое простое число и порождающий элемент . Алиса выбирает некоторое число и публикует . Так как определение на основе знания M есть вычислительно трудная задача, то знание Алисой подтверждает ее идентичность.

Протокол строится следующим образом.

1. Алиса генерирует другое простое число , вычисляет число и посылает его Бобу. (То есть она передает Бобу изоморфную трудную задачу).

2. Боб может попросить Алису:

а) открыть , то есть дать решение изоморфной трудной задачи;

б) открыть , то есть логарифм произведения MN.

3. Алиса выполняет просьбу Боба, и шаги протокола повторяются при другом значении N.

Протоколы доказательства с нулевым знанием могут строиться также на основе использования свойств изоморфизма графов [11] и других трудных задач. В [11] рассмотрены также и слабости этих протоколов.