PavelMSTU Mar 23 2018 at 12:02

Хеш-стеганография в dataset-ах. На этот раз быстрая

4 min

4.4K

Python*Information Security*Cryptography*Programming*Development of communication systems*

+10

Comments 14

alekseev_ap Mar 23 2018 at 13:33

Спасибо, что упомянули мой комментарий! А как насчёт моего предложения (померяться пись?? ми) в плане зажать максимум информации в JPEG? Хороший бы конкурс получился! А ещё если скинуться по полтиннику на приз?!

PavelMSTU Mar 23 2018 at 13:40

Вы предлагаете стегодуэль? ))

alekseev_ap Mar 23 2018 at 21:09

Почему бы и нет?

paluke Mar 23 2018 at 14:38

Ну с jpeg можно при квантовании некоторые коэффициенты округлять не к ближайшему целому, а к четному/нечетному в зависимости от передаваемого бита. Старшие коэффициенты наверное трогать не стоит — может быть заметно, младшие обнулятся и насильно переводить их в 1 тоже плохо. Но думаю от 1 до 8 битов, в зависимости от параметра качества, в каждый блок 8х8 пикселов можно запихнуть так, что будет визуально незаметно.

lancerx Mar 23 2018 at 13:37

Что мешает использовать обычный текстовый файл? Можно также брать хэши от строк

nchaly Mar 23 2018 at 13:38

"«донорский csv». В идеальном случае сгенерировать его самому и после каждого использования — уничтожать." — смысл этого теряется. Датасет передается же открытым текстом.

Хотел спросить — а не лень ли автору будет сделать небольшой скрипт для брутфорс взлома? Тогда и можно будет оценить защищенность.

PavelMSTU Mar 23 2018 at 13:43

Как вы себе представляете брутфорс?
Я же к паролю добавляю соль, потом получаю ключ с помощью хеширования. Этим ключом шифрую информацию. А уже потом стеганография.

Следовательно если пароль «хороший» (а не 12345) и криптуха «хорошая» и соль «хорошая», то никакого брутфорса быть не может…

domix32 Mar 23 2018 at 14:34

Есть мнение что наборы данных вполне могут оказаться упорядоченными, например. Или найти исходный кусок данных и зареверсить видится мне делом техники.

PavelMSTU Mar 23 2018 at 14:39

найти исходный кусок данных

Не должно быть исходных кусков. CSV-донор тоже нужно генерировать самостоятельно. В эпоху BigData это не проблема.

domix32 Mar 23 2018 at 22:36

И почему это в таком случае менее заметно нежели котики?

nchaly Mar 23 2018 at 18:33

Тогда я вообще перестал схему понимать. И пароль должен быть известен двум сторонам. Соль тоже — значит приравнивается к паролю.

Объясняю подход к брутфорсу: Если я перехватил в процессе передачи ваш файл, то все равно, какой был изначачальный порядок. Теперь мне надо просто посчитать хэши строк, взять первые n бит, и попробовать получить вменяемый текст. И так я делаю для разных «паролей», пока не получу что-то читаемое. Вроде несложно…

PavelMSTU Mar 23 2018 at 20:29

Ключевая фраза:

И так я делаю для разных «паролей», пока не получу что-то читаемое. Вроде несложно…

А почему вы слово пароль взяли в кавычки?

Ещё раз:
сжатие --> шифрование --> хеш-стеганография.

Предлагаю вам простую комбинаторную задачку.
Дано: неизвестный пароль состоит из 30 символов в алфавите: А-Я, а-я, A-Z, a-z, 0-9, !, @, #, $, %, ^, &, *,, \, `, [, ], ;, :, ', ", <, >, ?, /, |.

Вопрос: сколько потребуется времени для перебора:

на вашем ноутбуке?
на всех серваках вашей организации?

nchaly Mar 23 2018 at 20:56

Хм… ясно. Неясно, зачем стеганография. Можно просто шифровать и передавать. Чтобы запутать злоумышленника, передавай рандомный мусор, для надежности обернув его в тэг <мусор>, чтобы твой партнер его игнорировал, да и все).

TrllServ Mar 23 2018 at 22:28

Я вот уже 3й пост смотрю и не могу понять — критерии какие?
Если это все же скрытая передача — тогда не надо мудрить с паролями и солью, это ж не обычное шифрование.
Поставьте конкретное условие, и уже потом решения. Например:
Сделать способ передачи инфы который не заметен человеком, а перебор автоматикой с достаточной точностью делал ~~бессмысленным~~ невозможным по времени. (примерно такое было в прошлых каментах)

Шифрование в таком случае должно терять своё первоначальное назначение и если используется, то для целей энтропии.