计算机取证中隐写术与视觉密码学探析

摘要：近来，在隐写术和视觉密码学领域提出了许多新颖的算法，这些算法目的是提高安全性，可靠性和高效性。讨论并比较了隐写术和视觉密码学的两种方法。同时，除了讨论每种程序的某些著名的算法之外，还提出了隐写术与视觉密码学的一些相似之处和不同之处。最后，提出了一种结合使用隐写术和视觉密码学的想法。有几种方法可以在不同格式的文件中隐藏数据，并留下隐藏数据的各种痕迹。使隐藏在原始图像中的数据在进行可视加密后有可能被检测到，从而使计算机取证调查员和政法人员更容易破解。

关键词：视觉密码学；隐写术；数据隐藏

1图像隐写

隐写术是一个已经进行了大量研究和深入研究的领域。在不同类型的文件中隐藏数据有几种不同的方法和算法。使用图层是先进的隐藏图像数据的技术之一。该方法将原始图像分成几个块，然后为像素的二进制值的每个块创建图层成为矩阵。隐藏秘密位的第二步是在这些层的行和列中搜索，并试图在隐藏的像素的二进制值与我们要隐藏的像素的二进制值之间找到最佳匹配[1]。例如，如果要隐藏的像素的值是“1001”，但是没有在原始图像的二进制层的任何行或列中找到“1001”，但是确实找到了一个“1000”，便可以选择它作为最接近的匹配，将这个秘密像素隐藏在那里。这种方法每个块隐藏的数据较少，它只在一个8×8像素块中隐藏1字节，而其他方法，如LSB（最低有效位）匹配方法，在每个像素中隐藏1位[2]。因此，该方法每个块隐藏的数据量较少，既提高了性能又保持了较好的图像质量。该方法的重要之处在于它不依赖于在像素值的LSB中隐藏数据，而是试图在图像的较高层找到最佳的秘密像素-原始图像层像素二值匹配，从而保持图像的质量，从而使其对隐写分析有一定的抵抗能力。动态补偿LSB隐写法[3]对隐写分析和直方图分析提供了更高的抵抗力。该方法将数据隐藏在原始图像像素的LSB中，然后对得到的图像进行动态补偿。在此方法上的实验结果表明，将图像的1到一半像素用于隐藏数据，可以得到较高的σ值，这意味着隐写分析更有可能检测隐藏的数据。因此，作为一种替代方法，提出的动态补偿方法是根据图像中不同的像素行计算σ值。然后，将小于隐写分析检测隐藏信息阈值的最低σ值作为将1添加到像素以隐藏数据的阈值。因此，这种动态补偿方法抓取并选择要隐藏数据的逐行像素块，但要对像素的这种更改保持低于选择阈值的σ值，以保持在隐写分析的雷达下。实验研究表明，该方法的嵌入率接近100%。然而，动态补偿会导致RS（规则奇异）隐式分析σ值接近于0，这意味着错误的判断——就好像说图像中没有隐藏的数据一样。传统的RS、SPA等隐写分析方法以及其他改进的RS和SPA隐写分析方法的结果表明，在嵌入率接近100%的情况下，利用动态补偿方法隐藏的数据的检测率几乎可以忽略不计，从而成功地避免了数据隐藏检测软件的使用。随着图像数据隐藏方法的发展和图像中隐藏数据的各种新方法的出现，可以预见，对计算机政法调查人员来说对隐藏数据的检测是一个日益严峻的挑战。计算机鉴证人员在对机器进行分析时，面临着数千个图像文件的已经是一项挑战，更不用说检测软件抵抗隐藏方案的障碍了。

2隐写检测

NielsProvos创建了一个检测框架，以研究恐怖分子和犯罪分子在图像中隐藏数据的指控[4]。起初，他扫描了eBay的200万张图片，但没有找到任何隐藏的信息。然后，他决定扩大扫描的范围，并进入Usenet档案馆，在那里他又扫描了100万张图像。扫描结果显示，有20000幅可疑图像使用“隐写术”。这些图像受到代码字典攻击，大小为180万个单词和短语，但没有发现隐藏的信息。这些扫描发生在在2001年9月之后。由此，可以得出结论，恐怖分子和罪犯都没有使用隐写术，或者说可用于检测隐藏信息的工具不那么可靠。隐藏数据的检测给寻找隐藏数据的研究者和个人带来了巨大的挑战。仅对图像而言，网络上有数千亿张图像，而浏览所有这些图像将是一项耗费时间和计算难度很大的任务；更不用说其他类型的数据可能隐藏在其中的文件了。即使有人设法浏览了网络上的所有当前图像，如果出现了一些新的图像隐藏算法呢？应用程序是否用于扫描图像中隐藏的数据，是否适合并能够发现隐藏的数据？并且，是否可以用相同或其他软件更新所有的图像，用新的算法来检测隐藏的数据？对上述问题的回答是，几乎不可能准确地扫描或试图在如此广泛的可疑图像上检测隐藏的数据。对于调查人员来说，在较小的范围内扫描隐藏的数据要容易一些，如硬盘驱动器的映像，但它们仍然面临着相同的软件不准确性以及遇到未知数据隐藏算法的可能性。

3其他类型的隐写术

另一个有趣的概念是由MohammadShirali-Shahreza在MMS（多媒体消息传递）中讨论的一个概念。随着移动通信应用的不断扩大，这成为一个非常有趣的领域，其中数据隐藏可以得到广泛的应用。该方法采用文本隐写和图像隐写相结合的方法实现隐式通信。本文利用缩略语的基本概念，讨论了如何在短信或短信中隐藏数据。他建议用“u”代替“You”或“l8ter”来代替“later”。虽然隐藏数据检测软件确实是用于搜索在一种语言中找到的常规形式的关键字，但它需要对该软件进行简单的修改，使它也能搜索可能的缩写。他建议将数据隐藏在文本和图像中。数据首先被分成两部分，每个部分与文本和图像的大小成正比。将信息的大小保存在图像中，以便进行解码。然后，隐藏数据的过程从遍历和隐藏文本中的某些位开始，然后在图像中隐藏一些位。因此，一些隐藏的数据在文本中，而有些在图像中。这种方法不需要在移动设备上使用复杂的设备或操作系统，而是使用与大多数现代手机兼容的J2ME编程语言进行了实验。因此，只要设备能够发送MMS和SMS，则可以在其上实现该算法。

4视觉密码学

可视密码术是共享隐藏数据的另一种方式，但它仅限于图像格式。在其基本概念中，视觉密码学的工作方式是将图像分割成类似白噪声的共享，但当这些共享被覆盖时，则会显示隐藏的图像。在视觉密码学领域已经进行了许多研究，并发展了几种算法。一个有趣的视觉密码方法是（t，n）阈值图像隐藏方案。该方法将秘密图像隐藏到封面图像的“n”个数中，如果覆盖图像的个数为“n”，则该方法可以被恢复。隐藏的图像可以高达512种颜色，大小与封面图像一样大。该方法采用拉格朗日插值多项式、MD5harshing和RSAsignature对隐藏图像进行加密。该算法的有趣之处在于，在从封面图像中提取隐藏图像时，它实现了一种欺骗攻击检查，它检查这些覆盖图像是否与用于隐藏数据的图像相同。如果该检查失败，则将中止数据提取。这种方法的作者没有提到提取后隐藏图像的质量和原始图像有多相似，尽管他们的确提到实验中使用的覆盖图像质量相对较好，平均PSNR（信噪比峰值）值为31.34。另一个可视化密码算法是图像大小不变的视觉密码[7]。这种方法隐藏了双色调的秘密图像，并将其分割成类似于随机干扰图像的二进制透明体。一旦这些透明照片堆叠在一起，秘密图像就会被揭露。秘密图像也可以通过透明的异或运算来重建。该算法基于传统的视觉秘密共享（VSS）方法。JVW方法是一种将水印和视觉密码技术相结合的方法。由于基于共轭误差扩散（DHCED）的半色调图像数据隐藏（DHCED）方法不能防止仅用一种共享来提取秘密图像，因此提出了JVW来解决这一问题。JVW主要由两个步骤组成：第一步是在原始的多音图像中加入一些干扰。在原始图像中引入随机干扰，在不影响感知质量的情况下，打破了原始图像与共享图像之间的直接相关性，这意味着当对共享信息进行叠加时，仍然能够识别出原始图像。第二步是修改DHCED算法以适应两个半色调图像，而不是仅仅一个。该算法的一个有趣之处在于，即使有原始图像和共享，它也不显示秘密图像；这两个共享必须同时存在才能显示秘密图像。接下来，讨论了RIVC（区域增量视觉密码学）方法。在RIVC中，原始图像被分割成“n”个秘密，然后创建“n1”数量的共享。任何“n”数的股票堆叠将揭示“n-1”数目的秘密。该方法的优点是用户可以选择将秘密图像的哪个区域分配给保密级别，从而使其具有灵活性，并能适应用户的喜好。由于这种方法似乎不像其他方法那样安全，因为即使一个人没有所有的股份，也仍然可以透露某种程度的保密内容，因此，试图披露秘密数据的人很难知道他们拥有的股票是全部股票还是丢失了任何股票。因此，如果一个人有3/5的股票，并看到一些数据被披露，他们可能会认为，他们已经找到了秘密，从而停止寻找其他两个。但是，如果有人用这种方法在一定程度上隐藏某一秘密并决定以其他秘密作为诱饵，而其他人如果碰巧获得了股权，就无法透露这一秘密。这绝对是一种有趣的方法，因为它可以在许多方面使用，而且要知道哪些共享揭示了真正的秘密，哪些共享揭示了假秘密，这是很有挑战性的。“彩色图像秘密共享”是近年来提出的能够对彩色图像进行加密的新方法之一，作者声称利用该解密模块可以实现完全的重构[11]。图像加密发生在图像块的位级。结果是一组像彩色干扰一样的图像。因为加密发生在向量级，所以共享与原始图像没有相关性，这使得它们能够抵抗试图解密它们的暴力攻击。使用这种方法，共享的叠加不会显示任何数据；解密模块必须对共享进行解密才能显示数据。这对于增加安全性是很好的，因为只有那些有软件实现这个算法的人才能揭露秘密图像。该方法的两个优点是在不改变秘密图像或影响其质量或维数的情况下解密图像共享，并且解密满足完美的重建特性。这意味着解密后，人们将获得与原始秘密图像在外观和内容上相同的显示图像。

5被提出的进一步研究的算法

到目前为止，隐写术和可视密码学已被作为两个单独的实体来处理，就其使用的可能性而言。有几种算法涉及到将隐写和可视化加密结合在一起的概念，例如上面提到的JVW方法。JVW提到了水印的使用，在图像中嵌入另一幅图像，然后将它作为秘密图像使用。秘密图像将被分割成股票，这将需要覆盖，以揭示这一秘密形象。隐写技术的应用是一个强有力的概念，它给检测这些隐藏和加密的数据带来了许多挑战。为了扩展这一概念，可以研究更多将隐写与可视化加密结合使用的方法。例如，设想一种算法使用一种强隐写算法将数据（不一定是另一幅图像）隐藏在图像中，然后使用该图像作为具有强视觉加密方法的秘密图像。基本上，会得到一个隐藏数据的秘密图像，这些数据将被分割成股票。这些共享也可以是无辜的图像，不一定是噪音图像。然后，当这些共享被重新组装或解码以重建原始图像时，就会得到一个仍然包含隐藏数据的显示图像。这样，接收机就能够从显示的图像中提取隐藏的数据。在视觉密码学方法中，该算法不具有完美的重构特性就不可能存在。原因是，如果重建过程，甚至加密过程改变图像数据，那么它就会改变隐藏的数据，这将无法从显示的图像中提取隐藏的数据。一些实验是使用16进制编辑器（HXD）和名为“VisualCryptoographyShareEn⁃cryptor”的可视化密码软件进行的。使用HXD将一些纯文本隐藏到图像文件中。然后，图像与隐藏文本被分割成共享，每次使用不同的方案，导致图像共享，看上去像噪音。注意，不能在通过16进制编辑器显示的图像数据中的任何地方发现纯文本。现在，使用上一步骤中的共享，重建图像。再次注意，由于缺乏完美的重建，数据现在丢失了。两者都是使用“视觉密码共享加密器”软件来获取共享信息并使用它们来重建隐藏的图像。这表明，该软件中使用的算法在获取共享数据的过程中或在重构隐藏图像的过程中都会改变数据，因此缺乏完善的重构性能。因此，如果能够在视觉加密方法中建立一个完美的重建属性，从而能够将包含数据的图像加密为共享，然后将这些共享解密回图像，而不改变数据，那么这可能是一种更安全的数据通信算法。完全重构也可以用于其他目的，例如能够接收秘密金融文件份额，并能够将它们重构成原来隐藏的确切的财务文件。因此，这可能是一个很好的领域，以研究和探索隐写术和视觉密码学是否可以结合使用。另一方面，本实验提供了一种通过改变数据而不是完全破坏图像来对抗隐写的好思路。因此，如果怀疑图像有一些隐藏数据，这个过程就是视觉效果加密然后解密，就会改变数据使其损坏，但同时图像仍然存在，其对观测者有重大意义。

6结论

本文讨论了隐写术和可视密码学的定义，并对各种算法进行了研究。隐写术和视觉密码学有许多相似和不同之处，因此在数字和现实世界中有着不同的用途。不同的隐写算法和视觉密码算法有着不同的优缺点和不足。因此，注意到某些方法比其他方法更容易检测。但一般而言，政法和安全调查员的工作并不容易。当专门使用隐写和可视密码检测工具时，调查人员几乎不可能发现隐藏或加密的数据。另一方面，如果将这些探测工具与其他工具和因素结合使用，将搜索范围缩小到较小的数据集，那么调查人员的工作难度将会大大降低，并使他们有更好的机会发现可疑数据。注意到，使用一种具有实体重建方法的算法将使我们能够把共享文件恢复到原始的、未改变的图像中。该算法为进一步探索开辟了广阔的领域，为政法和反取证领域开辟了更多的场所。在了解如何检测数据后如果应用视觉密码技术并完美重建图像与隐藏的数据，这将是非常有趣的。此外，一个有趣的检测问题是，是否可以通过省略一些原始份额并通过包含专门为其创建的额外份额，将一组“n”份额重建为用来创建与这些份额的图像具有不同意义的图像。基本上这是关于由不同视觉加密算法创建的共享的唯一性的问题。因为，如果获得一组共享图像并尝试重建它们，是否可以使用共享图像构建非法内容，尽管它们可能不是来自带有非法内容的图像

作者：邓传华 单位：广东电网有限责任公司 河源供电局