модулю r > max{ a, b }, где a > max{ aj }, b > max{ bj } с соответствующими ограничениями для операции по заданному модулю.
2. В зависимости от выбранных значений параметров a и b указанные рюкзаки могут быть как инъективными, так и нет. Поэтому в случае инъективных рюкзаков следует рассмотреть моноалфавитную СЗИ, а в противном случае рассмотреть многоалфавитную СЗИ либо одинаковые шифры исключить из рассмотрения.
3. Можно определить значения параметров a и b таким образом, чтобы рассмотренные рюкзаки были сверхрастущими или нормальными, следовательно, соответствующая задача о рюкзаке будет разрешима либо за линейное время, либо она принадлежит классу NP-полных задач.
Пусть FA(x) = A wxT и FB(x) = B wxT- функции прямого преобразования на основе равносильных рюкзаков A и B соответственно, а wxT - двоичный эквивалент элементарного сообщения x длины m (в более общем случае - p-ичный эквивалент).
Преобразуем открытый текст Т с помощью функции FB(x) = B wxT на основе неинъективного рюкзака B. Тогда результатом прямого преобразования открытого текста Т будет являться текст Е, в котором для некоторых х и у таких, что х Ф у будет выполняться равенство B wxT = B wyT. Причём можно подобрать значения параметров a и b таким образом, чтобы в преобразованном тексте Е большинство шифров были одинаковы, вплоть до одних и тех же шифров.
Очевидно, если в идеале весь этот текст Е будет состоять из нескольких групп одних и тех же шифров, то нелегальный пользователь столкнётся с труднорешаемой задачей, принадлежащей классу NP-полных задач, так как у него не будет базиса для анализа полученного текста. Более того, можно применить к такому тексту Е заданный эффективный алгоритм сжатия и тем самым свести усилия нелегального пользователя к максимуму, т.к. в тексте Е встречаются одни и те же шифры.
Наоборот, легальный пользователь, исходя из параметрического решения уравнения (1) по полученному шифру, определит числовые значения параметров a и b и определит соответствующий закрытый инъективный рюкзак A равносильному рюкзаку B, а затем восстановит открытый текст Т, обнаруживая и исправляя ошибки в соответствии со своей таблицей соответствия между элементарными сообщениями и числовыми эквивалентами в двоичной системе счисления (в более общем случае -p-ичной системе счисления). Причём легальный адресат с одинаковым успехом обнаружит и исправит как канальные, так и другие ошибки, возникающие извне.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Шеннон К. Работы по теории информации и кибернетики.- М.: ИЛ,1963.
2. Осипян В.О. Моделирование СЗИ, содержащих диофантовую трудность. // Материалы VII Международной научно-практической конференции, - Таганрог, 2005. - С. 202-209.
3. L.E.Dickson. History of the Theory of Numbers. vol.2. Diophantine Analysis. N.Y.1971.
4. A.Gloden. Mehrgradide Gleichungen. Groningen, 1944.
А.В. Архангельская, С.В. Запечников
Россия, г. Москва, МИФИ (государственный университет)
СХЕМЫ ЦИФРОВОЙ ПОДПИСИ НА ОСНОВЕ АЛГОРИТМОВ ГОСТ Р 34.10-2001 С ПРИМЕНЕНИЕМ АППАРАТА ПАРНЫХ ОТОБРАЖЕНИЙ Введение
Криптографические примитивы и протоколы на основе парных отображений, или спариваний (pairings), привлекают повышенное внимание криптографов. Они рассматриваются как очень перспективное направление криптографии, так
как являются единственным известным на сегодняшний день способом реализации криптосистем с открытыми ключами на основе идентификационных данных (identity-based cryptosystems), или, иначе говоря, идентификационных криптосистем (ИКС), идея которых была предложена Шамиром ещё в 1984 г.
В п. 1 рассматриваются математические основы парных отображений, обсуждаются способы их реализации и выбор алгебраических структур.
За последнее время в литературе появилось немало описаний различных криптографических конструкций, основанных на математическом аппарате парных отображений. Среди них получили известность схемы открытого шифрования Boneh - Franklin [1], Gentry - Silverberg [2], Boneh - Boyen [3], Yao - Fazio - Dodis
- Lysyanskaya [4] и некоторые другие, а также схемы цифровой подписи (ЦП) Boneh - Lynn - Shacham [5], Hess [6] и др.
В [7] предложена схема ЦП на основе парных отображений, которую можно рассматривать как аналог обобщенной ЦП Эль-Гамаля. Актуальным представляется развитие теоретической базы ИКС с применением отечественного опыта создания криптографических алгоритмов. Как известно, действующим стандартом на ЦП является ГОСТ Р 34.10-2001, краткое описание которого приводится в п. 2.
В п. 3 описана конструкция впервые предлагаемой авторами статьи схемы ЦП на базе аппарата парных отображений, в которой алгоритмы генерации ключей, формирования и проверки ЦП аналогичны соответствующим алгоритмам ГОСТ Р
34.10-2001. Там же обсуждаются характеристики производительности и стойкости предлагаемой схемы. Одним из характерных недостатков классических ИКС является возможность тотального контроля над секретными ключами участников криптосистемы со стороны центра генерации ключей. Одним из способов избежать этого в отношении схем ЦП является применение пороговых схем ЦП. Из научной литературы известно большое количество пороговых схем ЦП на базе различных алгоритмов. Имеется и отечественный опыт создания пороговых схем ЦП. В частности, в работах [8, 9] одним из авторов статьи предложены конструкции пороговых схем ЦП на базе ГОСТ Р 34.10-94 с доказанными свойствами стойкости. В [10] описаны протоколы на базе ГОСТ Р 34.10-2001, однако, не приведены доказательства стойкости предложенных решений. В п. 4 описана предлагаемая авторами конструкция пороговой схемы ЦП на базе схемы с применением парных отображений, описанной в п. 3.
1. Парные отображения и их свойства
Пусть q - большое простое число, G1 - аддитивная группа порядка q и G2 -мультипликативная группа порядка q. Парным отображением, или спариванием, называется легко вычислимое невырожденное билинейное отображение e : G х G ^ G2, то есть отображение со следующими свойствами:
1. Билинейность: для V P, Q, R е G1 и V a, b е Z выполнены равенства:
e(P, Q + R) = e(P, Q) • e(P, R),
e(P + Q,R) = e(P, R) • e(Q, R), и следовательно, e(aP,bQ) = e(P, Q)ab .
2. Невырожденность: 3 P е G1: e(P,P) Ф1G . Так как G1, G2 - группы простого порядка, это означает, что если P - образующий элемент Gb то e(P, P) - образующий элемент G2.
3. Вычислимость: для V P, Q е Gj существует эффективный алгоритм вычисления e(P,Q).
Существование билинейного отображения e : G1 х G1 ^ G2 с перечисленными свойствами имеет следующие следствия:
1. Как показано в [11], решение задачи дискретного логарифмирования в Gj не сложнее, чем задачи дискретного логарифмирования в G2. В самом деле, пусть P, Q е Gj (они имеют порядок q), и необходимо найти a е Zq: Q = aP. Пусть g = e(P,P) и h = e(P,Q). Из свойства билинейности e следует, что h = ga. Из свойства невырожденности следует, что g и h также имеют порядок q в G2. Значит, задача дискретного логарифмирования в Gj сводится к аналогичной задаче в G2. Следовательно, чтобы дискретное логарифмирование было вычислительно сложно в Gj, следует выбирать параметры так, чтобы эта задача была сложной в G2.
2. Как известно (см., например, [12]), задача распознавания Диффи - Хеллмана (Decision Diffie - Hellman problem - DDHP) формулируется как задача распознавания четверок <P, aP, bP, abP> и <P, aP, bP, cP>, где a, b, c - случайные элементы Zq, P - случайный элемент Gj. Как показано в [13], задача DDHP в группе Gj легко разрешима, так как для P, aP, bP, cP е G* = Gy \ {0} равенство c = ab(mod q) выполнено тогда и только тогда, когда e(P,cP) = e(aP,bP). Напомним, что вычислительная задача Диффи - Хеллмана (Computational Diffie - Hellman problem - CDHP) определяется как задача нахождения элемента abP е Gj по данным элементам P, aP, bP е Gj. Эта задача по-прежнему может оставаться сложной в Gj, несмотря на легкость решения DDHP в той же алгебраической структуре.
3. Так как DDHP легко решается в Gj , ее нельзя применять для построения криптосистем - вместо этого для парных отображений формулируется вариант CDHP, известный как билинейная задача Диффи - Хеллмана (Bilinear Diffie -Hellman problem - BDHP). По данным <P, aP, bP, cP>, где P - образующий элемент Gj, и a, b, c е Zq необходимо вычислить e(P,P)abc е G2. Стойкость криптосистем, в которых применяются парные отображения, основывается на сложности решения BDHP в < Gl5G2,e > при условии, что отображение e выбрано таким
образом, что удовлетворяет свойству (2). Правила выбора таких парных отображений подробно рассматриваются, например, в [1, 14]. Широко применяемый способ заключается в следующем: в качестве Gj берется аддитивная группа точек эллиптической кривой над конечным полем E/GF(p), в качестве G2 - мультипликативная группа конечного поля GF (p2). Как правило, применяются парные отображения Тейта (Tate) и Вейля (Weil) над группами точек эллиптических кривых, которые вычислимы с помощью так называемого алгоритма Миллера (Miller) [15], но отображение Тейта обычно реализуется более эффективно [16].
2. Схема цифровой подписи ГОСТ Р 34.10-2001
При описании схем цифровой подписи будем пользоваться стандартными определениями и нотацией, принятой в учебниках и курсах лекций по теоретической криптографии (например, [17, 18]).
Опр. Схема ЦП DS = (K, S, V) - совокупность трех легко вычислимых алгоритмов:
1) алгоритма генерации ключа K - вероятностного алгоритма, который возвращает ключевую пару (pk, sk);
2) алгоритма формирования подписи S - вероятностного (либо детерминированного) алгоритма, который по секретному ключу sk и сообщению M е MsgSp возвращает его цифровую подпись ст, то есть ст ^ Ssk (M);
3) алгоритма проверки подписи - детерминированного алгоритма, который по открытому ключу pk, сообщению M и предполагаемой подписи ст этого сообщения возвращает бит d, то есть d ^ Vpk (M,ст).
Примечания: 1) со схемой ЦП ассоциировано пространство сообщений MsgSp, которое может зависеть от некоторого параметра схемы ЦП; 2) к схеме предъявляется требование обратимости: V к (M, Ssk (M)) = 1 для V Me MsgSp;
3) алгоритм формирования подписи может быть вероятностным, либо детерминированным, либо алгоритмом с памятью, либо алгоритмом без памяти. Никаких специальных требований к нему с точки зрения стойкости не предъявляется.
Приведем формализованное описание хорошо известной схемы ЦП, содержащейся в [19].
Алгоритм K:
q — простое число, m = nq, n e Z, n > 0, 2254 < q < 2256, где m - порядок группы точек выбранной эллиптической кривой E;
P — P Ф O - точка эллиптической кривой Е с координатами (xP, yP), qP = O; d — 0 < d < q, d e Z;
Q — dP;
Return sk = d; pk = (P, Q, q).
Алгоритм Ssk (M): e — h(M) (mod q), где h - хэш-функция по алгоритму ГОСТ Р 34.11-94;
If (e = 0) then e — 1,
L1: k——— 0 < k < q, k e Z;
r — xC (mod q), где xC - x-координата точки C = kP; s — rd + ke (mod q);
If (s = 0) then L1;
Return c —— (r, s).
Алгоритм Vpk (M,c) :
(r, s) — C;
If (r < 0 or r > q or s < 0 or s > q) then Return 0; e — h(M) (mod q);
If (e = 0) then e — 1, v — e- (mod q); z1 — sv (mod q); z2 —— rv (mod q);
C — z1P + z2Q;
^ — xC (mod q);
If (R = r) then Return 1 else Return 0.
Напомним, что стойкость этой схемы основана на сложности решения задачи дискретного логарифмирования в подгруппе простого порядка группы точек эллиптической кривой над конечным полем.
Ближайшими аналогами данной схемы является схема ЦП ECDSA на базе эллиптических кривых из американского стандарта [20] и обобщенная схема Эль-Гамаля [21, алгоритм 11.73], также основанная на сложности решения задачи дискретного логарифмированаия в выбранной алгебраической структуре.
3. Схема цифровой подписи с применением аппарата парных отображений Для схемы ЦП, специфицированной в ГОСТ Р 34.10-2001, возможно построение ее аналога, основанного на применении математического аппарата парных отображений. Такая схема подписи будет обладать всеми стандартными свойствами криптосхем, необходимыми для применения в ИКС.
Пусть G1 - аддитивная группа точек эллиптической кривой над конечным полем, |Gj| = q, G2 - подгруппа мультипликативной группы конечного поля, |G2| = q.
Пусть e:G1 х G1 ^ G2 - парное отображение (например, отображение Тейта или Вейля), в силу свойства невырожденности которого 3 P e Gj. e(P, P) Ф1^ , где P -
образующий элемент группы G1. В данной статье не рассматриваются конкретные способы выбора эллиптических кривых, так как, с одной стороны, они не специфицированы в ГОСТ Р 34.10-2001, а с другой стороны, этой задаче посвящена обширная научная литература (см., например, [1, 14 - 16]). Многие из описанных в них способов универсальны для любых ИКС.
Пусть ID - идентификатор лица, формирующего ЦП (далее - идентификатор подписывающего). H1: {0, 1} ^ G1, H2: {0, 1} ^ Zq, H3: G2 ^ Zq - общеизвестные криптографические хэш-функции, s e Zq - секретный мастер-ключ центра генерации ключей ИКС. Тогда Ppub = s-P - открытый мастер-ключ ИКС. Генерация открытого и секретного ключей подписывающего выполняется стандартным для ИКС образом: pk = QID = H1(ID), sk = Did = s-QID.
Процедура формирования ЦП в предлагаемой схеме заключается в следующем. Подписывающий генерирует случайное число k e Zq*, вычисляет точку Q = kP, Q e G1, после чего в результате вычисления парного отображения R = e(P, Q) получает элемент группы G2. Затем получает элемент группы G1 по формуле S = Did-H3(R) + Q-H2(M). Совокупность элементов (R, S) e G2 х G1 объявляется ЦП с сообщения M.
Процедура проверки подписи заключается в следующем. Пусть проверяющий имеет сообщение с ЦП (M, с), открытый ключ подписывающего QID и открытый мастер-ключ ИКС Ppub. Подпись разбивается на два элемента (R, S) в соответствии с известным (или предполагаемым) проверяющему форматом ЦП. Далее вычисляются значения v = [H2(M)]-1 (mod q), z1 = e(P, S), z2 = e(Ppub,-QID - H3 (R)) и
R' = (z1-z2)v. Если R' = R, подпись признается действительной, в противном случае -фальшивой. Формализованное описание предлагаемой схемы ЦП как совокупности трех алгоритмов (K, S, V) приводится ниже.
Алгоритм K:
Qid — H1(ID);
DID — s-QID;
Return sk = Did; pk = Qid.
Алгоритм S (M) :
k ———Zq*;
Q — kP;
R — e(P, Q);
S — DdH3(R) + QH2(M);
Return с —— (r, s).
Алгоритм Vpk (M,c) :
(R, S) — C;
v — [H2(M)]-1 (mod q); z1 — e(P, S);
z2 — e(Ppub,-QID - H3 (R))
R' = fr-z^;
If (R = R') then Return 1 else Return 0.
Докажем корректность ЦП. При формировании подписи вычисляется
R = e(P, Q) = e(P,kP) = e(P, [H2(M)] 1 (S - Djd - H3 (R)) =
= е(Р,[Ы2(М)]-1Б) • е(Р,-[Ы2(М)]-1БШ • Ыз(Я)) =
= е(Р,Б)[Ы2(М)]-1 • е(Р,-80шЫ3(Я))[Ы2(М)]-1 =
= е(Р,Б)[Ы2(М)]-1 • е(8Р,-ОшЫ3(Я))[Ы2(М)]-1 =
= [е(Р,Б) • е(РриЬ-ршНз(Я))][Ы2(М)]-1 = [21 • г2]\
что и имеет место при успешной проверке подписи.
Стойкость схемы ЦП основывается на билинейной задаче Диффи-Хеллмана. Предполагаем, что криптоаналитику известны P, kP, QID, sQю е G1. Так как группа G1
- циклическая, QID = dP, где d е Zq - некоторое неизвестное число, и соответственно, sQID = sdP. Таким образом, для подделки подписи криптоаналитику необходимо уметь
находить е(Р, Р)Ыя = е(Р, к8Рш) = е(кР, ) = е(крш, 8Р). До тех пор, пока задача дискретного логарифмирования в G1 сложна (а выбор G1 предполагается именно таким), будет сложным и решение билинейной проблемы Диффи-Хеллмана. Вычислительная сложность алгоритмов формирования и проверки подписи сравнительно невелика. Алгоритм формирования требует двух вычислений хэш-кодов, одного вычисления парного преобразования, трех операций умножения элементов группы на целое число и одного сложения в G1. Алгоритм проверки требует двух вычислений хэш-кодов, одного вычисления обратного элемента по модулю q, двух вычислений парных отображений, а также одного умножения и одного экспоненцирования в G2.
4. Пороговая схема цифровой подписи Описанная в п.3 схема ЦП позволяет построить на ее основе пороговую схему ЦП. Пороговая схема отличается от обычной тем, что секретный ключ подписи не принадлежит какому-либо одному подписывающему, а разделяется группой из п подписывающих, например, с помощью схемы разделения секрета Шамира [22]. Сформировать действительную подпись может любая группа О из t < п подписывающих, где t - это параметр схемы ЦП, называемый порогом. Тогда DID представляется в виде долей БЮ1 ,...рю^, а Бю = 2 ь>°ч , где Ь =Пт~Г -
геО уеО Х ]
коэффициенты интерполяции по Лагранжу, xi, Xj - точки, к которым «привязаны» участники схемы.
Опишем идею такой схемы ЦП. Для генерации ключей подписи все п участники выполняют протокол совместного разделения случайного секрета на основе схемы разделения секрета Педерсена [23]. В результате формируется разделенный
* ж * * ^ Ч *
ключ 5 , представленный в виде долей 51 ,..., Зп таких, что 5 = 2 и прове-
геО
рочные значения Рриц = Р, становится общеизвестным РриЬ = 5 Р. Общеизвестная величина QID = Н1 (Ю1 ||...|| Юп) может быть вычислена предварительно, как и коэффициенты интерполяции. Каждый участник вычисляет Ою. = 5* QID и
Вщ = 2 ЬiDID¡ = 2 ЬiQIDSi . геО геО
Процедура формирования подписи сообщения М заключается в том, что каждый из подписывающих вычисляет Н2(М), выбирает случайное kI, вычисляет
Я1 = е(Р,Р)к' е С2, после чего выполняется протокол совместного разделения случайных секретов по [23] для формирования общих значений k и Я. Каждый
подписывающий теперь может вычислить Si = DID H3 (R) + ktPH2 (M), Si e G1.
Окончательно каждый из них формирует долю подписи ст = (Л,, S') e G2 х Gb Любую полученную таким образом долю подписи можно проверить:
V = [ЩМ)]-1 (mod q), Z((1) = e(P,Si), z(2) = e(Pp*ub_,-QI^i • Из(Я1)),
Ri = (z(1) • z(2))v. Если R/ = Ri, то доля подписи верна.
Реконструкция подписи осуществляется с помощью интерполяции по Лагранжу:
R = ^QrL =n(e(P,P)k' )Li = e(P,P)ieSL‘k‘ = e(P,P)k = e(P,kP) = e(P,Q).
ieQ ieQ
S = 2 L,S, = 2 L (Dd,H3(R) + k,PH2(M)) = 2 L1DIdH3(R) +2 L1k1PH2(M) =
ieQ ieQ ieQ ieQ
= Hз (R) • 2L,Dd + PH2 (M) • 2Ltkt = H3 (R)Dd + kPH2(M) .
ieQ ieQ
Таким образом, подпись ст = (R, S) будет точно такой же, как если бы она была сформирована одним подписывающим с секретным ключом DiD, выбравшим случайное k e Zq . Проверка реконструированной подписи не отличается от проверки обычной подписи. В качестве открытого ключа берется QiD - идентификатор группы подписывающих. Пороговая схема ЦП может быть применена для повышения стойкости ИКС к компрометации ключей.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Boneh D., Franklin M. Identity-Based Encryption from the Weil pairing // Proc. of CRYPTO’2001, LNCS Vol. 2139. - Springer-Verlag, 2001. - Pp. 213 - 229.
2. Gentry C., Silverberg A. Hierarchical ID-Based Cryptography // Proc. of ASIA-CRYPT’2000, LNCS Vol. 2501. - Springer-Verlag, 2000. - Pp. 548 - 566.
3. Boneh D., Boyen X. Efficient Selective-ID Secure Identity Based Encryption Without Random Oracles. - http://eprint.iacr.org/2004/172.
4. Yao D., Fazio N., Dodis Y., Lysyanskaya A. ID-Based Encryption for Complex Hierarchies with Applications to Forward Security and Broadcast Encryption. - http://eprint.iacr.org/2004/212.
5. Boneh D., Lynn B., Shacham H. Short Signatures from the Weil Pairings // Proc. of ASIACRYPT’2001, LNCS Vol. 2248. - Springer-Verlag, 2001. - Pp. 514 - 532.
6. Hess F. Efficient Identity Based Signature Schemes Based on Pairings // Proc. of SAC’2002, LNCS 2595. - Springer-Verlag, 2002. - Pp. 310 - 324.
7. Paterson K.G. ID-based Signatures from Pairings on Elliptic Curves. -http://eprint.iacr.org/2002/004.
8. Запечников С.В. Разработка и исследование пороговых схем цифровой подписи на основе стандарта ГОСТ Р 34.10-94 // В сб. тезисов докладов конференции «Методы и технические средства обеспечения безопасности информации», Санкт-Петербург, 16 - 17 октября 2000 г. - СПб.: СПбГТУ, 2000. - С. 105 - 107.
9. Запечников С.В. Пороговые схемы цифровой подписи на основе стандарта ГОСТ Р
34.10-94 // Безопасность информационных технологий, 2001, № 4. - С. 45 - 51.
10. Серов Р.Е. Пороговая схема шифрования/подписи на основе ГОСТ Р 34.10-2001 // Безопасность информационных технологий, 2004, № 3. - С. 87 - 90.
11. Menezes A., Okamoto T., Vanstone S. Reducing elliptic curve logarithms to logarithms in a finite field // IEEE Trans. of Information Theory, Vol. 39, 1993. - Pp. 1639 - 1646.
12. Boneh D. The decision Diffie - Hellman Problem // Proc. of 3rd Algorithmic Number Theory Symposium, LNCS Vol. 1423. - Springer-Verlag, 1998. - Pp. 48 - 63.
13. JouxA., Nguyen K. Separating Decision Diffie - Hellman from Diffie - Hellman in cryptographic groups. - http://eprint.iacr.org/2001/003.
14. Galbraith S.D. Supersingular Curves in Cryptography // Proc. of ASIACRYPT’2001, LNCS Vol. 2248. - Springer-Verlag, 2001. - Pp. 495 - 513.
15. Blake I., Murty K, Xu G. Refinements of Miller’s Algorithm for Computing Weil/Tate Pairings. - http://eprint.iacr.org/2004/065.
16. Barreto P. The Pairing-Based Crypto Lounge. -http://paginas.terra.com.br/informatica/paulobarreto/pblounge.html.
17. Goldwasser S., Bellare M. Lecture Notes on Cryptography, 1997 - 2001. -http://www.cse.ucsd.edu/users/mihir.
18. Bellare M. Introduction to Modern Cryptography, 2005. -http://www.cse.ucsd.edu/users/mihir/courses.html.
19. ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи. - М. : ИПК Изд-во стандартов, 2001.
20. FIPS PUB 186-2 - Digital Signature Standard (DSS) - National Institute of Standards and Technology, USA, 2000.
21. Menezes A.J., van Oorschot P.C., Vanstone S.A. Handbook of Applied Cryptography. -CRC Press, 1996.
22. ShamirA. How to share a secret // Comm. of the ACM, No. 22, 1979. - Pp. 612 - 613.
23. Pedersen T.P. Non-interactive and information-theoretic secure verifiable secret sharing // Advances in Cryptology, Proc. of CRYPTO’91. - Springer-Verlag, 1992. - Pp. 129 - 140.
В. М. Федоров, О. Б. Макаревич, Д. П.Рублев
Россия, г. Таганрог, ТРТУ
МЕТОД СТЕГАНОГРАФИИ В АУДИОСИГНАЛАХ И ИЗОБРАЖЕНИЯХ, УСТОЙЧИВЫЙ К КОМПРЕССИИ С ПОТЕРЯМИ
В последние годы в связи с широким распространением сетевых средств передачи мультимедийной информации, в частности, голосового трафика и видеопотоков актуальным является построение на их основе потоковых стегосистем. Однако применение стегосистем, использующих модификацию наименее значимых бит (НЗБ) исходных мультимедиа-данных ограничивается тем, что передача практически всех потоков мультимедиа-данных ведётся с применением того или иного метода сжатия, зачастую основанного на психофизиологической модели восприятия человека. В частности если рассматривать оцифрованную речь как один из наиболее распространённых источников мультимедиа-трафика, то в зависимости от области применения используется либо один из вариантов дифференциальной модуляции либо специализированные речевые кодеки. Использование множества НЗБ методов стеганографии в таком случае оказывается неэффективным и особую значимость приобретают методы стеганографии, позволяющие производить встраивание сообщений в перцептивно - значимые области, которые не подвергаются существенных искажениям при обработке современными кодеками.
Анализ литературы показывает практически полное отсутствие методов встраивания устойчивых к компрессии мультимедийных данных. Одним из преобразований, позволяющих осуществить подобное встраивание, является дискретное вейвлет-преобразование [1]. Как известно, набор вейвлетов в их временном или частотном представлении может приближать сложный сигнал или изображение, причем как идеально точно, так и с некоторой погрешностью. Вейвлеты имеют явные преимущества в представлении локальных особенностей функций и неявном учёте особенностей психофизиологической модели восприятия. Благодаря этому они широко используются для анализа особенностей, сжатия и реконструкции сложных сигналов. Покажем, что их применение при разработке метода стеганографии, ориентированного на достижение максимальной пропускной способности (скрытая передача и хранение информации) можно решить основные задачи