Способ формирования и проверки заверенного цифровым водяным знаком сообщения

Изобретение относится к области электросвязи и информационных технологий, а именно к технике защиты подлинности сообщений, таких как преобразованные к цифровому виду речевые, звуковые, музыкальные, телевизионные, факсимильные и т.п. сообщения. Под подлинным сообщением понимается такое сообщение, в котором отсутствуют неавторизованные изменения его содержания и идентифицирован его отправитель (автор). Неавторизованные изменения содержания и авторства сообщения может производить злоумышленник в процессе передачи и хранения сформированного отправителем сообщения. Задачей получателя сообщения является установление факта, что содержание принятого сообщения соответствует содержанию переданного отправителем сообщения и что автором принятого сообщения является именно данный отправитель. Техническим результатом, достигаемым при реализации заявленного технического решения, является разработка способа формирования и проверки заверенного цифровым водяным знаком сообщения, обеспечивающего повышение защищенности сообщения, заверенного цифровым водяным знаком отправителя, от преднамеренных действий злоумышленника по изменению содержания сообщения и его авторства.

Предлагаемый способ формирования и проверки заверенного цифровым водяным знаком сообщения может быть использован для установления подлинности речевых, звуковых, музыкальных, телевизионных, факсимильных и т.п. мультимедийных сообщений, передаваемых и хранимых в современных информационно-телекоммуникационных системах. Преобразованная отправителем к цифровому виду мультимедийная информация в процессе передачи и хранения легко может быть изменена злоумышленником и в измененном виде передана получателю. Такая стратегия действий злоумышленника называется атакой подмены сообщения. Также злоумышленник, не ожидая передачи законным отправителем сообщения, может заново сформировать ложное сообщение и от имени отправителя передать его получателю. Такая стратегия действий злоумышленника называется атакой имитации сообщения. Кроме того, злоумышленник может перехватить переданное законным отправителем сообщение и заменить в нем подпись отправителя на свою, присвоив себе право авторства данного сообщения. Такая стратегия действий злоумышленника называется атакой подмены авторства сообщения. Перечисленные действия злоумышленника легко реализуются над цифровыми мультимедийными сообщениями, используя общераспространенные аудио, видео, графические и иные редакторы. При этом получатель искаженной информации не может выявить факт искажения ее содержания и авторства. Поэтому для речевых, звуковых, музыкальных, телевизионных, факсимильных и т.п. сообщений, передаваемых по каналам связи или записанных на такие носители, как аудио- или видеокассеты, CD или DVD диски, дискеты и т.п., требуется устанавливать отсутствие в них преднамеренных искажений и их авторство.

Известны способы установления подлинности мультимедийных сообщений, записанных на аудио- или видеокассеты, CD диски и дискеты. Эти способы используют уникальные технологические признаки носителей. Например, подлинность сообщения устанавливаются, если устройство считывания обнаруживает на диске-носителе защищаемых сообщений в требуемом месте метку в виде сбойного сектора. Известные способы установления подлинности мультимедийных сообщений, записанных на аудио- или видеокассеты, CD диски и дискеты описаны, например, в книге: В.Жельников. Криптография от папируса до компьютера. - ABF, 1996, страница 218. Однако установление подлинности сообщений на основе использования уникальных технологических признаков носителей этих сообщений принципиально не способно установить отсутствие в этих сообщениях преднамеренных искажений и их авторство при их перезаписи с носителей, обладающих уникальными технологическими признаками, на носители, этих признаков не имеющих.

Поэтому способы установления подлинности мультимедийных сообщений целесообразно строить на основе встраивания в сами сообщения информации их аутентификации, не используя какую-либо привязку к уникальным технологическим или иным признакам носителей этих сообщений. Такие способы в последние годы разрабатываются в рамках стеганографических методов защиты информации и получили название способов формирования и проверки заверенного цифровым водяным знаком сообщения. Эти способы описаны, например, в книге: В.Г.Грибунин, И.Н.Оков, И.В.Туринцев. Цифровая стеганография. М.: Солон-Р, 2002, страница 6-17. Основная идея этих способов заключается во встраивании в заверяемое мультимедийное сообщение специальной метки - цифрового водяного знака (ЦВЗ) отправителя (автора) сообщения с использованием секретного ключа. Данный ЦВЗ является уникальным идентификатором отправителя и однозначно идентифицирует отправителя сообщения при извлечении получателем этого ЦВЗ из принятого сообщения с использованием секретного ключа. Факт извлечения этого ЦВЗ из принятого сообщения с использованием секретного ключа также позволяет получателю убедиться, что содержание заверенного данным водяным знаком сообщения не изменено и не сформировано в результате злоумышленных действий. По аналогии с водяными знаками, заверяющими подлинность денежных знаков на бумажном носителе, данные идентификаторы получили название цифровой водяной знак сообщения. Цифровые водяные знаки сообщений могут быть визуально воспринимаемыми, например, изображение зарегистрированного товарного знака фирмы-производителя или изображение лица отправителя, и визуально не воспринимаемыми, например, двоичная последовательность, зарегистрированная как персональный идентификационный номер (ПИН) отправителя мультимедийных сообщении.

Встраивание в заверяемое мультимедийное сообщение цифрового водяного знака отправителя возможно при использовании секретного ключа, неизвестного потенциальному злоумышленнику. На этапе проверки из принятого мультимедийного сообщения с использованием этого же секретного ключа извлекается цифровой водяной знак, который сличается с цифровым водяным знаком отправителя сообщений, и при их совпадении выносится решение об авторстве данного сообщения и отсутствии в нем искажений. Злоумышленник, которому известен цифровой водяной знак отправителя сообщения, но неизвестен его секретный ключ, не способен сформировать мультимедийное сообщение, заверенное цифровым водяным знаком данного отправителя, которое при проверке получатель признает подлинным.

Известные способы формирования и проверки заверенного цифровым водяным знаком сообщения описаны, например, в книге: Johnson N., Jajodia S. "Steganalysis of Images Created Using Current Steganographic Software".// Proceeding of the Workshop on Information Hiding, 1998. Они заключаются в предварительном формировании для отправителя и получателя двоичной последовательности цифрового водяного знака длиной 64 бита. Двоичная последовательность цифрового водяного знака является одной и той же для любых заверяемых отправителем мультимедийных сообщений. Для заверения у отправителя сообщения, начиная с первого отсчета, очередные отсчеты сообщения считывают в очередной блок отсчетов длиной 64 отсчета. Очередной блок отсчетов преобразовывают способом дискретного косинусного преобразования в 64 коэффициента дискретного косинусного преобразования. Значения коэффициентов округляют до целых значений. Начиная с первого и до последнего бита, считывают i-ый бит, где i=1, 2,...,64, двоичной последовательности цифрового водяного знака. Начиная с первого и до последнего коэффициента дискретного косинусного преобразования считывают очередной коэффициент, в котором его наименее значащий бит заменяют на i-ый бит двоичной последовательности цифрового водяного знака, преобразованное значение очередного коэффициента дискретного косинусного преобразования считывают в очередной выходной блок коэффициентов длиной 64 коэффициента. По заполнении очередного выходного блока коэффициентов его преобразуют способом обратного дискретного косинусного преобразования в 64 отсчета очередного блока заверенного сообщения, который передают получателю. Считывают очередные 64 отсчета сообщения и повторно считывают двоичную последовательность цифрового водяного знака и выполняют последующие за ним действия до тех пор, пока поступают очередные отсчеты сообщения. Для проверки подлинности принятого получателем сообщения, начиная с первого отсчета, принятые очередные отсчеты сообщения считывают в очередной блок принятых отсчетов длиной 64 отсчета. Очередной блок принятых отсчетов преобразовывают способом дискретного косинусного преобразования в 64 принятых коэффициента дискретного косинусного преобразования. Значения принятых коэффициентов округляют до целых значений. Начиная с первого и до последнего бита, считывают i-ый бит, где i=1, 2,...,64, двоичной последовательности цифрового водяного знака и, с первого и до последнего, принятый очередной коэффициент дискретного косинусного преобразования, в котором его наименее значащий бит сравнивают с i-ым битом двоичной последовательности цифрового водяного знака. Если все наименее значащие биты принятых очередных коэффициентов совпали с соответствующими i-ыми битами двоичной последовательности цифрового водяного знака, то очередной блок принятых отсчетов считают подлинным. Затем следующие принятые отсчеты сообщения считывают в очередной блок принятых отсчетов длиной 64 отсчета, после чего повторяют действия по проверке очередного блока принятых отсчетов до тех пор, пока поступают принятые очередные отсчеты сообщения.

В известных способах формирования и проверки заверенного цифровым водяным знаком сообщения замена наименее значащего бита очередных коэффициентов дискретного косинусного преобразования очередного блока отсчетов на i-ые биты двоичной последовательности цифрового водяного знака приводит к небольшому изменению значения очередных отсчетов сообщения данного блока. Если, например, заверенное цифровым водяным знаком сообщение является полутоновым изображением, то данные способы формирования и проверки заверенного цифровым водяным знаком сообщения приводят к сравнительно небольшим изменениям яркости каждого из 64 пикселов очередного блока изображения, что визуально малозаметно и практически не снижает качество изображения.

Недостатком известных способов формирования и проверки заверенного цифровым водяным знаком сообщения является низкая защищенность сообщения, заверенного цифровым водяным знаком отправителя, от преднамеренных действий злоумышленника по изменению содержания сообщения и его авторства.

При преднамеренном изменении содержания сообщения, заверенного цифровым водяным знаком отправителя, злоумышленник может изменить любые биты очередных коэффициентов дискретного косинусного преобразования очередных блоков отсчетов этого сообщения, кроме наименее значащих битов этих коэффициентов. Так как наименее значащие биты очередных коэффициентов дискретного косинусного преобразования очередных блоков отсчетов измененного сообщения не изменяются злоумышленником, то получатель измененного сообщения, выполняя описанные действия проверки, ошибочно признает принятое сообщение подлинным. Тем самым злоумышленник имеет возможность переделать сообщение, заверенное цифровым водяным знаком отправителя, в ложное сообщение. Следовательно, известные способы не обеспечивают защищенность сообщения, заверенного цифровым водяным знаком отправителя, к атаке подмены сообщения.

При другой стратегии действий злоумышленник, которому известно хотя бы одно произвольное сообщение, заверенное цифровым водяным знаком отправителя, может сформировать выгодное ему ложное сообщение, и наименее значащие биты очередных коэффициентов дискретного косинусного преобразования очередных блоков отсчетов этого сообщения заменить на соответствующие биты двоичной последовательности цифрового водяного знака законного отправителя. При проверке получателем подлинности принятого сообщения наименее значащие биты очередных коэффициентов дискретного косинусного преобразования очередных блоков отсчетов принятого сообщения совпадают с соответствующими битами двоичной последовательности цифрового водяного знака отправителя, то есть получатель принятое ложное сообщение будет ошибочно считать подлинным. Тем самым злоумышленник имеет возможность от имени отправителя успешно навязывать получателю произвольные ложные сообщения. Следовательно, известные способы не обеспечивают защищенность сообщения, заверенного цифровым водяным знаком отправителя, к атаке имитации сообщения.

При третьей стратегии действий злоумышленник может заменить наименее значащие биты очередных коэффициентов дискретного косинусного преобразования очередных блоков отсчетов сообщения, заверенного цифровым водяным знаком отправителя, на соответствующие биты двоичной последовательности своего цифрового водяного знака, при этом не изменяя другие биты очередных коэффициентов ДКП. Злоумышленник, как и законный отправитель, может являться таким же потенциальным автором сообщений в информационно-телекоммуникационной системе и в соответствии с известными способами предварительно для злоумышленника формируют уникальную двоичную последовательность его цифрового водяного знака. Получатель сообщения с измененным авторством, выполняя описанные в известных способах действия проверки с использованием двоичной последовательности цифрового водяного знака злоумышленника, ошибочно признает автором принятого сообщения злоумышленника. Тем самым злоумышленник способен присвоить себе авторство произвольного сообщения законного отправителя. Следовательно, известные способы не обеспечивают защищенность сообщения, заверенного цифровым водяным знаком отправителя, к атаке подмены авторства.

Наиболее близким по своей технической сущности к заявленному способу формирования и проверки заверенного цифровым водяным знаком сообщения является способ, описанный в патенте США 5613004 МПК⁶ Н 04 L 009/20 от 18.03.97. Способ - прототип формирования и проверки заверенного цифровым водяным знаком сообщения заключается в предварительном формировании для отправителя и получателя двоичной последовательности метки цифрового водяного знака длиной m бит, двоичной последовательности цифрового водяного знака длиной k бит и двоичной последовательности секретного ключа длиной k бит. Предварительно устанавливают число совпадений битов двоичной последовательности метки цифрового водяного знака и число совпадений битов двоичной последовательности цифрового водяного знака в нулевое значение. Для заверения у отправителя сообщения, начиная с первого и до m-го символа, считывают очередной бит двоичной последовательности метки цифрового водяного знака и двоичную последовательность очередного отсчета сообщения. В двоичной последовательности очередного отсчета сообщения младший бит заменяют на очередной бит двоичной последовательности метки цифрового водяного знака и преобразованную двоичную последовательность очередного отсчета сообщения передают получателю в качестве заверенной. После чего последовательно считывают i-ый, где i=1, 2,...,k, бит двоичной последовательности секретного ключа, i-ый бит двоичной последовательности цифрового водяного знака и двоичную последовательность очередного отсчета сообщения. Если i-ый бит двоичной последовательности секретного ключа принимает единичное значение, то младший бит двоичной последовательности очередного отсчета сообщения заменяют на i-ый бит двоичной последовательности цифрового водяного знака и преобразованную двоичную последовательность очередного отсчета сообщения передают получателю в качестве заверенной. Если i-ый бит двоичной последовательности секретного ключа принимает нулевое значение, двоичную последовательность очередного отсчета сообщения без изменения передают получателю в качестве заверенной. Затем повторно, начиная с первого и до m-го символа, считывают очередной бит двоичной последовательности метки цифрового водяного знака и двоичную последовательность очередного отсчета сообщения и выполняют последующие за ним действия до тех пор, пока поступают двоичные последовательности очередных отсчетов сообщения.

Для проверки подлинности принятого получателем сообщения считывают принятую двоичную последовательность очередного отсчета сообщения и, начиная с первого и до m-го символа, очередной бит двоичной последовательности метки цифрового водяного знака. Младший бит принятой двоичной последовательности очередного отсчета сообщения сравнивают с очередным битом двоичной последовательности метки цифрового водяного знака и при их совпадении число совпадений битов двоичной последовательности метки цифрового водяного знака увеличивают на единичное значение, иначе это число устанавливают в нулевое значение и считывают принятую двоичную последовательность очередного отсчета сообщения и повторно считывают, начиная с первого и до m-го символа, очередной бит двоичной последовательности метки цифрового водяного знака и выполняют последующие за ним действия. Если число совпадений битов двоичной последовательности метки цифрового водяного знака достигло значения m, то считывают принятую двоичную последовательность очередного отсчета сообщения и i-ый, где i=1, 2,...,k, бит двоичной последовательности секретного ключа и i-ый бит двоичной последовательности цифрового водяного знака. Если i-ый бит двоичной последовательности секретного ключа равен единичному значению, то младший бит принятой двоичной последовательности очередного отсчета сообщения сравнивают с i-ый битом двоичной последовательности цифрового водяного знака и при их совпадении число совпадений битов двоичной последовательности цифрового водяного знака увеличивают на единичное значение, после считывания k-го бита двоичной последовательности цифрового водяного знака число совпадений битов двоичной последовательности цифрового водяного знака сравнивают с числом единичных значений битов двоичной последовательности секретного ключа и при их равенстве принятые двоичные последовательности m+k очередных отсчетов сообщения считают подлинными, после чего повторяют действия по проверке подлинности очередной группы из m+k принятых очередных отсчетов сообщения до завершения приема всех отсчетов сообщения.

Недостатком прототипа заявленного способа формирования и проверки заверенного цифровым водяным знаком сообщения является низкая защищенность сообщения, заверенного цифровым водяным знаком отправителя, от преднамеренных действий злоумышленника по изменению содержания сообщения и его авторства. При преднамеренном изменении содержания сообщения, заверенного цифровым водяным знаком отправителя, злоумышленник может изменить любые биты, кроме младших битов, произвольного числа очередных отсчетов заверенного сообщения. Так как младшие биты очередных отсчетов измененного сообщения не изменяются злоумышленником, то получатель измененного сообщения, выполняя описанные действия проверки, ошибочно признает принятое сообщение подлинным. Тем самым злоумышленник имеет возможность переделать сообщение, заверенное цифровым водяным знаком отправителя, в ложное сообщение. Следовательно, прототип заявленного способа не обеспечивает защищенность сообщения, заверенного цифровым водяным знаком отправителя, к атаке подмены сообщения.

При другой стратегии действий злоумышленник, которому известна двоичная последовательность цифрового водяного знака отправителя, может сформировать ложное сообщение, состоящее из очередных отсчетов, и младшие биты двоичной последовательности очередных отсчетов ложного сообщения заменить на младшие биты двоичной последовательности очередных отсчетов сообщения, заверенного цифровым водяным знаком отправителя. Получатель такого ложного сообщения, выполняя описанные действия проверки, ошибочно признает принятое сообщение подлинным. Тем самым злоумышленник имеет возможность от имени отправителя успешно навязывать получателю произвольные ложные сообщения. Следовательно, прототип заявленного способа не обеспечивает защищенность сообщения, заверенного цифровым водяным знаком отправителя, к атаке имитации сообщения.

При третьей стратегии действий злоумышленник может заменить младшие биты двоичной последовательности очередных отсчетов сообщения, заверенного цифровым водяным знаком отправителя, на очередные биты двоичной последовательности своей метки цифрового водяного знака и очередные биты двоичной последовательности своего цифрового водяного знака. При этом злоумышленник сохраняет неизменными остальные биты двоичной последовательности очередных отсчетов сообщения, то есть содержание сообщения не меняется. Злоумышленник, как и законный отправитель, может являться таким же потенциальным автором сообщений в информационно-телекоммуникационной системе и в соответствии с прототипом заявляемого способа предварительно для злоумышленника формируют уникальные двоичную последовательность метки цифрового водяного знака длиной m бит, двоичную последовательность цифрового водяного знака длиной k бит и двоичную последовательность секретного ключа длиной k бит. Получатель сообщения с измененным авторством, выполняя описанные в способе-прототипе действия проверки с использованием двоичной последовательности метки цифрового водяного знака длиной m бит, двоичной последовательности цифрового водяного знака длиной k бит и двоичной последовательности секретного ключа длиной k бит злоумышленника, ошибочно признает автором принятого сообщения злоумышленника. Тем самым злоумышленник способен присвоить себе авторство произвольного сообщения законного отправителя. Следовательно, прототип заявленного способа не обеспечивает защищенность сообщения, заверенного цифровым водяным знаком отправителя, к атаке подмены авторства.

При всех описанных преднамеренных действиях злоумышленника ему не требуется знание двоичной последовательности секретного ключа длиной k бит.

Указанный недостаток прототипа заявленного способа формирования и проверки заверенного цифровым водяным знаком сообщения возник из-за того, что встраиваемая в сообщение двоичная последовательность цифрового водяного знака не зависит от самого заверяемого сообщения и двоичной последовательности секретного ключа.

Целью изобретения заявленного технического решения является разработка способа формирования и проверки заверенного цифровым водяным знаком сообщения, обеспечивающего повышение защищенности сообщения, заверенного цифровым водяным знаком отправителя, от преднамеренных действий злоумышленника по изменению содержания сообщения и его авторства.

Поставленная цель достигается тем, что в известном способе формирования и проверки заверенного цифровым водяным знаком сообщения, заключающемся в предварительном формировании для отправителя и получателя двоичной последовательности цифрового водяного знака длиной k бит и двоичной последовательности секретного ключа, заверяют у отправителя сообщение с использованием двоичных последовательностей цифрового водяного знака и секретного ключа. Передают заверенное сообщение получателю, где проверяют подлинность принятого сообщения с использованием двоичных последовательностей цифрового водяного знака и секретного ключа, дополнительно предварительно для отправителя и получателя формируют функцию хэширования с двоичным выходным значением и устанавливают минимально допустимое число K_min подлинных отсчетов сообщения в группе из k последовательно принятых. Минимально допустимое число K_min подлинных отсчетов сообщения в группе из k последовательно принятых устанавливают из условия , где Р_под - допустимая вероятность принятия подлинной группы из k очередных отсчетов сообщения, являющейся не подлинной.

Для заверения у отправителя сообщения последовательно считывают i-ый, где i =1, 2,...,k, бит двоичной последовательности цифрового водяного знака и двоичную последовательность очередного отсчета сообщения, которую хэшируют с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования. После чего сравнивают хэшированное значение с i-ый битом двоичной последовательности цифрового водяного знака и при их совпадении двоичную последовательность очередного отсчета сообщения передают получателю в качестве заверенной, а при несовпадении двоичную последовательность очередного отсчета сообщения последовательно преобразуют путем изменения ее младших битов. Для преобразования двоичной последовательности очередного отсчета сообщения путем изменения ее младших битов последовательно изменяют ее один, два, три и так далее наименее значащие биты. Затем после каждого преобразования преобразованную двоичную последовательность очередного отсчета сообщения хэшируют с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования, сравнивают хэшированное значение с i-ым битом двоичной последовательности цифрового водяного знака, причем преобразование двоичной последовательности очередного отсчета сообщения выполняют до совпадения хэшированного значения преобразованной двоичной последовательности очередного отсчета сообщения с i-ым битом двоичной последовательности цифрового водяного знака, после чего последнюю преобразованную двоичную последовательность очередного отсчета сообщения передают получателю в качестве заверенной. После заверения двоичной последовательности очередного отсчета сообщения с использованием k-го бита двоичной последовательности цифрового водяного знака повторно, начиная с первого и до k-го, считывают i-ый бит двоичной последовательности цифрового водяного знака, и двоичную последовательность очередного отсчета сообщения и выполняют последующие за ним действия до тех пор, пока поступают двоичные последовательности очередных отсчетов сообщения. У получателя сообщения предварительно из числа принимаемых двоичных последовательностей очередных отсчетов сообщения выделяют отсчет, соответствующий первому биту двоичной последовательности цифрового водяного знака у отправителя сообщения. Для выделения очередного отсчета сообщения, соответствующего первому биту двоичной последовательности цифрового водяного знака у отправителя сообщения, предварительно устанавливают максимально допустимое значение вероятности Р_ош ошибочного выделения этого отсчета, принятые получателем двоичные последовательности очередных отсчетов сообщения хэшируют с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования, хэшированные значения сравнивают последовательно с соответствующими, начиняя с первого, значениями битов двоичной последовательности цифрового водяного знака до достижения m их совпадений подряд, где , а действие означает округление значения -log₂P_ош до ближайшего целого, причем соответствующим первому биту двоичной последовательности цифрового водяного знака у отправителя сообщения принимают первый отсчет из k последовательно принятых двоичных последовательностей очередных отсчетов сообщения.

После чего для проверки подлинности принятого получателем сообщения последовательно принимают k двоичных последовательностей очередных отсчетов сообщения, хэшируют их с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования и каждое i-ое хэшированное значение сравнивают с i-ым битом двоичной последовательности цифрового водяного знака. Вычисляют число К_c хэшированных двоичных последовательностей очередных отсчетов сообщения из k принятых отсчетов, совпавших со значениями соответствующих им битов двоичной последовательности цифрового водяного знака, и при К_с≥К_min принятые k двоичные последовательности очередных отсчетов сообщения считают подлинными, после чего повторяют действия по проверке подлинности очередной группы из k двоичных последовательностей очередных отсчетов сообщения и так до завершения приема всех двоичных последовательностей очередных отсчетов сообщения.

Указанная новая совокупность выполняемых действий за счет непредсказуемой для злоумышленника зависимости всех битов двоичных последовательностей очередных отсчетов заверенного цифровым водяным знаком сообщения от соответствующих битов двоичной последовательности цифрового водяного знака длиной k бит и двоичной последовательности секретного ключа позволяет повысить защищенность сообщения, заверенного цифровым водяным знаком отправителя, к преднамеренным действиям злоумышленника по изменению содержания сообщения и его авторства. Данная непредсказуемость при неизвестной для злоумышленника двоичной последовательности секретного ключа обеспечивается хэшированием двоичной последовательности очередного отсчета сообщения с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования с двоичным выходным значением. Предварительно сформированная функция хэширования с двоичным выходным значением для злоумышленника неотличима от случайной функции, то есть вероятность правильного определения ее выходного значения при неизвестной для злоумышленника двоичной последовательности секретного ключа равна ½, то есть равна вероятности случайного угадывания.

Предварительно сформированная функция хэширования с двоичным выходным значением должна удовлетворять следующим требованиям:

1) Двоичное выходное значение функции хэширования в равной степени зависит от каждого бита двоичных последовательностей очередных отсчетов сообщения и каждого бита двоичной последовательности секретного ключа.

2) Зная описание функции хэширования и двоичные последовательности очередных отсчетов заверенного сообщения, злоумышленник не способен вычислить двоичную последовательность секретного ключа.

3) Зная описание функции хэширования, злоумышленник не способен правильно сформировать выходное значения функции хэширования с вероятностью существенно большей ½ для двоичных последовательностей очередных отсчетов выбранного сообщения, не зная двоичной последовательности секретного ключа.

При неизвестной злоумышленнику двоичной последовательности секретного ключа он не может в заверенном отправителем цифровым водяным знаком сообщении изменить очередные отсчеты сообщения так, чтобы получатель измененного сообщения, выполняя описанные действия проверки, ошибочно признал принятое сообщение подлинным. При изменении злоумышленником одного очередного отсчета заверенного сообщения вероятность того, что хэшированное значение двоичной последовательности измененного злоумышленником одного очередного отсчета сообщения совпадет с соответствующим битом двоичной последовательности цифрового водяного знака, равно ½. В группе из k последовательно принятых отсчетов сообщения для признания их подлинными должно совпасть не менее К_min хэшированных значений двоичных последовательностей измененных злоумышленником очередных отсчетов сообщения с соответствующими битами двоичной последовательности цифрового водяного знака. Следовательно, вероятность принятия подлинной группы из k очередных отсчетов сообщения, являющейся не подлинной, равна . Выбором соответствующего значения K_min можно обеспечить сколь угодно малую допустимую вероятность Р_доп при рассматриваемой атаке подмены сообщения. Например, при K_min=20 вероятность успешной атаки подмены сообщения не превышает одной миллионной: Р_доп≤2^-20. Поэтому указанная новая совокупность выполняемых действий позволяет повысить защищенность сообщения, заверенного цифровым водяным знаком отправителя, к атаке подмены сообщения.

Также при неизвестной злоумышленнику двоичной последовательности секретного ключа и известных одном или нескольких сообщениях, заверенных цифровым водяным знаком отправителя, злоумышленник не может заново сформировать не подлинное сообщение, состоящее из двоичных последовательностей очередных отсчетов так, чтобы получатель не подлинного сообщения, выполняя описанные действия проверки, ошибочно признал принятое сообщение подлинным. При формировании злоумышленником ложного сообщения длиной k очередных отсчетов вероятность того, что не менее К_min хэшированных значений двоичных последовательностей очередных отсчетов не подлинного сообщения совпадут с соответствующими битами двоичной последовательности цифрового водяного знака, равна . Следовательно, вероятность принятия подлинной группы из k очередных отсчетов сообщения, являющейся не подлинной, равна . Выбором соответствующего значения K_min можно обеспечить сколь угодно малую вероятность Р_доп при рассматриваемой атаке имитации сообщения. Например, при К_min=30 вероятность успешной атаки имитации сообщения не превышает одной миллиардной. Поэтому указанная новая совокупность выполняемых действий позволяет повысить защищенность сообщения, заверенного цифровым водяным знаком отправителя, к атаке имитации сообщения.

Также при неизвестной злоумышленнику двоичной последовательности секретного ключа и известном сообщении, заверенном цифровым водяным знаком отправителя, злоумышленник не может изменить авторство этого сообщения на свое. Пусть злоумышленник, как и отправитель, является таким же потенциальным автором сообщений и в соответствии с заявленным способом предварительно для злоумышленника могут формироваться уникальные двоичная последовательность цифрового водяного знака длиной k бит и двоичная последовательность секретного ключа. При изменении авторства сообщения злоумышленник в каждой двоичной последовательности очередного отсчета сообщении, заверенного цифровым водяным знаком отправителя, должен несколько наименее значащих битов, по которым получатель проверяет цифровой водяной знак отправителя, заменить на соответствующее число наименее значащих битов, в которые встраивается цифровой водяной знак злоумышленника. При этом заверенное сообщение искажается в нескольких наименее значащих битах двоичной последовательности каждого очередного отсчета сообщения. При этом качество речевого, звукового, музыкального, телевизионного, факсимильного и т.п. сообщения, передаваемого по каналу связи или записанного на такие носители, как аудио- или видеокассеты, CD или DVD диски, дискеты и т.п., становится существенно хуже. Целью злоумышленника в атаке подмены авторства является присвоение себе авторских и имущественных прав на сообщение при условии сохранения требуемого качества сообщения. Например, если злоумышленник заменил в записанном на видеокассете видеофильме фирменный товарный знак производителя на свой собственный, но при этом возникли шумы, явно воспринимаемые органами зрения и слуха зрителя, то присвоение авторства и тиражирование с целью продажи такой контрафактной продукции не имеет смысл. Поэтому указанная новая совокупность выполняемых действий позволяет повысить защищенность сообщения, заверенного цифровым водяным знаком отправителя, к атаке подмены авторства.

Проведенный заявителем анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа формирования и проверки заверенного цифровым водяным знаком сообщения, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "Новизна".

Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "Изобретательский уровень".

Заявленный способ поясняется фигурами, на которых показаны:

- на фигуре 1 - временные диаграммы формирования заверенного цифровым водяным знаком сообщения;

- на фигуре 2 - типовой пример результатов хэширования двоичных последовательностей очередных отсчетов сообщения с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования;

- на фигуре 3 - временные диаграммы проверки принятого сообщения, сдвинутого относительно заверенного цифровым водяным знаком сообщения;

- на фигуре 4 - временные диаграммы проверки принятого сообщения, засинхронизированного относительно заверенного цифровым водяным знаком сообщения;

- на фигуре 5 - графики, показывающие эффект заявляемого способа.

Реализация заявленного способа заключается в следующем.

Для защиты подлинности мультимедийных сообщений, передаваемым по современным информационно-телекоммуникационным сетям, в двоичные последовательности очередных отсчетов сообщений с использованием двоичной последовательности секретного ключа встраивается информация контроля подлинности, называемая цифровым водяным знаком сообщения. Вид двоичной последовательности секретного ключа показан на фигуре 1(а). Единичные значения битов на фигурах показаны в виде заштрихованных импульсов, нулевые значения битов - в виде не заштрихованных импульсов. К двоичной последовательности секретного ключа предъявляются требование невозможности его вычисления злоумышленниками, которым могут быть известны заверенные с его использованием сообщения. Вид двоичной последовательности цифрового водяного знака длиной k бит показан на фигуре 1(б). Двоичная последовательность цифрового водяного знака отправителя сообщения регистрируется как уникальный идентификатор отправителя сообщений и факт ее обнаружения в принятом сообщении с использованием секретного ключа отправителя в принятом сообщении однозначно свидетельствует об авторстве отправителя сообщений, которому принадлежит данный цифровой водяной знак, и отсутствии искажений в принятом сообщении. Двоичная последовательность цифрового водяного знака отправителя (автора) сообщений может быть общеизвестной.

Исходные сообщения, такие как речевые, звуковые, видео, факсимильные и т.п., вид которых показан на фигуре 1(в), до их заверения цифровым водяным знаком предварительно преобразуют к цифровому виду, например, методом импульсно-кодовой модуляции (ИКМ). Известные способы преобразования речевых, звуковых, видео, факсимильных и т.п. сообщений к цифровому виду описаны, например, в книге: А.Г.Зюко, Д.Д.Кловский, М.В.Назаров, Л.М.Финк "Теория передачи сигналов". - М.: Радио и связь, 1980, стр. 243. Известные способы преобразования могут выполнять в два этапа: сначала выполняют дискретизацию и квантование, а затем дискретизированный и квантованный сигнал преобразуют в двоичные последовательности очередных отсчетов сообщения.

Вид цифровых речевых, звуковых, видео, факсимильных и подобных им сообщений, дискретизированных с частотой дискретизации F=1/T, где Т есть интервал времени между очередными отсчетами, и квантованных на q уровней (q=256) показан на фигуре 1(г). Первый отсчет имеет значение, равное 179, второй отсчет - 185, k-ый отсчет - 180 и т.д. Вид двоичных последовательностей очередных отсчетов сообщения показан на фигуре 1(д). При q=256 двоичные последовательности очередных отсчетов сообщения состоят из 8 битов. Старший бит последовательности записывают первым (слева на фигуре 1(д), наименьший значащий бит записывают последним в последовательности (справа на фигуре 1(д).

Известные способы формирования и проверки заверенного цифровым водяным знаком сообщения побитно встраивают двоичную последовательность цифрового водяного знака в наименьшие значащие биты последовательности отсчетов сообщения, что описано, например, в книге: А.П.Романцев. Статистический метод выявления стеганографического скрытия информации в звуковых файлах: Материалы Международного форума информатизации МФИ-2000, - М.: ЗАО "Информсвязьиздат", 2000, с.203-204. Встраивание двоичной последовательности цифрового водяного знака в наименьшие значащие биты последовательности отсчетов речевых, звуковых, видео, факсимильных и подобных им сообщений практически не ухудшает качество заверяемых сообщений.

Злоумышленники могут пытаться разрушить встроенные в заверенные мультимедийные сообщение цифровые водяные знаки или сделать их не обнаруживаемыми способами проверки цифровых водяных знаков. Если злоумышленник сумел разрушить встроенный цифровой водяной знак или сделать его не обнаруживаемым, то он может выдать себя за законного автора такого мультимедийного сообщения.

Для определения номера отсчета сообщения, начиная с которого при проверке цифрового водяного знака необходимо начать извлечение двоичной последовательности цифрового водяного знака, в известных способах формирования цифрового водяного знака до встраивания собственно цифрового водяного знака в сообщение встраивается двоичная последовательность метки цифрового водяного знака. Если при проверке цифрового водяного знака в сообщении идентифицирована двоичная последовательность метки цифрового водяного знака, то однозначно определено начало встроенной в сообщение двоичной последовательности цифрового водяного знака.

Следовательно, если злоумышленником будут искажены отсчеты заверенного сообщения, в которые встроена двоичная последовательность метки цифрового водяного знака, то при проверке цифрового водяного знака метка не будет обнаружена и вследствие этого цифровой водяной знак не будет считан. Двоичная последовательность метки цифрового водяного знака обычно является общеизвестной, поэтому легко обнаруживается и искажается злоумышленником в заверенном сообщении. Повышение устойчивости к преднамеренным действиям злоумышленника может быть достигнуто, если не использовать специальную двоичную последовательность метки цифрового водяного знака и определять начало встроенной в сообщение двоичной последовательности цифрового водяного знака по самой двоичной последовательности цифрового водяного знака с использованием известного получателю двоичной последовательности секретного ключа.

Если будут искажены отсчеты заверенного сообщения, в которые встроена двоичная последовательность цифрового водяного знака, то в известных способах при проверке извлеченная из заверенного сообщения двоичная последовательность цифрового водяного знака не будет идентифицирована с двоичной последовательностью цифрового водяного знака автора (отправителя) сообщения, так как они требуют их совпадения с точностью до бита. Поэтому повышение устойчивости к преднамеренным действиям злоумышленника может быть достигнуто, если использовать цифровой водяной знак, который можно идентифицировать с цифровым водяным знаком автора (отправителя) сообщения при наличии искажений в одном или нескольких отсчетах заверенного сообщения.

В заявленном способе для обеспечения формирования и проверки заверенного цифровым водяным знаком сообщения, повышающего защищенность сообщения, заверенного цифровым водяным знаком законного отправителя, к преднамеренным действиям злоумышленника по изменению содержания сообщения и его авторства, реализуется следующая последовательность действий.

Предварительное формирование для отправителя и получателя двоичной последовательности цифрового водяного знака длиной k бит заключается в следующем. Выбирается уникальный цифровой водяной знак отправителя. Уникальную двоичную последовательность цифрового водяного знака длиной k бит отправителя формируют случайным выбором последовательности двоичных символов, описанным, например, в книге: Д. Кнут "Искусство программирования на ЭВМ". - М.: Мир, 1977, т.2, стр. 22. При случайном выборе двоичной последовательности цифрового водяного знака отправителя длиной 32 бита вероятность ее совпадения с двоичной последовательности цифрового водяного знака другого отправителя равна 2^-32≈10^-9, что практически достаточно для обеспечения неповторяемости цифровых водяных знаков большого числа отправителей.

Предварительное формирование для отправителя и получателя двоичной последовательности секретного ключа заключается в следующем. Двоичную последовательность секретного ключа формируют случайным выбором последовательности двоичных символов, описанным, например, в книге: Д.Кнут "Искусство программирования на ЭВМ". - М.: Мир, 1977, т.2, стр. 22. Длина двоичной последовательности секретного ключа должна быть не менее 64 бит, что описано, например, в книге книге М.Д.Смид, Д.К.Бранстед "Стандарт шифрования данных: Прошлое и будущее". ТИИЭР, 1988, - т.76, №5, стр. 45.

Предварительное формирование для отправителя и получателя функции хэширования с двоичным выходным значением заключается в следующем. Известные способы предварительного формирования функции хэширования описаны, например, в книге М.Д.Смид, Д.К.Бранстед "Стандарт шифрования данных: Прошлое и будущее". ТИИЭР, 1988, - т.76, №5, стр. 49. Они заключаются в формирования функции хэширования по секретному ключу, используя алгоритм шифрования данных DES в режиме обратной связи по шифртексту или в режиме обратной связи по выходу. Однако данные способы предварительного формирования функции хэширования формируют функции хэширования с выходным значением длиной 64 бита. Поэтому для предварительного формирования функции хэширования с двоичным выходным значением предлагается выходное значение длиной 64 бита функции хэширования, сформированной в известных способах, преобразовать вычислением по модулю 2. В результате этого преобразования четные выходные значения длиной 64 бита примут нулевые значения, а нечетные выходные значения длиной 64 бита примут единичные значения. Преобразование двоичной последовательности вычислением по модулю 2 описано, например, в книге Б.А.Калабеков "Микропроцессоры и их применение в системах передачи и обработки сигналов". - М.: Радио и связь, 1988, стр. 10.

Предварительное установление для отправителя и получателя минимально допустимого числа К_min подлинных отсчетов сообщения в группе из k последовательно принятых заключается в следующем. Минимально допустимое число К_min подлинных отсчетов сообщения в группе из k последовательно принятых устанавливают равным , где Р_под - допустимая вероятность принятия подлинной группы из k очередных отсчетов сообщения, являющейся не подлинной. Например, величину допустимой вероятности принятия подлинной группы из k очередных отсчетов сообщения, являющейся не подлинной, устанавливают равной Р_под=2^-32, что рекомендуется в книге Г.Симмонс "Обзор методов аутентификации информации". ТИИЭР, 1988, - т.76, №5, стр. 116. Следовательно, величину К_min целесообразно установить не менее 32.

Для заверения у отправителя сообщения с использованием двоичных последовательностей цифрового водяного знака длиной k бит и секретного ключа последовательно считывают i-ый, где i=1, 2,...,k, бит двоичной последовательности цифрового водяного знака и двоичную последовательность очередного отсчета сообщения. Известные способы последовательного считывания битов двоичной последовательности цифрового водяного знака и двоичной последовательности очередного отсчета сообщения описаны, например, в книге Б.А.Калабеков "Микропроцессоры и их применение в системах передачи и обработки сигналов". - М.: Радио и связь, 1988, стр. 70.

Считанную двоичную последовательность очередного отсчета сообщения хэшируют с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования. Для этого двоичную последовательность очередного отсчета сообщения шифруют по алгоритму шифрования данных DES в режиме обратной связи по шифртексту с использованием двоичной последовательности секретного ключа. Алгоритм шифрования данных DES в режиме обратной связи по шифртексту с использованием двоичной последовательности секретного ключа описан, например, в книге М.Д.Смид, Д.К.Бранстед "Стандарт шифрования данных: Прошлое и будущее". ТИИЭР, 1988, - т.76, №5, стр. 49. Затем выходное значение длиной 64 бита функции хэширования преобразуют вычислением по модулю 2. Преобразование выходного значения вычислением по модулю 2 описано, например, в книге Б.А.Калабеков "Микропроцессоры и их применение в системах передачи и обработки сигналов". - М.: Радио и связь, 1988, стр. 10. В результате этого преобразования хэшированное значение примет нулевое значение при четных выходных значениях длиной 64 бита, и примет единичное значение при нечетных выходных значениях длиной 64 бита.

На фигуре 2 показан типовой пример результатов хэширования двоичных последовательностей очередных отсчетов сообщения с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования. Двоичные последовательности очередных отсчетов сообщения, а также преобразованные двоичные последовательности очередных отсчетов сообщения соответствуют значениям очередных отсчетов сообщения от 0 до 255. Хэшированное значение двоичных последовательностей очередных отсчетов сообщения принимают нулевое или единичное значение с вероятностью, близкой к 1/2.

Затем сравнивают хэшированное значение двоичной последовательности очередного отсчета сообщения с i-ый битом двоичной последовательности цифрового водяного знака. Известные способы сравнения хэшированного значения двоичной последовательности очередного отсчета сообщения с i-ый битом двоичной последовательности цифрового водяного знака описаны, например, в книге: У.Питерсон, Э.Уэлдон "Коды, исправляющие ошибки". М.: Мир, 1976, стр. 52. Результатом сравнения может быть их совпадение или несовпадение. При совпадении хэшированного значения с i-ый битом двоичной последовательности цифрового водяного знака двоичную последовательность очередного отсчета сообщения передают получателю в качестве заверенной. Способы передачи получателю в качестве заверенной двоичной последовательности очередного отсчета сообщения известны и описаны, например, в книге: А.Г.Зюко, Д.Д.Кловский, М.В.Назаров, Л.М.Финк "Теория передачи сигналов". - М.: Радио и связь, 1986, стр. 11.

Пример полученных хэшированых значений показан на фигуре 1(е). Пусть при хэшировании двоичной последовательности первого отсчета сообщения сформировано единичное хэшированное значение. Оно сравнивается со значением первого бита двоичной последовательности цифрового водяного знака и при их совпадении двоичную последовательность первого отсчета сообщения передают получателю в качестве заверенной двоичной последовательности первого отсчета сообщения. Пример заверенных двоичных последовательностей очередных отсчетов сообщения показан на фигуре 1(л).

При несовпадении двоичную последовательность очередного отсчета сообщения последовательно преобразуют путем изменения ее младших битов. Для преобразования двоичной последовательности очередного отсчета сообщения путем изменения ее младших битов последовательно изменяют ее один, два, три и так далее наименее значащие биты. Последовательное изменение одного, двух, трех и так далее наименее значащих битов двоичной последовательности очередного отсчета сообщения может быть выполнено последовательным инвертированием одного, двух, трех и так далее наименее значащих битов данной двоичной последовательности. Известные способы инвертированием одного, двух, трех и так далее наименее значащих битов двоичной последовательности очередного отсчета сообщения описаны, например, в книге Б.А.Калабеков "Микропроцессоры и их применение в системах передачи и обработки сигналов". - М.: Радио и связь, 1988, стр. 19.

После каждого преобразования преобразованную двоичную последовательность очередного отсчета сообщения хэшируют с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования, сравнивают хэшированное значение с i-ым битом двоичной последовательности цифрового водяного знака, причем преобразование двоичной последовательности очередного отсчета сообщения выполняют до совпадения хэшированного значения преобразованной двоичной последовательности очередного отсчета сообщения с i-ым битом двоичной последовательности цифрового водяного знака, после чего последнюю преобразованную двоичную последовательность очередного отсчета сообщения передают получателю в качестве заверенной.

Для хэширования с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования преобразованную двоичную последовательность очередного отсчета сообщения шифруют по алгоритму шифрования данных DES в режиме обратной связи по шифртексту с использованием двоичной последовательности секретного ключа. Алгоритм шифрования данных DES в режиме обратной связи по шифртексту с использованием двоичной последовательности секретного ключа описан, например, в книге М.Д.Смид, Д.К.Бранстед "Стандарт шифрования данных: Прошлое и будущее". ТИИЭР, 1988, - т.76, №5, стр. 49. Затем выходное значение длиной 64 бита функции хэширования преобразуют вычислением по модулю 2. В результате этого преобразования хэшированное значение примет нулевое значение при четных выходных значениях длиной 64 бита, и примет единичное значение при нечетных выходных значениях длиной 64 бита.

Затем сравнивают хэшированное значение преобразованной двоичной последовательности очередного отсчета сообщения с i-ый битом двоичной последовательности цифрового водяного знака. Известные способы сравнения хэшированного значения с i-ый битом двоичной последовательности цифрового водяного знака описаны, например, в книге: У.Питерсон, Э.Уэлдон "Коды, исправляющие ошибки". М.: Мир, 1976, стр. 52. При совпадении хэшированного значения с i-ый битом двоичной последовательности цифрового водяного знака последнюю преобразованную двоичную последовательность очередного отсчета сообщения передают получателю в качестве заверенной, иначе продолжают преобразование двоичной последовательности очередного отсчета сообщения. Способы передачи получателю в качестве заверенной преобразованной двоичной последовательности очередного отсчета сообщения известны и описаны, например, в книге: А.Г.Зюко, Д.Д.Кловский, М.В.Назаров, Л.М.Финк "Теория передачи сигналов". - М.: Радио и связь, 1986, стр. 11.

Пример полученных хэшированых значений показан на фигуре 1(е). Пусть, как показано на фигуре 1(е), при хэшировании двоичной последовательности второго отсчета сообщения сформировано единичное хэшированное значение. Оно не совпадает со значением второго бита двоичной последовательности цифрового водяного знака. Поэтому двоичную последовательность второго отсчета сообщения последовательно преобразуют. Для этого единичное значение наименее значащего бит двоичной последовательности второго отсчета сообщения изменяют на нулевое значение, как показано на фигуре 1(ж). Хэшированное значение преобразованной двоичной последовательности второго отсчета сообщения является нулевым, то есть совпадает со вторым битом двоичной последовательности цифрового водяного знака. Затем преобразованную двоичную последовательность второго отсчета сообщения передают получателю в качестве заверенной преобразованной двоичной последовательности второго отсчета сообщения.

Пусть, как показано на фигуре 1(е), при хэшировании двоичной последовательности k-го отсчета сообщения сформировано нулевое хэшированное значение. Оно не совпадает со значением k-го бита двоичной последовательности цифрового водяного знака. Поэтому двоичную последовательность k-го отсчета сообщения последовательно преобразуют. Для этого нулевое значение наименее значащего бит двоичной последовательности k-ro отсчета сообщения изменяют на единичное значение, как показано на фигуре 1(ж). Хэшированное значение преобразованной двоичной последовательности k-го отсчета сообщения является нулевым, то есть снова не совпадает с k-ым битом двоичной последовательности цифрового водяного знака. Затем нулевое значение предпоследнего (по фигуре 1(д)) значащего бита двоичной последовательности k-го отсчета сообщения изменяют на единичное значение, как показано на фигуре 1(и). Хэшированное значение преобразованной таким образом двоичной последовательности k-го отсчета сообщения является единичным, то есть совпадает с k-ым битом двоичной последовательности цифрового водяного знака. Затем последнюю преобразованную двоичную последовательности k-го отсчета сообщения передают получателю в качестве заверенной.

Вероятность несовпадения хэшированного значения двоичной последовательности очередного отсчета сообщения с i-ым битом двоичной последовательности цифрового водяного знака равна ½. После преобразования двоичной последовательности очередного отсчета сообщения изменением ее одного наименее значащего бита вероятность несовпадения хэшированного значения преобразованной двоичной последовательности очередного отсчета сообщения с i-ым битом двоичной последовательности цифрового водяного знака равна 1/4. После последовательного изменения одного, двух, трех и так далее наименее значащих битов двоичной последовательности очередного отсчета сообщения преобразования двоичной последовательности очередного отсчета сообщения вероятность несовпадения хэшированного значения преобразованной двоичной последовательности очередного отсчета сообщения с i-ым битом двоичной последовательности цифрового водяного знака равна 2^-η-1, где η - число последовательно измененных наименее значащих битов двоичной последовательности очередного отсчета сообщения. Выбирая соответствующее значение числа η, можно практически гарантировать совпадение хэшированного значения преобразованной двоичной последовательности очередного отсчета сообщения с i-ым битом двоичной последовательности цифрового водяного знака.

После заверения двоичной последовательности очередного отсчета сообщения с использованием k-го бита двоичной последовательности цифрового водяного знака повторно, начиная с первого и до k-го, считывают i-ый бит двоичной последовательности цифрового водяного знака, и двоичную последовательность очередного отсчета сообщения и выполняют последующие за ним действия до тех пор, пока поступают двоичные последовательности очередных отсчетов сообщения. Число двоичных последовательностей очередных отсчетов сообщения может быть произвольно большим. С ростом ее длины пропорционально растет и число очередных групп из k двоичных последовательностей очередных отсчетов сообщения, в каждой из которых получателем производится проверка подлинности принятого сообщения. Следовательно, чем длиннее сообщение, тем сложнее злоумышленнику изменить его содержание или авторство. Если злоумышленник разделит заверенное сообщение на несколько частей, то благодаря заверению отправителем каждой очередной группы из k двоичных последовательностей очередных отсчетов сообщения получатель любой части заверенного сообщения длиной не менее k двоичных последовательностей очередных отсчетов способен выполнить проверку ее подлинности. Так как величина k составляет не более десятков двоичных последовательностей, то злоумышленник практически не способен разделить заверенное сообщение на части, длиной менее k двоичных последовательностей очередных отсчетов, из-за того, что такие короткие фрагменты речевых, звуковых, музыкальных, телевизионных, факсимильных и т.п. сообщений не несут значимой информации для их потенциальных получателей.

У получателя сообщения предварительно из числа принимаемых двоичных последовательностей очередных отсчетов сообщения выделяют отсчет, соответствующий первому биту двоичной последовательности цифрового водяного знака у отправителя сообщения. Для выделения очередного отсчета сообщения, соответствующего первому биту двоичной последовательности цифрового водяного знака у отправителя сообщения, предварительно устанавливают максимально допустимое значение вероятности Р_ош ошибочного выделения этого отсчета. Значение вероятности Р_ош может быть установлено, например, порядка 10^-1...10^-2. Если в результате ошибок канала передачи или преднамеренных искажений заверенного сообщения злоумышленником получатель не сможет выделить отсчет, соответствующий первому биту двоичной последовательности цифрового водяного знака у отправителя сообщения в очередной группе из k двоичных последовательностей очередных отсчетов сообщения, то получатель будет искать требуемый отсчет в следующей группе из k двоичных последовательностей очередных отсчетов сообщения и так до тех пор, пока требуемый отсчет не будет выделен. Вероятность невыделения требуемого отсчета в β последовательных группах из k двоичных последовательностей очередных отсчетов сообщения равна P^β _ош. Так как с ростом числа β вероятность Р^β _ош очень быстро приближается к нулю, то обеспечивается гарантированное выделение получателем очередного отсчета сообщения, соответствующего первому биту двоичной последовательности цифрового водяного знака у отправителя сообщения на длине не более β нескольких последовательных групп из k двоичных последовательностей очередных отсчетов сообщения.

Принятые получателем двоичные последовательности очередных отсчетов сообщения хэшируют с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования. Для хэширования с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования принятую двоичную последовательность очередного отсчета сообщения шифруют по алгоритму шифрования данных DES в режиме обратной связи по шифртексту с использованием двоичной последовательности секретного ключа. Алгоритм шифрования данных DES в режиме обратной связи по шифртексту с использованием двоичной последовательности секретного ключа описан, например, в книге М.Д.Смид, Д.К.Бранстед "Стандарт шифрования данных: Прошлое и будущее". ТИИЭР, 1988, - т.76, №5, стр. 49. Затем выходное значение длиной 64 бита функции хэширования преобразуют вычислением по модулю 2.

Хэшированные значения принятых двоичных последовательностей очередных отсчетов сообщения сравнивают последовательно с соответствующими, начиняя с первого, значениями битов двоичной последовательности цифрового водяного знака до достижения m их совпадений подряд, где , a действие означает округление значения -log₂P_ош до ближайшего целого, причем соответствующим первому биту двоичной последовательности цифрового водяного знака у отправителя сообщения, принимают первый отсчет из m последовательно принятых двоичных последовательностей очередных отсчетов сообщения. Известные способы сравнения хэшированного значения принятой двоичной последовательности очередного отсчета сообщения с i-ый битом двоичной последовательности цифрового водяного знака описаны, например, в книге: У.Питерсон, Э.Уэлдон "Коды, исправляющие ошибки". М.: Мир, 1976, стр. 52.

Затем для проверки подлинности принятого получателем сообщения последовательно принимают k двоичных последовательностей очередных отсчетов сообщения. Известные способы последовательного приема k двоичных последовательностей очередных отсчетов сообщения описаны, например, в книге У.Питерсон, Э.Уэлдон "Коды, исправляющие ошибки". - М.: Мир, 1976, стр. 11.

Принятые двоичные последовательности очередных отсчетов сообщения хэшируют с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования. Для хэширования с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования принятую двоичную последовательность очередного отсчета сообщения шифруют по алгоритму шифрования данных DES в режиме обратной связи по шифртексту с использованием двоичной последовательности секретного ключа. Алгоритм шифрования данных DES в режиме обратной связи по шифртексту с использованием двоичной последовательности секретного ключа описан, например, в книге М.Д.Смид, Д.К.Бранстед "Стандарт шифрования данных: Прошлое и будущее". ТИИЭР, 1988, - т.76, №5, стр. 49. Затем выходное значение длиной 64 бита функции хэширования преобразуют вычислением по модулю 2.

Каждое i-ое хэшированное значение принятой двоичной последовательности очередного отсчета сообщения сравнивают с i-ым битом двоичной последовательности цифрового водяного знака. Известные способы сравнения каждого i-ого хэшированного значения с i-ый битом двоичной последовательности цифрового водяного знака описаны, например, в книге: У.Питерсон, Э.Уэлдон "Коды, исправляющие ошибки". - М.: Мир, 1976, стр. 52. Результатом сравнения значений может быть их совпадение или несовпадение.

Вычисляют число К_с хэшированных двоичных последовательностей очередных отсчетов сообщения из k принятых отсчетов, совпавших со значениями соответствующих им битов двоичной последовательности цифрового водяного знака. Число К_c вычисляют как арифметическую сумму случаев совпадения хэшированных двоичных последовательностей очередных отсчетов сообщения из k принятых отсчетов со значениями соответствующих им битов двоичной последовательности цифрового водяного знака. Вычисленное значение К_c может находиться в пределах от нулевого значения до k включительно.

При выполнении условия К_c≥К_min принятые k двоичные последовательности очередных отсчетов сообщения считают подлинными. При невыполнении данного неравенства подлинность принятых k двоичных последовательностей не подтверждается.

Пусть, как показано на фигуре 4(е), проверяется подлинность принятых k двоичных последовательностей очередных отсчетов сообщения. Хэшированное значение принятой двоичной последовательности первого отсчета сообщения, показанное на фигуре 4(ж), совпадает со значением первого бита двоичной последовательности цифрового водяного знака, поэтому число К_с устанавливается в единичное значение: К_c=1, как показано на фигуре 4(з).

Аналогично обрабатываются следующие k-1 принятые двоичные последовательности очередных отсчетов сообщения. Пусть, как показано на фигуре 4(з), после приема k двоичных последовательностей очередных отсчетов сообщения выполняется условие К_c≥К_min. Поэтому принятые k двоичные последовательности очередных отсчетов сообщения считают подлинными, как показано на фигуре 4(и).

Затем повторяют действия по проверке подлинности очередной группы из k двоичных последовательностей очередных отсчетов сообщения и так до завершения приема всех двоичных последовательностей очередных отсчетов сообщения. Если при проверке подлинности все принятые k двоичные последовательности очередных отсчетов сообщения признаны подлинными, то все принятое сообщение считают подлинным.

Проверка теоретических предпосылок заявленного способа формирования и проверки заверенного цифровым водяным знаком сообщения проверялась путем его аналитических исследований.

Вероятность принятия подлинной группы из k очередных отсчетов сообщения, являющихся подлинной, равна . На фигуре 5 показана зависимость P_неподл от значения К_min. Из фигуры 5 видно, что минимально допустимое число К_min должно быть установлено таким, чтобы выполнялось соотношение P_неподл≤P_доп.

Проведенные исследования подтверждают, что при использовании предлагаемого способа формирования и проверки заверенного цифровым водяным знаком сообщения обеспечивается повышение его защищенности к преднамеренным действиям злоумышленников по изменению содержания сообщения и его авторства.

1. Способ формирования и проверки заверенного цифровым водяным знаком сообщения, заключающийся в том, что предварительно для отправителя и получателя формируют двоичную последовательность цифрового водяного знака длиной k бит и двоичную последовательность секретного ключа, заверяют у отправителя сообщение с использованием двоичных последовательностей цифрового водяного знака и секретного ключа, передают заверенное сообщение получателю, где проверяют подлинность принятого сообщения с использованием двоичных последовательностей цифрового водяного знака и секретного ключа, отличающийся тем, что дополнительно предварительно для отправителя и получателя формируют функцию хэширования с двоичным выходным значением и устанавливают минимально допустимое число K_min подлинных отсчетов сообщения в группе из k последовательно принятых, для заверения у отправителя сообщения последовательно считывают i-й, где i=1, 2,...,k, бит двоичной последовательности цифрового водяного знака и двоичную последовательность очередного отсчета сообщения, которую хэшируют с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования, после чего сравнивают хэшированное значение с i-м битом двоичной последовательности цифрового водяного знака и при их совпадении двоичную последовательность очередного отсчета сообщения передают получателю в качестве заверенной, а при несовпадении двоичную последовательность очередного отсчета сообщения последовательно преобразуют путем изменения ее младших битов, затем после каждого преобразования преобразованную двоичную последовательность очередного отсчета сообщения хэшируют с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования, сравнивают хэшированное значение с i-м битом двоичной последовательности цифрового водяного знака, причем преобразование двоичной последовательности очередного отсчета сообщения выполняют до совпадения хэшированного значения преобразованной двоичной последовательности очередного отсчета сообщения с i-м битом двоичной последовательности цифрового водяного знака, после чего последнюю преобразованную двоичную последовательность очередного отсчета сообщения передают получателю в качестве заверенной, а после заверения двоичной последовательности очередного отсчета сообщения с использованием k-го бита двоичной последовательности цифрового водяного знака повторно, начиная с первого и до k-го, считывают i-й бит двоичной последовательности цифрового водяного знака и двоичную последовательность очередного отсчета сообщения и выполняют последующие за ним действия до тех пор, пока поступают двоичные последовательности очередных отсчетов сообщения, а у получателя сообщения предварительно из числа принимаемых двоичных последовательностей очередных отсчетов сообщения выделяют отсчет, соответствующий первому биту двоичной последовательности цифрового водяного знака у отправителя сообщения, после чего для проверки подлинности принятого получателем сообщения последовательно принимают k двоичных последовательностей очередных отсчетов сообщения, хэшируют их с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования и каждое i-e хэшированное значение сравнивают с i-м битом двоичной последовательности цифрового водяного знака, вычисляют число К_c хэшированных двоичных последовательностей очередных отсчетов сообщения из k принятых отсчетов, совпавших со значениями соответствующих им битов двоичной последовательности цифрового водяного знака, и при К_c≥К_min принятые k двоичные последовательности очередных отсчетов сообщения считают подлинными, после чего повторяют действия по проверке подлинности очередной группы из k двоичных последовательностей очередных отсчетов сообщения и так до завершения приема всех двоичных последовательностей очередных отсчетов сообщения.

2. Способ по п.1, отличающийся тем, что для преобразования двоичной последовательности очередного отсчета сообщения путем изменения ее младших битов последовательно изменяют ее один, два, три и так далее наименее значащие биты.

3. Способ по п.1, отличающийся тем, что минимально допустимое число K_min подлинных отсчетов сообщения в группе из k последовательно принятых устанавливают из условия , где P_под - допустимая вероятность принятия подлинной группы из k очередных отсчетов сообщения, являющейся не подлинной.

4. Способ по п.1, отличающийся тем, что для выделения очередного отсчета сообщения, соответствующего первому биту двоичной последовательности цифрового водяного знака у отправителя сообщения, предварительно устанавливают максимально допустимое значение вероятности Р_ош ошибочного выделения этого отсчета, принятые получателем двоичные последовательности очередных отсчетов сообщения хэшируют с использованием двоичной последовательности секретного ключа по предварительно сформированной функции хэширования, хэшированные значения сравнивают последовательно с соответствующими, начиняя с первого, значениями битов двоичной последовательности цифрового водяного знака до достижения m их совпадений подряд, где а действие означает округление значения -log₂P_ош до ближайшего целого, причем соответствующим первому биту двоичной последовательности цифрового водяного знака у отправителя сообщения принимают первый отсчет из k последовательно принятых двоичных последовательностей очередных отсчетов сообщения.