LINUX.ORG.RU

Стеганографический веб-сервис DarkJPEG

 , ,


4

0

В рамках проекта DarkJPEG разработан стеганографический веб-сервис нового поколения, позволяющий скрывать конфиденциальную информацию в виде незаметного шума в JPEG-изображениях, при этом выделить данную информацию можно только зная заданный при кодировании секретный ключ-пароль.

Проект разработан с целью реализации свободы информации людьми в тех странах, которые нарушают права человека, вводя цензуру средств информации или законодательно запрещая использование криптографии.

Сервис использует стойкие методы стеганографии для сокрытия самого факта сокрытия информации вместе со стойкими методами криптографии для защиты данных, передаваемых по открытым каналам, от компрометации (факта доступа посторонних лиц). Исходные тексты проекта распространяются в рамках лицензии MIT.

Основные особенности:

  • Использование SHA3 для генерации ключей;
  • Симметричное шифрование AES-256;
  • JPEG (DCT LSB) стеганография;
  • Поддержка RarJPEG и двойного сокрытия;
  • Подбор случайного контейнера;
  • Вычисления без участия сервера;
  • Гарантия полной конфиденциальности.

>>> Главная страница сервиса

★★★★★

Проверено: tazhate ()

На главную переехало отсюда по инициативе tazhate. По ссылке описание многих важных деталей, FAQ по пользованию и ответы на вопросы автором проекта, которые крайне желательно прочитать перед тем как писать как оно не нужно.

mix_mix ★★★★★
() автор топика

новость хорошая. но...

в тех странах, которые нарушают права человека, вводя цензуру средств информации

это же абсолютно все страны мира.

anonymous
()

Основная проблема сервиса - нельзя свою картинку задать. Без этого получается не стеганография, а пародия. На вопрос «зачем ты передал эту картинку Васе» не будет адекватного ответа, значит можно подозревать шифр. А если передаешь фотки с последней пьянки или какой-нибудь смешной демотиватор - всегда будет логичное объяснение.

ForwardToMars
()

Этот веб-сервис отправляет информацию, подлежащую шифрованию, в АНБ до того как обработает или во время? В таком виде не особо нужно.

yaroslav
()
Ответ на: комментарий от ForwardToMars

Основная проблема сервиса - нельзя свою картинку задать.

Народ, я же не просто так написал просьбу читать предыдущий тред перед тем как сокрушаться и писать вещи, не соответствующие действительности.
Стеганографический веб-сервис DarkJPEG
Стеганографический веб-сервис DarkJPEG (комментарий)
Стеганографический веб-сервис DarkJPEG (комментарий)

есть три типа контейнера: рандомый, градиент и пользовательский, первый подбирает подходящую по размерам рандомную картинку с викимедии, второй используется при невозможности первого (например, нет интернета), третий позволяет использовать любую указанную пользователем картинку, загружаемую с локальной ФС;

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от loz

Какие ограничения на размер полезной информации?

В случае steg метода до 20% используемого контейнера (т.е. до двух мегабайт с картинками с викимедии, до пяти с градиентами), с join методом объём ограничен лишь здравым смыслом.

mix_mix ★★★★★
() автор топика

Криптопаранойя! Ааа

annulen ★★★★★
()
Ответ на: комментарий от mix_mix

Прошу прощения, ошибся. Действительно можно, работает. Интерфейс красивый, но для меня оказался не интуитивным.

ForwardToMars
()

Проект разработан с целью реализации свободы информации людьми в тех странах, которые нарушают права человека

Теперь пендостану точно капец!

Rodegast ★★★★★
()
Ответ на: комментарий от Knigochey

Ждём закона о запрете жепегов.

Ждём запрета стёганых жпегов в аватарках на лоре.

anonymous
()
Ответ на: комментарий от Knigochey

Ждём закона о запрете жепегов.

Лорчую, пора закопать жпег, гиф и флэш, а использующих их динозавров наказывать паяльником.

MiniRoboDancer ★☆
()
Ответ на: комментарий от cdshines

Почему ты уверен, что это именно так?
Почему ты уверен, что так будет всегда?
Почему ты думаешь, что заметишь это?
Почему ты думаешь, что заметишь вообще что-либо подозрительное с их стороны?
Зачем это нужно, если локально можно делать всё и так, без веб-сервисов?

Deleted
()
Ответ на: комментарий от Deleted

Почему ты уверен, что это именно так?
Почему ты думаешь, что заметишь вообще что-либо подозрительное с их стороны?

https://github.com/darkjpeg/darkjpeg.github.io/tree/master/source

Почему ты уверен, что так будет всегда?
Почему ты думаешь, что заметишь это?

https://github.com/darkjpeg/darkjpeg.github.io/commits/master

Зачем это нужно, если локально можно делать всё и так, без веб-сервисов?

Ну расскажите мне как вы будете это делать на машине без рутовых прав и gcc или вообще под какой-нибудь макосью/оффтопиком.

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от mix_mix

Ты прямо на живом сервисе исходники смотреть задумал? Там может лежать что угодно, а на сервере — что-то другое. Плюс man обфускация.

Ну расскажите мне как вы будете это делать на машине без рутовых прав и gcc или вообще под какой-нибудь макосью/оффтопиком.

Ты параноик, но у тебя нет софта и его неоткуда взять? Значит ты недостаточно параноидален и это всё тебе не нужно.

Deleted
()
Ответ на: комментарий от Deleted

Ты прямо на живом сервисе исходники смотреть задумал?

Да.

Там может лежать что угодно, а на сервере — что-то другое.

man Github Pages — всё берётся напрямую из той самой репы сервером, который умеет только в статичные html-странички.

Плюс man обфускация.

git clone && make && diff

Ты параноик, но у тебя нет софта и его неоткуда взять?

Этот сервис как раз именно для того, чтобы не было необходимости в конпелянии и консоли. Юзабилити же, ну.

mix_mix ★★★★★
() автор топика
Последнее исправление: mix_mix (всего исправлений: 1)
Ответ на: комментарий от Deleted

Потому что это ПО с ОИК. Если ты настолько параноик, насколько позер, то ты будешь проверять тот гитхаб перед каждым использованием. Вопрос «Зачем это нужно» не имеет отношения к безопасности.

cdshines ★★★★★
()
Ответ на: комментарий от mix_mix

юзабилити

О каком тут юзабилити можно говорить, когда ты вмешиваешь в что-то секретное третью сторону?

Github Pages

Теперь мы доверяем ещё и четвёртой стороне :}

Deleted
()

quote Каким это образом, если всё исполняется в его собственной песочнице, нет толком доступа к ФС, внешним инернет-ресурсам и прочим пользовательским данным, кроме запроса и IP, которые могут быть обезопасены тем же TOR?

Это вы про ТОР инструментарий или таки про обычный браузер?

как вы будете это делать на машине без рутовых прав и gcc или вообще под какой-нибудь макосью/оффтопиком

Если про ТОР, то значит на этой гипотетической машине он должен стоять?

Umberto ★☆
()
Последнее исправление: Umberto (всего исправлений: 1)
Ответ на: комментарий от yaspol

А чем это лучше http://mozaiq.org/encrypt ?

  • Там — только текст, здесь — любой файл;
  • Там — жесткие ограничения на размер, здесь — нет никаких;
  • Там — вычисления на непонятном сервере, здесь — всё на клиенте;
  • Там — жуткие тормоза, здесь — всё летает;
  • Там — проприетарщина, здесь — MIT License и репа на гитхабе.

Стоит продолжать?

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от Deleted

О каком тут юзабилити можно говорить, когда ты вмешиваешь в что-то секретное третью сторону?

Это какую такую третью? Код загружается напрямую из репы и дальше не вылезает за пределы вкладки браузера.

Теперь мы доверяем ещё и четвёртой стороне :}

Никто мешает сохранить репу и открывать через file:///home/.../darkjpeg/index.html

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от Umberto

Это вы про ТОР инструментарий или таки про обычный браузер?

Про обычный. Вы недооцениваете сколько людьми сделано для безопасности в браузерах.

Если про ТОР, то значит на этой гипотетической машине он должен стоять?

Есть TOR Browser Bundle.

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от Deathstalker

Там — HTTPS, здесь — JavaScript.

Лол, ну и с что с того, что там https? Вы дальше за данными проследить сможете, после того как протокол выполнит свою роль по доставке запроса?

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от Deathstalker

Тем самым обеспечивается защита этих передаваемых данных.

Ну офигеть теперь, а что дальше с ними делается? Сохраняются они на сервере вместе с голым шифротекстом, передаются в АНВ?

защита этих передаваемых данных

Так здесь вообще ничего никуда не передаётся. Сюрприз!

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от mix_mix

Ну как это ничего не передаётся? Я же открываю страничку и что-то вижу. И скрипты, скрипты ведь передаются. Вам тоже нужен HTTPS.

Deathstalker ★★★★★
()
Ответ на: комментарий от mix_mix

в его собственной песочнице, нет толком доступа к ФС, внешним инернет-ресурсам и прочим пользовательским данным, кроме запроса и IP

Про обычный. Вы недооцениваете сколько людьми сделано для безопасности в браузерах.

и дальше не вылезает за пределы вкладки браузера.

Ох лол.

Тут некоторые под никсами пишут правила для SeLinux, чтоб хоть как-то держать в узде браузер/скайп/etc. и это ещё не тот накал паранойи чтоб применять стего.

А вы просто заявили,

или вообще под какой-нибудь макосью/оффтопиком

браузер под оффтопиком достаточно защищён.

Umberto ★☆
()

А вот OpenStego лучше, ибо:

  • Выполнено в виде десктопного приложения.
  • Вытекая из предыдущего пункта, не требует обновить браузер.
yaspol
()
Ответ на: комментарий от Deathstalker

И скрипты, скрипты ведь передаются. Вам тоже нужен HTTPS.

У меня смутное представление, что у вас просто ужасные познания в этой области. Если кратко, HTTPs защищает от перехвата информации третьей стороной (т.е., проще говоря, прослушки), т.к. данные передаются в зашифрованном виде, это необходимо, если на сервер передаётся какая-то конфиденциальная информация, вроде паролей и номеров кредиток. Как вас может смущать, что какой-то роутер сможет прочитать содержимое скрипта, который и так в открытом доступе?

И скрипты, скрипты ведь передаются.

На том же mozaiq.org весь код вообще находится на сервере, и хрен знает что он там делает, вот чего надо опасаться. Лол, подобные вам параноики такие смешные.

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от yaspol

А вот OpenStego лучше, ибо

OpenStego шняга, кстати, полная, кодированные им изображения палятся на раз.

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от Umberto

Тут некоторые под никсами пишут правила для SeLinux, чтоб хоть как-то держать в узде браузер/скайп/etc. и это ещё не тот накал паранойи чтоб применять стего.
браузер под оффтопиком достаточно защищён.

Было актуально для IE6

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от yaspol

Неужели?

Разумеется, любой самый простейший гистограммный метод, написанный 10-классником (или 6-классником с матлабом) положит на лопатки подобную стеганографию. Блин, народ, вы же абсолютно не в теме, мне уже и грустно, и смешно отвечать на подобные вбросы.

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от mix_mix

Блин, народ, вы же абсолютно не в теме

Ну а как же, это вам не steganography.org.ru

yaspol
()
Ответ на: комментарий от mix_mix

А если у пользователя нет возможности/желания это сделать?

Но мы же выше выяснили, что TOR Browser Bundle для success тоже must have.

Кроме того, если нет администраторских прав, смею предположить машина не его/рабочая/офисная, что тоже крайне странно для работы с критичной информацией для которой используется стего.

Это что сервис для незаметного выноса истребителей пятого поколения из НИИ? Отвечай быстро, да или нет!

Далее, вы выше упоминали, что используется рандомная картинка с вики.

Объясняю: Любой кухонный какер знает важную вещь, исходник граф.файла после добавления стего должен быть съеден :D.

Если нет возможности съесть все файлы, как в вашем случае, они должны быть отредактированы (причём для каждого использования рандомно), т.е. изменена ширина/высота/сжатие. Иначе будут парсерами распознаны и выловлены вмиг.

А у вас по сети гуляют 100500 одинаковых файлов, дублированных с вики с разным уровнем энтропийного фона. Лол.

Umberto ★☆
()
Ответ на: комментарий от mix_mix

Было актуально для IE6

Ога, вы свой уровень теоретической подготовки уже развёрнуто показали.

Umberto ★☆
()
Ответ на: комментарий от Umberto

Но мы же выше выяснили, что TOR Browser Bundle

На то он и Bundle, что в распространяется виде Bundle, а не кучки сорцов.

TOR Browser Bundle для success тоже must have

Только для параноиков, которые не доверяют гитхабу.

смею предположить машина не его/рабочая/офисная

Разумеется. Ещё, ко всему прочему, бывают интернет-кафе.

А у вас по сети гуляют 100500 одинаковых файлов, дублированных с вики с разным уровнем энтропийного фона.

Уровень энтропийного фона один, почитайте ещё раз как работает алгоритм, я писал в прошлой теме — всё выглядит так, что картинку просто пережали с 100% качеством.

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от mix_mix

Уровень энтропийного фона один

add stego to file1 && add stego to file2

sha256sum file1
sha256sum file2

:DDD

Дальше расписывать не надо?

TOR Browser Bundle для success тоже must have

Только для параноиков, которые не доверяют гитхабу.

Во-первых дело не в доверии гитхабу, а в анонимной доставке депеши на сосач :D

Во-вторых, вы так сказали, будто стего надо не параноикам, а домохозяйкам.

Umberto ★☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.