LINUX.ORG.RU

Стеганографический веб-сервис DarkJPEG

 , ,


4

0

В рамках проекта DarkJPEG разработан стеганографический веб-сервис нового поколения, позволяющий скрывать конфиденциальную информацию в виде незаметного шума в JPEG-изображениях, при этом выделить данную информацию можно только зная заданный при кодировании секретный ключ-пароль.

Проект разработан с целью реализации свободы информации людьми в тех странах, которые нарушают права человека, вводя цензуру средств информации или законодательно запрещая использование криптографии.

Сервис использует стойкие методы стеганографии для сокрытия самого факта сокрытия информации вместе со стойкими методами криптографии для защиты данных, передаваемых по открытым каналам, от компрометации (факта доступа посторонних лиц). Исходные тексты проекта распространяются в рамках лицензии MIT.

Основные особенности:

  • Использование SHA3 для генерации ключей;
  • Симметричное шифрование AES-256;
  • JPEG (DCT LSB) стеганография;
  • Поддержка RarJPEG и двойного сокрытия;
  • Подбор случайного контейнера;
  • Вычисления без участия сервера;
  • Гарантия полной конфиденциальности.

>>> Главная страница сервиса

★★★★★

Проверено: tazhate ()

Ответ на: комментарий от mix_mix

HTTPS ведь защищает не только от перехвата информации третьей стороной. Он защищает и сами данные. К тому же эта система обеспечивает аутентификацию.

Deathstalker ★★★★★
()

Использование SHA3 для генерации ключей

Мужики настолько суровы, что генерируют ключи нестандартизованным алгоритмом. :)

anonymous
()
Ответ на: комментарий от Umberto

sha256sum file1

Хеш-суммы, разумеется, будут разные, но жпег на то и lossy формат, что при любой его обработке (кроме, возможно, поворотов), байтики будут совсем другие на выходе. А кто сказал, что на сервере, откуда была взята картика (которая есть не только на викимедии), изображения не проходили через какую-нибудь gd2?

Дальше расписывать не надо?

Так у нас речь вообще-то было про уровень энтропийного фона. Он одинаковый. Или вы не понимаете что это такое?

Во-первых дело не в доверии гитхабу, а в анонимной доставке депеши на сосач :D

Ну так-то он в любом случае должен быть, да, независимо от того darkjpeg ли использовать, или какой-нибудь steghide.

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от mix_mix

Так у нас речь вообще-то

У нас тут всесторонний критический анализ.

изображения не проходили через какую-нибудь gd2?

Будут видны различающие артефакты. А вот как раз со стего они на порядки ниже, чем при обычной обработке/сжатии.

Ну так-то он в любом случае должен быть, да

Ну так он крайне сложно реализуем на неконтролируемых машинах.

Вот прям вижу, пришел значит в интернет кафе, развернул TOR Browser Bundle и давай жипеги стегать, то в АНБ, то в СВР, то на сосач. :D
(не говоря о видеонаблюдении)

откуда была взята картика (которая есть не только на викимедии)

Живём в эпоху tineye.com и google поиска по изображению.
Эти сервисы вполне двойного назначения.

Umberto ★☆
()
Последнее исправление: Umberto (всего исправлений: 2)
Ответ на: комментарий от Deathstalker

Смущает.

Тогда ничем помочь не могу, увы, можете помочь купить гитхабу сертификат для io зоны, а что-то они всё прибедняются. Используйте локальный вариант через file:///...

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от mix_mix

У меня смутное представление, что у вас просто ужасные познания в этой области. Если кратко, HTTPs защищает от перехвата информации третьей стороной (т.е., проще говоря, прослушки), т.к. данные передаются в зашифрованном виде, это необходимо, если на сервер передаётся какая-то конфиденциальная информация, вроде паролей и номеров кредиток. Как вас может смущать, что какой-то роутер сможет прочитать содержимое скрипта, который и так в открытом доступе?

У меня вполне определённое представление, что у вас этих познаний вообще нет. HTTPS используется в том числе для предотвращения модификации скриптов при передаче. Параноя же, не правда ли? Если вы передаёте скрипты по HTTP, то их может подменить при передаче MiM.

anonymous
()
Ответ на: комментарий от Umberto

Будут видны различающие артефакты.

Используйте градиенты или свои (после съедаемые) изображения в качестве контейнера.

Вот прям вижу, пришел значит в интернет кафе, развернул TOR Browser Bundle

А что такого? Да и во многих странах в кафе без предъявления ID пускают, как раз там можно и без тора.

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от mix_mix

Используйте градиенты или свои (после съедаемые) изображения в качестве контейнера.

Вот и реализуйте рандомную нарезку этих ваших «контейнеров».
А то выявление использования вашего сервиса будет прямо пропорционально его популярности :D

Да и во многих странах в кафе без предъявления ID пускают

Правильно, под колпак их! :D

Umberto ★☆
()
Ответ на: комментарий от anonymous

У меня вполне определённое представление

Плохое у вас представление. Если уж зашла об этом речь, сертификаты тоже могут через MiM проходить. Поэтому только TOR, только он, родимый, — максимум, что может случится, так это угроза компрометации данных.

mix_mix ★★★★★
() автор топика
Последнее исправление: mix_mix (всего исправлений: 1)
Ответ на: комментарий от Umberto

А то выявление использования вашего сервиса будет прямо пропорционально его популярности :D

По 100%-пожатым Creative Commons картинкам? Не смешите.

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от snoopcat

что за херня по ссылке?!
Обновление браузера. Браузер, которым Вы пользуетесь устарел!

Хм… Действительно, что бы это могло значить?

mix_mix ★★★★★
() автор топика

В общем, кому надо — пользуйтесь на здоровье, дорабатывайте, если надо. Я рад, если кому действительно понравилось, от донейтов не откажусь. Для связи используйте gmail://darkjpeg или issues на гитхабе, убедительная просьба писать на английском.

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от mix_mix

Как по мне, это один из случаев недопонимания и предрассудков, которых так много в отношении безопасности в Интернете.

Deathstalker ★★★★★
()
Ответ на: комментарий от mix_mix

По 100%-пожатым Creative Commons картинкам? Не смешите.

Во-первых не просто по жатым картинкам, а по совокупности факторов.

А во-вторых, что значит не смешите, вы представили реализацию, повторюсь, крайне неоднозначной криптографической темы для Ъ-параноиков, стеганографии.

Представили в очень странном варианте, и теперь когда вам указывают на теоретическую проработку, вы отвечаете «Не смешите.»

Вон, недавно в cryptocat была выявлена игнорируемая бугогашенька.

В Cryptocat, нацеленном на обеспечение приватности web-чате, в котором шифрование производится на стороне браузера клиента и на сервер поступают уже зашифрованные данные, выявлена проблема безопасности, делающая возможным доступ к отправленным сообщениям.
...
При создании ключа шифрования, для обхода проблем с качественном генерацией случайных чисел на стороне браузера, пользователю предлагается ввести 256 случайных символов. Из-за неправильной конвертации строк в качестве случайной последовательности поступал не массив из 15-разрядных целых чисел, а массив из чисел от 0 до 9, т.е. вероятность подбора каждого числа снижается с 2^15 до 10 вариантов. В итоге ключи создаются в условиях недостаточной энтропии и могут быть подобраны с использованием bruteforce-атак.

Заголовок для лулзов :D
CryptoCat Cracked by DecryptoCat

Вы же взялись за стего.

Что есть первая задача тайнописи?
- Скрыть факт содержания тайнописи.

Я вам два треда указываю пальцами рук и ног, а вы в ответ:

Не смешите.

Umberto ★☆
()
Ответ на: комментарий от mix_mix

Информация о версии
Версия:
12.16
Сборка:
1860
Opera/9.80 (Windows NT 6.1; WOW64) Presto/2.12.388 Version/12.16

Обновление браузера. Браузер, которым Вы пользуетесь устарел!

ну ок.

snoopcat ★★★★★
()
Ответ на: комментарий от mix_mix

Плохое у вас представление. Если уж зашла об этом речь, сертификаты тоже могут через MiM проходить. Поэтому только TOR, только он, родимый, — максимум, что может случится, так это угроза компрометации данных.

Ага. Только вот у пользователя должен быть корневой сертификат МиМа. Иначе браузер ему красным по белому напишет «Не знаю я такого».

И да, просамоцитируюсь:

У меня вполне определённое представление, что у вас этих познаний вообще нет.

anonymous
()
Ответ на: комментарий от anonymous

Ага. Только вот у пользователя должен быть корневой сертификат МиМа.

Ну это и подразумевалось, вообще-то.

И да, просамоцитируюсь

Да, да, конечно. Лол, какие глупые анонимусы.

mix_mix ★★★★★
() автор топика
Последнее исправление: mix_mix (всего исправлений: 1)
Ответ на: комментарий от mix_mix

Любая компьютерная система уязвима настолько, насколько уязвимо её наименее защищенное звено. Хороший подход к безопасности — это всегда комплекс мер, в котором нужно учесть все риски и уделить каждому должное внимание.

Deathstalker ★★★★★
()
Ответ на: комментарий от mix_mix

Ну это и подразумевалось, вообще-то

т.е. пользователь, нормальный, не псих, сначала ставит сертификат CA МиМа, потом заходит на сайт, который этот МиМ, гм, МиМет? Это типа уязвимость HTTPS?

Да, да, конечно. Лол, какие глупые анонимусы.

Уже в агрессию? Как быстро то.

anonymous
()

«В целях скрытия вашей информации пришлите её нам». И ведь найдутся непуганые хомяки. Facepalm.

router ★★★★★
()
Последнее исправление: router (всего исправлений: 1)
Ответ на: комментарий от router

Кстати, при таком лютом хомячковом фапе на стеганографию хотелось бы напомнить, что картинка должна быть уникальная и нигде до сих пор не светившаяся. Любой облачный сервис все ваши стеганографические контейнеры детектит на раз, просто за счёт того что у 100 картинок с одинаковым изображением хеш одинаков, а у вашей почему-то отличается.

router ★★★★★
()

Поддержка RarJPEG

эм.. ЩИТО?

a1batross ★★★★★
()
Ответ на: комментарий от Umberto

О на что ему собственно и указывалось, но он в это не верит :)

Что значит не верит? Я же уже написал, что используйте свои изображения для переноса чего-то серьёзного, такая функциональность есть и поддерживается.

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от mix_mix

Что значит не верит?

То значит, что в сфере криптопанков есть правила хорошего тона, если что-то теоретически представляет угрозу компрометации, то это исключается/заменяется из функционала.

Вот и реализуйте рандомную нарезку этих ваших «контейнеров».

Umberto ★☆
()
Ответ на: комментарий от Umberto

Вот и реализуйте рандомную нарезку этих ваших «контейнеров».

Кто сказал, что рандомная нарезка не будет приметна? В любом случае, я разрешаю реализовать её вам.

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от yaspol

А 22 хромиум? Тоже не умеет в HTML5, по-вашему?

Это который вышел год назад? Что касается хрома, да, планку, наверное, можно опустить где-нибудь до 17.

mix_mix ★★★★★
() автор топика

Омские линуксоиды в недоумении

sudo apt-get install steghide #и никакого мошенства..

linuxmaster ★★★★
()
Ответ на: комментарий от anonymous

Использование SHA3 для генерации ключей

Мужики настолько суровы, что генерируют ключи нестандартизованным алгоритмом. :)

Анонимус отстал от авангарда криптоты? :D
Победителем конкурса SHA-3 стал алгоритм KeccaK

Umberto ★☆
()
Ответ на: комментарий от frob

ну, я вижу себе ситуацию так

если есть тотальная слежка, то появляется запрос не только на криптографию, но и на возможность гарантировано скрыть наличие информации от чужих глаз. ведь даже самые стойкие шифры могут быть вскрыты методом терморектального криптоанализа в случае необходимости.

AndreyKl ★★★★★
()
Последнее исправление: AndreyKl (всего исправлений: 1)
Ответ на: комментарий от mix_mix

Кто сказал, что рандомная нарезка не будет приметна?

Набор различающихся параметров будет больше.

В любом случае, я разрешаю реализовать её вам.

Спасибо, я бы отмёл такой подход на стадии теоретической разработки, эммм, если бы не преследовал каких либо иных целей :D

Umberto ★☆
()
Последнее исправление: Umberto (всего исправлений: 1)
Ответ на: комментарий от Umberto

Использование SHA3 для генерации ключей

Мужики настолько суровы, что генерируют ключи нестандартизованным алгоритмом. :)

Анонимус отстал от авангарда криптоты? :D

Не отстал. Посмотри статью про SHA-3 в Википедии — там написано (с пруф-ссылками на сайт NIST), что, хотя и был выбран Keccak, некоторые его параметры находятся на стадии обсуждения, а принятие в качестве стандарта намечено на второй квартал следующего года. Т.ч. на данный момент никакого SHA-3 нет, есть именно Keccak, и «SHA-3» в сабже может давать результаты, отличные от будущего SHA-3 на тех же данных.

anonymous
()

Mix_mix, планируете ли вы сделать поддержку других популярных графических форматов, например, TIFF?

Deathstalker ★★★★★
()
Ответ на: комментарий от Deathstalker

поддержку других популярных графических форматов, например, TIFF

Тиф популярен? Гхм… В планах не было. Равно как и PNG.

mix_mix ★★★★★
() автор топика
Ответ на: комментарий от anonymous

т.е. пользователь, нормальный, не псих, сначала ставит сертификат CA МиМа, потом заходит на сайт, который этот МиМ, гм, МиМет? Это типа уязвимость HTTPS?

Mass_Facepalm.s07e01.LostFilm.mkv [8.56 GiB]

Тайнопись используется для сокрытия передачи данных. Обычно, используется для задач шпионажа, с которым борятся спецслужбы, и ФСБ в частности. СОРМовские девайсы стоят у каждого провайдера, и фиксируют факты передач всяких ---BEGIN PGP MESSAGE---, что неприемлимо даже для шпионов-школьников. Очевидно, на уровне спецслужб сгенерить валидный сертификат SSL и провести mitm — это дело двух щелчков: позвонить в ближайший СА и попросить быстра сгенерить ключ с сертификатом для *.google.com например, отправить сертификат на коробки в необходимом географическом районе. И браузер никому ничего не напишет.

shahid ★★★★★
()
Ответ на: комментарий от Deathstalker

TIFF используется при сканировании, отправке факсов, распознавании текста, в полиграфии.

Правильно. И почти никогда НЕ используется для передачи данных в контексте сабжа.

shahid ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.