隐写术及其相关软件介绍
“半遮面” Camera/Shy 软件今年7月问世后,其使用初见成效,网友们对隐写术(Steganography) 软件的兴趣也大大增强。这里对目前较流行的几款隐写术软件做一概览介绍。
1. 隐写术基本原理
隐写术在希腊语中就是“秘密”+“书写”的意思,它是将秘密信息隐藏于非秘密或者不太秘密的信息中的方法。传统的隐写术,如:显隐墨水、修改公共文本的约定、代码字、藏头诗等等,古代就已经出现了,远早于电子/计算机密码技术。
现代计算机中也有这种加密技术。比如一张照片,在计算机中用24比特来描述每一个象素的颜色。如果把每个象素的24比特中最次要比特(least significant bit)拿出来存放另外的文件,人的眼睛是分辨不出来隐藏了文件的照片与原来的照片有什么区别的。同样道理,我们也可以把声音文件和视频文件中最次要比特拿出来存放要隐藏的文件。
其外,数字隐写术还可以通过在源代码注释中隐藏子通道、或采用特定的分隔数据方法、利用压缩归档错误纠正代码、及使用自然语言文本等方式实现加密隐藏信息。
网络上免费或共享的隐写软件很多,以下介绍几款用于不同文件类型的隐写软件。
2. "半遮面" CameraShy - GIF文件
"半遮面"是由网侠派(HACKTIVISMO)开发的一种基于浏览器技术的隐写术应用软件,此软件于7月13日发布。它专为网络被封锁国家的民主人士而设计,目的在于帮助他们在网上交换被禁止的信息。
"半遮面"软件运用 LSB 隐写技术和AES-256 位加密,使用户与他们的朋友分享掩藏在看上去象普通的图像中的敏感信息。
软件主要特点:
-- 基于网友熟悉的、界面友好的IE浏览器
-- 自带自动隐蔽贮藏和历史清洁功能,使你浏览过的网页不留下痕迹
-- 自动扫描Internet网页寻找加密的gif 文件
-- 具备一次点击即可加密网页成gif的功能
-- 具备一次点击寻找隐蔽内容的功能
-- 所有扫描和解密的内容来自本地缓冲区, 不必重复搜索内容
-- 所有隐写内容被自动进行Rijandael加密
-- 在最不重要的字节映像点中插入隐写信息
-- 在网址加密过程中把容易断裂的相对链接改为静态链接
-- 设有高中等安全浏览设置,包括:
可选择过滤所有activescripting 包括DHTML行为
可选择过滤所有Java 和 ActiveX
-- 当你要保证内容来自服务器或你正在浏览的本地缓冲区时,可选择停止client pull
-- 独立的可执行文件, 不需要安装程序
-- 内含GIF与BMP格式之间互换和JPEG与BMP格式之间互换工具便于gif内容选择
系统要求:
-- Windows 95, 98, ME, 2000, XP
-- IE 5.0 或更高(早期的版本可能也工作, 但无技术支持)
用CameraShy进行网页编辑的使用说明:
a、将菜单view-browser full windows 前面的对勾选去。
b、点击右上方的左箭头,从“我的电脑”中选取要加密的GIF图片,把文字填到右下方框,(注意有字数限制,Actual Message Size 显示当前字节数,Max Message Size 是最大字节数),点击“锁”,信息就写到选中的图片里面了。
c、点击红色对勾。
d、点击中间的箭头。
e、上传图片到网站。
f、用CameraShy浏览,检查图片是否显示加密内容。
另:CameraShy不能在线编辑,左上的密码自己可以随便更改。密码旁边的“锁”能把网页源代码贴到右下的方框。大家有什么使用经验,也可写出来分享。
用CameraShy浏览网站加密图片的使用说明:
很简单,只要该网站可以直接访问就行,CameraShy没有设置代理的功能,只能浏览没有被封的网址。打开半遮面,它是一个浏览器和编辑器,在地址栏填入网站地址就可以了,和IE等浏览器完全一样,你浏览的网页如果有加密信息的话,只需点击半遮面的左下部窗口中的图片地址就可以在半遮面的右上部窗口看到此图片里面隐藏的信息。
注意:半遮面只是用来浏览用半遮面编辑的网页用的,决不可用他访问被屏蔽的敏感网站!
本网设有测试页 http://qingzhou.sytes.net/test,大家可以在这里进行各项测试和练习,以便掌握半遮面的使用。
如果qingzhou.sytes.net的域名被封,不能直接打开,那我们可以用DOS的PING命令得到轻舟网的当前ip,比如:207.6.88.28,用IP地址替代被封的网站域名是一种突破方法,也可以用其它域名。打开CameraShy,将菜单view的对勾选去,在地址栏输入http://207.6.88.28/test,网页打开后,在左下方框会出现网页加密图片的名称,用鼠标选择图片名称,右上方会出现该图片,在其下的方框会显示加密在图片中的信息。
半遮面CameraShy 下载:
http://www.mirrors.wiretapped.net/security/steganography/camerashy/CameraShy.exe
3、JP Hide and Seek (JPHS,直译“藏猫猫”)- JPEG 文件
用JPEG图形文件进行隐写加密的软件比较多,这款小软件网上有介绍,因此转抄在这里,借花献佛。
软件只有184KB。操作也非常简单。
下载完成后,存在硬盘上的是一个ZIP文件,解压缩后,生成一个叫做Jpshwin的可执行文件。运行后弹出一个窗口。
点击左侧按钮“Yes, I accept these terms”,然后即弹出窗口。
隐藏文件时选择“Open jpeg”,然后在弹出的打开文件窗口中选择一个JPEG文件。
然后选择“Hide”,在弹出的密码窗口中输入密码(也可以不设定密码,直接点击 OK即可)。之后,在弹出的打开文件窗口中选择要隐藏的文件。注意,因为加密是利用图形文件中的最次要比特进行的,所以只能隐藏大约为JPEG十分之一大小的文件。
在读取隐藏文件时也是选择“Open jpeg” ,然后在弹出的打开文件窗口中选择隐藏了文件的那个JPEG文件。然后选择“Seek”。之后,在弹出的密码窗口中输入密码(在这张荷花照片中没有设定密码,直接点击OK即可)。接下来,要求输入解密后文件名,可以输入test.zip。
这个软件有以下几个好处。一个是可以用密码保护隐藏文件(也可不设密码,在系统要求输入密码时直接点击OK)。另外,隐藏文件不象PGP之类的加密文件,或密码保护的ZIP文件那样有固定的文件名。看上去仅仅是一副普普通通的照片而已,不会引起任何怀疑。三是,文件没有任何特征。无论是否隐藏了文件,对于这个小软件来说都可以进行询问密码和“Seek”操作。所以警察分不出来图片中到底是根本没有隐藏文件,还是隐藏了文件只是他不知道密码。
当然这种加密方法也有缺点,就是冗余的信息占了90%。不过对于日常传递信息来说,允许隐藏的文件尺寸也足够用了。如果要隐藏更大文件,可以考虑选择在声音或视频文件中隐藏文件的软件。
另外的一个特点,既是优点也是缺点。如果有隐藏文件的话,收件人必须要知道隐藏文件的类型,是一个WORD文件,还是PDF或ZIP文件,还是其他文件等。这个是收件人和发件人要协商的。建议尽量采用ZIP文件。因为文件ZIP压缩后比较小,更易于放到母文件中。
这种加密技术适合于网友之间的通信。大家也可协商密码。这种方式传递的文件一般是网警无法通过搜索关键字自动找到的,在不被人特意解码的情况下十分安全。缺点是图形文件往往尺寸太大,传递有难度。所以如果采用,要注意安全测试和形式上的技巧。
下载:
http://linux01.gwdg.de/~alatham/stego.html
4. MP3Stego - MP3 文件
这是一个在通用的MP3音频文件中隐写的软件。在把WMA压缩转换成MP3的过程中,对要隐藏的文本txt文件进行加密并写入MP3。
使用方法很简单,例如,要隐藏的TXT文件是aa.txt, 要压缩的WMA文件是bb.wma, 把这两个文件放入与Encorder.exe和Decoder.exe同一个文件夹,点击"Encode TXT file into an MP3 file"即可产生一个 bb_stego.mp3文件。收件方则点击“Decode TXT file from an MP3 file", 从bb_stego.mp3中提出那个隐藏的aa.txt文件,但文件名变成bb_stego.mp3.txt。
下载:
http://www.cl.cam.ac.uk/~fapp2/steganography/mp3stego/
5. wbStego4.2 - BMP, TXT, HTML/XML, PDF 文件
这个软件可以在bitmaps, text,HTML,和PDF文件中隐藏信息,而且信息在藏入文件前就已加密,可加密2GB的数据。该软件含有一个很方便的界面,可以按提示一步一步地操作,技术人员也可以在“pro"状态下控制操作。
下载:
6. Steganos Security Suite v4.13 把敏感数据隐藏到不易引人注意的图片、声音文件中
Steganos Security Suite是一套功能完整,简单易用的加密工具包,使用Steganos加密技术把敏感数据隐藏到不易引人注意的图片、音频文件中;高度敏感数据则能够存储到安全硬盘中,然后按一下按钮就可以在操作系统中消失无踪。采用on-the-fly-encryption加密,1 GB数据在不到一秒的时间内完成处理。Internet Trace Destructor帮您抹去网上冲浪留下的蛛丝马迹,Shredder彻底删去任何敏感文档。邮件加密系统阻挡任何未经认证的人访问你的邮件,并把包含敏感数据的附件进行加密,而收件方不需要安装任何软件进行解密。密码管理器使用加密列表保护你的密码和PIN代码,此外您还能用它随时锁定计算机,以防不测。
下载:
http://www.steganos.com/en/sss/download.htm
