Widerstandsfähigkeit der Wasserzeichen

Quelle: Scott Craver, Adrian Perrig, Fabien A.P. Petitcolas

Die Widerstandsfähigkeit der Wasserzeichen ist ein "trade off" zwischen der Stärke des Wasserzeichens und der Bildqualität (bzw. Medienqualität). Um ein Wasserzeichen zu entfernen, müßte der Angreifer unverschämt hohe Qualitätsverluste hinnehmen.

Die IFPI (international federation for the phonographic industrie) stellte Anforderungen an ein Wasserzeichen ( akustische Medien betreffend):

• beim Einfügen eines Wasserzeichens sollten keine Qualitätsverluste auftreten
• nach Operationen (wie Kompression (z.B. MP3), Filter, D/A <-> A/D Wandlungen,...) sollte Wasserzeichen noch vorhanden sein
• beim Entfernen eines Wasserzeichens sollten hohe Qualitätsverluste entstehen
• Wasserzeichen sollte unabhängig vom Signallevel (>20dB) oder Signaltyp (Klassik, Pop, Sprache,...) sein

Diese Anforderungen gelten- in ähnlicher Form- auch für Bilder und Videos.

Ein Wasserzeichen ist immer so stark, wie sein schwächstes Glied.

Attacken auf Wasserzeichen werden in folgende Kategorien (Arten) eingeteilt:

• Widerstandsfähigkeitsattacken
• Durch Signalverkleinerung (wie Kompression,...)
• Präsentationsattacken
• Rufen Wasserzeichenerkennungsfehler hervor
• Interpretationsattacken
• Bei verfälschten Wasserzeichen
• legale Attacken
• liegen hinter der Reichweite der Technik

Im folgenden Abschnitt werden diese vier Klassen der Angriffe auf Wasserzeichen näher erläutert.

Bei diesen vier Arten der Angriffe handelt es sich um mögliche Attacken auf Wasserzeichen, es bedeutet nicht, daß alle Klassen der Angriffe bei einem Wasserzeichen Erfolg haben. Es soll hier lediglich die Sicherheitslücken der Wasserzeichen erörtert werden.

Bei der Signalverkleinerung wird das Medium entartet. Bei einer Analyse des Schemas des Wasserzeichens, findet man möglicherweise eine "sanfte" (keine hohen Qualitätsverluste) Operation, um das Wasserzeichen zu entfernen. Ein Beispiel: Man nimmt ein Bild, verwischt es, bis das Wasserzeichen unlesbar ist (Bild geringe Qualität). Dann fügt man selber ein Wasserzeichen mit höchster Stärke ein und legt dieses Bild dann mit einer Transparenz von ca. 30% über das Originalbild. Als Letztes benutzt man einen Scharfzeichnungsfilter für das entstandene Bild und erhält ein ansprechendes Bild, mit hinreichender Qualität und eigenem Wasserzeichen. (diese Funktionen werden u.a. im PhotoShop bereitgestellt).

Eine weitere Möglichkeit ist die Kompression (besonders durch das Internet verbreitet). Diese stört das Wasserzeichen, weil diese meist in hochfrequenten (anfällig) Bereichen liegen. Konsequenz daraus: Wasserzeichen sollten in den signifikanten Teilen der Bilder liegen.

Hierfür lassen sich folgende Qualitätsstandards ableiten: (i) Ein Schema gilt als robust, wenn, beim Entfernen des Wasserzeichens, hohe Qualitäts- oder Zeitverluste hingenommen werden müssen. (ii) Bei einem gewissen Grad der Zerstörung des Mediums, die der Benutzer noch akzeptiert, muß das Wasserzeichen noch vorhanden sein. (iii) Benutzer akzeptieren wesentlich mehr "Rauschen" (Qualitätsverluste: hier beim Einfügen eines Wasserzeichens) als die Schöpfer: Konsequenz: Schöpfer können mehr Widerstandsfähigkeit einbauen (indem sie die Stärke des Wasserzeichens erhöhen (-> Medienqualität sinkt)).

Eine weitere Möglichkeit der Signalverkleinerung ist die Mittelwertbildung. Voraussetzung hierfür sind viele Vorlagen (des gleichen Mediums). Hieraus bildet man dann einen Mittelwert und es entsteht (möglicherweise) ein Medium (z.B. ein Bild) ohne erkennbares Wasserzeichen. Diese Methode funktioniert auch bei Videos.

Weiterhin gibt es speziell konstruierte Angriffe: Kennt ein Angreifer die Methode des Einfügens des Wasserzeichens, kann er es zurückverfolgen und löschen. Kennt er sogar den Quellcode des Programmes, mit dem das Wasserzeichen eingefügt wurde, kann er diesen Quellcode "reverse engineeren" und explizit nachvollziehen, wie das Wasserzeichen eingefügt wurde. Eine mögliche Gegenmaßnahme wäre einen nicht nachvollziehbaren Algorithmus zu finden und diesen von einem Experten prüfen zu lassen.

Bei Präsentationsattacken geht es darum, ein Wasserzeichen lediglich unerkannt zu machen (für einen Detektor) und es nicht zu löschen (wie bei der Signalverkleinerung).

Ein mögliches Beispiel wäre ein Verzerrungsangriff: Wasserzeichen sind resistent gegen einfache Attacken, aber nicht gegen diese und eine leichte Verzerrung. Vorgehensweise bei einer Verzerrung:

Wie in den beiden Grafiken erkennbar, wird das Bild lediglich ein wenig verzerrt, das Wasserzeichen ist noch vorhanden, wird aber vom Detektor nicht erkannt.

Ein anderes Beispiel für Verzerrungsattacken ist die Darstellung eines Bildes als Relief, d.h. es wird eine Sinuskurve so über das Bild gelegt, daß sich die Punkte leicht verschieben (erhöhen), die Ecken allerdings gleichbleiben. Somit hat sich das Bildformat nicht verändert, die veränderte Darstellung der Pixel ist selbst bei einer Gegenüberstellung mit dem Original für das bloße Auge kaum erkennbar. Diese Arten der Bildverzerrung sind auch für Video anwendbar.

Ein weiteres Beispiel: Ist ein Bild sehr klein, sind kaum Information darin versteckbar. Darum werden Bilder mit Wasserzeichen im Internet in kleine Stücke "zerhackt" (damit auch die Information) und anschließend im Browser wieder zusammengesetzt (komplett dargestellt). Das Wasserzeichen ist für automatische Detektoren nicht mehr sichtbar.

Aus den Präsentationsattacken resultieren Fehlalarme, d.h. ein Schuldiger ist unschuldig oder ein Unschuldiger wird schuldig. Möglich sind auch Kollisionen (scheinbar zwei Wasserzeichen).

Bei dieser Art von Attacken, kann das Original nicht mehr eindeutig auf den Besitzer zurückgeführt werden.

Theoretischer Idealfall: Ein Schöpfer (hier: Alice) markiert ihr Originalbild I mit einem Wasserzeichen w und erhält Í. Í wird veröffentlicht, I wird geheimgehalten. Bei einem Angriff (hier von Bob (i)) sollte i – I = w sein. Somit ist das Original gefunden, da von der Kopie das Wasserzeichen extrahiert werden konnte.

Aber:

Bob subtrahiert von Í ein Wasserzeichen (was er als seins angibt) und erhält i (in der Grafik I-dach). Bob kann somit i mit einem Wasserzeichen versehen und kommt ebenfalls auf Í. Jetzt kann er ebenfalls Alice als Fälscher überführen. Konsequenz: Wasserzeichenschemata sollten schwer umkehrbar sein!

Ein weiteres Beispiel sind "Orakel Attacken". Eine leichte Voraussetzung hierfür ist, der Angreifer hat einen Detektor. Er ändert das Bild leicht ab und prüft, ob der Detektor noch ein Wasserzeichen erkennt, falls nicht, war der Angriff erfolgreich. Mögliche Gegenmaßnahme der Detektordesigner: man baut zwei "Reizschwellen" ein, der das Wasserzeichen unterschiedlich detektiert – somit wird diese Art von Angriff schwieriger.

Kennt der Angreifer den Einfüge- und Detektoralgorithmus, kann er den Orakelangriff selbst für private Wasserzeichen verfeinern (benutzerzugeschnitten). Hier geht er folgendermaßen vor: der Angreifer fügt – mit dem gleichen Algorithmus des Schöpfers – sein Wasserzeichen ein ( ein- oder mehrfach), entfernt diese wieder, und prüft (mit dem Detektor des Schöpfers), ob das originale Wasserzeichen noch vorhanden ist. Das wiederholt er solange, bis das originale Wasserzeichen verschwunden ist (normale Orakel Methode).

Hierbei handelt es sich um Attacken, die jenseits der Reichweite der Technik liegen. Zum Beispiel werden Server mit Raubkopien in Ländern aufgestellt, die die Berner Konvention (zum Copyright) nicht anerkannt haben, und sind dort nicht illegal.

Weiterhin können Manipulationen im Internet schwer nachvollzogen werden, da stichhaltige Beweise für Diebstahl im Internet schwierig sind (keine Photos, Fingerabdrücke,...), Adressen, Protokolle können manipuliert worden sein, usw. Konsequenz: Das Rechtssystem im Internet muß erweitert werden.

Es gibt unter anderem Fälle, wo dem Angreifer Informationen über die Einbettung von Wasserzeichen vorliegen. Diese "versteckten" Informationen sind dann einfacher zu löschen. Beispiel: versteckte Echos (Wasserzeichen) in Musikdateien. Hier genügt es das Echo zu erkennen und die Berechnung umzukehren. Dies geschieht mittels der Ceptrum Analyse, bei einer Echo Verzögerung von 0.5 – 3ms. Unter diesem Wert ist das Echo schlecht feststellbar, darüber ist es hörbar.

Ein weiteres Beispiel ist der Angriff auf "doppelte Spitzen". Diese Variante tritt bei einfachen Bildern auf. Wasserzeichen wurden eingefügt, indem man eine Konstante auf die Farbwerte der einzelnen Pixel addiert /bzw. subtrahiert. Dies läßt sich leicht anhand eines Farbhistogramms feststellen. Somit kann die versteckte Information entweder entfernt oder ausgelesen werden.

Die Schwächen der Wasserzeichen resultieren vorwiegend aus:

• menschlichen Faktoren
• Benutzerschnittstellen
• Implementationsschwächen

Da ein "normaler Benutzer" nur begrenztes Verständnis für die Steganographie besitzt, weiß nicht jeder, wie er sein Eigentum sichern kann und ist nicht gewillt, Unmengen an Zeit darin zu investieren, seine Dokumente zu schützen.

Besonders Künstler und Designer wollen ihre Werke nicht mit Wasserzeichen "ruinieren". Somit fügen sie meist nur schwache Wasserzeichen ein, was dem Trade off zwischen Wasserzeichenstärke und –widerstandsfähigkeit widerspricht. Somit sind diese Wasserzeichen leichter zu eliminieren.

Eine schlechte Benutzerschnittstelle forciert eine falsche Anwendung der Wasserzeichensoftware. Die Kopplung von Bildbearbeitungs- und Wasserzeichensoftware produziert ebenfalls Fehler (z.B. Einfügen eines Wasserzeichens vor Bildbearbeitung -> Abschwächen/Entfernen des Wasserzeichens bei Beabeitung). Mögliche Gegenmaßnahmen wären :

• Wasserzeichenindikator beim Bearbeiten des Bildes im Blick
• Wasserzeichen erst nach Beenden der Bearbeitung einfügen
• Beim erneuten Bearbeiten des Bildes Wasserzeichen vorher entfernen und erst nach Bearbeiten des Bildes wieder einfügen

Hierbei handelt es sich um Software, wo z.B. ein Paßwort nur zwei Zeichen hat (so etwas gibt es tatsächlich!), welches natürlich leicht zu erraten ist. Man könnte auch ein Wasserzeichenprogramm debuggen und dessen Paßwortabfrage außer Kraft setzen.

Eine mögliche Lösung ist ein Online System (gesichert durch Signaturen, o.ä., und Paßwort LogIn ), wo das Wasserzeichen dann eingefügt wird.

Hierzu soll nur kurz erläutert werden, daß es sogenannte Web-Spider (Dienste) gibt, die das Internet nach gestohlenen Bildern und Medien durchsuchen. Eine gute Idee, welche aber von privaten Seiten (LogIn nötig), Java Applets (welche Bilder in Echtzeit berechnen), u.a. in ihrer Wirksamkeit gebremst werden.

Außerdem könnten Web-Server auf Anfragen von Web-Spidern falsche (legale) Bilder zurückgeben, oder ein Web-Designer baut einfach einen cleveren Link auf die Originalseite des Schöpfers ein, so daß es ein "normaler" User nicht bemerkt.

Widerstandsfähigkeitsattacken sind Angriffe mittels Zerstörung des Wasserzeichens (Signalverkleinerung). Bei Präsentationsattacken bleibt das Wasserzeichen erhalten, wird jedoch vom Detektor nicht mehr erkannt. Bei Interpretationsangriffen kann man in Originale und Fälschungen derart etwas "hineininterpretieren", daß der Schöpfer nicht mehr eindeutig auszumachen ist. Legale Attacken liegen in den Weiten des Rechtssystems.

Konsequenz: nicht das Einbetten, sondern das Erkennen der Wasserzeichen ist das größere Problem.

Zitat des Chefs eines Plattenlabels:

Der Stand der Technik ist weit entfernt von den Versprechungen der Industrie/Forscher. Gründe hierfür ist der Mangel an Standards, Fragen der Kompatibilität (der Produkte) und der Mangel an klaren, realistischen Anforderungen an Wasserzeichensysteme.