ממש לאחרונה יצא לאור ספר ישראלי שמוקדש כולו לנושא הסטגנוגרפיה – הטמנה והחבאה של מסרים ונתונים בתוך תוכן גלוי, באמצעות שיטות פיזיות, דיגיטליות ואפילו פסיכולוגיות. הנה התרשמות קצרצרה שלי ממנו, וכן כמה הבחנות ורעיונות לא רשמיים, משל עצמי, על הנושא.
ראשית, הבהרה: תמכתי בהוצאה לאור של הספר ושילמתי עבורו מחיר רגיל במסגרת פרויקט ב-Headstart. אין לי היכרות מוקדמת עם המחבר, אף אחד לא ביקש ממני את האזכור הזו, ואני לא מקבל שום דבר תמורתו.
"אומנות ההסתרה", לדברי המחבר ד"ר גיל דוד, הוא הספר הראשון (בעברית, מן הסתם) שמוקדש כולו לסטגנוגרפיה, במקום לערבב אותה ולהצניע אותה, במקרה הטוב, בתוך התחום המפורסם יותר של הצפנה. זוהי נקודה חשובה מאוד, מפני שלמרות הקשר השטחי ביניהן ("א' רוצה להעביר מידע ל-ב' בלי ש-ג' ישיג את המידע הזה") והשילוב הנפוץ בין השתיים, קיימים הבדלים משמעותיים בין התחומים. הצפנה, ובמיוחד הצפנה מודרנית, היא נושא מתמטי טהור כמעט שאפשר ממש להוכיח בו דברים, ואילו סטגנוגרפיה היא חופשית וגמישה, במקרים רבים קרובה יותר לאומנות מאשר למדע. בעוד שהצפנה מונעת מצד ג' לפענח את המסר, הסטגנוגרפיה מונעת ממנו להבין שהמסר בכלל קיים.
קהל היעד העיקרי של הספר הוא קוראים שעולם הסתרת המידע חדש להם, ושאין להם רקע טכני או מתמטי. בהתאם לכך, רוב התוכן עוסק בצד האנושי של ההסתרה – סיפורים אמיתיים על מרגלים, שבויים ואסירים שהשתמשו בה, ושל אנשי מפתח שהיו מעורבים בדרך כזו או אחרת בטכניקות שלה. במקביל לסיפורים מוצגים גם הסברים ברורים על הטכניקות השונות שמוזכרות. מבחינה זו מדובר בספר קולח, קריא, פה ושם אפילו עלילתי.
ומה לגבי קוראים כמוני וכמו – אני מקווה – רוב קוראי הבלוג הזה, שכן יש להם קצת ידע כללי בנושא וקצת רקע טכני? כאן עליי לסייג את ההמלצה: לפחות חלק מהסיפורים ומהטכניקות שמופיעים בספר יהיו מוכרים לכם במידה כזו או אחרת, ולעומת זאת מי שרוצה להעמיק בהבנת הסטגנוגרפיה כתחום בפני עצמו, עקרונות ולא רק דוגמאות, יצטרך לחפש מידע במקומות נוספים.
אז מה זה בעצם סטגנוגרפיה?
בימי קדם, כשמחשבים עבדו עם מסכי טקסט-בלבד ואנשים הוציאו לאור ספרים עם קוד בייסיק למשחקים פשוטים, אחד המשחקים היה תוכנת קסם שמנחשת איזה קלף נבחר מתוך חפיסה (פיזית, בעולם האמיתי!) ה"מתכנת" היה מזמין אליו חבר תמים, נותן לו לבחור קלף, ואז מריץ את התוכנה שהציגה על המסך שאלות: "האם אתה מוכן?", "האם הקלף אדום?", "האם הקלף הוא יהלום?", "האם הקלף הוא מספר?" וכו' – שהתשובה עליהן, למרבה הפלא, תמיד הייתה "כן". איך התוכנה ידעה איזה קלף נבחר? הסוד היה טמון במפעיל: לכל שאלה של התוכנה הוא יכול היה להקליד כתשובה "כן " או "כן". החבר התמים, אולי כמו חלקכם, לא שם לב לרווח שבסוף אחת התשובות, אך התוכנה נעזרה בו – או בהיעדרו – כדי לדעת איזו שאלה לשאול בסיבוב הבא. המידע הסודי לא הוצפן, הוא פשוט הועבר בצורה חשאית מתחת לאף, רוכב על גבי המידע התמים.
הדוגמה הזו ממחישה מאפיין עיקרי של הסטגנוגרפיה: המסר מוסתר, אך הערוץ שבעזרתו הוא מועבר הינו גלוי. אם בזמן מבחן בבית הספר אני מעביר לשכני תשובות מתחת לשולחן על גבי פתק זעיר, זו לא סטגנוגרפיה: בלי קשר למה שכתוב על הפתק, עצם קיומו – כך שנינו מקווים – חשאי. לעומת זאת, אם אני משתעל בכוונה שיעול אחד כדי לציין את תשובה א', שני שיעולים ל-ב' וכן הלאה, זו כן סטגנוגרפיה: כל הכיתה שומעת את השיעולים, כולל המשגיחים, הם פשוט לא מבינים שאלו הן תשובות. פעם, מישהו כמעט זכה ככה במיליון ליש"ט.
נשאלת השאלה, לשם מה לטרוח? למה להרוס את הגרון עם שיעולים ולהסתכן בחשיפה אם אפשר להעביר פתק? התשובה היא שבהרבה מקרים, קשה עד בלתי-אפשרי ליצור ערוץ העברת מידע חשאי. אפילו בתוך הכיתה מהפיסקה הקודמת, מה הסיכוי להעביר פתק למישהו במרחק 3-4 שולחנות ממני בלי שהדבר יתגלה? שיעולים לעומת זאת הם תופעה טבעית ונפוצה עם טווח לא רע – צריך רק לסכם מראש עם הצד השני שככה המידע יועבר, וזהירות משיעולים טבעיים באמת שיהרסו למישהו את הציון!
ושוב, המידע כאן אינו מוצפן אלא רק מקודד: כלומר, כל יחידת מידע (במקרה הנ"ל, מספר שיעולים) מציינת רק דבר אחד, ותמיד את אותו הדבר. כדי להגיע למידע המקורי לא נדרש שום חישוב, אלא לכל היותר חיפוש בטבלה פשוטה (דמיינו קוד ASCII או קוד מורס).
לעומת הצפנה
כמובן, גם בהצפנה ערוץ ההעברה של המידע הוא גלוי בדרך כלל. בספר "אומנות ההסתרה" מוזכרות – מסיבה שלא לגמרי הבנתי – "תחנות המספרים" ששידרו מסרים מוצפנים ברדיו ברחבי העולם. הן אמנם עמדו בקריטריונים מסוימים של הסתרה כיוון שלא תמיד היה ברור מי המשדר, ובוודאי שלא למי השידורים מיועדים, אך התוכן ששודר נקלט בכל מכשיר ביתי ולא נשמע תמים כלל: לא היה שום ספק שמדובר נטו באיזשהו צופן.
כשמישהו סומך על ההצפנה שלו, לא אכפת לו גם אם כל העולם יראה את המסר במצבו המוצפן. במקרים מסוימים, אפילו האלגוריתם המשמש להצפנה ידוע לכולם (חישבו על המנגנונים באינטרנט להעברת נתונים כמו פרטי כרטיס אשראי). הרעיון של Security through obscurity, כלומר הגנה על המידע באמצעות שמירת סודות, נחשב פרקטיקה גרועה מאוד בעולם ההצפנה: אם בחרתי אלגוריתם חלש ואני מקווה שלא יפצחו את המסרים שלי רק כי לא גיליתי לאחרים באיזה אלגוריתם אני משתמש, צפויה לי הפתעה לא נעימה.
בסטגנוגרפיה, לעומת זאת, ה-obscurity היא הכול. אם יש לי ערמה של זהב ויהלומים והמצאתי שיטה סופר-מתוחכמת להחביא אותם בבית כך שאף גנב לא ימצא, הדבר הכי גרוע שאני יכול לעשות זה לגלות את השיטה בפומבי. אם האויב יודע באיזה אופן אני מחביא מידע חשאי בערוץ גלוי, הוא כבר בחצי הדרך – אם לא יותר מזה – לפענוח המידע או לשיבוש ההעברה שלו. מאותה סיבה, בעוד שספר על הצפנה יכול לעסוק באלגוריתמים החמים והעדכניים ביותר, ספר על סטגנוגרפיה הוא מיושן בהגדרה: אף אדם שפוי לא ימשיך להשתמש לצרכים מבצעיים בטכניקות הסתרה שנחשפו בפומבי.
חידות
בקטע מאוד לא מפתיע, מחבר "אומנות ההסתרה" הטמין עשרה מסרים בסטגנוגרפיה בספר עצמו, כאתגר לקוראים. באתר הספר אפשר להירשם ולהעלות את המסרים שאתם מגלים, ולככב בטבלת המפצחים. נכון לכתיבת שורות אלה אני נמצא שם במקום הראשון (בשם Tsamron), עם שישה פיצוחים בלבד. אז קדימה, יש לכם משימה 🙂
נ.ב. לא, בפוסט הזה אין מסרים מוסתרים – לפחות לא בכוונה.