第七章 数字图像隐写信息提取

第七章数字图像

隐写信息提取本讲提要一、提取攻击研究概述二、对连续LSB替换隐写术的提取攻击

三、对随机LSB隐写术的提取攻击本讲提要一、提取攻击研究概述二、对连续LSB替换隐写术的提取攻击

三、对随机LSB隐写术的提取攻击考核要求了解密码算法在隐写术中的应用，熟悉其实现机制；理解难提取性的信息论分析方法；掌握分析格式隐写术冗余空间的方法；掌握估计连续隐写术消息嵌入起止点的方法；掌握区分随机隐写术真伪密钥的方法。

目前，隐写分析的研究主要集中于隐写信息的检测，已有大量学术论文发表。而隐写信息的提取（即对隐写术的提取攻击）作为隐写分析与密码分析的交叉领域，有关它的研究还非常少，尚没有成熟的理论和方法。

一、提取攻击研究概述隐写术在实现隐蔽性的同时附带了一种保密性——难提取性.提取攻击事实上是一种密码分析，是一种特殊的密码分析.但是它与传统的密码分析也有很大的不同.传统的密码分析处理的数据是密文序列，密文序列中包含了密钥的信息，密码分析者通过分析密文序列与加密算法来恢复密钥.做提取攻击时，攻击者面对的是载密对象，而载密对象与隐写密钥的联系一般并不像密文与加密密钥那么直接.

提取攻击的困难性一、提取攻击研究概述提取攻击本质上是一种特殊的密码分析,它属于隐写分析与密码分析的交叉领域,在研究方法上需要融合密码分析与隐写分析两方面的技术来进行.

提取攻击的困难性一、提取攻击研究概述隐写算法一般要求消息先加密再隐藏,使得其有两个密钥空间,加密密钥空间和隐写密钥空间.攻击者穷举攻击的最大复杂度为

.对于密码分析者而言,“加密+隐藏”的模式就相当于一个“乘积密码”,穷举的复杂度为

. 提取攻击的复杂度一、提取攻击研究概述所以能够不考虑加密算法,实现独立的穷举隐写密钥,是非常有意义的,是提取攻击所要解决的首要问题,也是考虑进一步快速攻击的基础.隐写术的应用中，一般加密密钥比较长，而实际隐写密钥比较短。若能独立的穷举隐写密钥，实现提取是可能的。密码分析者希望能将两层破译独立来做,这样可使最大复杂度大大降低为.

提取攻击的复杂度一、提取攻击研究概述早期的某些隐写软件是利用文件格式的预留位隐藏信息或直接将消息隐藏附加于文件的尾部,如Hide2Bmpv1.0,Maskerv7.0.2.对于这种隐写软件可通过对比使用软件嵌入消息前后的载体和载密对象的差异,找出消息嵌入的位置,或消息嵌入的起止标记来提取消息,如隐写分析工具Stegspy2.1.对基于格式的隐写术的提取攻击一、提取攻击研究概述钮心忻研究了基于BMP和GIF图像文件格式冗余的信息隐藏技术。童莉提出了基于JPEG应用数据段的信息隐藏技术和提取攻击方法。陈嘉勇等通过对5种互联网上常见图像格式冗余结构剖析，给出计算图像中冗余数据占据的空间位置的快速算法，进而提出基于图像格式的隐藏信息提取方法。

对基于格式的隐写术的提取攻击一、提取攻击研究概述有一些隐写方法将消息连续嵌入到一段载体上.对于这种隐写术可以认为密钥即是消息嵌入的起点和终点,而提取攻击者的任务则是估计嵌入消息的起止点.连续嵌入的消息会导致载体承载消息的区域和没有承载消息的区域有统计差异,而在这两种区域的交界处,统计特性会有变化.

对连续隐写术的提取攻击一、提取攻击研究概述Trivedi和Chandramouli利用载体承载消息的区域和没有承载消息的区域存在的统计差异对基于扩频通信的连续隐写信息研究了提取方法,他们借鉴“序贯概率比检验（SPRT）”判断序列突变点的思想,在已知参数,已知部分参数和未知参数等对多种条件下,给出了估计连续扩频隐写信息起止点的方法.对连续隐写术的提取攻击一、提取攻击研究概述张利平指出Chandramouli的序贯概率比检验结合优化累加和(SPRT-CUSUM，SequentialProbabilityRatioTest-CUmulativeSUM)模型在估计嵌入起点时稳定性较差，采用非优化累加和方法改进了该模型.对连续隐写术的提取攻击一、提取攻击研究概述卡方检验是对连续LSB隐写术最有效的检测方法之一.马宁等发现卡方检验的p值突变点与连续LSB隐写消息起止点有近似线性的关系,从而结合使用卡方检验和线性回归对连续LSB隐写术提出了一种可较精确判断嵌入消息位置的方法.对连续隐写术的提取攻击一、提取攻击研究概述周涵等把确定嵌入信息的起点和终点问题本质上看成是统计学中的“污染数据的变更点（Change-Point）问题”.首先通过多次实验选择合适的窗口，在单个窗口内执行检测算法；将嵌入起止点视为序列突变点，通过滑动窗口，估计出起止点可能的存在区间；使用CPA(Change-PointAnalysis)法，进一步精确估计隐蔽信息的起止点.对连续隐写信息的提取一、提取攻击研究概述陈嘉勇等提出了对序贯JSteg算法的快速提取攻击算法.该算法将连续的待检测数据分段，构造小样本二值分类器对每段数据是否载密进行小样本二值分类.将分类结果视为一维序列，通过对序列进行扩展，得到一条先升序后降序的有序序列，从而把序贯LSB隐写术的提取攻击问题转化为一类搜索问题.对嵌入率未知和已知两类情形分别提出顺序搜索算法和二分搜索算法.对连续隐写信息的提取一、提取攻击研究概述陈嘉勇等还提出了对序贯JSteg改进算法的提取攻击算法.该算法以JPEG图像中每个8×8编码块为坐标点建立块坐标系.由于序贯JSteg算法改变量化后的DCT系数，从而使8×8图像编码块之间的不连续性在消息嵌入前后产生变化.通过序列处理，把序贯JSteg算法的提取攻击问题转化为时间序列突变点的估计问题，进而提出逼近理想序列算法估计消息嵌入起止点.对连续隐写信息的提取一、提取攻击研究概述信息论模型分析隐写密钥的唯一解距就是攻击者欲恢复隐写密钥所需的数据量的最小值.

隐写密钥唯一解距的具有如下下界：

（1）其中,Rk是密钥率,主要由密钥的熵决定,Rm是消息传输率,称为隐藏冗余.隐写密钥恢复方法的研究一、提取攻击研究概述上述结论表明,大的密钥率和小的隐藏冗余可获得强的难提取性.嵌入消息的长度与载体长度的比称为嵌入率,当嵌入率为r时可计算隐藏冗余为易知当嵌入率趋向0或1时,隐藏冗余趋于0,此时唯一解距趋于无穷大,即攻击者需要的数据量无穷大,因此攻击不可行.隐写密钥恢复方法的研究一、提取攻击研究概述基于检测方法的密钥区分方法Fridrich等采用隐写分析中区分载体和载密对象的方法来确定JPEG图像随机LSB隐写术的密钥.事实上,若尝试用每个密钥生成嵌入位置对载密图像的DCT系数进行抽样,则用真密钥抽到的DCT系数全部承载了消息,而用伪密钥只得到一个随机抽样,即抽到的DCT系数中只有部分承载消息,所以真假密钥抽样的统计特性是不一样的.隐写密钥恢复方法的研究一、提取攻击研究概述Fridrich后来又将上述方法模型化推广到一般的情形,使之适用于图像空域随机LSB隐写术.周治平在Fridrich提取攻击模型基础上，利用同余发生器的弱点针对空域随机LSB隐写术提出快速提取攻击算法.陈嘉勇针对一类伪随机置换隐写术，提出对随机JSteg算法的快速提取攻击算法.隐写密钥恢复方法的研究一、提取攻击研究概述基于密码分析的密钥恢复方法恢复隐写密钥的工作,本质上可看成是特殊的密码分析.但这种密码分析与传统的密码分析又有所不同,主要是因为如何建立载密数据与密钥的关系是一个新的困难.所以可考虑通过适当的方法处理数据将难以入手的提取攻击问题转化成已知的密码分析问题来解决.隐写密钥恢复方法的研究一、提取攻击研究概述载体重复使用条件是指发送者的一种失误操作：发送者从图像库中选择图像用以隐藏发送多组消息,但同一图像被选择两次来发送两组消息（这两组消息可以相同也可以不同）,生成两幅载密图像.攻击者获得这样两幅载密图象后,通过比较,可记录二者的“差异位置”（即像素值不同的位置）,然后试验“每对”密钥,如果某对密钥生成的随机位置可以覆盖所有“差异位置”,则认为是真密钥对.隐写密钥恢复方法的研究一、提取攻击研究概述张卫明等在两个比较强的条件下,即已知载体和载体重复使用条件下,考察了对随机LSB隐写术的提取攻击问题.在已知载体条件下,攻击者通过比较载体和载密对象,可观测到部分嵌入位置,即得到随机数发生器输出的部分序列,然后恢复其种子,这可以直接看成是密码分析问题.若密钥长度为r比特,则这种简单穷举的复杂度为O(22r).隐写密钥恢复方法的研究一、提取攻击研究概述张卫明将两幅载密图像上的消息嵌入位置序列看作一个序列密码的两条输入序列,而把观测到的“差异位置”序列看作输出序列,进而借鉴序列密码分析中的“分别征服攻击”方法给出了分别恢复两个密钥的算法,将攻击的复杂度由O(22r)降到了O(2r).隐写密钥恢复方法的研究一、提取攻击研究概述张卫明针对空域图像随机LSB隐写术提出“碰撞优势攻击法”.该方法通过建立混合模型寻找某种相关优势，基于此相关优势，使用密码分析中的相关攻击方法恢复隐写密钥，从而提取隐藏信息.并从理论上证明了，当消息嵌入率接近0或接近1时，攻击都将难以成功.利用此方法，可成功攻击隐写软件HideandSeek4.1.隐写密钥恢复方法的研究一、提取攻击研究概述马宁等对JPEG图像LSB隐写术在唯载密图像条件下讨论了密钥恢复问题.

首先将图像分成m2个大小相同的部分,然后借鉴嵌入率估计算法对每个部分计算相应的块间距指标Bi,,因为每个部分都很小,这些Bi值难以用来准确估计各部分上的消息嵌入率,但是由于块间距指标的一致性,它们仍可以较好的反映不同部分上的消息嵌入率的大小关系.故可借鉴相关攻击方法恢复密钥.隐写密钥恢复方法的研究一、提取攻击研究概述张卫明提出了针对二值图像隐写术CPT提取攻击方法.CPT算法是一个典型的采用编码技巧实现分组式嵌入信息的算法.张卫明将这种隐写术看成是特殊的分组密码，通过使用分组密码分析中的差分分析方法，发现CPT算法存在大量等价密钥，并给出了等价密钥的具体数量.进而在选择载密图像的条件下给出了一个求等价密钥的快速算法.隐写密钥恢复方法的研究一、提取攻击研究概述基于盲源分离方法的消息估计Chandramouli针对基于扩频通信的隐藏方法就一种特殊情况给出了提取攻击技术,他考察的情况是同一消息使用同一载体发送了两次,前后两次的差别仅在于嵌入消息时所用的强度因子不同.从这样两个载密对象中提取消息的问题可看成是一个典型的盲源信号分离（BlindSourceSeparation,BSS）问题.

其他提取攻击技术一、提取攻击研究概述本讲提要一、提取攻击研究概述二、对连续LSB替换隐写术的提取攻击

三、对随机LSB隐写术的提取攻击CPA是工程上处理变更点问题的一个方法:1、构造CUSUM片段；2、计算累积和；3、估计一下变更点的大体所在的范围；

4、引入bootstrap分析确定变更点.bootstrap分析的思想是用bootstrap样本来模仿没有变更点时这些数据原有的行为.二、对连续LSB隐写术的提取攻击CPA(Change-PointAnalysis)针对序贯LSB替换的提取攻击模型分三部分:1、将待检图像分块；2、判定秘密信息起止点的疑似存在区间：a)计算每块的估计嵌入率，得到估计嵌入率序列b)给定阈值，根据a)的结果，获得秘密信息起点和终点的疑似存在区间集合，分别为

，.二、对连续LSB隐写术的提取攻击提取攻击模型

3、估计秘密信息的嵌入起点和终点：a)扩展起点备选集；b)依次构建检测数据集，对检测数据集进行检测，得到估计嵌入序列；c)当一个数据集的起点为嵌入起点时，其估计嵌入率应趋于稳定，固可利用CUSUM得到估计起点；d)利用a)–c)对终点进行估计；

二、对连续LSB隐写术的提取攻击提取攻击模型

选择DIH分析方法作为提取攻击算法的检测算法

.DIH分析方法见第四章4.1.4节.二、对连续LSB隐写术的提取攻击针对空域连续LSB替换隐写术的提取攻击将能够执行DIH算法的最小样本量称为窗口，记为。给定显著性水平,利用实验的方法得到合适的窗口:0.05a=1、对载体图像和100％载密图像分别执行DIH算法，计算出取伪概率和弃真概率.2、按照保证低取伪概率的前提下尽可能降低弃真概率的原则来选择.3、对于纹理较简单的图像M=200较好，而对于纹理较复杂的图像M=650较好.二、对连续LSB隐写术的提取攻击窗口的选择主要步骤：

Step1：确定窗口大小.Step2：通过滑动窗口执行多次DIH检验，确定起止点的可能存在区间.Step3：利用CPA将估计起止点.Step4：输出估计区间.二、对连续LSB隐写术的提取攻击利用上述模型估计嵌入起止点二、对连续LSB隐写术的提取攻击实验结果主要步骤：首先，将待测数据进行分段；其次，构造小样本条件下针对嵌入算法检测性能良好的二值分类器；最后，利用分类器检测分段数据，通过判断序列突变点得到消息嵌入起止点的区间估计.二、对连续LSB隐写术的提取攻击分段检测模型

二值分类器δ用于区分某段待测数据是否载密.记I为二值分类器δ的输入样本集，D为的用于二值分类的统计量.仅需考虑I中均为载密样本或均为载体样本两类情形，从而二值分类问题可转化为如下假设检验问题：

H0：I中均为载体样本；H1：I中均为载密样本.取判决门限值为T,当D(I)<T时,接受原假设H0,即取δ(I)=0；否则,接受备选假设H1,即δ(I)=1.

二、对连续LSB隐写术的提取攻击二值分类器原理记二值分类器：漏检率α={δ(I)=0|H1}；虚警率β={δ(I)=1|H0}.选取判决门限值的原则为：二值分类贝叶斯分类错误最小.其中,贝叶斯分类错误定义为Error＝0.5(α+β).为提高消息嵌入起点与终点的估计精度,这里希望二值分类器实现可靠分类所需输入的样本量尽量小(即所谓的小样本二值分类问题).通过二值分类,获得一条1维01序列.二、对连续LSB隐写术的提取攻击二值分类器相关参数当p未知时，利用顺序搜索算法：

Step1：计算滤波值；

Step2：判断突变点；

Step3：输出估计区间.

二、对连续LSB隐写术的提取攻击提取攻击方法当p已知时，利用二分搜索算法：

Step1：定位初始搜索区间；Step2：二分递归搜索可疑区间；Step3：结果输出.该算法的计算复杂度为.二、对连续LSB隐写术的提取攻击提取攻击方法二、对连续LSB隐写术的提取攻击计算复杂度比较把连续LSB替换隐写术的提取攻击问题转化为序列突变点的估计问题,证明了序列突变点的估计问题本质上等价于一类搜索问题.原搜索问题如下：给定已排好序的个元素,现要在个元素中找到一个特定元素.利用p已知条件证明序列存在极大值点,进而利找到序列的一个极大值点,从而将将序列拆分为两个子序列,分别为升序序列和降序序列,采用二分搜索策略.二、对连续LSB隐写术的提取攻击提取攻击问题与搜索问题

提取攻击算法如何用于攻击连续JSteg算法？

其中,二、对连续LSB隐写术的提取攻击构造分类统计量首先，取USC-SIPI和CBIR图像库中的图像转化得到400幅256×256灰度JPEG图像，并提取3500个载体样本.其次，采用JSteg算法对载体样本集满嵌密文，得载密样本集.最后，以载体样本集和载密样本集作为输入样本，利用统计量D进行二值分类，用统计软件SPSS进行ROC分析.二、对连续LSB隐写术的提取攻击分类性能分析统计量D的分类性能：二、对连续LSB隐写术的提取攻击提取攻击方法二、对连续LSB隐写术的提取攻击实验结果本讲提要一、提取攻击研究概述二、对连续LSB替换隐写术的提取攻击

三、对随机LSB隐写术的提取攻击

“提取攻击”是一个困难的问题，它可以被视为一种特殊的密码分析.现在的隐写软件一般都要求把消息先加密再隐藏，即形成了“加密＋隐藏”的安全通信模式。当一个密码分析者面对这种模式时，相当于面对一个“乘积密码”.三、对随机LSB隐写术的提取攻击能够不考虑加密算法，实现独立的分析隐写密钥，是一个非常有意义的问题，也是提取攻击所要解决的首要问题。但是攻击者面对的多媒体数据与隐写密钥没用直接联系，尽管一些检测算法也能相对精确的估计嵌入的密文长度，但并不能提供关于隐写密钥的任何信息，因此要独立分析隐写密钥“无从下手”。三、对随机LSB隐写术的提取攻击

下面用表示载体图像，不失一般性，我们把包含个样本的图像记作维向量，即，根据图像格式，可以是灰度值，彩色索引或DCT系数.

用表示对应的载密图像。用，，表示嵌入消息（可能为密文），，。用表示隐写密钥，它取值于密钥空间。为简便，下面用相同的字母表示随机变量及其取值。三、对随机LSB隐写术的提取攻击随机LSB隐写术的统计模型随机LSB隐写算法的嵌入过程如下：首先利用隐写密钥k(取值于密钥空间)通过一个伪随机数发生器G生成随机序列（L为嵌入信息的长度），然后按如下方式产生消息的随机嵌入位置()，,，然后将消息嵌入的LSB位，从而得到载密图像S。三、对随机LSB隐写术的提取攻击随机LSB隐写术的统计模型若的LSB位与相同，则不变，否则进行“LSB替换”（即把的LSB位改成）或按某种规则如“”实现消息嵌入。合法的接收者拥有隐写密钥，所以可以很容易从载密图像读出嵌入消息。具体的嵌入过程是：三、对随机LSB隐写术的提取攻击随机LSB隐写术的统计模型样本值Modifiedvaluewhenmessagebitis012i2i2i+1or2i-12i+12i2i+1样本值Modifiedvaluewhenmessagebitis012i2i2i+1or2i-12i+12ior2i+22i+1LSB替换嵌入方式

1嵌入方式三、对随机LSB隐写术的提取攻击随机LSB隐写术的统计模型需要说明的是，随机数发生器的输出一般要服从均匀分布。我们的目的是研究在不知隐写密钥的情况下，如何利用载密图像恢复出密钥，从而获得嵌入消息。我们把随机数发生器的输出定义为独立同分布的随机变量序列，其取值为之间的整数，其中和是两个整数，满足,,易知只需讨论的情况即可。三、对随机LSB隐写术的提取攻击随机LSB隐写术的统计模型本小节要对图像空域随机LSB替换隐写术研究如何处理和变换数据，将难以入手的提取攻击问题转化为已知的密码分析问题，从而独立的恢复隐写密钥。三、对随机LSB隐写术的提取攻击针对图像空域随机LSB替换隐写术的提取攻击LSB方法本质上是把消息隐藏于图像的噪声部分，所以我们下面以隐写图像的噪声数据为对象进行分析。三、对随机LSB隐写术的提取攻击图像空域随机LSB隐写术的提取攻击模型 首先我们把按像素值取值的奇偶分成两部分, 。对应位置的滤波值集合分别记为

和。对于奇数值，用像素值减去对应的滤波值得噪声值，其集合记作;对于偶数值，用滤波值减去像素值得噪声值，其集合记为。（1）中的数据可看成是来自一个污染率为集合的污染分布的样本，其分布为三、对随机LSB隐写术的提取攻击噪声数据分布模型从密钥空间中选择一个密钥,若是伪密钥，则对应的噪声中的数据仍服从污染分布（1）；若是真密钥，则服从污染率为的污染分布（2）：（2）是正态分布的分布函数，而其中是正态分布的分布函数。类似的，集合中的数据也服从污染分布（1）。噪声集合中的数据服从污染分布（1）。分布（1）与（2）的差异是我们区分真伪密钥的依据。三、对随机LSB隐写术的提取攻击噪声数据分布模型设随机变量服从分布，服从分布，取，令，，则（3）（4）三、对随机LSB隐写术的提取攻击碰撞优势（5）

令设真密钥k0对噪声数据的抽样大于A的概率为p0，伪密钥k对噪声数据的抽样大于A的概率为p1，则（6）三、对随机LSB隐写术的提取攻击碰撞优势二者的差（7）我们把称作“碰撞优势”。（8）

当时，达到最大，此时定义如下函数：三、对随机LSB隐写术的提取攻击碰撞优势为了算出和，需估计方差。令表示样本的二阶原点矩，则（9）定义随机变量,：三、对随机LSB隐写术的提取攻击碰撞优势一种恢复隐写密钥的方法构造统计量，从而恢复隐写密钥问题转化成如下的假设检验问题：：所选密钥是真密钥：所选密钥是伪密钥

设定门限值,当时接受；当时接受。为确保按上述规则能得到真密钥，记取伪错误概率为，弃真错误概率为，则三、对随机LSB隐写术的提取攻击一种恢复隐写密钥的方法则确定真密钥所需的样本容量对应的门限值为其中为碰撞优势。定理:在上述假设检验问题中，若限定弃真错误概率为，并查表得和满足：，。三、对随机LSB隐写术的提取攻击一种恢复隐写密钥的方法通过攻击所需的样本容量n，有以下结论：(a)密钥空间越大，攻击所需的数据量越大。(b)碰撞优势越大，攻击所需的数据量越少。(c)当嵌入率趋近1时，攻击将很难成功。(d)当嵌入率接近0时，攻击也难以成功。三、对随机LSB隐写术的提取攻击一种恢复隐写密钥的方法Step0：1）用RS算法估计嵌入消息的长度L，并计算嵌入率；2）对可疑图像S做均值滤波，并计算噪声集W：对像素值为奇数的像素点，用像素值减去对应的滤波值得噪声值；对于像素值为偶数的像素点，用滤波值减去对应的像素值得噪声值；3）估计方差，计算p0和p1；4）根据定理计算样本容量n和门限值T；三、对随机LSB隐写术的提取攻击碰撞攻击算法的具体步骤Step1：若，转到第3步；否则穷举密钥空间中的密钥，对每个密钥，以为种子利用隐写算法的随机数发生器对噪声集抽样次，记录个噪声值中大于0.5的值的个数，若，把存入备选集，否则抛弃；Step2：若，则以中的密钥为真密钥提取嵌入消息，攻击结束；若或，转到第3步；三、对随机LSB隐写术的提取攻击碰撞攻击算法的具体步骤Step3：令，穷举密钥空间中的密钥，对每个密钥，以为种子利用隐写算法的随机数发生器对噪声集抽样次，记录个噪声值中大于0.5的值的个数，把使达到最大值的密钥存入备选集；

Step4：若，用中的密钥为真密钥提取消息，攻击结束；若，攻击失败，结束。三、对随机LSB隐写术的提取攻击碰撞攻击算法的具体步骤HideandSeek4.1是一个典型的图像空域随机LSB隐写算法，它以320×480的256色GIF图像为载体，通过替换像素值的LSB位来隐藏消息。其用来承载消息的像素是随机选择的，由一个由密钥控制的随机数发生器完成。随机数发生器采用BorlandC++

3.1中的random(num)函数，random(num)用一个16比特的种子作初态，参数num用来控制最大偏移步长，它动态变化，与当前所剩消息的长度以及尚未使用的像素的个数有关。三、对随机LSB隐写术的提取攻击隐写软件HideandSeek4.1原理分析HideandSeek4.1中的选位密钥实际上由16比特的种子和消息长度两部分组成。嵌入过程首先用加密算法IDEA加密消息长度、随机数发生器种子和版本信息，生成64比特密文，并将这64比特密文藏于图像的前64个像素点的LSB位，然后从第65个像素点开始，用在消息长度和种子的控制下生成的随机位置嵌入消息。而IDEA的密钥由最长为8个字符的口令生成，所以HideandSeek4.1的密钥长度为64比特。合法的接收者知道口令，所以可以解密获得消息长度和种子，从而提取出消息。三、对随机LSB隐写术的提取攻击针对HideandSeek4.1的提取攻击欲攻击64比特的口令信息是困难的，但是我们可以跳过图像的前64个像素，以第65个像素为起点进行前述的“碰撞攻击”，这样只需恢复出16比特的种子和确切消息长度即可，由于用RS方法估计消息嵌入率的误差可控制在±0.02以内，所以有大约760个可能长度需要测试，由此我们需要攻击的有效密钥长度仅为16+log2760=25.57比特。根据前面分析，即可将随机LSB隐写术的提取攻击算法用于隐写软件HideandSeek4.1。三、对随机LSB隐写术的提取攻击针对HideandSeek4.1的提取攻击

设表示载体JPEG图像量化后DCT系数的集合，。设密钥空间为，。设通过密钥利用PRNG可生成m个位置，对载体中的这m个位置进行嵌入操作得到载密图像S={si}，其中m<N。进一步，设L=minS、R=maxS分别表示载密图像S的DCT系数的最小值和最大值。对任意的，I(j)表示由密钥Kj生成