Na esteganografia, uma mensagem comum mascara a presença de uma comunicação secreta. Os humanos nunca conseguem fazer isso perfeitamente, mas um novo estudo mostra que é possível para as máquinas.
Em 27 de junho de 2010, o FBI prendeu 10 espiões russos que viviam e trabalhavam como profissionais americanos perto da cidade de Nova York. O caso, que desvendou um intrincado sistema de identidades falsas e encontros clandestinos, expôs uma das maiores redes de espionagem dos Estados Unidos desde o fim da Guerra Fria e inspirou a série The Americans.
Também chamou a atenção para a esteganografia, uma forma de disfarçar uma mensagem secreta dentro de outra mensagem. Os espiões de Nova York esconderam seus segredos à vista de todos, codificando comunicações dentro dos pixels de imagens aparentemente inócuas postadas em sites publicamente disponíveis. Para lê-los, o destinatário tinha que baixar uma imagem, traduzi-la nos 1s e 0s do código binário e saber quais dígitos alterados, tomados em sequência, revelariam o segredo.
A esteganografia, que é tanto uma arte quanto uma ciência, difere do método mais conhecido de comunicação secreta conhecida como criptografia. Onde a criptografia oculta intencionalmente o conteúdo de uma mensagem, transformando-a em um emaranhado de texto ou números, a esteganografia oculta o fato de que existe um segredo. “A esteganografia esconde a presença da mensagem”, disse Christian Cachin, cientista da computação e criptógrafo da Universidade de Berna. “Se um adversário pode detectar uma mensagem oculta, o remetente perdeu o jogo.”
Como acontece com qualquer método de comunicação secreta, o desafio é como torná-lo perfeitamente seguro, o que significa que nem um humano nem um detector de máquina suspeitariam que uma mensagem esconde um segredo. Para a esteganografia, esta tem sido uma possibilidade teórica, mas foi considerada impossível de alcançar com as comunicações humanas reais.
O advento de grandes modelos de linguagem, como o ChatGPT, sugere um caminho diferente. Embora possa ser impossível garantir a segurança do texto criado por humanos, uma nova prova estabelece pela primeira vez como obter segurança perfeita para a esteganografia em mensagens geradas por máquina – sejam elas texto, imagens, vídeo ou qualquer outra mídia. Os autores também incluem um conjunto de algoritmos para produzir mensagens seguras e estão trabalhando em maneiras de combiná-los com aplicativos populares.
“À medida que nos tornamos cada vez mais uma sociedade onde é muito comum interagir com modelos de IA, há cada vez mais oportunidades de codificar informações secretas na mídia que as pessoas usam o tempo todo”, disse Samuel Sokota, cientista da computação da Carnegie Mellon University, que ajudou a desenvolver os novos algoritmos.
O resultado vem do mundo da teoria da informação, que fornece uma estrutura matemática para entender a comunicação de todos os tipos. É um campo abstrato e organizado, em contraste com a complicada confusão da esteganografia prática. Os mundos nem sempre se sobrepõem, disse Jessica Fridrich, pesquisadora da Universidade de Binghamton que estuda maneiras de ocultar (e detectar) dados em mídia digital. Mas os novos algoritmos os reúnem satisfazendo critérios teóricos de segurança de longa data e sugerindo aplicações práticas para ocultar mensagens em conteúdo gerado por máquina. Os novos algoritmos podem ser aproveitados por espiões como os russos de Nova York, mas também podem ajudar as pessoas que tentam obter informações dentro ou fora de países que proíbem canais criptografados.
Cabeças raspadas e outras estratégias
Os esquemas de esteganografia, palavra grega para “escrita encoberta”, são milênios anteriores à mídia digital.
Os primeiros exemplos conhecidos aparecem em As histórias de Heródoto, escritas no século V aC. Em uma história, uma mensagem é escrita em tábuas de madeira e escondida por uma camada de cera para evitar a interceptação durante sua jornada. Em outro, atribuído a Enéias, o Estrategista, uma mensagem esconde pontos de tinta invisível sobre certas letras, que indicam a verdadeira mensagem. Em um exemplo mais extremo, o líder tirânico Histiaeus quer comunicar uma estratégia a seu sobrinho sem ser detectado, então ele raspa a cabeça de um escravo, tatua sua mensagem na cabeça do homem e espera que o cabelo volte a crescer antes de enviar o mensageiro. Ao chegar, o sobrinho raspa a cabeça do mensageiro, revelando os planos.
Essas estratégias persistiram e a tecnologia permitiu novas. Os espiões alemães durante a Primeira Guerra Mundial encontraram maneiras de transmitir informações via microponto: eles copiavam e reduziam um documento até que fosse tão pequeno quanto o ponto de um “i”, que parecia inocente, mas podia ser revelado por meio de ampliação.
Os políticos também se voltaram para a arte enganosa. Na década de 1980, após uma série de vazamentos na imprensa, a primeira-ministra britânica Margaret Thatcher supostamente reprogramou os processadores de texto de seus ministros para que cada um tivesse seu próprio padrão quase indetectável, mas único, de espaçamento entre palavras. Essa pequena modificação permitiu que os documentos vazados fossem rastreados até a fonte.
A abordagem continua a florescer no século 21, para o bem e para o mal. Estratégias esteganográficas modernas incluem escrever mensagens com tinta invisível (outra tática usada pelos espiões russos em Nova York), ocultar assinaturas de artistas em detalhes de pintura e projetar arquivos de áudio com uma faixa oculta ou invertida. Fridrich diz que as abordagens esteganográficas na mídia digital também podem ajudar a ocultar imagens em arquivos de correio de voz ou, como no caso dos espiões russos, colocar texto escrito em fotografias adulteradas.
Formalizando o Sigilo
Não foi até a década de 1980 que matemáticos e cientistas da computação começaram a buscar regras matemáticas formais para a esteganografia, disse Cachin. Eles se voltaram para a teoria da informação, um campo que havia começado com o artigo seminal de Claude Shannon em 1948, “A Mathematical Theory of Communication”, que estabeleceu uma abordagem analítica para pensar sobre o envio e recebimento de informações por meio de um canal. (Shannon modelou linhas telegráficas, mas lançou as bases para as tecnologias digitais de hoje.) Ele usou o termo “entropia” para quantificar a quantidade de informação em uma variável – o número de bits necessários para codificar uma carta ou mensagem, por exemplo – e em 1949, ele elaborou regras para criptografia perfeitamente segura. Mas Shannon não abordou a segurança na esteganografia.
Quase 50 anos depois, Cachin o fez. Sua abordagem, no espírito de Shannon, era pensar sobre a linguagem probabilisticamente. Considere dois agentes, Alice e Bob, que desejam comunicar uma mensagem via esteganografia e mantê-la em segredo de Eva, sua adversária. Quando Alice envia uma mensagem inócua para Bob, ela seleciona palavras de todo o léxico inglês. Essas palavras têm probabilidades associadas a elas; por exemplo, é mais provável que a palavra “o” seja escolhida do que, digamos, “léxico”. Ao todo, as palavras podem ser representadas como uma distribuição de probabilidade. Se Alice usa esteganografia para enviar uma mensagem codificada para Bob, essa mensagem terá sua própria distribuição de probabilidade.
Os teóricos da informação usam uma medida chamada entropia relativa para comparar as distribuições de probabilidade. É como medir um tipo abstrato de distância: se a entropia relativa entre duas distribuições for zero, “você não pode confiar na análise estatística” para descobrir o segredo, disse Christian Schroeder de Witt, um cientista da computação da Universidade de Oxford que trabalhou no novo papel. Em outras palavras, se futuros espiões desenvolverem um algoritmo perfeitamente seguro para contrabandear segredos, nenhuma vigilância baseada em estatísticas será capaz de detectá-lo. Suas transmissões ficarão perfeitamente escondidas.
Mas a prova de Cachin dependia de uma suposição crítica sobre a mensagem que escondia o segredo, conhecida como texto de capa. Para chegar a uma nova mensagem indistinguível da original, inócua, é preciso criar uma simulação perfeita da distribuição do texto da capa, disse Cachin. Em uma mensagem escrita, por exemplo, isso significa usar alguma ferramenta que consiga simular perfeitamente a linguagem de uma pessoa. Mas o texto gerado por humanos é muito confuso. É possível chegar perto – ChatGPT e outros grandes modelos de linguagem podem produzir simulações convincentes – mas não são exatos. “Para texto gerado por humanos, isso não é viável”, disse Cachin. Por esse motivo, a esteganografia perfeitamente segura parece há muito tempo fora de alcance.
Fridrich, cuja pesquisa se concentra nas complicadas complexidades do mundo real de ocultar mensagens em mídia digital feita pelo homem, como fotografias e mensagens de texto, disse que a simulação perfeita é uma condição que nunca será atendida. “O problema com a mídia digital é que você nunca terá esse modelo real”, disse ela. “É muito complexo. A esteganografia nunca pode ser perfeita.”
Atingindo a Perfeição
Mas o texto gerado por máquina, é claro, não é criado por humanos. O recente surgimento de modelos generativos que se concentram na linguagem, ou outros que produzem imagens ou sons, sugere que a esteganografia perfeitamente segura pode ser possível no mundo real. Esses modelos, afinal, usam mecanismos de amostragem bem definidos como parte da geração de texto que, em muitos casos, parece convincentemente humano.
Sokota e Schroeder de Witt já haviam trabalhado não em esteganografia, mas em machine learning. Eles buscavam novas maneiras de transmitir informações por vários canais e, a certa altura, aprenderam sobre um conceito relativamente novo na teoria da informação chamado acoplamento de entropia mínima.
“É esse tipo de ferramenta aparentemente fundamental que não é muito bem explorada”, disse Sokota. Em um acoplamento de entropia mínima, os pesquisadores podem combinar duas distribuições de probabilidade em uma única distribuição conjunta que representa ambos os sistemas. No caso da esteganografia, uma dessas distribuições representa o texto de capa e a outra representa o texto cifrado, que contém a mensagem oculta. A distribuição conjunta pode garantir que os dois textos sejam estatisticamente indistinguíveis, gerando uma mensagem perfeitamente segura.
Sokota, Schroeder de Witt e sua equipe tentaram encontrar maneiras de explorar a ferramenta para novas abordagens de deep learning. Mas um dia, lembrou Sokota, seu colaborador Martin Strohmeier mencionou que seu trabalho no acoplamento de entropia mínima o lembrou dos problemas de segurança em torno da esteganografia.
Strohmeier estava fazendo um comentário casual, mas Sokota e Schroeder de Witt levaram a sério. O grupo logo descobriu como usar um acoplamento de entropia mínima para projetar um procedimento esteganográfico que atendesse aos requisitos de Cachin para segurança perfeita no contexto de sistemas de machine learning do mundo real.
“Fiquei surpreso ao ver que ele tem uma aplicação tão boa em esteganografia”, disse Murat Kocaoglu, engenheiro elétrico e de computação da Purdue University. Ele não trabalha com esteganografia, mas ajudou a projetar um dos algoritmos que a equipe usou no artigo. “Este trabalho realmente se relaciona bem com o acoplamento de entropia mínima.”
Em seguida, a equipe foi além, mostrando que, para um esquema de esteganografia ser o mais eficiente computacionalmente possível, ele deve ser baseado em um acoplamento mínimo de entropia. A nova estratégia estabelece direções claras sobre como obter segurança e eficiência – e sugere que os dois andam de mãos dadas.
O mundo real
Existem limitações. Cachin apontou que encontrar o verdadeiro acoplamento mínimo de entropia é um problema NP-difícil, o que basicamente significa que a solução perfeita é computacionalmente muito cara para ser prática, voltando à questão da eficiência.
Sokota e Schroeder de Witt reconhecem esse problema: o acoplamento ideal seria, de fato, muito complicado de calcular. Mas para contornar esse gargalo, os autores usaram um procedimento aproximado desenvolvido por Sokota e Schroeder de Witt (e baseado em um método introduzido por Kocaoglu) que ainda garante segurança e eficiência razoável.
Veja como eles veem isso funcionando na prática: digamos que um dissidente ou ativista de direitos humanos queira enviar uma mensagem de texto de um país bloqueado. Um plug-in para um aplicativo como WhatsApp ou Signal faria o levantamento algorítmico pesado, disse Schroeder de Witt. O primeiro passo seria escolher uma distribuição de texto de capa – ou seja, uma coleção gigante de possíveis palavras para usar na mensagem, como viria do ChatGPT ou de um modelo de linguagem grande semelhante – que ocultaria o texto cifrado. Em seguida, o programa usaria esse modelo de linguagem para aproximar um acoplamento mínimo de entropia entre o texto da capa e o texto cifrado, e esse acoplamento geraria a cadeia de caracteres que seria enviada pelo texto. Para um adversário externo, o novo texto seria indistinguível de uma mensagem inocente gerada por máquina. Também não precisaria ser texto: o algoritmo poderia funcionar amostrando arte gerada por máquina (em vez de ChatGPT) ou áudio gerado por IA para correios de voz, por exemplo.
Os novos algoritmos são limitados em termos de tamanho da mensagem secreta: Schroeder de Witt estima que, com a tecnologia atual, seu sistema poderia ocultar uma imagem (ou outra mensagem) de cerca de 225 kilobytes em cerca de 30 segundos de correio de voz gerado por máquina. Mas não precisa ser enorme para ter sucesso. Isso é o suficiente para uma mensagem substancial passar por censores ou autoridades.
Fridrich disse que está mais acostumada a trabalhar contra as limitações do mundo real do que a considerar a teoria. “É interessante ver o outro lado”, disse ela. Para ela, o novo trabalho começa a preencher a lacuna entre as provas teóricas e a confusão do mundo real. Se as pessoas não usarem conteúdo gerado por máquina, o novo esquema não garantirá a segurança. Mas à medida que se torna mais difundido, disse ela, o potencial para uma segurança perfeita será mais forte.
“Tudo depende do que será típico”, disse ela. Se uma máquina gera um suprimento de imagens inócuas que parecem naturais e as pessoas se acostumam com elas, será fácil criar uma fonte de imagens enriquecida com mensagens secretas. “Com modelos generativos, essa abordagem oferece um caminho possível para que as duas abordagens se encontrem”, disse ela.
Claramente, também é uma faca de dois gumes. “Os criminosos vão usá-lo”, disse Fridrich, “mas também pode ser usado para o bem”.
Publicado em 29/05/2023 12h45
Artigo original: