Schéma de tatouage

Dans le paragraphe 5.2.2.1, on explicite comment le tatouage est mis en ÷uvre dans l'image médicale en construisant un fantôme à l'aide d'un ensemble de projections et comment on enlève ce tatouage en utilisant les paramètres Mojette (paragraphe 5.2.2.2) comme information disponible chez le tiers de conance. En enrichissant un peu cette information détenue par le tiers, on montre comment rechercher et corriger des dégradations éventuelles eectuées dans l'image. Les aspects de gestion des diérentes clefs sont discutés dans le paragraphe 5.2.3.

Une caractéristique originale de ce schéma est le double tatouage. Il est à noter que de multiples tatouages sont possibles. L'autre originalité réside dans le rôle de ce double tatouage. Pour une fois, le médecin et le patient sont considérés comme deux acteurs "de même poids" pour la gestion de l'image médicale. Ce fait est très important si on veut eectuer un stockage réparti des données médicales, où, par exemple chaque patient conserve sur CD-ROM les images de ses examens. Ce type de fonctionnement permet au médecin de continuer à coner les images au patient, comme c'était le cas avec les radiographies. Ceci est une façon commode et très ecace de gestion du dossier patient notamment dans le cas d'une urgence.

5.2.2.1 Insertion des marques

On supposera disposer d'une image rectangulaire P × Q et d'un ensemble de directions de projections discrètes SI = {(pi, qi), i ∈ I} tel que PI < P et QI < Q. On forme alors le fantôme correspondant à

SI par suite de dilatations, comme nous l'avons vu au chapitre 2. Sur un ensemble de B plans de bits les

moins signicatifs de l'image, on ajoute par une opération XOR, le fantôme localisé sur des points de l'image particuliers qui seront générés par le praticien et le patient et fournis au tiers de conance sous forme chirée. Ainsi le patient utilisera son secret (partagé avec le tiers de conance) pour chirer cette double suite de points de l'image PIP at = {(ki, li), i ∈ IP at} et d'angles discrets SIP at = {(pi, qi), i ∈ IP at}, et le médecin chirera

sa propre suite de points de l'image PIM ed et d'angles discrets SIM ed avec sa clé privée an de signer son

tatouage.

Le schéma global d'insertion de la marque est présenté sur la gure 5.1. Il est à noter que ce schéma d'insertion doit être répété deux fois lors de la création de toute image médicale, de sorte à insérer dans l'image à la fois une information patient et une information médecin ; chacune des deux parties ne devant pas connaître les données de l'autre.

L'insertion s'eectuant par une opération binaire, réversible et commutative, le processus d'extraction de la marque n'est donc pas contraint à respecter l'ordre employé lors de l'insertion.

5.2. UTILISATION DES FANTÔMES DANS UNE MÉTHODE DE TATOUAGE 145 Comme décrit sur la gure 5.1, l'image originale est décomposée en plans binaires (typiquement 12 ou 16 plans binaires). Les plans de poids forts (MSB) sont laissés intacts, alors que les plans binaires de poids faible (LSB) seront tatoués.

Lors du processus de tatouage une sélection de zones est eectuée directement sur l'image originale, cette dernière peut être basée sur des critères psychovisuels (luminances, fréquences spatiales) ou en fonction des régions d'intérêt (du point de vue médical mais non diagnostic) de l'image. Un fantôme Mojette est alors construit, comme explicité dans la section 2.3.2. Une séquence cryptographique binaire comportant des infor- mations sur le patient (ou sur le médecin) est alors insérée dans les plans binaires par un simple OU exclusif binaire (XOR). Finalement, une reconstruction des plans binaires fournit l'image tatouée.

5.2.2.2 Extraction de la marque

L'extraction de la marque ne peut être exécuté qu'avec la connaissance du secret conjoint du patient et du médecin ou bien de celle détenue par le tiers. Ayant cette connaissance, il sut de refaire un XOR du fantôme généré lors de la phase de tatouage pour obtenir l'image originale. Évidemment, la dégradation volontaire ou non de l'image ne modie pas l'extraction du tatouage. Il est donc nécessaire de disposer d'une information supplémentaire comme par exemple une projection de l'image originale pour chacune des deux parties : lorsque cette projection appartient à l'ensemble ayant servi pour la construction des fantômes respectifs du praticien et du patient, la projection de l'image tatouée dans cette direction est égale à celle de l'image originale. C'est donc une information plus facile à utiliser qu'une empreinte qui donnerait dans un cas classique deux résultats diérents sur l'image originale et sur l'image tatouée. Il est également important que la projection choisie pour l'empreinte d'une des deux parties n'appartiennent pas à l'ensemble choisi par l'autre partie, an de permettre une vérication croisée.

Il y a deux cas de gures à considérer selon que l'image a subi ou non des dégradations. Hypothèse 1 : Image non modiée

La gure 5.2 présente le processus d'extraction de la marque. Le schéma est aveugle (l'image originale n'est pas requise lors de l'extraction) et inversible (il permet de récupérer l'image originale). Ce schéma doit être répété par le médecin et par le patient. L'image tatouée est décomposée en plans binaires, la clef du patient et celle du médecin sont utilisées conjointement dans le but de recréer le fantôme Mojette, la séquence cryptographique binaire est alors insérée dans ce dernier.

Le calcul du XOR entre les fantômes des LSB et les plans binaires tatoués fournit au système les plans binaires originaux de l'image, puis la reconstruction (avec les plans binaires non modiés) permet d'obtenir

l'image originale. L'authenticité de l'image ainsi obtenue peut être vériée par un simple calcul des projections Mojette conservées par le patient et par le médecin (ces projections faisant oce d'empreintes).

Fig. 5.2  Schéma d'extraction des fantômes

Hypothèse 2 : Image modiée

Dans l'hypothèse ou l'image tatouée a été attaquée (empreintes ne coïncidant pas), dans le standard mis en place par DICOM, l'image est considérée comme non exploitable par le praticien. Dans le schéma proposé ici, en cas de modication de l'image, le tiers est invoqué. Celui ci doit stocker une certaine quantité d'informations nécessaire à une récupération de données utiles.

Lors de l'examen par le couple patient - médecin d'une image, chacune des deux parties ayant donné son secret permet l'extraction de la marque.

Chacune des deux parties vérie également que la projection de l'image détatouée est conforme à celle qu'il a enregistré. Si le tiers est invoqué, il doit disposer aussi d'informations complémentaires comme la projection qui sert d'empreinte pour le patient (resp. le praticien) pour la recherche de dégradations éventuelles de l'image tatouée. Une attaque malicieuse pourrait être mise en ÷uvre par le praticien et le patient réunis. Cette attaque consisterait à créer et insérer un fantôme à l'aide de l'ensemble de directions en leur possession. Ceci leur permettrait de dégrader l'image, tout en obtenant les mêmes empreintes. Pour faire face à une telle attaque, il sut au tiers de conance de stocker une troisième projection calculée pour une troisième direction et inconnue autant du patient que du médecin. Le tiers découvrant une anomalie sur cette projection pourra

5.2. UTILISATION DES FANTÔMES DANS UNE MÉTHODE DE TATOUAGE 147 alors découvrir la coalition mise en place par le patient et le médecin.

A partir de l'image obtenue après l'extraction, le tiers calcule l'ensemble disponible de projections et peut comparer le résultat avec les projections stockées. Sur les projections de diérences DP , (la transformation Mojette étant linéaire) le tiers repère ainsi les bins en défaut et localise les pixels défaillants par une rétropro- jection de ces bins dans une image D : les pixels défaillants sont à l'intersection d'une ligne de chacune des projections.

En supposant que le nombre de ces modications est faible, il sut d'essayer toutes les combinaisons possibles de valeurs des pixels de D donnant DP = 0. En ajoutant les images D ainsi déterminées à l'image obtenue après extraction, on forme les images corrigées.

Il peut ne pas être nécessaire de reconstruire l'image entière en cas de litige mais uniquement une certaine zone d'intérêt sur laquelle porte un diagnostic. Les données du patient et du médecin ayant été disposées dans l'image de façon à couvrir une région d'intérêt prédénie, lors du processus d'extraction expliqué ci-dessus, l'image récupérée n'est pas l'originale.

Il est important de retenir que dans un contexte de tatouage d'images médicales, les attaques n'ont pas pour objectif une détérioration de la marque insérée, mais plutôt l'addition ou la soustraction d'une pathologie. De ce fait, les attaques seront probablement localisées dans un espace restreint et donc plus aisément décelables par le dispositif proposé ici.