存储介质中,以其记录的内容来证明案件真实情况的数据或信息【9】。
电子证据表现为文档、图形、图像、声音等形式【l o】,除了必须具备传统证据的可信性、准确性、完整性,以及能被法庭认可外,还具有自己的特点:电子证据是不断变化的,并且容易受到破坏;电子证据不是直观的,不能直接被人眼所识别,必须借助一定的取证工具才能获取;电子证据能够被反复使用;电子证据存在的形式具有多样性【11,121。
电子证据是计算机取证的核心,其关键在于自身是否具有法律认可的证明力【l3’14J,电子证据要具有法律认可的证据能力就必须是真实、可靠、完整和符合法律规定的。
由于电子证据具有明显的数字化特性:易被删除、易被伪造、易被篡改、篡改后不易被发现等,保证电子证据的完整性就成为了研究热点。
重庆邮电大学硕士论文 第一章绪论 当前,随着取证案件复杂性的不断变大,案件涉及的往往不是单个计算机,而存储设备的存储容量也飞速增长,因此,取证对象呈千兆字节乃至百亿字节的增长。
计算机取证面临的主要难题之一是海量证据处理,由于目前的取证调查过程都偏于手工化,取证的时效性与取证成本都难以控制,大规模数字取证调查面临如何满足海量待处理数据的计算需求的挑战Il 5。
。
H础工具,是自动化计算机取证分析的重要手段之一【16】。
HaSh函数是一种把任意长的输入字符串变化成固定长度的输出字符串的函数,它在公钥密码、数字签名、完整性检验、身份认证等安全技术中有着广泛的应用。
HaSh函数主要有MDx系列和SHA系列,MDx系列包括MD4、MD5、HAVAL、赳PEMD等;SHA系列包括SHA.1、SHA.256、SHA.384等,这些HaSh算法体现了目前主要的Hash函数设计技术【l 7。
憎J。
在计算机取证领域,HaSh有几大重要应用:其一,证据搜索过程中,对比已知文件HaSh列表来自动进行证据获取【20。
231;其二,司法鉴定复件的制作过程中,通过匹配HaLsh值,进行数据复制或恢复工作;其三,取证复制过程中,计算并存储取证映像的HaSh值,用以在呈堂时保证证据的完整性。
在当前计算机取证领域,已经有了一些成熟的HaSh工具,但它们在实现抗击篡改,提高证据的空间存储效率,保证细粒度完整性检验等方面仍有不足124。
。
无论是司法鉴定复件制作过程中的HaSh匹配,还是取证复制过程中计算并存储取证映像的HaSh值,都是为了保证取证分析或证据呈堂所采用的证据副本的完整性。
然而,在证据的获取、传输、存储等过程中,如果因偶然原因有个别位置的数据发生变化,或是证据保存方恶意对证据数据或HaLsh数据进行少量的篡改,则整个证据副本的完整性都无法保证【l 51。
所以,细粒度的证据完整性检验成为了必然的需求。
与此同时,随着证据对象的数量级增长,Hash数据本身也将占用大量的存储空间【25。
27】。
例如,采取MD5 HaSh函数,对512GB大小的硬盘计算扇区级的Hash值,将需要16GB的存储量;而如果使用强度较高的SHA一256 HaSh函数,则需要32GB的HaSh数据存放空间。
因此,如何能在保证完整性检验效果的同时提高HaSh数据的传输效率和空间存储效率,也成为细粒度完整性检验的重要研究内容。
过去,人们没有关注细粒度的海量数据,忽略细粒度完整性检验的需求。
电子证据是对扇区进行完全复制得到的磁盘映倒28】,而只有原始数据是不够的,其真实性和完整性很难得到保证。
同时,源数据映像不具有容错的能力,如果一部分数据甚至一个扇区被毁坏,就无法隔离这部分数据而继续使用其他未改变的数据【28】。
+分片HaSh提出对每份细粒度数据都生成独立HaSh数据的方法,但海量数据 2重庆邮电大学硕士论文 第一章绪论会造成Hash数据规模太大的问题。
所以,需要设计出满足完整性检验需求,并能提高空间存储效率,抵抗少量篡改的完整性检验方法。
1.2完整性检验方法的研究现状 随着计算机取证的兴起,证据的完整性检验也成为研究的热点。
简单来说,完整性检验就是指记录系统中的信息用于随后的比较以发现内容的变动。
在计算机取证的过程中,完整性检验就体现在计算并存储取证映像的HaSh值,从而保证取证分析或呈堂用的副本的完整性,这种应用又称为完整性指示。
把在调查过程中获得的任何具有证明力的信息都看作证据是最安全的,因此,在调查过程中获得的任何有助于证明案件的文档、电子媒介、电子文件、打印文件或其 ‘他对象都应看作证据【291,都应对它们制作取证映像。
1.2.1完整性检验的应用 完整性检验的应用很广泛,其作用主要表现于以下几方面: 一种常见的情况,当系统或者信息受到威胁时,调查人员必须进行文件和数据的完整性检验【301。
美国司法部提出的法律执行过程模型九中,就包含检验这一部分。
此时,为了检验系统信息的完整性,调查人员需要把当前系统状态与已知运行良好的系统状态进行比较。
如果已经具备了已知运行良好的副本,就能够把它和事件发生后的文件版本进行比较,以确定取证目标和范围。
已知运行良好的副本就是在事先通过对文件应用一个算法而产生Hash值,每个文件的HaLsh值对该文件均是唯一的13引。
通过对比HaSh值,对系统信息进行完整性检验,这一步骤在取证分析中十分常用和必要。
另一种情况,是在对证据做一个司法鉴定复件的过程中进行完整性检验。
司法鉴定复件的制作流程如图1.1所示。
司法鉴定复件,提供了目标系统的一个镜像,当处理关键的突发事件时,应该花大气力去做系统备份的工作。
由于后续的取证工作都需要在复件上进行,所以拥有一份目标媒介的工作副本非常必要,不用担心无意中修改或破坏了潜在的证据资料,方便了以后的调查工作。
在鉴定复件制作过程中,需要通过完整性检验来随时确定复件与原件的一致性。
一旦有数据发生改变,就需要立刻这些数据进行恢复。
并且,在后续调查工作中,由于拥有良好的备份,完整性检验还可以用于数据的还原。
重庆邮电大学硕士论文 第一章绪论 圈圜 图1.1司法鉴定复件制作流程 再者,完整性检验用于在获取证据到证据呈堂的过程中对证据、副本保存情况的完整性证明。
把证据呈堂时,需要保证它从获取到呈堂的过程中没有遭到篡改,具备法律证明效力,这就需要在制作复件的同时,生成完整性检验数据,在呈堂的时候,进行完整性检验。
保证搜集的证据和呈上法庭的是相同的,从证据的搜集到在审判过程中呈递证据结果,期间经历几年是很常见的【321。
保管期间数据是否发生了变化,都需要通过对比原始证据或媒介的HaSh值同呈堂鉴定副本的HaSh值来确认。
1.2.2完整性检验在取证工具中的应用情况 计算机证据完整性的核心技术是H础函数,它是把任意长度的输入变换成固定输出的一种压缩映射算法,其输出称作散列值,该值一般远小于输入空剐33州。
使用单向HaSh函数生成数据的数字摘要信息后存储下来,通过重新生成待检验数据的数字摘要信息,再与所存储的信息进行比较可以检查待验数据是否发生变化,从而实现数据完整性检验,如果数字摘要信息不完全相同,则表明数据已发生变化。
上述数字摘要信息是具有固定长度的HaSh数据。
数字摘要信息的实际长度取决于完整性检验中采用的单向H柚函数,该长度和HaSh函数本身的安全性一起对完整性检验问题的安全性产生影响。
常用的Hash函数有由麻省理工学院(MIT)的Ron鼬veSt发明的旧5算法,它在1992年4月份发表为l强C 132l,可以从任意大小的文件产生一个128位的校验和p3。
。
现在通用的算法有MD5,SHA.1,SHA.256等,基本过程均是对消息原文分组,附加填充位,附加长.
上一篇:
[精品]基于可信计算的动态完整性度量模型
下一篇:
网络能耗监测系统管理端的研究与实现