数字取证图像的完整性保护与处理
在数字取证领域,确保采集到的图像自获取后未发生改变至关重要。由于法庭诉讼和证据展示可能会持续数月甚至数年,因此确认在此期间证据未被修改是非常必要的,这可以看作是一种数字保管链。下面将详细介绍一些用于保护数字证据的方法,包括基本的加密哈希、哈希窗口、使用 PGP 和 S/MIME 进行签名以及 RFC - 3161 时间戳。
基本加密哈希
在取证图像的过程中,通常会对整个媒体图像(按顺序的每个扇区)进行加密哈希处理,通过单向哈希函数生成哈希值。目前,有四种主要的取证成像工具支持的加密哈希算法如下表所示:
|工具|支持的哈希算法|
| ---- | ---- |
|dcfldd|MD5, SHA1, SHA256, SHA384, SHA512|
|dc3dd|MD5, SHA1, SHA256, SHA512|
|ewfacquire|MD5, SHA1, SHA256|
|ftkimager|MD5, SHA1|
使用取证格式的工具通常会默认生成哈希值。例如,ftkimager 和 ewfacquire 在采集过程中会自动生成哈希。
使用不同工具生成哈希的操作步骤如下:
-dcfldd:在命令行中指定所需的哈希算法,示例命令如下:
# dcfldd if=/dev/sde of=image.raw conv=noerror,sync hash=md5,sha256 241664 blocks (7552Mb) written.Total (md5
)
)
