Qualcuno ha usato un file hash per provare l'autenticità di un file durante i procedimenti giudiziari?

1

Ho chiesto a un cliente di venire da me con una richiesta di funzionalità per dimostrare che un file caricato su un servizio cloud che eseguiamo è uguale a quello che è stato successivamente archiviato nel loro sistema di gestione dei documenti. Avrebbero bisogno di farlo bene dopo che il file originariamente caricato è stato cancellato. Avrebbero bisogno di fornire questa prova come prova durante il procedimento legale.

La mia reazione istintiva consiste nell'implementare una funzione per l'hash MD5 del file sul caricamento nel servizio cloud e archiviare il risultato come record di controllo. Ciò consentirebbe un confronto successivo con un hash del file dal loro sistema di gestione dei documenti.

Mi chiedo anche se i metadati di base (non calcolati) sul file e poi confrontarli con il file scaricato possano essere sufficienti - nome file, dimensioni file ecc.

Questa è davvero una domanda forense digitale. Qualcuno ha qualche esperienza in questo settore? Quanto deve essere strong la dimostrazione? Cosa potremmo implementare per dimostrare che i due file sono uguali supponendo che uno sia cancellato? Qualsiasi fonte di guida sarebbe sorprendente.

    
posta Karlhuna 07.06.2018 - 07:59
fonte

2 risposte

4

Has anyone used a file hash to prove authenticity of a file during legal proceedings?

Sì, è un passaggio di routine in Computer Forensics. Ma dovresti davvero leggere Law Is Not A Science: Ammissibilità di Computer Evidence e MD5 Hashes di Rob Lee. In breve, non aspettarti di sventolare un hash in tribunale per dimostrare nulla: devi presentare la storia dell'hash in modo che il tribunale si senta a suo agio nel fidarci.

Se stai implementando una soluzione, non pensare in termini di tecnologia, ma in termini di ciò che il tribunale avrebbe bisogno di sapere. Ciò significa registrare l'introduzione del file nel tuo sistema, e quindi essere in grado di dimostrare di legare una copia più recente del file a quella provenienza originale. L'hash è il modo in cui provi che sono uguali. Assicurarsi che sia attiva la corretta registrazione per mostrare chi (utente, indirizzo IP) ha caricato il file (hash) quando.

Se "quando" è importante per le tue preoccupazioni legali, dovresti esaminare un servizio Timestamp Trusted - fornisci il voce di log con hash, data / ora di qualcuno e firma, puoi in seguito ottenere quella verificata per mostrare che sì, in realtà, hai hash adef01 .... 42fc in mano il 7 giugno 2018.

    
risposta data 07.06.2018 - 14:48
fonte
1

Se capisco la tua domanda , il processo che desideri è il seguente:

Il tuo cliente desidera caricare un file sul tuo servizio e ottenere una prova che lo ha fatto anche se tu stesso non conservi il file originale. Vogliono dimostrare che al di là di ogni ragionevole dubbio (che dovrebbe coprire la tua base legale).

L'uso di un hash (specialmente non debole come MD5) non è sufficiente: devi aggiungere al mix un qualche tipo di segreto che tu trattiene ma che il tuo cliente non possiede. Altrimenti, potrebbe facilmente falsificarlo e quindi non può dimostrare la sua buona volontà se sfidato.

Se la mia comprensione della tua situazione è corretta allora una buona soluzione dovrebbe essere per te di generare una firma digitale del file utilizzando un certificato che possiedi, incluso un timestamp sicuro, e inviare tali informazioni indietro al tuo utente.

Una volta che hanno il blocco della firma digitale (e finché l'implementazione è valida), una delle parti può dimostrare che, al momento del caricamento, hai ricevuto una copia di quel file anche se (o l'altra parte) non ha ce l'ho più

Assicurati di utilizzare un timestamp sicuro, tuttavia, o non ci sarà alcuna indicazione valida quando la firma è stata prodotta. Nei tuoi panni conserverei anche tutte le firme digitali, anche se elimini i file. Se il tuo cliente carica lo stesso file due volte, sarà quindi in grado di dimostrarlo personalmente, anche se produce solo una delle due firme generate.

Modifica : un possibile errore di quel sistema è che potresti, in teoria, firmare il file una seconda volta dopo che è stato ricevuto. Significa che tu non puoi provare che il tuo cliente non ha caricato il file più di una volta (poiché potresti falsificare un nuovo caricamento in qualsiasi momento di tua scelta dopo aver ricevuto il file).

In ogni caso, assicurati di utilizzare una funzione di hash sicura, non MD5 perché qualsiasi debolezza della funzione di hash renderà l'intera configurazione inutile.

    
risposta data 07.06.2018 - 16:06
fonte

Leggi altre domande sui tag