L'uso di SHA-1 in un cyber forense

Question

L'uso di SHA-1 in un cyber forense

#1 da (3 voti)

1

Diciamo che un disco rigido (A) viene recuperato da un sistema per farne un clone sul disco rigido (B) e usare questo clone per un'indagine forense.

SHA-1 è abbastanza sicuro da garantire che nessun'altra informazione verrà aggiunta all'hard disk clonato che può incriminare una persona?
Quali sono i passaggi da considerare nel processo di clonazione di un disco rigido per essere sicuro almeno al 99% che l'esperienza legale è corretta e non è possibile aggiungere altre prove nel processo di indagine. Come assicurarsi che l'hash SHA1 dell'unità A in realtà appartiene a questa unità e non è un hash casuale che in seguito può essere utilizzato come riferimento e utilizzato anche nel disco B clonato.
Considerando che l'unità A non sarà più sigillata, qualcuno può aggiungere file su entrambi i dischi rigidi mantenendo lo stesso valore di sha-1 su entrambi i dischi rigidi e utilizzare i materiali aggiunti come prova in tribunale?

hardware forensics sha

posta rmagnum2002 23.07.2015 - 09:56

fonte

1 risposta

Leggi altre domande sui tag hardware forensics sha

Come esattamente dovrei interpretare il termine "Hybrid Cloud"? Indovinare l'intera uscita PBDKF2 da 1 metà

score 3 · Accepted Answer

Se supponiamo che un hash sia calcolato in base ai contenuti del disco e che ci fidiamo del fatto che i contenuti del disco siano autentici al momento dell'hashing, allora quello che ti preoccupa è una qualche forma di collisione dell'hash (dove due diversi pezzi di dati producono lo stesso hash).

Attualmente, gli attacchi SHA-1 sono solo teorici, ma c'è un potenziale che potrebbero diventa fattibile in un futuro non troppo lontano. Le collisioni MD5 che coinvolgono certificati SSL sono state dimostrate nel 2008 , e sebbene MD5 sia più debole di SHA-1, SHA-1 è considerato più debole delle raccomandazioni moderne.

Nel tuo caso, potresti migliorare la confidenza utilizzando uno degli algoritmi SHA-2, come SHA-256 o SHA -512 . O anche più hash; se puoi permetterti di calcolare diversi hash, allora ciò aumenterebbe la difficoltà di produrre una collisione utile.

Inoltre, se prevedi di utilizzare gli hash per verificare che il contenuto di un'unità non sia stato manomesso, è di vitale importanza che l'hash originale debba essere eseguito in un modo considerato attendibile . L'hash originale è fondamentalmente il tuo "sigillo di autenticità", per così dire.