استخدام piecewise hashing لاثبات سلامة البيانات

يواجه المحقق الجنائي الرقمي تحدي الحفاظ على سلامة البيانات من اي تعديلات قد تحصل اثناء التعامل مع الادلة. لذلك يتم توقيع الادلة بشهادة تشفير لاثبات سلامتها او استخدام Cryptographic hash function لتوليد هاش كدليل على سلامة البيانات من التعديل مثل MD5. ولكن في حالة كان هناك الكثير من المشاكل الفنيه في الهارد ديسك فان الادوات المتخصصه في جمع الادلة تتعامل مع هذا الخطا وتحاول تجنب فشل عملية جمع البيانات وتخطي الجزء الذي يسبب المشكله ومواصلة عملية الجمع (Forensics imaging). ولكن كل مرة يتم اخذ البيانات سوف يتم توليد هاش مختلف بسبب المشاكل الموجوده في الهارد ديسك ولا يمكن اثبات صحة وسلامة البيانات بسبب ان الاداة غير مستقرة في اجزاء معينة في الهارديسك لذلك تقوم بتوليد هاش مختلف على حسب الاخطاء التي تم تجاوزها او تم التعامل معها.

لحل هذه المشكله يتم استخدام اسلوب يسمى piecewise hashing او Window hashing. يتم تقسيم البيانات الى اجزاء صغيرة وحساب الهاش لكل جزء بشكل منفرد. بهذه الطريقة يمكن الحصول على هاش سليم لمعظم البيانات. على سبيل المثال اذا كان حجم الدليل 1GB وتم تقسيمه الى 100 جزء اي انه كل جزء بحجم 10MB (بافتراض ان حجم الجيجا الواحد 1000 ميجا) بهذه الطريقة فقط الاجزاء التي فيها المشاكل الخاصه بالهارد سوف تتاثر وتحصل على هاش مختلف وبقية الاجزاء سوف تكون سليمه. حجم كل جزء يتم تحديده من قبل المحقق الجنائي الرقمي

# dcfldd if=/dev/sde of=image.raw conv=noerror,sync hashwindow=1M

في المثال السابقة تم استخدام اداة dcfldd وتم تقسيم البيانات الى 1M لكل جزء. الحجم يسمى بـ window size. تقريبا كل الادوات الاخرى مثل dc3dd و EWF تدعم piecewise hashing. بعض الاجزاء سوف يكون لديها نفس الهاش وهذا امر طبيعي جدا بسبب ان الاجزاء التي تحتوي على نفس البيانات سوف تملك نفس الهاش مثل اجزاء تحمل اصفار من الهارد ديسك.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني.