¿Alguien ha utilizado un hash de archivo para probar la autenticidad de un archivo durante los procedimientos legales?

1

Un cliente ha recibido una solicitud de una función para demostrar que un archivo cargado en un servicio en la nube que ejecutamos es el mismo que el que almacenaron posteriormente en su sistema de gestión de documentos. Tendrían que hacerlo bien después de que se eliminó el archivo cargado originalmente. Deberían proporcionar esta prueba como prueba durante los procedimientos legales.

Mi reacción instintiva es implementar una función para md5 hash del archivo al subirlo al servicio en la nube y almacenar el resultado como un registro de auditoría. Esto permitiría una comparación posterior con un hash del archivo de su sistema de gestión de documentos.

También me pregunto si los metadatos básicos (no computados) sobre el archivo y luego compararlo con el archivo descargado podría ser suficiente: nombre de archivo, tamaño de archivo, etc.

Esta es realmente una pregunta forense digital. ¿Alguien tiene alguna experiencia en esta área? ¿Qué tan fuerte debe ser la prueba? ¿Qué podríamos implementar para probar que los dos archivos son los mismos bajo el supuesto de que uno se eliminaría? Cualquier fuente de orientación sería increíble.

    
pregunta Karlhuna 07.06.2018 - 07:59
fuente

2 respuestas

4
  

¿Alguien ha utilizado un hash de archivo para probar la autenticidad de un archivo durante los procedimientos legales?

Sí, es un paso de rutina en informática forense. Pero realmente debería leer La ley no es una ciencia: Admisibilidad de evidencia de computadora y Hashes MD5 por Rob Lee. En resumen, no espere que un hash en el tribunal demuestre algo, debe presentar la historia del hash de manera que el tribunal se sienta cómodo confiando en él.

Si está implementando una solución, piense no en términos de tecnología sino en términos de lo que el tribunal debería saber. Eso significa registrar la introducción del archivo en su sistema, y luego poder probar que una copia del archivo más tarde en el tiempo regresa a esa procedencia original. El hash es cómo pruebas que son iguales. Asegúrese de que el registro correcto esté en su lugar para mostrar quién (ID de usuario, dirección IP) subió el archivo (hash) cuándo.

Si "cuándo" es importante para sus inquietudes legales, debe buscar en el servicio de Timestamping de confianza : usted proporciona el ingrese la entrada con hash, la marca de tiempo de alguien y la firma, más tarde podrá verificarla para demostrar que sí, realmente, tenía el hash adef01 .... 42fc en la mano el 7 de junio de 2018.

    
respondido por el gowenfawr 07.06.2018 - 14:48
fuente
1

Si entiendo su pregunta , el proceso que desea es el siguiente:

Su cliente desea cargar un archivo a su servicio y obtener una prueba de que lo ha hecho incluso si usted mismo no conserva el archivo original. Quieren demostrar que más allá de toda duda razonable (que debería cubrir su base legal).

No es suficiente usar un hash (especialmente no uno débil como MD5): necesitas agregar a la mezcla algún tipo de secreto que tienes, pero que tu cliente no. De lo contrario, podría forjar eso fácilmente y, por lo tanto, no puede probar su buena voluntad si se le impugna.

Si mi situación es correcta , una buena solución debería ser que genere una firma digital del archivo con un certificado propio, que incluya una marca de tiempo segura, y envíe esa información de vuelta. a su usuario.

Una vez que tengan ese bloque de firma digital (y siempre que su implementación sea correcta), cualquiera de las partes puede probar que, en el momento de la carga, recibió una copia de ese archivo incluso si (o la otra parte) no lo hace. No lo tengo más.

Sin embargo, asegúrese de usar una marca de tiempo segura, o no habrá ninguna indicación válida cuando se produjo la firma. En sus zapatos, también me quedaría con todas las firmas digitales, incluso si borra los archivos. Si su cliente carga el mismo archivo dos veces, usted mismo podrá probar ese hecho, incluso si solo producen una de las dos firmas generadas.

Editar : un posible fallo de ese sistema es que, en teoría, podría firmar el archivo una segunda vez después de que se haya recibido. Significa que usted no puede probar que su cliente no cargó el archivo más de una vez (ya que podría falsificar una nueva carga en cualquier momento). de su elección después de haber recibido el archivo).

En cualquier caso, asegúrese de utilizar una función hash segura, no MD5, ya que cualquier punto débil de la función hash hará que toda la configuración sea inútil.

    
respondido por el Stephane 07.06.2018 - 16:06
fuente

Lea otras preguntas en las etiquetas