¿Alguien ha utilizado un hash de archivo para probar la autenticidad de un archivo durante los procedimientos legales?

  

¿Alguien ha utilizado un hash de archivo para probar la autenticidad de un archivo durante los procedimientos legales?

Sí, es un paso de rutina en informática forense. Pero realmente debería leer La ley no es una ciencia: Admisibilidad de evidencia de computadora y Hashes MD5 por Rob Lee. En resumen, no espere que un hash en el tribunal demuestre algo, debe presentar la historia del hash de manera que el tribunal se sienta cómodo confiando en él.

Si está implementando una solución, piense no en términos de tecnología sino en términos de lo que el tribunal debería saber. Eso significa registrar la introducción del archivo en su sistema, y luego poder probar que una copia del archivo más tarde en el tiempo regresa a esa procedencia original. El hash es cómo pruebas que son iguales. Asegúrese de que el registro correcto esté en su lugar para mostrar quién (ID de usuario, dirección IP) subió el archivo (hash) cuándo.

Si "cuándo" es importante para sus inquietudes legales, debe buscar en el servicio de Timestamping de confianza : usted proporciona el ingrese la entrada con hash, la marca de tiempo de alguien y la firma, más tarde podrá verificarla para demostrar que sí, realmente, tenía el hash adef01 .... 42fc en la mano el 7 de junio de 2018.

Si entiendo su pregunta , el proceso que desea es el siguiente:

Su cliente desea cargar un archivo a su servicio y obtener una prueba de que lo ha hecho incluso si usted mismo no conserva el archivo original. Quieren demostrar que más allá de toda duda razonable (que debería cubrir su base legal).

No es suficiente usar un hash (especialmente no uno débil como MD5): necesitas agregar a la mezcla algún tipo de secreto que tienes, pero que tu cliente no. De lo contrario, podría forjar eso fácilmente y, por lo tanto, no puede probar su buena voluntad si se le impugna.

Si mi situación es correcta , una buena solución debería ser que genere una firma digital del archivo con un certificado propio, que incluya una marca de tiempo segura, y envíe esa información de vuelta. a su usuario.

Una vez que tengan ese bloque de firma digital (y siempre que su implementación sea correcta), cualquiera de las partes puede probar que, en el momento de la carga, recibió una copia de ese archivo incluso si (o la otra parte) no lo hace. No lo tengo más.

Sin embargo, asegúrese de usar una marca de tiempo segura, o no habrá ninguna indicación válida cuando se produjo la firma. En sus zapatos, también me quedaría con todas las firmas digitales, incluso si borra los archivos. Si su cliente carga el mismo archivo dos veces, usted mismo podrá probar ese hecho, incluso si solo producen una de las dos firmas generadas.

Editar : un posible fallo de ese sistema es que, en teoría, podría firmar el archivo una segunda vez después de que se haya recibido. Significa que usted no puede probar que su cliente no cargó el archivo más de una vez (ya que podría falsificar una nueva carga en cualquier momento). de su elección después de haber recibido el archivo).

En cualquier caso, asegúrese de utilizar una función hash segura, no MD5, ya que cualquier punto débil de la función hash hará que toda la configuración sea inútil.