El uso de SHA-1 en un ciber forense

Navega tus respuestas
1

Supongamos que se recupera un disco duro (A) de un sistema para hacer una copia en el disco duro (B) y usar este clon para una investigación forense.

  1. ¿Es SHA-1 lo suficientemente seguro como para garantizar que no se agregue ninguna otra información al disco duro clonado que pueda incriminar a una persona?

  2. ¿Cuáles son los pasos a considerar en el proceso de clonación de un disco duro para estar al menos un 99% seguro de que la pericia forense es correcta y no se puede agregar ninguna otra evidencia en el proceso de la investigación? Cómo asegurarse de que el hash SHA1 de la unidad A realmente pertenece a esta unidad y no es un hash aleatorio al que luego se puede hacer referencia como el correcto y también se usa en el disco B clonado

  3. Teniendo en cuenta que la unidad A no se sellará más, ¿puede alguien agregar archivos a ambos discos duros mientras conserva el mismo valor de sha-1 en ambos discos duros y usar los materiales adicionales como evidencia en el tribunal?

pregunta rmagnum2002 23.07.2015 - 09:56
fuente

1 respuesta

3

Si asumimos que un hash se calcula en función del contenido de la unidad, y que confiamos en que el contenido de la unidad sea auténtico en el momento del hash, entonces lo que le preocupa es alguna forma de colisión de hash (donde dos piezas de datos producen el mismo hash).

Actualmente, los ataques SHA-1 son solo teóricos, pero hay un potencial que podrían se vuelve viable en un futuro no muy lejano. Las colisiones de MD5 que involucran certificados SSL han sido demostradas en 2008 , y aunque MD5 es más débil que SHA-1, SHA-1 se considera más débil que las recomendaciones modernas.

En su caso, podría mejorar la confianza utilizando uno de los algoritmos SHA-2, como SHA-256 o SHA -512 . O incluso múltiples hashes; Si puede permitirse el cálculo de varios hashes, eso aumentaría la dificultad de producir una colisión útil.

Además, si planea utilizar hashes para verificar que el contenido de una unidad no haya sido alterado, es de vital importancia que el hash original se realice de una manera que se considere confiable . El hash original es básicamente tu "sello de autenticidad", por así decirlo.

    
respondido por el Ethan Kaminski 23.07.2015 - 10:38
fuente

Lea otras preguntas en las etiquetas

¿Podría alguien técnicamente ver mis solicitudes con TOR si la persona tiene acceso a mi enrutador? Shell Invertido de Inyección de Oracle Sql [cerrado]