數位鑑識 資料加密 檔案隱藏 資料外洩

破解檔案加密及隱藏手法 數位犯罪足跡無所遁形

本篇將介紹網路上常見的檔案加密與檔案隱藏工具,探討如何進行隱藏資料的追蹤,並透過偽造證件集團之情境案例來說明相關的數位鑑識調查過程,藉此有效地萃取證據。
資料加密在工作與生活上已經被廣泛使用,但是在網路快速發展的環境下,取之不盡的資訊雖帶給人們便利,卻同時也對個人、家庭及企業的隱私帶來衝擊,資料外洩會導致個人隱私曝光、婚姻破裂及企業機密資料外流等問題。

根據2015年SafeNet統計的Breach Level Index(資料外洩水平指數)數據指出,從2013年2月至今共有36億筆客戶資料遭竊,該網站彙整各個產業資料外洩的比率如圖1所示,其中商業、工程及金融行業的洩密比率較高。


▲圖1 各個行業資料外洩的比率。

為了防範機密資料外洩,一般公司普遍會建置內部網路或大量購買防毒軟體並進行資安宣導,但仍無法完全防範資料外洩的問題,主因是資訊使用者不良的操作習慣所導致,以及物聯網的興起,使得物與物之間沒有距離,駭客更容易透過網路進行竊密行為。若要有效地預防個人檔案資料遭竊,可以採用原始的檔案加密方式,針對特定機密文件檔案進行加密,就算檔案遭竊取也無法讓對方窺視其內容,以達到資料安全的目的。

目前資料加密軟體在網路上容易取得,許多加密軟體更結合其他功能,如檔案隱藏、資料抹除等功能,其在使用上提供多種加密模式,像是利用隨身碟進行加密,操作過程迅速且方便;而Windows本身也提供檔案加密系統,能夠滿足資料保密需求。

資料加密能夠確保隱私安全,另一方面卻可能成為非法者利用的工具,常見的如非法者在進行電腦犯罪時,會利用軟體將數位證據進行加密或隱藏,用來躲避執法人員的查緝,使得加密軟體成為一種反鑑識工具;更糟的是,若利用在攻擊的用途上,還可以用來勒索和破壞。

繼2013年至今,著名的勒索軟體CryptoLocker即是採用破解難度極高的加密演算法,譬如先利用RSA-2048位元非對稱式加密演算法將電腦中所有檔案加密,再勒索使用者支付贖金購買私鑰才能解開檔案。因此,當鑑識人員遇到檔案被加密的情形時,應有對應的配套措施,以順利進行取證分析。

資料加密操作說明

接著,以目前大眾廣泛使用的Windows 7平台來進行相關的資料加密軟體操作,並介紹資料加密的概念、檔案加密系統及密碼破解之基礎。

為何資料需要加密

以生活上較簡單的例子來說明加解密的原理,一般人想做一件事情的時候會透過語言表達出來,而語言如同一個複雜的加密演算法,當中包含字彙、文法及片語等,在一個國家內能進行保密的溝通,假如世界上每一個人都懂中文,那麼將文件送到國外時,很容易就會發生洩密事件,所以在國與國之間需要一個外交官的角色,來當作一個加解密的金鑰。

然而,在電腦的世界裡也是如此,會發生資料洩密事件很大的因素是來自金鑰的權限控管不良,或是資料格式的高透通性所導致,如網際網路的TCP/IP協定等,所以必須透過各種加密機制進行資料保密。

認識檔案加密系統

電腦中的金鑰加密演算法基本上可分為「對稱式」與「非對稱式」兩種。「對稱式」加密演算法又稱為「秘密金鑰加密法」,其加解密用同一把金鑰,適合用在封閉的環境裡,如果在只有雙方都知道的環境下進行加密,就能夠達成資料的保密;「非對稱式」加密演算法則稱為公開金鑰加密法,加解密使用不同把金鑰(公開金鑰和私密金鑰),公開金鑰用來加密,而私密金鑰用於解密,適合使用在網路的環境裡,能夠達到傳送端的身分的認證、不可否認及保密的要求。

從加密解密速度來看,對稱式優於非對稱式,安全度則是非對稱式優於對稱式。為了追求效率,一般常見的檔案加密系統(如Windows)採用金鑰混搭方式,大量資料用對稱式金鑰加密,再以非對稱式之公開鑰匙將這把金鑰進行加密並存放於檔案格式的標頭。

解密時,由使用者私密鑰匙解開被加密的對稱式金鑰,再透過對稱式金鑰對檔案內容進行解密,檔案加密系統加解密流程如圖2所示。


▲圖2 檔案加密系統之加解密流程。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!