本篇將介紹網路上常見的檔案加密與檔案隱藏工具,探討如何進行隱藏資料的追蹤,並透過偽造證件集團之情境案例來說明相關的數位鑑識調查過程,藉此有效地萃取證據。
在Windows作業系統平台下,使用內建的檔案加密系統來加密重要的文件是非常便利的,因為使用者只要輸入帳號密碼就能夠取得金鑰憑證管理權限,系統會自動產生一組非對稱式金鑰(公開及私密)存放在金鑰憑證管理內,當欲加密檔案時,系統會自動產生一個隨機的對稱式金鑰(秘密金鑰)將檔案進行加密,再透過管理憑證的公開金鑰將秘密金鑰進行加密並存放於檔案標頭。
所以,使用者不必每一次加密檔案都要輸入帳號密碼,只要輸入完帳密後取得金鑰憑證管理權限,就能夠統一由金鑰憑證管理來加解密。
但是,檔案加密系統卻不能有效防範資料外洩問題,因為Windows只在檔案進行寫入或讀取時對檔案內容做加解密,可以輕易地從檔案名稱或是部分已加密的資訊找到線索,透過刪除的檔案副本或登錄檔就能夠將檔案進行還原,而加密憑證也可能因使用者的管理不當而洩漏出去。
為了防範資料外洩,企業普遍會建置檔案加密系統、防火牆或是採購防毒軟體,以及實施資安政策的宣導,但是透過這些方法卻不能夠有效地預防資料外洩的問題,因為目前USB隨身碟是常見的竊密工具,加上網路上許多軟體主打可攜式功能,使得資料能夠輕易地從一個平台轉移至另一個平台,要能有效地防止資料外洩,還是需要從使用者的操作習慣做起,不妨試著養成檔案加密的好習慣,來杜絕外界非法的存取,以保障個人隱私及資料的安全。
常見的密碼破解
當資料經過加密之後,在內容中所呈現的是亂碼(密文),若要從密文反推回原始的未加密資料(明文),就必須要取得對應的解密金鑰才能解開被加密過的檔案。
對於密碼的破解技巧來說,最基礎的方法是採用暴力破解法,嘗試所有可能的金鑰進行Try and Error直到能夠成功推出明文為止,所以利用現今的電腦技術來進行暴力破解僅是時間長短的問題,但是透過數學演算的加密方式(如AES、RSA)所形成的密文,其金鑰長度高達128位元以上,若要成功破解金鑰,可能要花上數百萬年以上的時間。
然而,在暴力破解法的基礎下所衍生出的字典攻擊法,廣泛受到密碼破解人士所喜愛,其原理係考慮使用者可能會輸入的密碼樣本,像是常見的人名、數字及密碼排列方式,如Tony1234、a1234、qazwsx(鍵盤順序)等,可以大幅提升破密機率,能以相當快的時間破解密碼,平均約數秒內就能完成破密程序,因此許多密碼專家特別愛用字典攻擊法來進行密碼的破解作業。
加密軟體之密碼檔設定
目前市面上許多的加密軟體如TrueCrypt、Sophos Free Encryption等,為了讓使用者方便地進行加密操作,通常會提供密碼檔,用來存放使用者在執行檔案加密過程所設定的解鎖密碼,如果使用者忘了當時所設定的解鎖密碼,就能夠到密碼檔進行查詢,找出當初設定的解鎖密碼。
換句話說,若沒有密碼檔的幫助,使用者就必須自行記住多組的檔案解鎖密碼,所以密碼檔能夠幫助使用者記憶,避免加密檔案因密碼忘記而無法解開。
有鑑於此,鑑識人員可以根據加密軟體預先設定的密碼檔之存放路徑來找出密碼檔,通常密碼檔皆有做加密,有經過使用者所設定的密碼進行保護,所以需要對密碼檔進行破解,才能夠取得各個加密檔案的解鎖密碼,以取得原始的檔案明文。
資料加密軟體介紹
資料加密可以分為「軟體加密」與「硬體加密」兩種方式,「硬體加密」技術侷限在特定裝置,須在硬體上執行密碼驗證,所以欠缺使用彈性,在成本效益上,「軟體加密」是一般使用者較能接受的,以下介紹網路上常見的資料加密軟體與資料隱藏軟體。
檔案加密程式—Sophos Free Encryption
Sophos Free Encryption是Sophos資安廠商所開發的一套檔案加密軟體,提供多種加密功能模式,其使用方式與操作介面相當人性化,並採用安全強度相當高的AES 256位元資料加密方式,從2010年至今仍相當受歡迎。
相較於其他的檔案加密軟體,Sophos Free Encryption能夠提供檔案壓縮功能,並可匯出成可執行檔,能夠在未安裝該加密軟體的系統上進行解密,用來實現跨平台的加解密運作。
其使用上相當方便,使用者只要在檔案上按下滑鼠右鍵並點選加密欄位,即可設定檔案加密的密碼進行加密操作,並且在加密的設定上提供製作可攜式.EXE檔、加密後刪除原始檔、檔案壓縮及密碼檔功能,如圖3所示。
|
▲圖3 進行資料加密相關設定。 |
當使用者將檔案加密成可攜式.EXE檔案時,即可在不同的系統平台上進行解密操作,只要輸入加密密碼就能夠萃取出原始的檔案,相關操作如圖4所示。
|
▲圖4 在不同的平台中解開.EXE加密檔。 |
Sophos Free Encryption在密碼檔的設定上也相當有彈性,其密碼檔檔名為history.log,能夠設定密碼檔的登入密碼,也可以更改密碼檔的路徑,如圖5所示,在密碼檔中會顯示每一筆檔案加密的紀錄與對應的解鎖密碼。
|
▲圖5 密碼檔的資料內容。 |
其餘的檔案加密軟體如Encrypto、EncryptOnClick、Crypt4Free、PGP及AxCrypt等,都有提供類似的功能。相較之下,Sophos Free Encryption所提供的功能相當完善,也是大眾容易使用的,但唯一缺少的是磁區加密功能。
磁區加密軟體—TrueCrypt
TrueCrypt是一套免費的開放原始碼磁碟加密軟體,能夠在硬碟或是隨身碟上建立一個或多個加密的虛擬磁碟分區,採用動態加密(On the Fly Encryption)方式,只要使用者將檔案丟到加密的磁碟分區內,就會自動進行加密。如果要使用該磁碟分區的檔案,必須輸入密碼取得金鑰才能夠讀取該磁碟分區內的檔案。
TrueCrypt提供多種資料加密機制,包括AES-256、Blowfish、CAST5、Serpent等,其資料保護的層級相當高。