張君賢++燕雨薇

摘要： 可信計(jì)算技術(shù)是目前信息安全領(lǐng)域一項(xiàng)較新的技術(shù)，用于保護(hù)數(shù)據(jù)的可靠性和安全性?？尚庞?jì)算技術(shù)的應(yīng)用，在為網(wǎng)絡(luò)安全提供了基本保障的同時(shí)，卻給計(jì)算機(jī)取證帶來(lái)了困難。介紹了可信計(jì)算的背景和計(jì)算機(jī)取證的概念，分析了可信計(jì)算對(duì)計(jì)算機(jī)取證的影響，最后以Windows操作下的可信計(jì)算環(huán)境為例，分析了可信環(huán)境的構(gòu)建技術(shù)對(duì)取證帶來(lái)的挑戰(zhàn)，提出了相應(yīng)的研究方法和思路。

關(guān)鍵詞： 可信計(jì)算； 計(jì)算機(jī)取證； BitLocke

中圖分類號(hào)：TP309

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：2095-2163（2017）04-0064-03

0引言

隨著信息時(shí)代的飛速發(fā)展，為有效保障信息安全、研究預(yù)防網(wǎng)絡(luò)犯罪，可信計(jì)算和計(jì)算機(jī)取證已然成為目前計(jì)算機(jī)領(lǐng)域的重點(diǎn)研究方向。一方面，計(jì)算機(jī)取證技術(shù)的背景環(huán)境呈現(xiàn)出迅捷、廣闊的變化態(tài)勢(shì)，為應(yīng)對(duì)不同的環(huán)境，取證技術(shù)的研究需要不斷深入。另一方面迄今為止，可信計(jì)算技術(shù)取得了長(zhǎng)足的發(fā)展，然而在其保障了信息安全的同時(shí)，卻也制造了許多安全隱患?；诖?，對(duì)可信計(jì)算環(huán)境下的計(jì)算機(jī)取證進(jìn)行研究即已具備了現(xiàn)實(shí)迫切性與必要性，本文將以Windows Vista中采用的BitLocker為例，探討分析可信計(jì)算環(huán)境為取證帶來(lái)的難題，并研究給出實(shí)際解決方案。

1可信計(jì)算的概念

1.1可信計(jì)算的背景

安德森上世紀(jì)提出可信系統(tǒng)（Trusted System）的概念，隨后提出可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)，同時(shí)規(guī)范論述了保密性、完整性、可用性三個(gè)屬性，這是信息安全的重要屬性。二十一世紀(jì)初，系統(tǒng)地建立了可信計(jì)算的平臺(tái)規(guī)范以及系統(tǒng)體系[1]。

1.2可信計(jì)算的基本思想

可信計(jì)算是在網(wǎng)絡(luò)安全遭遇威脅的情況下，想要通過(guò)建立一種特定的度量機(jī)制來(lái)使得計(jì)算具備關(guān)于可信與不可信的分辨能力，從而使計(jì)算機(jī)的安全問(wèn)題得到優(yōu)質(zhì)處理與解決。

可信計(jì)算的基本思想是：

1）首先在計(jì)算機(jī)中創(chuàng)建一個(gè)信任根，信任根依托于物理?xiàng)l件，以硬件為基礎(chǔ)，再通過(guò)軟件加以協(xié)調(diào)和管理，從而使計(jì)算機(jī)更加安全，信任根的可信性依賴于3個(gè)方面：物理安全、技術(shù)安全與管理安全。

2）再依照信任根，逐級(jí)向下尋找可信節(jié)點(diǎn)，以此形成信任鏈，即信任根——硬件平臺(tái)——操作系統(tǒng)——應(yīng)用，并將此類信任機(jī)制應(yīng)用到整個(gè)計(jì)算機(jī)系統(tǒng)中去，通過(guò)逐級(jí)的測(cè)量認(rèn)證與信任，以此保障整個(gè)計(jì)算機(jī)系統(tǒng)的可信性[2]。

1.3可信計(jì)算平臺(tái)

可信計(jì)算平臺(tái)，就是可以向用戶供給可信計(jì)算服務(wù)的計(jì)算機(jī)軟件和硬件實(shí)體。二十世紀(jì)末，國(guó)際幾個(gè)大型計(jì)算機(jī)公司，如康柏、惠普、國(guó)際商業(yè)機(jī)器公司、英特爾和微軟領(lǐng)先組建了TCPA，隨后退出了可信平臺(tái)模塊TPM，該模塊包括加密和安全存儲(chǔ)功能。目前，國(guó)外一些廠商，諸如HP、IBM、Intel都發(fā)布了具有TPM功能的PC機(jī)[1]。

可信計(jì)算平臺(tái)是建立在可信計(jì)算模塊（TPM）的基礎(chǔ)之上的，以加解密技術(shù)作為支撐、安全操作系統(tǒng)為中心[1]。安全的操作系統(tǒng)是可信計(jì)算平臺(tái)的核心和基礎(chǔ)，只有底層做到完善防護(hù)，才能保障計(jì)算機(jī)應(yīng)用與交互的安全。

2計(jì)算機(jī)取證的研究與分析

計(jì)算機(jī)犯罪，是指隨著計(jì)算機(jī)與網(wǎng)絡(luò)的普及和發(fā)展而出現(xiàn)的新的高智商犯罪模式。計(jì)算機(jī)在相關(guān)的犯罪事件中可以飾演3種角色，分別是：Hacker攻擊的目標(biāo)、犯罪的手段和存儲(chǔ)犯罪數(shù)據(jù)的介質(zhì)。在犯罪過(guò)程中，不管計(jì)算機(jī)發(fā)揮的是何種作用，計(jì)算機(jī)以及外部設(shè)備里都會(huì)遺留大量的和犯罪相關(guān)的信息。

計(jì)算機(jī)電子取證就是通過(guò)計(jì)算機(jī)技術(shù)和工具，在計(jì)算機(jī)外部設(shè)備和網(wǎng)絡(luò)中，查找與各類犯罪事件相關(guān)的信息，本質(zhì)上就是掃描計(jì)算機(jī)系統(tǒng)和重新建立犯罪事件的清晰過(guò)程。根據(jù)取證狀態(tài)特征的多樣性，可以把計(jì)算機(jī)取證列為2類，分別是：靜態(tài)取證和動(dòng)態(tài)取證。在此，給出闡釋論述如下。

1）靜態(tài)取證。靜態(tài)取證，相當(dāng)于計(jì)算機(jī)中的法醫(yī)學(xué)，將計(jì)算機(jī)視作是一個(gè)犯罪現(xiàn)場(chǎng)，運(yùn)用成熟的技術(shù)對(duì)計(jì)算機(jī)開(kāi)展類似于法醫(yī)學(xué)中的查驗(yàn)與測(cè)試，對(duì)不同計(jì)算機(jī)存儲(chǔ)介質(zhì)里存儲(chǔ)的數(shù)據(jù)進(jìn)行分析與提取，由此方法得到的數(shù)據(jù)信息可作為起訴并在法庭上支持使用的決斷證據(jù)。

數(shù)據(jù)恢復(fù)、磁盤(pán)映像拷貝、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸和數(shù)據(jù)分析是目前公安機(jī)關(guān)主要使用的計(jì)算機(jī)取證方法。

2）動(dòng)態(tài)取證。動(dòng)態(tài)取證是主動(dòng)取證，指于安全事件發(fā)生前，預(yù)先采取一定的防御措施和相關(guān)的取證部署，因而能真實(shí)記錄整個(gè)網(wǎng)絡(luò)攻擊過(guò)程中的表現(xiàn)行為。其次，計(jì)算機(jī)動(dòng)態(tài)取證可信度較高的原因就在于一切都將在犯罪嫌疑人不會(huì)對(duì)證據(jù)進(jìn)行刪除的情況下控制實(shí)施的。再次，計(jì)算機(jī)取證可以獲得來(lái)自網(wǎng)絡(luò)內(nèi)、外部的犯罪行為。

但受到當(dāng)前的取證技術(shù)的約束，在取證時(shí)往往大部分使用靜態(tài)的取證方法，很少使用動(dòng)態(tài)取證。因此，目前在進(jìn)行計(jì)算機(jī)取證時(shí)，主要工作還是在對(duì)計(jì)算機(jī)內(nèi)部數(shù)據(jù)及文件的提取上。因此，能否從計(jì)算機(jī)中成功提取到與犯罪有關(guān)的完整的數(shù)據(jù)文件則是取證的重點(diǎn)與關(guān)鍵。

3可信計(jì)算技術(shù)對(duì)取證的影響

可信計(jì)算技術(shù)能夠有效地保障信息安全，并且已經(jīng)大規(guī)模地應(yīng)用于計(jì)算機(jī)中，典型的有Intel公司開(kāi)發(fā)的LaGrande Technology（LT）芯片、微軟公司的Windows Vista及以上版本的新型可信操作系統(tǒng)以及國(guó)內(nèi)聯(lián)想等公司根據(jù)TCG1.2規(guī)范開(kāi)發(fā)的芯片[3]。接下來(lái)，本次研究即以Windows Vista采用的與取證相關(guān)的技術(shù)BitLocker為例，探討其加密情況，分析該技術(shù)給取證帶來(lái)的挑戰(zhàn)。

3.1BitLocker的定義

[JP5]BitLocker全稱BitLocker驅(qū)動(dòng)器加密（BitLockerDriveEncryption），[JP]是Windowsvista及以上版本系統(tǒng)自帶的功能強(qiáng)大的磁盤(pán)加密程序，能夠更好地保護(hù)數(shù)據(jù)的安全。通過(guò)這種新的數(shù)據(jù)保護(hù)機(jī)制，用戶無(wú)需借助第三方專業(yè)工具就能調(diào)取掌控磁盤(pán)加密操作。BitLocker對(duì)全部Windows分區(qū)實(shí)施加密，為此即便出現(xiàn)計(jì)算機(jī)遺失，加密的信息也不會(huì)泄露出去。所以，BitLocker曾一度被稱作計(jì)算機(jī)取證技術(shù)的“完結(jié)者”。endprint

3.2BitLocker中的加密方式

BitLocker使用高級(jí)加密標(biāo)準(zhǔn)算法，可以為計(jì)算機(jī)硬盤(pán)上的卷或者整個(gè)硬盤(pán)的信息提供加密以及認(rèn)證服務(wù)[4]。該功能需要手動(dòng)開(kāi)啟，默認(rèn)使用TPM。BitLocker對(duì)系統(tǒng)分區(qū)進(jìn)行加密時(shí)，需要將加密密鑰和解密密鑰存放在硬盤(pán)之外的獨(dú)立設(shè)備上?；讵?dú)立設(shè)備的不同，BitLocker加密主要有2種模式，分別是TPM模式和USB閃盤(pán)模式。具體展開(kāi)研究解析如下。

1）TPM模式。BitLocker程序通過(guò)一個(gè)放置于計(jì)算機(jī)中內(nèi)部的微芯片來(lái)保存加密數(shù)據(jù)，只有當(dāng)TPM已檢查啟動(dòng)文件與啟動(dòng)組件的狀態(tài)后，才能訪問(wèn)加密的數(shù)據(jù)。啟動(dòng)過(guò)程中TPM對(duì)Windows系統(tǒng)進(jìn)行檢測(cè)，確保系統(tǒng)安裝未被篡改后釋放密鑰，對(duì)系統(tǒng)分區(qū)設(shè)計(jì)選擇解密處理，若檢測(cè)到系統(tǒng)安裝被篡改，則不會(huì)釋放密鑰。

2）USB閃盤(pán)模式。如果主板不帶TPM芯片，那就可以使用USB閃盤(pán)。把解鎖磁盤(pán)必需的密鑰文件存放在USB閃盤(pán)中，只有計(jì)算機(jī)基礎(chǔ)輸入輸出系統(tǒng)支持USB啟動(dòng)，USB閃盤(pán)模式方能加密解鎖系統(tǒng)分區(qū)。

3.3BitLocker給計(jì)算機(jī)取證帶來(lái)的影響

若偵測(cè)中獲知犯罪嫌疑人使用BitLocker加密的計(jì)算機(jī)，如果該計(jì)算機(jī)正在工作并且能夠成功訪問(wèn)，可以在控制面板找到BitLocker驅(qū)動(dòng)器加密管理密鑰，將其拷貝出來(lái)以便下次訪問(wèn)；或者取消BitLocker加密并解密所有驅(qū)動(dòng)器，此時(shí)便可以制作硬盤(pán)的完整邏輯映像。然而，如果計(jì)算機(jī)已經(jīng)關(guān)機(jī)或者無(wú)法正常訪問(wèn)，那么BitLocker就會(huì)發(fā)揮到主要作用，進(jìn)行全盤(pán)的加密，造成數(shù)據(jù)不可讀，給取證帶來(lái)了很大的困難[4]。

近年來(lái)，很多公司相繼開(kāi)發(fā)了一些針對(duì)BitLocker取證軟件，如美國(guó)的Passware公司以及來(lái)自德國(guó)的研究機(jī)構(gòu)Fraunhofer均聲稱其推出的產(chǎn)品可以成功破解BitLocker密鑰，然而實(shí)踐證明還是需要訪問(wèn)目標(biāo)計(jì)算機(jī)的物理內(nèi)存鏡像來(lái)得到密鑰，并不能真正破解。再比如取證中最常用的軟件Encase，需要用該工具加載加密卷，按照相應(yīng)的提示導(dǎo)入或鍵入恢復(fù)密鑰即可解密，前提是必須掌握恢復(fù)密鑰或者密碼。基于上述取證工具，將可以發(fā)現(xiàn)，目前對(duì)BitLocker的解密仍然建立在密鑰可以找回的基礎(chǔ)上，但是對(duì)于無(wú)法找到恢復(fù)密鑰的情況，尚且沒(méi)有優(yōu)良完備的解決辦法。

3.4可信計(jì)算環(huán)境給取證帶來(lái)的影響

BitLocker驅(qū)動(dòng)器加密只是可信計(jì)算平臺(tái)應(yīng)用中的一部分，此外還有許多密碼技術(shù)與可信計(jì)算平臺(tái)相結(jié)合，其安全性及防御能力逐步提高。比如可信白名單技術(shù)，該技術(shù)使得密碼產(chǎn)品的內(nèi)部程序只有在白名單中才能被運(yùn)行，不在的話將拒絕執(zhí)行[5]；還有TCM模塊，該模塊與TPM相似，只不過(guò)其中結(jié)合了密碼卡技術(shù)。可信計(jì)算技術(shù)實(shí)現(xiàn)了主動(dòng)防御，而這一優(yōu)點(diǎn)恰恰是計(jì)算機(jī)取證過(guò)程中的難題，就是能夠防御偵查人員的“攻擊”，從而不能提取所需的數(shù)據(jù)文件。

4設(shè)計(jì)解決方案

目前來(lái)說(shuō)，BitLocker帶來(lái)的挑戰(zhàn)在于無(wú)法破解該驅(qū)動(dòng)加密，倘若出現(xiàn)惡意使用BitLocker進(jìn)行加密將無(wú)法取證，基于此，研究設(shè)計(jì)提出如下解決方案：

1）暴力破解。

2）獲取密鑰破解。

3）在原本BitLocker滲透進(jìn)入安裝程序或病毒內(nèi)部打開(kāi)。

4）改變?cè)械腂itLocker，與警用模塊相結(jié)合。

根據(jù)對(duì)BitLocker開(kāi)發(fā)建立的解決方案，可以將該方案推廣到整個(gè)可信計(jì)算平臺(tái)，通過(guò)深度剖析可信計(jì)算技術(shù)為取證研究激發(fā)的有利突破契機(jī)，本文將從2個(gè)角度綜合論述方案的基本設(shè)計(jì)展現(xiàn)成果。

4.1從取證工具的角度

以Bitlocker為例，使用取證工具對(duì)Bitlocker進(jìn)行成功破解的前提是必須掌握恢復(fù)密鑰或者密碼，否則無(wú)法真正破解該加密驅(qū)動(dòng)器。這類取證工具還是建立在傳統(tǒng)的非可信環(huán)境基礎(chǔ)上的，因此，必須深度探討挖掘可信計(jì)算知識(shí)原理，并將傳統(tǒng)的取證技術(shù)與可信計(jì)算相結(jié)合，這樣才能設(shè)計(jì)研發(fā)得到適用于可信計(jì)算平臺(tái)的取證工具。

4.2從可信計(jì)算平臺(tái)的角度

為了解決可信計(jì)算技術(shù)研發(fā)中的瓶頸難題，有學(xué)者提出拓寬可信計(jì)算服務(wù)，便于在取證過(guò)程中獲取更多更有效的信息。原理是：對(duì)可信計(jì)算平臺(tái)上運(yùn)行的安全服務(wù)進(jìn)行權(quán)限劃分設(shè)置特定的取證服務(wù)[3]。具體擴(kuò)展的取證服務(wù)如下：

1）密鑰恢復(fù)。由可信任的第三方保存恢復(fù)密鑰，需要進(jìn)行取證或者是硬件加密故障時(shí)，通過(guò)第三方獲取恢復(fù)密鑰進(jìn)行解密，該服務(wù)對(duì)用戶和取證人員都是有益的。

2）取證密封服務(wù)。只有取證調(diào)查人員才能使用，而用戶則沒(méi)有權(quán)限訪問(wèn)的服務(wù)。

3）取證密封數(shù)據(jù)。對(duì)于和取證相關(guān)的信息，用戶是無(wú)法訪問(wèn)的，僅有取證調(diào)查人員才可授予訪問(wèn)權(quán)限。

4）取證認(rèn)證。當(dāng)取證調(diào)查人員對(duì)密封數(shù)據(jù)進(jìn)行訪問(wèn)或者其他操作時(shí)，必須展開(kāi)查驗(yàn)認(rèn)證并且記錄相關(guān)的操作日志等[6]。

該擴(kuò)展服務(wù)能夠?qū)崿F(xiàn)有效的控制和管理，給計(jì)算機(jī)取證帶來(lái)很多便利，同時(shí)還對(duì)在可信計(jì)算平臺(tái)中增加取證技術(shù)有著一定積極重要的指導(dǎo)意義。

5結(jié)束語(yǔ)

在可信計(jì)算技術(shù)讓計(jì)算機(jī)的防御能力得到強(qiáng)化的同時(shí)，也勢(shì)必會(huì)給計(jì)算機(jī)取證技術(shù)帶來(lái)一定的影響。因此，在實(shí)踐過(guò)程中，應(yīng)全面掌控可信計(jì)算技術(shù)的應(yīng)用特點(diǎn)并結(jié)合取證技術(shù)進(jìn)行深入研究，研發(fā)出應(yīng)對(duì)該環(huán)境的新式取證技術(shù)是十分重要的。本文通過(guò)論述Windows下的可信計(jì)算環(huán)境，分析了可信計(jì)算給計(jì)算機(jī)取證帶來(lái)的困難，探討得出一些實(shí)用主題解決方案，并可為后續(xù)研究提供了有益的參考及借鑒。

參考文獻(xiàn)：

[WTBZ][ST6BZ][HT6SS][1] [ZK（#〗

鄧曉軍. 可信計(jì)算的研究與發(fā)展[J]. 計(jì)算機(jī)安全，2008（2）：32-34.

[2] 沈昌祥，張煥國(guó)，王懷民，等. 可信計(jì)算的研究與發(fā)展[J]. 中國(guó)科學(xué)：信息科學(xué)，2010，40（2）：139-166.

[3] 李炳龍，王清賢，羅軍勇，等. 可信計(jì)算環(huán)境中的數(shù)字取證[J]. 武漢大學(xué)學(xué)報(bào)（理學(xué)版）， 2006，52（5）：523-526.

[4] 麥永浩，史經(jīng)偉，隆波. Vista操作系統(tǒng)對(duì)計(jì)算機(jī)取證的影響[J]. 警察技術(shù)，2012（1）：51-54.

[5] 王泉景. 可信計(jì)算在國(guó)產(chǎn)商用密碼產(chǎn)品中的應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（1）：40.

[6] 李炳龍，王魯，陳性元. 基于可信計(jì)算環(huán)境文檔碎片取證獲取模型[C]//河南省計(jì)算機(jī)學(xué)會(huì)2008年學(xué)術(shù)年會(huì). 洛陽(yáng)：河南省計(jì)算機(jī)學(xué)會(huì)，2008：60-64.

[7] 沈昌祥，張煥國(guó)，馮登國(guó)，等. 信息安全綜述[J]. 中國(guó)科學(xué)（E輯：信息科學(xué)），2007，37（2）：129-150.

[8] 孫國(guó)梓，耿偉明，陳丹偉，等. 基于可信概率的電子數(shù)據(jù)取證有效性模型[J]. 計(jì)算機(jī)學(xué)報(bào)，2011，34（7）：1262-1274.endprint