張君賢++燕雨薇

摘要： 可信計算技術(shù)是目前信息安全領(lǐng)域一項較新的技術(shù)，用于保護數(shù)據(jù)的可靠性和安全性?？尚庞嬎慵夹g(shù)的應(yīng)用，在為網(wǎng)絡(luò)安全提供了基本保障的同時，卻給計算機取證帶來了困難。介紹了可信計算的背景和計算機取證的概念，分析了可信計算對計算機取證的影響，最后以Windows操作下的可信計算環(huán)境為例，分析了可信環(huán)境的構(gòu)建技術(shù)對取證帶來的挑戰(zhàn)，提出了相應(yīng)的研究方法和思路。

關(guān)鍵詞： 可信計算； 計算機取證； BitLocke

中圖分類號：TP309

文獻標(biāo)志碼：A

文章編號：2095-2163（2017）04-0064-03

0引言

隨著信息時代的飛速發(fā)展，為有效保障信息安全、研究預(yù)防網(wǎng)絡(luò)犯罪，可信計算和計算機取證已然成為目前計算機領(lǐng)域的重點研究方向。一方面，計算機取證技術(shù)的背景環(huán)境呈現(xiàn)出迅捷、廣闊的變化態(tài)勢，為應(yīng)對不同的環(huán)境，取證技術(shù)的研究需要不斷深入。另一方面迄今為止，可信計算技術(shù)取得了長足的發(fā)展，然而在其保障了信息安全的同時，卻也制造了許多安全隱患?；诖?，對可信計算環(huán)境下的計算機取證進行研究即已具備了現(xiàn)實迫切性與必要性，本文將以Windows Vista中采用的BitLocker為例，探討分析可信計算環(huán)境為取證帶來的難題，并研究給出實際解決方案。

1可信計算的概念

1.1可信計算的背景

安德森上世紀(jì)提出可信系統(tǒng)（Trusted System）的概念，隨后提出可信計算機系統(tǒng)評估標(biāo)準(zhǔn)，同時規(guī)范論述了保密性、完整性、可用性三個屬性，這是信息安全的重要屬性。二十一世紀(jì)初，系統(tǒng)地建立了可信計算的平臺規(guī)范以及系統(tǒng)體系[1]。

1.2可信計算的基本思想

可信計算是在網(wǎng)絡(luò)安全遭遇威脅的情況下，想要通過建立一種特定的度量機制來使得計算具備關(guān)于可信與不可信的分辨能力，從而使計算機的安全問題得到優(yōu)質(zhì)處理與解決。

可信計算的基本思想是：

1）首先在計算機中創(chuàng)建一個信任根，信任根依托于物理條件，以硬件為基礎(chǔ)，再通過軟件加以協(xié)調(diào)和管理，從而使計算機更加安全，信任根的可信性依賴于3個方面：物理安全、技術(shù)安全與管理安全。

2）再依照信任根，逐級向下尋找可信節(jié)點，以此形成信任鏈，即信任根——硬件平臺——操作系統(tǒng)——應(yīng)用，并將此類信任機制應(yīng)用到整個計算機系統(tǒng)中去，通過逐級的測量認(rèn)證與信任，以此保障整個計算機系統(tǒng)的可信性[2]。

1.3可信計算平臺

可信計算平臺，就是可以向用戶供給可信計算服務(wù)的計算機軟件和硬件實體。二十世紀(jì)末，國際幾個大型計算機公司，如康柏、惠普、國際商業(yè)機器公司、英特爾和微軟領(lǐng)先組建了TCPA，隨后退出了可信平臺模塊TPM，該模塊包括加密和安全存儲功能。目前，國外一些廠商，諸如HP、IBM、Intel都發(fā)布了具有TPM功能的PC機[1]。

可信計算平臺是建立在可信計算模塊（TPM）的基礎(chǔ)之上的，以加解密技術(shù)作為支撐、安全操作系統(tǒng)為中心[1]。安全的操作系統(tǒng)是可信計算平臺的核心和基礎(chǔ)，只有底層做到完善防護，才能保障計算機應(yīng)用與交互的安全。

2計算機取證的研究與分析

計算機犯罪，是指隨著計算機與網(wǎng)絡(luò)的普及和發(fā)展而出現(xiàn)的新的高智商犯罪模式。計算機在相關(guān)的犯罪事件中可以飾演3種角色，分別是：Hacker攻擊的目標(biāo)、犯罪的手段和存儲犯罪數(shù)據(jù)的介質(zhì)。在犯罪過程中，不管計算機發(fā)揮的是何種作用，計算機以及外部設(shè)備里都會遺留大量的和犯罪相關(guān)的信息。

計算機電子取證就是通過計算機技術(shù)和工具，在計算機外部設(shè)備和網(wǎng)絡(luò)中，查找與各類犯罪事件相關(guān)的信息，本質(zhì)上就是掃描計算機系統(tǒng)和重新建立犯罪事件的清晰過程。根據(jù)取證狀態(tài)特征的多樣性，可以把計算機取證列為2類，分別是：靜態(tài)取證和動態(tài)取證。在此，給出闡釋論述如下。

1）靜態(tài)取證。靜態(tài)取證，相當(dāng)于計算機中的法醫(yī)學(xué)，將計算機視作是一個犯罪現(xiàn)場，運用成熟的技術(shù)對計算機開展類似于法醫(yī)學(xué)中的查驗與測試，對不同計算機存儲介質(zhì)里存儲的數(shù)據(jù)進行分析與提取，由此方法得到的數(shù)據(jù)信息可作為起訴并在法庭上支持使用的決斷證據(jù)。

數(shù)據(jù)恢復(fù)、磁盤映像拷貝、數(shù)據(jù)存儲、數(shù)據(jù)傳輸和數(shù)據(jù)分析是目前公安機關(guān)主要使用的計算機取證方法。

2）動態(tài)取證。動態(tài)取證是主動取證，指于安全事件發(fā)生前，預(yù)先采取一定的防御措施和相關(guān)的取證部署，因而能真實記錄整個網(wǎng)絡(luò)攻擊過程中的表現(xiàn)行為。其次，計算機動態(tài)取證可信度較高的原因就在于一切都將在犯罪嫌疑人不會對證據(jù)進行刪除的情況下控制實施的。再次，計算機取證可以獲得來自網(wǎng)絡(luò)內(nèi)、外部的犯罪行為。

但受到當(dāng)前的取證技術(shù)的約束，在取證時往往大部分使用靜態(tài)的取證方法，很少使用動態(tài)取證。因此，目前在進行計算機取證時，主要工作還是在對計算機內(nèi)部數(shù)據(jù)及文件的提取上。因此，能否從計算機中成功提取到與犯罪有關(guān)的完整的數(shù)據(jù)文件則是取證的重點與關(guān)鍵。

3可信計算技術(shù)對取證的影響

可信計算技術(shù)能夠有效地保障信息安全，并且已經(jīng)大規(guī)模地應(yīng)用于計算機中，典型的有Intel公司開發(fā)的LaGrande Technology（LT）芯片、微軟公司的Windows Vista及以上版本的新型可信操作系統(tǒng)以及國內(nèi)聯(lián)想等公司根據(jù)TCG1.2規(guī)范開發(fā)的芯片[3]。接下來，本次研究即以Windows Vista采用的與取證相關(guān)的技術(shù)BitLocker為例，探討其加密情況，分析該技術(shù)給取證帶來的挑戰(zhàn)。

3.1BitLocker的定義

[JP5]BitLocker全稱BitLocker驅(qū)動器加密（BitLockerDriveEncryption），[JP]是Windowsvista及以上版本系統(tǒng)自帶的功能強大的磁盤加密程序，能夠更好地保護數(shù)據(jù)的安全。通過這種新的數(shù)據(jù)保護機制，用戶無需借助第三方專業(yè)工具就能調(diào)取掌控磁盤加密操作。BitLocker對全部Windows分區(qū)實施加密，為此即便出現(xiàn)計算機遺失，加密的信息也不會泄露出去。所以，BitLocker曾一度被稱作計算機取證技術(shù)的“完結(jié)者”。endprint

3.2BitLocker中的加密方式

BitLocker使用高級加密標(biāo)準(zhǔn)算法，可以為計算機硬盤上的卷或者整個硬盤的信息提供加密以及認(rèn)證服務(wù)[4]。該功能需要手動開啟，默認(rèn)使用TPM。BitLocker對系統(tǒng)分區(qū)進行加密時，需要將加密密鑰和解密密鑰存放在硬盤之外的獨立設(shè)備上?；讵毩⒃O(shè)備的不同，BitLocker加密主要有2種模式，分別是TPM模式和USB閃盤模式。具體展開研究解析如下。

1）TPM模式。BitLocker程序通過一個放置于計算機中內(nèi)部的微芯片來保存加密數(shù)據(jù)，只有當(dāng)TPM已檢查啟動文件與啟動組件的狀態(tài)后，才能訪問加密的數(shù)據(jù)。啟動過程中TPM對Windows系統(tǒng)進行檢測，確保系統(tǒng)安裝未被篡改后釋放密鑰，對系統(tǒng)分區(qū)設(shè)計選擇解密處理，若檢測到系統(tǒng)安裝被篡改，則不會釋放密鑰。

2）USB閃盤模式。如果主板不帶TPM芯片，那就可以使用USB閃盤。把解鎖磁盤必需的密鑰文件存放在USB閃盤中，只有計算機基礎(chǔ)輸入輸出系統(tǒng)支持USB啟動，USB閃盤模式方能加密解鎖系統(tǒng)分區(qū)。

3.3BitLocker給計算機取證帶來的影響

若偵測中獲知犯罪嫌疑人使用BitLocker加密的計算機，如果該計算機正在工作并且能夠成功訪問，可以在控制面板找到BitLocker驅(qū)動器加密管理密鑰，將其拷貝出來以便下次訪問；或者取消BitLocker加密并解密所有驅(qū)動器，此時便可以制作硬盤的完整邏輯映像。然而，如果計算機已經(jīng)關(guān)機或者無法正常訪問，那么BitLocker就會發(fā)揮到主要作用，進行全盤的加密，造成數(shù)據(jù)不可讀，給取證帶來了很大的困難[4]。

近年來，很多公司相繼開發(fā)了一些針對BitLocker取證軟件，如美國的Passware公司以及來自德國的研究機構(gòu)Fraunhofer均聲稱其推出的產(chǎn)品可以成功破解BitLocker密鑰，然而實踐證明還是需要訪問目標(biāo)計算機的物理內(nèi)存鏡像來得到密鑰，并不能真正破解。再比如取證中最常用的軟件Encase，需要用該工具加載加密卷，按照相應(yīng)的提示導(dǎo)入或鍵入恢復(fù)密鑰即可解密，前提是必須掌握恢復(fù)密鑰或者密碼?；谏鲜鋈∽C工具，將可以發(fā)現(xiàn)，目前對BitLocker的解密仍然建立在密鑰可以找回的基礎(chǔ)上，但是對于無法找到恢復(fù)密鑰的情況，尚且沒有優(yōu)良完備的解決辦法。

3.4可信計算環(huán)境給取證帶來的影響

BitLocker驅(qū)動器加密只是可信計算平臺應(yīng)用中的一部分，此外還有許多密碼技術(shù)與可信計算平臺相結(jié)合，其安全性及防御能力逐步提高。比如可信白名單技術(shù)，該技術(shù)使得密碼產(chǎn)品的內(nèi)部程序只有在白名單中才能被運行，不在的話將拒絕執(zhí)行[5]；還有TCM模塊，該模塊與TPM相似，只不過其中結(jié)合了密碼卡技術(shù)。可信計算技術(shù)實現(xiàn)了主動防御，而這一優(yōu)點恰恰是計算機取證過程中的難題，就是能夠防御偵查人員的“攻擊”，從而不能提取所需的數(shù)據(jù)文件。

4設(shè)計解決方案

目前來說，BitLocker帶來的挑戰(zhàn)在于無法破解該驅(qū)動加密，倘若出現(xiàn)惡意使用BitLocker進行加密將無法取證，基于此，研究設(shè)計提出如下解決方案：

1）暴力破解。

2）獲取密鑰破解。

3）在原本BitLocker滲透進入安裝程序或病毒內(nèi)部打開。

4）改變原有的BitLocker，與警用模塊相結(jié)合。

根據(jù)對BitLocker開發(fā)建立的解決方案，可以將該方案推廣到整個可信計算平臺，通過深度剖析可信計算技術(shù)為取證研究激發(fā)的有利突破契機，本文將從2個角度綜合論述方案的基本設(shè)計展現(xiàn)成果。

4.1從取證工具的角度

以Bitlocker為例，使用取證工具對Bitlocker進行成功破解的前提是必須掌握恢復(fù)密鑰或者密碼，否則無法真正破解該加密驅(qū)動器。這類取證工具還是建立在傳統(tǒng)的非可信環(huán)境基礎(chǔ)上的，因此，必須深度探討挖掘可信計算知識原理，并將傳統(tǒng)的取證技術(shù)與可信計算相結(jié)合，這樣才能設(shè)計研發(fā)得到適用于可信計算平臺的取證工具。

4.2從可信計算平臺的角度

為了解決可信計算技術(shù)研發(fā)中的瓶頸難題，有學(xué)者提出拓寬可信計算服務(wù)，便于在取證過程中獲取更多更有效的信息。原理是：對可信計算平臺上運行的安全服務(wù)進行權(quán)限劃分設(shè)置特定的取證服務(wù)[3]。具體擴展的取證服務(wù)如下：

1）密鑰恢復(fù)。由可信任的第三方保存恢復(fù)密鑰，需要進行取證或者是硬件加密故障時，通過第三方獲取恢復(fù)密鑰進行解密，該服務(wù)對用戶和取證人員都是有益的。

2）取證密封服務(wù)。只有取證調(diào)查人員才能使用，而用戶則沒有權(quán)限訪問的服務(wù)。

3）取證密封數(shù)據(jù)。對于和取證相關(guān)的信息，用戶是無法訪問的，僅有取證調(diào)查人員才可授予訪問權(quán)限。

4）取證認(rèn)證。當(dāng)取證調(diào)查人員對密封數(shù)據(jù)進行訪問或者其他操作時，必須展開查驗認(rèn)證并且記錄相關(guān)的操作日志等[6]。

該擴展服務(wù)能夠?qū)崿F(xiàn)有效的控制和管理，給計算機取證帶來很多便利，同時還對在可信計算平臺中增加取證技術(shù)有著一定積極重要的指導(dǎo)意義。

5結(jié)束語

在可信計算技術(shù)讓計算機的防御能力得到強化的同時，也勢必會給計算機取證技術(shù)帶來一定的影響。因此，在實踐過程中，應(yīng)全面掌控可信計算技術(shù)的應(yīng)用特點并結(jié)合取證技術(shù)進行深入研究，研發(fā)出應(yīng)對該環(huán)境的新式取證技術(shù)是十分重要的。本文通過論述Windows下的可信計算環(huán)境，分析了可信計算給計算機取證帶來的困難，探討得出一些實用主題解決方案，并可為后續(xù)研究提供了有益的參考及借鑒。

參考文獻：

[WTBZ][ST6BZ][HT6SS][1] [ZK（#〗

鄧曉軍. 可信計算的研究與發(fā)展[J]. 計算機安全，2008（2）：32-34.

[2] 沈昌祥，張煥國，王懷民，等. 可信計算的研究與發(fā)展[J]. 中國科學(xué)：信息科學(xué)，2010，40（2）：139-166.

[3] 李炳龍，王清賢，羅軍勇，等. 可信計算環(huán)境中的數(shù)字取證[J]. 武漢大學(xué)學(xué)報（理學(xué)版）， 2006，52（5）：523-526.

[4] 麥永浩，史經(jīng)偉，隆波. Vista操作系統(tǒng)對計算機取證的影響[J]. 警察技術(shù)，2012（1）：51-54.

[5] 王泉景. 可信計算在國產(chǎn)商用密碼產(chǎn)品中的應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（1）：40.

[6] 李炳龍，王魯，陳性元. 基于可信計算環(huán)境文檔碎片取證獲取模型[C]//河南省計算機學(xué)會2008年學(xué)術(shù)年會. 洛陽：河南省計算機學(xué)會，2008：60-64.

[7] 沈昌祥，張煥國，馮登國，等. 信息安全綜述[J]. 中國科學(xué)（E輯：信息科學(xué)），2007，37（2）：129-150.

[8] 孫國梓，耿偉明，陳丹偉，等. 基于可信概率的電子數(shù)據(jù)取證有效性模型[J]. 計算機學(xué)報，2011，34（7）：1262-1274.endprint