今天要講 CIA 與 Chain of Custody。然而這些觀念不只用於數位鑑識,它在整個資安領域中都是非常重要的一環。那我們就正式開始吧!
很明顯的 CIA 中的 C 是從這裡來的,那什麼是機密性呢?
機密性旨在限制資料的存取權,保護資料免於受到未經授權的存取。
講白一點,你有一本日記,你只同意(授權)給你最好的朋友看,你確保除了你最好的朋友之外其他人都不能看你的日記,這就是機密性。
密碼登入、2FA 驗證等等就是用來確保機密性的方法。
I 就是完整性,那什麼是完整性呢?
完整性旨在保護證據資料不受非預期的修改或毀損。
接續昨天小偷闖入你家的例子,我們成功採集到小偷的 DNA 並且存在資料庫中了,但如果今天資料庫中的 DNA 樣本被污染或調包,那它的完整性就遭到破壞了,同時也不具法律效力了。
雜湊值(Hash)、校驗和(Checksums)等等可用於確認完整性。
最後是 A,可用性。
可用性旨在確保經授權後資料可以及時被存取。
繼續上面的例子,若今天要拿小偷的 DNA 資料到資料庫去做比對,結果系統出問題,沒辦法取得資料,那他的可用性就受損了。
證據監管鏈(Chain of custody),就是在處理數位證據的過程中,每一道程序都要被完整記錄,例如:蒐集、保存、轉移、分析等等,以確保證據的可信度。
舉個例子:一個 USB 從案發現場取得後,必須詳細記錄「何時取得」、「由誰取得」、「如何保存」、「何時交給誰分析」等每個環節。
簡單來說,就是要讓法官或任何人都能清楚追蹤這份數位證據從現場到法庭,中間經過哪些人、做了什麼事、有沒有被動過手腳。如果證據監管鏈有任何缺失,即使技術分析再精確,證據也可能失去法律效力。
今天講了一些基本但很重要的觀念,明天預計講數位鑑識的一些基本流程,讓大家對鑑識有一些了解,之後就會開始實作練習。