可信計算環境下的計算機取證技術研究

張君賢++燕雨薇

摘要： 可信計算技術是目前信息安全領域一項較新的技術，用于保護數據的可靠性和安全性。可信計算技術的應用，在為網絡安全提供了基本保障的同時，卻給計算機取證帶來了困難。介紹了可信計算的背景和計算機取證的概念，分析了可信計算對計算機取證的影響，最后以Windows操作下的可信計算環境為例，分析了可信環境的構建技術對取證帶來的挑戰，提出了相應的研究方法和思路。

關鍵詞： 可信計算； 計算機取證； BitLocke

中圖分類號：TP309

文獻標志碼：A

文章編號：2095-2163（2017）04-0064-03

0引言

隨著信息時代的飛速發展，為有效保障信息安全、研究預防網絡犯罪，可信計算和計算機取證已然成為目前計算機領域的重點研究方向。一方面，計算機取證技術的背景環境呈現出迅捷、廣闊的變化態勢，為應對不同的環境，取證技術的研究需要不斷深入。另一方面迄今為止，可信計算技術取得了長足的發展，然而在其保障了信息安全的同時，卻也制造了許多安全隱患。基于此，對可信計算環境下的計算機取證進行研究即已具備了現實迫切性與必要性，本文將以Windows Vista中采用的BitLocker為例，探討分析可信計算環境為取證帶來的難題，并研究給出實際解決方案。

1可信計算的概念

1.1可信計算的背景

安德森上世紀提出可信系統（Trusted System）的概念，隨后提出可信計算機系統評估標準，同時規范論述了保密性、完整性、可用性三個屬性，這是信息安全的重要屬性。二十一世紀初，系統地建立了可信計算的平臺規范以及系統體系[1]。

1.2可信計算的基本思想

可信計算是在網絡安全遭遇威脅的情況下，想要通過建立一種特定的度量機制來使得計算具備關于可信與不可信的分辨能力，從而使計算機的安全問題得到優質處理與解決。

可信計算的基本思想是：

1）首先在計算機中創建一個信任根，信任根依托于物理條件，以硬件為基礎，再通過軟件加以協調和管理，從而使計算機更加安全，信任根的可信性依賴于3個方面：物理安全、技術安全與管理安全。

2）再依照信任根，逐級向下尋找可信節點，以此形成信任鏈，即信任根——硬件平臺——操作系統——應用，并將此類信任機制應用到整個計算機系統中去，通過逐級的測量認證與信任，以此保障整個計算機系統的可信性[2]。

1.3可信計算平臺

可信計算平臺，就是可以向用戶供給可信計算服務的計算機軟件和硬件實體。二十世紀末，國際幾個大型計算機公司，如康柏、惠普、國際商業機器公司、英特爾和微軟領先組建了TCPA，隨后退出了可信平臺模塊TPM，該模塊包括加密和安全存儲功能。目前，國外一些廠商，諸如HP、IBM、Intel都發布了具有TPM功能的PC機[1]。

可信計算平臺是建立在可信計算模塊（TPM）的基礎之上的，以加解密技術作為支撐、安全操作系統為中心[1]。安全的操作系統是可信計算平臺的核心和基礎，只有底層做到完善防護，才能保障計算機應用與交互的安全。

2計算機取證的研究與分析

計算機犯罪，是指隨著計算機與網絡的普及和發展而出現的新的高智商犯罪模式。計算機在相關的犯罪事件中可以飾演3種角色，分別是：Hacker攻擊的目標、犯罪的手段和存儲犯罪數據的介質。在犯罪過程中，不管計算機發揮的是何種作用，計算機以及外部設備里都會遺留大量的和犯罪相關的信息。

計算機電子取證就是通過計算機技術和工具，在計算機外部設備和網絡中，查找與各類犯罪事件相關的信息，本質上就是掃描計算機系統和重新建立犯罪事件的清晰過程。根據取證狀態特征的多樣性，可以把計算機取證列為2類，分別是：靜態取證和動態取證。在此，給出闡釋論述如下。

1）靜態取證。靜態取證，相當于計算機中的法醫學，將計算機視作是一個犯罪現場，運用成熟的技術對計算機開展類似于法醫學中的查驗與測試，對不同計算機存儲介質里存儲的數據進行分析與提取，由此方法得到的數據信息可作為起訴并在法庭上支持使用的決斷證據。

數據恢復、磁盤映像拷貝、數據存儲、數據傳輸和數據分析是目前公安機關主要使用的計算機取證方法。

2）動態取證。動態取證是主動取證，指于安全事件發生前，預先采取一定的防御措施和相關的取證部署，因而能真實記錄整個網絡攻擊過程中的表現行為。其次，計算機動態取證可信度較高的原因就在于一切都將在犯罪嫌疑人不會對證據進行刪除的情況下控制實施的。再次，計算機取證可以獲得來自網絡內、外部的犯罪行為。

但受到當前的取證技術的約束，在取證時往往大部分使用靜態的取證方法，很少使用動態取證。因此，目前在進行計算機取證時，主要工作還是在對計算機內部數據及文件的提取上。因此，能否從計算機中成功提取到與犯罪有關的完整的數據文件則是取證的重點與關鍵。

3可信計算技術對取證的影響

可信計算技術能夠有效地保障信息安全，并且已經大規模地應用于計算機中，典型的有Intel公司開發的LaGrande Technology（LT）芯片、微軟公司的Windows Vista及以上版本的新型可信操作系統以及國內聯想等公司根據TCG1.2規范開發的芯片[3]。接下來，本次研究即以Windows Vista采用的與取證相關的技術BitLocker為例，探討其加密情況，分析該技術給取證帶來的挑戰。

3.1BitLocker的定義

[JP5]BitLocker全稱BitLocker驅動器加密（BitLockerDriveEncryption），[JP]是Windowsvista及以上版本系統自帶的功能強大的磁盤加密程序，能夠更好地保護數據的安全。通過這種新的數據保護機制，用戶無需借助第三方專業工具就能調取掌控磁盤加密操作。BitLocker對全部Windows分區實施加密，為此即便出現計算機遺失，加密的信息也不會泄露出去。所以，BitLocker曾一度被稱作計算機取證技術的“完結者”。endprint

3.2BitLocker中的加密方式

BitLocker使用高級加密標準算法，可以為計算機硬盤上的卷或者整個硬盤的信息提供加密以及認證服務[4]。該功能需要手動開啟，默認使用TPM。BitLocker對系統分區進行加密時，需要將加密密鑰和解密密鑰存放在硬盤之外的獨立設備上。基于獨立設備的不同，BitLocker加密主要有2種模式，分別是TPM模式和USB閃盤模式。具體展開研究解析如下。

1）TPM模式。BitLocker程序通過一個放置于計算機中內部的微芯片來保存加密數據，只有當TPM已檢查啟動文件與啟動組件的狀態后，才能訪問加密的數據。啟動過程中TPM對Windows系統進行檢測，確保系統安裝未被篡改后釋放密鑰，對系統分區設計選擇解密處理，若檢測到系統安裝被篡改，則不會釋放密鑰。

2）USB閃盤模式。如果主板不帶TPM芯片，那就可以使用USB閃盤。把解鎖磁盤必需的密鑰文件存放在USB閃盤中，只有計算機基礎輸入輸出系統支持USB啟動，USB閃盤模式方能加密解鎖系統分區。

3.3BitLocker給計算機取證帶來的影響

若偵測中獲知犯罪嫌疑人使用BitLocker加密的計算機，如果該計算機正在工作并且能夠成功訪問，可以在控制面板找到BitLocker驅動器加密管理密鑰，將其拷貝出來以便下次訪問；或者取消BitLocker加密并解密所有驅動器，此時便可以制作硬盤的完整邏輯映像。然而，如果計算機已經關機或者無法正常訪問，那么BitLocker就會發揮到主要作用，進行全盤的加密，造成數據不可讀，給取證帶來了很大的困難[4]。

近年來，很多公司相繼開發了一些針對BitLocker取證軟件，如美國的Passware公司以及來自德國的研究機構Fraunhofer均聲稱其推出的產品可以成功破解BitLocker密鑰，然而實踐證明還是需要訪問目標計算機的物理內存鏡像來得到密鑰，并不能真正破解。再比如取證中最常用的軟件Encase，需要用該工具加載加密卷，按照相應的提示導入或鍵入恢復密鑰即可解密，前提是必須掌握恢復密鑰或者密碼。基于上述取證工具，將可以發現，目前對BitLocker的解密仍然建立在密鑰可以找回的基礎上，但是對于無法找到恢復密鑰的情況，尚且沒有優良完備的解決辦法。

3.4可信計算環境給取證帶來的影響

BitLocker驅動器加密只是可信計算平臺應用中的一部分，此外還有許多密碼技術與可信計算平臺相結合，其安全性及防御能力逐步提高。比如可信白名單技術，該技術使得密碼產品的內部程序只有在白名單中才能被運行，不在的話將拒絕執行[5]；還有TCM模塊，該模塊與TPM相似，只不過其中結合了密碼卡技術。可信計算技術實現了主動防御，而這一優點恰恰是計算機取證過程中的難題，就是能夠防御偵查人員的“攻擊”，從而不能提取所需的數據文件。

4設計解決方案

目前來說，BitLocker帶來的挑戰在于無法破解該驅動加密，倘若出現惡意使用BitLocker進行加密將無法取證，基于此，研究設計提出如下解決方案：

1）暴力破解。

2）獲取密鑰破解。

3）在原本BitLocker滲透進入安裝程序或病毒內部打開。

4）改變原有的BitLocker，與警用模塊相結合。

根據對BitLocker開發建立的解決方案，可以將該方案推廣到整個可信計算平臺，通過深度剖析可信計算技術為取證研究激發的有利突破契機，本文將從2個角度綜合論述方案的基本設計展現成果。

4.1從取證工具的角度

以Bitlocker為例，使用取證工具對Bitlocker進行成功破解的前提是必須掌握恢復密鑰或者密碼，否則無法真正破解該加密驅動器。這類取證工具還是建立在傳統的非可信環境基礎上的，因此，必須深度探討挖掘可信計算知識原理，并將傳統的取證技術與可信計算相結合，這樣才能設計研發得到適用于可信計算平臺的取證工具。

4.2從可信計算平臺的角度

為了解決可信計算技術研發中的瓶頸難題，有學者提出拓寬可信計算服務，便于在取證過程中獲取更多更有效的信息。原理是：對可信計算平臺上運行的安全服務進行權限劃分設置特定的取證服務[3]。具體擴展的取證服務如下：

1）密鑰恢復。由可信任的第三方保存恢復密鑰，需要進行取證或者是硬件加密故障時，通過第三方獲取恢復密鑰進行解密，該服務對用戶和取證人員都是有益的。

2）取證密封服務。只有取證調查人員才能使用，而用戶則沒有權限訪問的服務。

3）取證密封數據。對于和取證相關的信息，用戶是無法訪問的，僅有取證調查人員才可授予訪問權限。

4）取證認證。當取證調查人員對密封數據進行訪問或者其他操作時，必須展開查驗認證并且記錄相關的操作日志等[6]。

該擴展服務能夠實現有效的控制和管理，給計算機取證帶來很多便利，同時還對在可信計算平臺中增加取證技術有著一定積極重要的指導意義。

5結束語

在可信計算技術讓計算機的防御能力得到強化的同時，也勢必會給計算機取證技術帶來一定的影響。因此，在實踐過程中，應全面掌控可信計算技術的應用特點并結合取證技術進行深入研究，研發出應對該環境的新式取證技術是十分重要的。本文通過論述Windows下的可信計算環境，分析了可信計算給計算機取證帶來的困難，探討得出一些實用主題解決方案，并可為后續研究提供了有益的參考及借鑒。

參考文獻：

[WTBZ][ST6BZ][HT6SS][1] [ZK（#〗

鄧曉軍. 可信計算的研究與發展[J]. 計算機安全，2008（2）：32-34.

[2] 沈昌祥，張煥國，王懷民，等. 可信計算的研究與發展[J]. 中國科學：信息科學，2010，40（2）：139-166.

[3] 李炳龍，王清賢，羅軍勇，等. 可信計算環境中的數字取證[J]. 武漢大學學報（理學版）， 2006，52（5）：523-526.

[4] 麥永浩，史經偉，隆波. Vista操作系統對計算機取證的影響[J]. 警察技術，2012（1）：51-54.

[5] 王泉景. 可信計算在國產商用密碼產品中的應用[J]. 網絡安全技術與應用，2017（1）：40.

[6] 李炳龍，王魯，陳性元. 基于可信計算環境文檔碎片取證獲取模型[C]//河南省計算機學會2008年學術年會. 洛陽：河南省計算機學會，2008：60-64.

[7] 沈昌祥，張煥國，馮登國，等. 信息安全綜述[J]. 中國科學（E輯：信息科學），2007，37（2）：129-150.

[8] 孫國梓，耿偉明，陳丹偉，等. 基于可信概率的電子數據取證有效性模型[J]. 計算機學報，2011，34（7）：1262-1274.endprint