摘要:可信计算将对数字取证有着深刻的意义。本文首先介绍了可信环境的安全特性,并分析了其有利于取证的特点和不足,提出一个扩展的可信计算取证模型,应用可信计算技术和分布式技术扩展了可信计算取证服务功能。
一、引言
数字取证和可信计算技术都是信息安全领域重要内容。数字取证是相对较新的学科,指的是采用科学上推导及证明的方法,对来自数字源的数字证据进行保护、收集、验证、识别、分析、解释、归档以及出示。经过这些年的发展,已经在理论和实践上取得了不少的成绩。但随着计算机与网络技术的迅速发展,计算机取证还必须应对新的挑战。可信计算技术则为一类解决计算机安全问题的计算,是对多类传统计算的综合。近年来,可信计算技术研究取得了较大发展,相关技术的产品化日益加快,如Intel正在开发LaGrande Technology(LT)芯片、Microsoft发布Windows Vista新型可信操作系统以及国内联想等公司于06年根据TCG1.2规范开发出新型芯片等。然而,可信技术是一把双刃剑。基于可信技术的硬件和软件的研究及其大规模的应用,必将带来新的安全问题,如利用可信计算技术从事数字犯罪等。因此研究可信计算环境中的数字取证技术具有重要的现实意义。
二、可信计算对数字取证的影响
1.可信计算技术概述
可信计算之所以能够引起重视,根本原因在于计算环境中日益复杂的安全威胁,无论从构架还是从强度上来看,传统的安全保护方法已经鞭长莫及。目前业内的安全解决方案往往侧重于先防外后防内、先防服务设施后防终端设施,而可信计算则反其道而行之,首先保证所有终端的安全性,即通过确保安全的组件来构建更大的安全系统。可信计算平台是在更底层进行更高级别的防护,通过可信赖的硬件对软件层次的攻击进行保护,这样可以使用户获得更强的保护能力和选择空间。而传统的安全保护基本是以软件为基础附以密码技术,事实证明这种保护并不是非常可靠而且存在着被篡改的可能性。可信计算平台将加密、解密、认证等基本的安全功能写入硬件芯片,并确保芯片中的信息不能在外部通过软件随意获取。在这种情况下除非将硬件芯片从系统中移除,否则理论上是无法突破这层防护的,这也是构建可信的计算机设备以及建立可信的计算机通信的基础。在硬件层执行保护的另外一个优势是能够获得独立于软件环境的安全保护,这使得可以设计出具有更高安全限制能力的硬件系统。通过系统硬件执行相对基础和底层的安全功能,能阻止一些软件层的非法访问和恶意操作,同时这也为生产更安全的软件系统提供了支持。
综合来看,可信计算平台的应用可以为建设安全体系提供更加完善的底层基础设施,并为需要高安全级别的用户提供更强有力的解决方案。然而,“没有绝对的安全”这一定律并不会因为可信计算平台的普及而失效,尽管无论从理念还是实效上来说可信计算平台都有所创新,但是可信计算并不能解决所有的安全问题。可信计算环境必将创造新型的数字犯罪,并且在可信计算环境中进行取证调查也将给司法机构带来巨大的挑战。因此,将可信计算技术和数字取证技术进行结合是解决数字犯罪的较好方法。
2.可信计算技术的取证特性
可信计算平台具有一些必需的特性,它们是:保护能力(Protected Capabilities)、证明(Attestation)、完整性度量存储和报告(Integrity Measurement, Storage and Reporting)。以及建立可信链(Chain of Trust)的可信根,它们是:度量可信根(Root of trust for measurement, RTM)、存储可信根(root of trust for storage,RTS)和报告可信根(root of trust for reporting, RTR)。
这些特征提供可信计算服务。但是不能直接应用于数字取证技术。需要扩展可信计算服务,以更好地支持可信计算平台的数字取证。
为此,提出了一种可信计算取证服务扩展方法,其原理是:将可信计算平台上运行的安全服务进行权限划分,设置特定的取证服务。同时结合分布式技术(如网格技术或者P2P网络技术等),在可信计算环境中提供一种分布式取证服务。这样,可以从不同的基于可信计算技术的设备,比如日志文件记录设备、防火墙、入侵检测系统、抗病毒系统等,获取取证数据。扩展的取证服务如下:
(1)密钥恢复 即由可信第三方提供该功能,用于在数字调查或者其它情况(比如加密硬件故障)从可信第三方获取密钥。该功能无论对于用户还是取证人员来说,都至关重要。
(2)取证密封服务 可信计算平台用户不能访问该服务。该服务仅限取证调查人员访问。
(3)取证密封数据 可信平台用于无权访问未加密的程序或未加密的数据。只有取证调查人员或授权服务有权访问这些数据或程序。
(4)取证认证 当授权服务或取证调查人员访问或者改变密封数据时,必须进行认证,并记录相关的操作日志等。
(5)分布式取证服务 分布式取证服务是指在可信计算环境中能够从多个可信计算平台上进行数字取证调查,比如实时获取数据等。这项服务必须同分布式技术结合才能达到分布式取证的目的。
三、可信环境下的数字取证模型
为了在可信计算环境中进行取证分析,必须考虑利用可信计算有益于取证的特性,并结合传统数字取证模型,其目的在于能够进行可信计算环境中的数字取证调查。我们提出的模型如图1所示。
该模型包含的分析活动主要有:意识、授权、计划、识别、收集、分析以及证据出示。对应每个活动所产生的结果,可以参考图1。此外在收集活动中,必须利用扩展可信计算服务才能完成这个活动的功能。还有就是在分析活动中,除了具备传统的分析方法之外,尤其增加了取证日志分析、文件系统分析以及加密特性分析。其原因在于:该模型利用了可信计算技术在这些取证方面的优点。
四、可信计算取证模型的特点
可信计算环境中的数字取证不同于传统数字取证调查,扩展可信计算取证模型同时具备了传统的数字取证模型和可信计算技术的特点。具体如下:
1. 数据获取能力
数据获取是数字取证过程中进行取证分析的第一个环节。但是在基于可信技术的环境中进行数字调查时,可信计算技术,如安全I/0、保护内存(Curtained Memory)和密封存储(Sealed Storage)等,可能阻止或者破坏从存储介质中获取数据。因此,在可信计算环境中,可信计算扩展数字取证模型的数据获取能力成为衡量该模型的一个重要指标。我们在该模型中采用的方法是:通过扩展的可信计算服务,如取证密封数据服务等,结合传统中的数据获取技术来获取要分析的数据。
2. 加密信息分析能力
可信平台的加密特性使用户能够有效使用密码技术来隐藏文件并且能够阻止其他人访问这些文件。在可信平台上存在大量的加密信息。这些信息同传统的数字调查的信息不同。那么在该模型中,采用的方法是通过密钥恢复服务分析这些信息。此外,密钥恢复服务也是解决加密硬件故障情况下可信计算平台信息取证的方法。
3. 有害代码检测能力
有害代码检测在传统的数字取证中成为一个取证难点。但是在可信计算环境中,该模型利用完整性度量存储和报告特征使得检测有害代码变得容易。在TCG的体系中,所有模块(软件和硬件)都被纳入保护范围内,假如有任何模块被恶意感染,它的摘要值必然会发生改变。因此取证人员就可以知道它出现了问题,即是否感染了病毒、是否有木马、是否使用盗版软件等。通过这种方式,数字调查人员就能够来检测软件损害以及系统内的恶意代码等。
4. 日志记录取证能力
在基于可信计算技术的系统中,取证日志记录对于取证调查来说是及其重要的。因为取证日志记录含有大量系统和用户操作等信息。不仅很多系统数据存在防篡改日志中,而且之前越界的数据也将定时需要签名、封存,并且与可行计算环境中的相应用户进行绑定。每次当有人要操作可信计算的系统时,用户要联系一个数字对象,该数字对象成为一个唯一的指纹并被创建。假如出现数字事件,那么数字取证调查人员将能够依赖认证过程中的数字签名和事件戳来确证证据并判断嫌疑人。这些日志信息能够把用户同行为联系在一起,因此增加了证据在法庭上被接受的可能性。
5. 分布式取证能力
分布式取证能力可以通过分布式取证服务获得。调查人员使用这种能力能够从多个可信计算平台上进行数字取证调查,比如实时获取数据等。
五、结语
本文探讨了可信计算的特性,并提出了一个扩展可信计算取证模型。通过对该模型的取证能力比较和评价可知,该模型有较强的取证能力,并能有效进行可信计算环境中的数字取证。同其它的数字取证模型相比,该模型不仅适合可信计算环境中的数字调查,而且可以适合非可信计算环境中的数字取证。
来源:中国可信计算网
作者:李炳龙 刘 镔 王清贤 来源:中国信息安全产品测评认证中心
