January 12
Il software di crittografia rimescola dati utili in bit apparentemente casuali per evitare intercettazioni. Quando viene utilizzato all'interno di un sistema chiuso, non ci possono non essere tutte le caratteristiche che identificano dei dati crittografati per consentire a terzi di determinare il tipo di software di crittografia utilizzato per rimescolare i dati. Tuttavia, la maggior parte commerciali e open-source software di crittografia di file o soluzioni di posta elettronica crittografati lasciano impronte digitali o le intestazioni che identificano gli algoritmi di crittografia utilizzate, per la compatibilità con gli altri programmi di crittografia. Il software di crittografia, anche i programmi con nomi o documentazione non descrittivi, che risiedono sul sistema di destinazione può anche fornire indizi circa l'identità del software di crittografia.
1 Ottenere un campione di dati, file o e-mail criptata. Se è possibile, cercare i file su un disco rigido con dati casuali o apertamente crittografati, utilizzando strumenti come Autopsy Forensic Toolkit o altri rivelatori tipi di file content-based. Ricerca di dati crittografati stenograficamente - dati nascosti all'interno di altri file apparentemente innocui, come ad esempio le immagini. Assicurarsi di eseguire la scansione l'intera unità (compreso lo spazio libero), come gli hacker possono tentare di nascondere i dati nelle sezioni non allocati sul disco rigido.
2 Determinare il tipo di dati crittografati che avete. Se i dati risiede in un file, esaminare l'estensione del file o al contenuto del file per le informazioni di intestazione in chiaro. Molto probabilmente, qualsiasi ZIP criptato, i file PDF di Microsoft Office o conterrà le intestazioni in chiaro indica che il file è crittografato con un certo algoritmo. Fare attenzione a non fare troppo affidamento sul l'estensione del file, in quanto gli utenti intelligenti cercheranno di offuscare il tipo di file vero assegnando un file con estensione falso o rimuovere completamente l'estensione.
3 Se avete a che fare con una e-mail criptata, la ricerca attraverso le intestazioni dei messaggi prima di verificare se il file è crittografato con S / MIME o PGP (le due forme più comuni di crittografia e-mail). Tutte le forme di e-mail in modo nativo crittografato conterranno informazioni di intestazione per consentire al destinatario per decodificare l'e-mail con l'algoritmo corretto. Il blocco dati e-mail può anche contenere informazioni su l'algoritmo utilizzato, in formato testo.
4 Guardate sul sistema operativo di indizi su ciò che sono installati programmi di crittografia. Per comodità, la maggior parte delle parti che utilizzano la crittografia non andare alla difficoltà di rimozione di software di crittografia da un computer dopo ogni uso. Se solo uno o due tipi sono installati nel sistema, può essere ragionevole supporre che uno di questi programmi è stata usata per cifrare i dati di destinazione. Se è installato una parte sconosciuta di software, sviluppatori di computer potrebbero non essere in grado di decodificare il codice per determinare il tipo di algoritmo di crittografia, anche se questo processo può richiedere molto tempo. Molti pacchetti di crittografia in grado di "cascata" algoritmi di crittografia, utilizzando fino a tre o quattro diversi algoritmi di cifratura prima di emettere dati crittografati.