在数字取证中使用 MD5 和 SHA1 哈希算法的重要性

内容

什么是哈希？
什么是哈希算法？
MD5 和 SHA1 散列算法

概括：数字取证专业人员使用散列算法（例如 MD5 和 SHA1）来生成他们在调查中使用的原始文件的散列值。这确保了信息在调查期间不会被更改，因为数据分析和证据收集中涉及的各种工具和技术可能会影响数据的完整性。散列值很重要的另一个原因是电子文档在调查期间与法律专业人士和其他各方共享。因此，确保每个人都拥有相同的文件副本至关重要。恒星电子邮件取证是最先进的软件，可自动计算与邮箱数据中的电子邮件对应的哈希值。

免费试用 60 天

什么是哈希？

散列是一种编程技术，其中将一串字符（例如文本消息）转换为较小的固定大小的值，也称为散列值。这个散列值始终是唯一的，并且具有固定的长度，代表原始字符串。但是，哈希值不能用于恢复原始消息。这确保了共享消息时的隐私和安全。

哈希通常用于索引和访问数据库中的项目，因为查找项目的较短哈希值比直接查找原始数据更快。然而，在数字取证中，哈希值是在哈希算法的帮助下计算的，以确保电子发现的完整性。

什么是哈希算法？

哈希中使用的算法称为哈希函数. 此函数返回的值称为散列值. 哈希值是一种快速、可靠且计算效率高的方法，用于比较法医调查中的文件内容。每种哈希算法都使用特定数量的数字来存储文件内容的唯一“指纹”或“数字指纹”。正如指纹被认为是一种独特的生物识别方式一样，哈希函数生成的哈希值提供了法医调查内容的独特特征。可以为单个文件、一组文件甚至整个磁盘空间提取唯一的哈希值。这是电子发现和取证调查中重复数据删除和经验证据验证的关键过程。以下是散列函数的一些特征：

哈希函数是复杂的单向函数，这意味着您无法通过反转哈希过程来从哈希值中提取原始数据。给定一个散列值，逆向工程是不可能的。
哈希值大小是永久固定的，与输入数据大小无关。
两个不同的输入文件不能产生相同的散列值。
哈希值不依赖于文件名。即使文件名不同，内容相同，也会产生这些文件对应的相同哈希值。
不同的哈希函数会在各个文件中对应相同的内容产生不同的哈希值。
一些散列函数比其他的更安全。例如，MD5 哈希算法可以用相当多的计算能力来破解。因此，可以创建两个具有不同内容的不同文件来产生相同的 MD5 哈希值。这种情况称为散列冲突.

图 1：哈希算法的工作原理

数学上，哈希函数吨也称为转换函数，采用可变大小的输入X并返回一个固定大小的字符串，称为哈希值是. 这里，y=T(x)

哈希函数的基本特征如下：

输入字符串X可以是任何长度。
输出字符串是有一个固定的长度。
对于任何给定的X,T(x)很容易计算，给定数学步骤。
T(x)是一种单向函数并且是无碰撞的。

无碰撞哈希函数可以分为两类：强无碰撞哈希函数和弱无碰撞哈希函数。

强大的无碰撞哈希函数吨是一个，其中，找到两条消息在计算上是不可行的A和b，在哪里T(a)=T(b). 给定一个弱的无碰撞哈希函数，在计算上很难找到一条消息A不等于b, 这样T(a)= T(b).

MD5 和 SHA1 散列算法

MD5 和 SHA1 是当今数字取证专业人员使用的两种最流行的哈希算法。

MD5: MD5 或 Message-Digest algorithm 5 是由 Ron Rivest 创建的一种哈希算法，用于替代以前的哈希算法 MD4。 MD5 是原始散列算法 MD 的第五个也是最新版本，它创建 128 位的散列值。

SHA1：SHA1 或安全哈希算法 1 是另一种流行的哈希算法，它仿照 MD5。它比 MD5 更强大，可以产生 160 位的散列值。

以下是 MD5 和 SHA1 哈希算法之间的主要区别：

区分因素	MD5	SHA1
哈希值的长度	128位	160位
安全级别	缓和	高的
速度	快速地	慢的
算法复杂度	简单的	复杂的

让我们以在 MD5 哈希算法中输入的示例字符串为例，并获取其哈希值：

字符串输入：山姆在吃苹果

哈希值：387f51d0ccbab6be677275c9933c250e

现在，让我们只修改一个字符的字符串：

字符串输入：山姆在吃苹果秒

哈希值：c77426fb082c588cfe5583f7eee73309

您可以看到，仅向输入字符串附加一个字符会更改整个哈希值。这证明了哈希函数的安全系数。

使用 MD5 和 SHA1 散列算法是数字取证的标准做法。这些算法允许法医调查人员从他们获得数字证据的那一刻起保存数字证据，直到它在法庭上出示为止。有许多可用的电子邮件取证和电子数据展示软件。 Stellar Email Forensic 就是这样一种软件，它允许在刑事调查期间进行广泛而轻松的案件管理。该软件的高级功能之一是删除的电子邮件恢复。