基于區(qū)塊鏈的云存儲(chǔ)數(shù)字取證

（廣東省陽(yáng)江市衛(wèi)生學(xué)校 廣東 529500）

1 引言

存儲(chǔ)技術(shù)的進(jìn)步使得法醫(yī)檢驗(yàn)人員在數(shù)字法醫(yī)過(guò)程中獲取數(shù)據(jù)越來(lái)越困難。數(shù)據(jù)不再由單一云服務(wù)提供商存儲(chǔ):它們現(xiàn)在存儲(chǔ)在不同用戶機(jī)器上跨越大地理區(qū)域的多個(gè)位置。傳統(tǒng)上，數(shù)字取證側(cè)重于從物理可用存儲(chǔ)介質(zhì)中獲取數(shù)據(jù)，如硬盤驅(qū)動(dòng)器、光盤或安全數(shù)字卡。雖然這些媒體最初給法醫(yī)鑒定人員帶來(lái)了挑戰(zhàn)，但今天的從業(yè)者理解了這項(xiàng)技術(shù)及其記錄的文件系統(tǒng)，從而形成了主流的數(shù)字取證過(guò)程和幾個(gè)成熟的工具，這些工具以相當(dāng)可行的方式幫助自動(dòng)化了數(shù)字證據(jù)的獲取、認(rèn)證和分析。如今，云存儲(chǔ)服務(wù)，如谷歌驅(qū)動(dòng)、Dropbox、OneDrive 等，被廣泛采用，發(fā)展仍處于上升趨勢(shì)。雖然由服務(wù)提供商集中管理，但由于各種法律挑戰(zhàn)的限制[1]，調(diào)查人員很難恢復(fù)數(shù)據(jù)，需要向托管信息的云存儲(chǔ)服務(wù)發(fā)出授權(quán)，這些信息包含數(shù)千甚至數(shù)百萬(wàn)位機(jī)密用戶數(shù)據(jù)[2]。為了應(yīng)對(duì)這一挑戰(zhàn)，從業(yè)者和研究人員采用了由云存儲(chǔ)服務(wù)提供商實(shí)施的應(yīng)用編程接口，允許通過(guò)互聯(lián)網(wǎng)從這些服務(wù)中恢復(fù)文件和元數(shù)據(jù)，假設(shè)調(diào)查方已經(jīng)認(rèn)證了對(duì)云存儲(chǔ)服務(wù)的合法訪問(wèn)。

2 云存儲(chǔ)取證

2.1 云存儲(chǔ)取證:OwnCloud 案例研究

研究人員識(shí)別了公有云存儲(chǔ)服務(wù)(StaaS)軟件包ownCloud 創(chuàng)建的構(gòu)件。這種免費(fèi)的云服務(wù)在學(xué)術(shù)機(jī)構(gòu)中很流行，可以在多種桌面和移動(dòng)平臺(tái)上實(shí)現(xiàn)，對(duì)ownCloud StaaS 實(shí)例的取證分析提出了技術(shù)建議。發(fā)現(xiàn)了ownCloud 的客戶端構(gòu)件，如同步和文件管理元數(shù)據(jù)、緩存文件、云服務(wù)和認(rèn)證數(shù)據(jù)、加密元數(shù)據(jù)、瀏覽器構(gòu)件、移動(dòng)客戶端構(gòu)件和網(wǎng)絡(luò)分析。在服務(wù)器端，他們還發(fā)現(xiàn)了諸如管理和文件管理元數(shù)據(jù)、存儲(chǔ)文件、加密元數(shù)據(jù)、云日志記錄和身份驗(yàn)證數(shù)據(jù)等構(gòu)件。雖然這些研究對(duì)于進(jìn)一步推進(jìn)數(shù)字取證知識(shí)體系非常重要，但開發(fā)工具以幫助從云獲取數(shù)字證據(jù)對(duì)從業(yè)者來(lái)說(shuō)是至關(guān)重要的。

2.2 云取證：工具開發(fā)研究和未來(lái)展望

解決了先前云存儲(chǔ)取證研究(主要在客戶端進(jìn)行)中發(fā)現(xiàn)的挑戰(zhàn)。盡管如此，基于網(wǎng)絡(luò)的狀態(tài)評(píng)估應(yīng)用程序?qū)τ诂F(xiàn)有的取證工具來(lái)說(shuō)是一個(gè)特別困難的測(cè)試，這些工具幾乎只關(guān)注以客戶為中心的調(diào)查，并將本地存儲(chǔ)作為主要的證據(jù)來(lái)源。鑒于狀態(tài)評(píng)估的性質(zhì)，存在一個(gè)問(wèn)題，因?yàn)榉ㄡt(yī)調(diào)查人員可能會(huì)遺漏存儲(chǔ)在云服務(wù)上的關(guān)鍵證據(jù)。這些研究人員提供了一個(gè)基于應(yīng)用編程接口的工具kumodd，是為從谷歌驅(qū)動(dòng)、微軟OneDrive、Dropbox 和box 獲取數(shù)據(jù)而創(chuàng)建的。該工具可以為調(diào)查人員提供存儲(chǔ)在云驅(qū)動(dòng)器上的文件列表，一旦調(diào)查人員能夠確定潛在的證據(jù)文件，這些文件可以以合法的方式下載，用于進(jìn)一步分析。

3 STORJ 與區(qū)塊鏈

STORJ 是一個(gè)實(shí)現(xiàn)端到端加密的P2P 云存儲(chǔ)網(wǎng)絡(luò)[3]，允許用戶在不依賴第三方提供的情況下傳輸和共享數(shù)據(jù)，比如谷歌驅(qū)動(dòng)器。人們可能會(huì)認(rèn)為STORJ 系統(tǒng)是“存儲(chǔ)的Airbnb”，用戶在網(wǎng)絡(luò)上向其他用戶租用未使用的驅(qū)動(dòng)器空間。它是一個(gè)開源項(xiàng)目，它設(shè)計(jì)的是使用Satoshi-style 區(qū)塊鏈來(lái)創(chuàng)建分布式云存儲(chǔ)，通常使用在密碼貨幣中。由于區(qū)塊鏈和STORJ 是相對(duì)較新的，很少有研究來(lái)確定在用戶系統(tǒng)上留下的法醫(yī)制品。在比特幣調(diào)查中[4]，數(shù)字法醫(yī)審查員必須識(shí)別客戶端工件和恢復(fù)數(shù)據(jù)的方法。區(qū)塊鏈分布式存儲(chǔ)與傳統(tǒng)的云存儲(chǔ)服務(wù)不同，因?yàn)樗昧薙TORJ 網(wǎng)絡(luò)上其他用戶的磁盤空間。該文件沒(méi)有被上傳到中心云存儲(chǔ)提供的文件，而是將其劃分為更小的片段，稱為shards，它被發(fā)送到多個(gè)計(jì)算機(jī)上。

Kademlia 是一個(gè)分布式哈希表（DHT），用于分散的P2P 計(jì)算機(jī)網(wǎng)絡(luò)。它允許用戶通過(guò)每個(gè)節(jié)點(diǎn)特有的一系列列表，向網(wǎng)絡(luò)上的多臺(tái)計(jì)算機(jī)(也稱為節(jié)點(diǎn))快速上傳文件或從這些計(jì)算機(jī)下載文件。每個(gè)節(jié)點(diǎn)都有自己的ID 和網(wǎng)絡(luò)上其他節(jié)點(diǎn)的列表。節(jié)點(diǎn)ID 不僅用于標(biāo)識(shí)，Kademlia 算法也使用節(jié)點(diǎn)ID 來(lái)定位值(通常是文件散列或關(guān)鍵字)，節(jié)點(diǎn)ID 提供了一個(gè)到文件散列的直接映射，并存儲(chǔ)了關(guān)于在哪里可以獲得文件或資源的信息。

區(qū)塊鏈?zhǔn)且豁?xiàng)相對(duì)較新的技術(shù)，它是一個(gè)公共賬本，用于跟蹤比特幣和萊特幣等數(shù)字貨幣的交易。它的強(qiáng)大之處不僅在于它的高度加密，而且在于它在計(jì)算機(jī)鏈上的分布，這使得攻擊它變得更加困難(攻擊成本昂貴)，每次使用其中一種貨幣進(jìn)行交易時(shí)，一組確認(rèn)交易已發(fā)生的數(shù)據(jù)就會(huì)保存在區(qū)塊鏈中。多個(gè)事務(wù)組成一個(gè)塊，該塊按時(shí)間順序保存到一系列其他塊中，創(chuàng)建了一個(gè)區(qū)塊鏈。事務(wù)中的數(shù)據(jù)包括文件哈希、分片副本的網(wǎng)絡(luò)位置和Merkle 根，這是網(wǎng)絡(luò)可以在文件位置和完整性上達(dá)成共識(shí)的地方，每次需要協(xié)商時(shí)，都會(huì)在整個(gè)網(wǎng)絡(luò)中廣播消息，并由網(wǎng)絡(luò)上的節(jié)點(diǎn)進(jìn)行驗(yàn)證。

鑒于大多數(shù)聯(lián)網(wǎng)計(jì)算機(jī)都有未使用的硬盤空間，用戶可能會(huì)在網(wǎng)絡(luò)上出售這些多余的磁盤空間。這個(gè)平臺(tái)上的文件將通過(guò)哈希來(lái)處理，如果STORJ 上仍有該文件的一份副本，網(wǎng)絡(luò)上的數(shù)據(jù)將能夠抵抗審查、篡改和數(shù)據(jù)故障。首先，使用SHA256-CTR 加密一個(gè)文件。然后將其分割成更小的標(biāo)準(zhǔn)化字節(jié)倍數(shù)(8 或32MB)，以匿名化文件。文件大小或多個(gè)較小的文件組合在一起形成一個(gè)shard(加密的原始文件的一小部分)，并填充任何額外的空間，每個(gè)shard 然后被散列并傳輸?shù)骄W(wǎng)絡(luò)，流程描述圖如圖1 所示。

圖1 文件處理流程圖

在傳輸?shù)絊TORJ 網(wǎng)絡(luò)之前，必須首先在STORJ 客戶和盡可能多的STORJ 生產(chǎn)商之間達(dá)成協(xié)議，取決于所需的文件大小和冗余，該協(xié)議還將取決于生產(chǎn)商提供的倉(cāng)儲(chǔ)服務(wù)的質(zhì)量。隨著存儲(chǔ)技術(shù)的進(jìn)步，對(duì)數(shù)據(jù)恢復(fù)的方法進(jìn)行了研究和應(yīng)用，獲取物理驅(qū)動(dòng)器仍然是必要的，但是對(duì)設(shè)備的分析提供了很高程度的確定性，即在設(shè)備上發(fā)現(xiàn)的證據(jù)是真實(shí)的。從高層次的角度來(lái)看，仍然是在處理計(jì)算機(jī)和磁盤驅(qū)動(dòng)器，但是，深入研究技術(shù)細(xì)節(jié)時(shí)，必須考慮STORJ 的復(fù)雜性和可伸縮性。在這種情況下，數(shù)字取證不再簡(jiǎn)單地從磁盤驅(qū)動(dòng)器獲取圖像，而是需要利用應(yīng)用編程接口來(lái)恢復(fù)數(shù)據(jù)。使用STORJ，需要考慮多個(gè)方面來(lái)進(jìn)行完整的法醫(yī)檢查。

為了允許STORJ 網(wǎng)絡(luò)上的其他用戶使用機(jī)器的存儲(chǔ)，必須首先下載STORJ 共享，這是一個(gè)為Windows 設(shè)計(jì)的應(yīng)用程序，允許用戶分配磁盤空間用于租賃，還必須創(chuàng)建一個(gè)比特幣地址來(lái)接收STORJCoin (STORJ 的數(shù)字貨幣)。一旦配置好這兩個(gè)項(xiàng)目，機(jī)器就會(huì)運(yùn)行一個(gè)多月，允許STORJ 用戶將他們的碎片上傳到機(jī)器上。在這個(gè)過(guò)程中，分析了另一個(gè)STORJ 應(yīng)用程序，它允許用戶與他們的帳戶進(jìn)行交互。STORJ 網(wǎng)站不允許用戶直接操作文件，這通常在Google Drive、Dropbox 等中實(shí)現(xiàn)。這需要在Windows 上下載幾個(gè)工具，即Bash for Windows、npm、Node.js，完成后，可以通過(guò)私有/公共橢圓曲線數(shù)字簽名算法密鑰連接到在STORJ 網(wǎng)絡(luò)上的帳戶。設(shè)置完成后，開始恢復(fù)所有相關(guān)和有趣的工件。確認(rèn)是否可以從指定的磁盤存儲(chǔ)空間中直接讀取任何碎shard，看到的第一份文件是.ldb 文件，包含客戶端機(jī)器和另一個(gè)要上傳文件的STORJ 用戶之間的事務(wù)。經(jīng)過(guò)分析，沒(méi)有數(shù)據(jù)指出shard 可能來(lái)自的文件類型。從交易中，可以識(shí)別十六進(jìn)制合同號(hào)、ID、簽名、付款目的地以及其他幾個(gè)在法醫(yī)調(diào)查中可能有一定意義的項(xiàng)目。

4 總結(jié)與展望

基于區(qū)塊鏈的分布式存儲(chǔ)取證面臨許多挑戰(zhàn)，其中之一是恢復(fù)對(duì)起訴有用的文件和元數(shù)據(jù)，必須應(yīng)對(duì)這一挑戰(zhàn)，因?yàn)椴荒鼙ＷC此類數(shù)據(jù)可以在嫌疑人的本地存儲(chǔ)上恢復(fù)。鑒于STORJ 是一種新的服務(wù)，需要一種明確的調(diào)查方法來(lái)幫助審查員在不損害案件結(jié)果的情況下對(duì)證據(jù)進(jìn)行法醫(yī)重建。這意味著在STORJ 網(wǎng)絡(luò)上從客戶端機(jī)器和客戶那里恢復(fù)證據(jù)和文物的合理方法的構(gòu)建是一個(gè)迫切的研究領(lǐng)域。到目前為止，還沒(méi)有任何工作能夠識(shí)別這個(gè)服務(wù)產(chǎn)生的所有工件。最后，提出了一個(gè)應(yīng)用研究方向，它提供了一個(gè)與STORJ 的API 接口的工具，并且可以恢復(fù)對(duì)案例潛在至關(guān)重要的元數(shù)據(jù)和文件。