张君贤++燕雨薇

摘要： 可信计算技术是目前信息安全领域一项较新的技术，用于保护数据的可靠性和安全性。可信计算技术的应用，在为网络安全提供了基本保障的同时，却给计算机取证带来了困难。介绍了可信计算的背景和计算机取证的概念，分析了可信计算对计算机取证的影响，最后以Windows操作下的可信计算环境为例，分析了可信环境的构建技术对取证带來的挑战，提出了相应的研究方法和思路。

关键词： 可信计算； 计算机取证； BitLocke

中图分类号：TP309

文献标志码：A

文章编号：2095-2163（2017）04-0064-03

0引言

随着信息时代的飞速发展，为有效保障信息安全、研究预防网络犯罪，可信计算和计算机取证已然成为目前计算机领域的重点研究方向。一方面，计算机取证技术的背景环境呈现出迅捷、广阔的变化态势，为应对不同的环境，取证技术的研究需要不断深入。另一方面迄今为止，可信计算技术取得了长足的发展，然而在其保障了信息安全的同时，却也制造了许多安全隐患。基于此，对可信计算环境下的计算机取证进行研究即已具备了现实迫切性与必要性，本文将以Windows Vista中采用的BitLocker为例，探讨分析可信计算环境为取证带来的难题，并研究给出实际解决方案。

1可信计算的概念

1.1可信计算的背景

安德森上世纪提出可信系统（Trusted System）的概念，随后提出可信计算机系统评估标准，同时规范论述了保密性、完整性、可用性三个属性，这是信息安全的重要属性。二十一世纪初，系统地建立了可信计算的平台规范以及系统体系[1]。

1.2可信计算的基本思想

可信计算是在网络安全遭遇威胁的情况下，想要通过建立一种特定的度量机制来使得计算具备关于可信与不可信的分辨能力，从而使计算机的安全问题得到优质处理与解决。

可信计算的基本思想是：

1）首先在计算机中创建一个信任根，信任根依托于物理条件，以硬件为基础，再通过软件加以协调和管理，从而使计算机更加安全，信任根的可信性依赖于3个方面：物理安全、技术安全与管理安全。

2）再依照信任根，逐级向下寻找可信节点，以此形成信任链，即信任根——硬件平台——操作系统——应用，并将此类信任机制应用到整个计算机系统中去，通过逐级的测量认证与信任，以此保障整个计算机系统的可信性[2]。

1.3可信计算平台

可信计算平台，就是可以向用户供给可信计算服务的计算机软件和硬件实体。二十世纪末，国际几个大型计算机公司，如康柏、惠普、国际商业机器公司、英特尔和微软领先组建了TCPA，随后退出了可信平台模块TPM，该模块包括加密和安全存储功能。目前，国外一些厂商，诸如HP、IBM、Intel都发布了具有TPM功能的PC机[1]。

可信计算平台是建立在可信计算模块（TPM）的基础之上的，以加解密技术作为支撑、安全操作系统为中心[1]。安全的操作系统是可信计算平台的核心和基础，只有底层做到完善防护，才能保障计算机应用与交互的安全。

2计算机取证的研究与分析

计算机犯罪，是指随着计算机与网络的普及和发展而出现的新的高智商犯罪模式。计算机在相关的犯罪事件中可以饰演3种角色，分别是：Hacker攻击的目标、犯罪的手段和存储犯罪数据的介质。在犯罪过程中，不管计算机发挥的是何种作用，计算机以及外部设备里都会遗留大量的和犯罪相关的信息。

计算机电子取证就是通过计算机技术和工具，在计算机外部设备和网络中，查找与各类犯罪事件相关的信息，本质上就是扫描计算机系统和重新建立犯罪事件的清晰过程。根据取证状态特征的多样性，可以把计算机取证列为2类，分别是：静态取证和动态取证。在此，给出阐释论述如下。

1）静态取证。静态取证，相当于计算机中的法医学，将计算机视作是一个犯罪现场，运用成熟的技术对计算机开展类似于法医学中的查验与测试，对不同计算机存储介质里存储的数据进行分析与提取，由此方法得到的数据信息可作为起诉并在法庭上支持使用的决断证据。

数据恢复、磁盘映像拷贝、数据存储、数据传输和数据分析是目前公安机关主要使用的计算机取证方法。

2）动态取证。动态取证是主动取证，指于安全事件发生前，预先采取一定的防御措施和相关的取证部署，因而能真实记录整个网络攻击过程中的表现行为。其次，计算机动态取证可信度较高的原因就在于一切都将在犯罪嫌疑人不会对证据进行删除的情况下控制实施的。再次，计算机取证可以获得来自网络内、外部的犯罪行为。

但受到当前的取证技术的约束，在取证时往往大部分使用静态的取证方法，很少使用动态取证。因此，目前在进行计算机取证时，主要工作还是在对计算机内部数据及文件的提取上。因此，能否从计算机中成功提取到与犯罪有关的完整的数据文件则是取证的重点与关键。

3可信计算技术对取证的影响

可信计算技术能够有效地保障信息安全，并且已经大规模地应用于计算机中，典型的有Intel公司开发的LaGrande Technology（LT）芯片、微软公司的Windows Vista及以上版本的新型可信操作系统以及国内联想等公司根据TCG1.2规范开发的芯片[3]。接下来，本次研究即以Windows Vista采用的与取证相关的技术BitLocker为例，探讨其加密情况，分析该技术给取证带来的挑战。

3.1BitLocker的定义

[JP5]BitLocker全称BitLocker驱动器加密（BitLockerDriveEncryption），[JP]是Windowsvista及以上版本系统自带的功能强大的磁盘加密程序，能够更好地保护数据的安全。通过这种新的数据保护机制，用户无需借助第三方专业工具就能调取掌控磁盘加密操作。BitLocker对全部Windows分区实施加密，为此即便出现计算机遗失，加密的信息也不会泄露出去。所以，BitLocker曾一度被称作计算机取证技术的“完结者”。endprint

3.2BitLocker中的加密方式

BitLocker使用高级加密标准算法，可以为计算机硬盘上的卷或者整个硬盘的信息提供加密以及认证服务[4]。该功能需要手动开启，默认使用TPM。BitLocker对系统分区进行加密时，需要将加密密钥和解密密钥存放在硬盘之外的独立设备上。基于独立设备的不同，BitLocker加密主要有2种模式，分别是TPM模式和USB閃盘模式。具体展开研究解析如下。

1）TPM模式。BitLocker程序通过一个放置于计算机中内部的微芯片来保存加密数据，只有当TPM已检查启动文件与启动组件的状态后，才能访问加密的数据。启动过程中TPM对Windows系统进行检测，确保系统安装未被篡改后释放密钥，对系统分区设计选择解密处理，若检测到系统安装被篡改，则不会释放密钥。

2）USB闪盘模式。如果主板不带TPM芯片，那就可以使用USB闪盘。把解锁磁盘必需的密钥文件存放在USB闪盘中，只有计算机基础输入输出系统支持USB启动，USB闪盘模式方能加密解锁系统分区。

3.3BitLocker给计算机取证带来的影响

若侦测中获知犯罪嫌疑人使用BitLocker加密的计算机，如果该计算机正在工作并且能够成功访问，可以在控制面板找到BitLocker驱动器加密管理密钥，将其拷贝出来以便下次访问；或者取消BitLocker加密并解密所有驱动器，此时便可以制作硬盘的完整逻辑映像。然而，如果计算机已经关机或者无法正常访问，那么BitLocker就会发挥到主要作用，进行全盘的加密，造成数据不可读，给取证带来了很大的困难[4]。

近年来，很多公司相继开发了一些针对BitLocker取证软件，如美国的Passware公司以及来自德国的研究机构Fraunhofer均声称其推出的产品可以成功破解BitLocker密钥，然而实践证明还是需要访问目标计算机的物理内存镜像来得到密钥，并不能真正破解。再比如取证中最常用的软件Encase，需要用该工具加载加密卷，按照相应的提示导入或键入恢复密钥即可解密，前提是必须掌握恢复密钥或者密码。基于上述取证工具，将可以发现，目前对BitLocker的解密仍然建立在密钥可以找回的基础上，但是对于无法找到恢复密钥的情况，尚且没有优良完备的解决办法。

3.4可信计算环境给取证带来的影响

BitLocker驱动器加密只是可信计算平台应用中的一部分，此外还有许多密码技术与可信计算平台相结合，其安全性及防御能力逐步提高。比如可信白名单技术，该技术使得密码产品的内部程序只有在白名单中才能被运行，不在的话将拒绝执行[5]；还有TCM模块，该模块与TPM相似，只不过其中结合了密码卡技术。可信计算技术实现了主动防御，而这一优点恰恰是计算机取证过程中的难题，就是能够防御侦查人员的“攻击”，从而不能提取所需的数据文件。

4设计解决方案

目前来说，BitLocker带来的挑战在于无法破解该驱动加密，倘若出现恶意使用BitLocker进行加密将无法取证，基于此，研究设计提出如下解决方案：

1）暴力破解。

2）获取密钥破解。

3）在原本BitLocker渗透进入安装程序或病毒内部打开。

4）改变原有的BitLocker，与警用模块相结合。

根据对BitLocker开发建立的解决方案，可以将该方案推广到整个可信计算平台，通过深度剖析可信计算技术为取证研究激发的有利突破契机，本文将从2个角度综合论述方案的基本设计展现成果。

4.1从取证工具的角度

以Bitlocker为例，使用取证工具对Bitlocker进行成功破解的前提是必须掌握恢复密钥或者密码，否则无法真正破解该加密驱动器。这类取证工具还是建立在传统的非可信环境基础上的，因此，必须深度探讨挖掘可信计算知识原理，并将传统的取证技术与可信计算相结合，这样才能设计研发得到适用于可信计算平台的取证工具。

4.2从可信计算平台的角度

为了解决可信计算技术研发中的瓶颈难题，有学者提出拓宽可信计算服务，便于在取证过程中获取更多更有效的信息。原理是：对可信计算平台上运行的安全服务进行权限划分设置特定的取证服务[3]。具体扩展的取证服务如下：

1）密钥恢复。由可信任的第三方保存恢复密钥，需要进行取证或者是硬件加密故障时，通过第三方获取恢复密钥进行解密，该服务对用户和取证人员都是有益的。

2）取证密封服务。只有取证调查人员才能使用，而用户则没有权限访问的服务。

3）取证密封数据。对于和取证相关的信息，用户是无法访问的，仅有取证调查人员才可授予访问权限。

4）取证认证。当取证调查人员对密封数据进行访问或者其他操作时，必须展开查验认证并且记录相关的操作日志等[6]。

该扩展服务能够实现有效的控制和管理，给计算机取证带来很多便利，同时还对在可信计算平台中增加取证技术有着一定积极重要的指导意义。

5结束语

在可信计算技术让计算机的防御能力得到强化的同时，也势必会给计算机取证技术带来一定的影响。因此，在实践过程中，应全面掌控可信计算技术的应用特点并结合取证技术进行深入研究，研发出应对该环境的新式取证技术是十分重要的。本文通过论述Windows下的可信计算环境，分析了可信计算给计算机取证带来的困难，探讨得出一些实用主题解决方案，并可为后续研究提供了有益的参考及借鉴。

参考文献：

[WTBZ][ST6BZ][HT6SS][1] [ZK（#〗

邓晓军. 可信计算的研究与发展[J]. 计算机安全，2008（2）：32-34.

[2] 沈昌祥，张焕国，王怀民，等. 可信计算的研究与发展[J]. 中国科学：信息科学，2010，40（2）：139-166.

[3] 李炳龙，王清贤，罗军勇，等. 可信计算环境中的数字取证[J]. 武汉大学学报（理学版）， 2006，52（5）：523-526.

[4] 麦永浩，史经伟，隆波. Vista操作系统对计算机取证的影响[J]. 警察技术，2012（1）：51-54.

[5] 王泉景. 可信计算在国产商用密码产品中的应用[J]. 网络安全技术与应用，2017（1）：40.

[6] 李炳龙，王鲁，陈性元. 基于可信计算环境文档碎片取证获取模型[C]//河南省计算机学会2008年学术年会. 洛阳：河南省计算机学会，2008：60-64.

[7] 沈昌祥，张焕国，冯登国，等. 信息安全综述[J]. 中国科学（E辑：信息科学），2007，37（2）：129-150.

[8] 孙国梓，耿伟明，陈丹伟，等. 基于可信概率的电子数据取证有效性模型[J]. 计算机学报，2011，34（7）：1262-1274.endprint