アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

スライド3「ディスクの複製」

このスライドの二つの図では、複製元はすでに電源が落とされ、オフラインで複製を作成することを想定しています。
(上段の図)ハードディスク全体が暗号化されている場合、このハードディスクを KingDEMI のような複製装置で複製した場合、暗号化されたディスク全体がそのまま別のディスクへ複製されます。*1
この場合、セクタ単位でまったく同一のイメージが作成されるので、ハッシュ値は複製元と複製先で一致します。正常に複製されことをコンペアでもハッシュ値でも簡単に確認できるというメリットがあります。
デメリットとしては、やはり暗号化されているという点があります。しかし、これは後からリカバリ処理を行えばよい為、リカバリが可能な暗号化*2を行っているのであればそれほど問題にはなりません。ただし、複製とリカバリ処理それぞれに必要な時間を事前に考えておく必要があります。
もし特定のハードウェアでなければリカバリが難しいケース(例:セキュリティチップを搭載したPCでそれを利用した暗号化を行っている)では、いったん別の HDD に複製を作成し、その複製*3特定のハードウェアでリカバリ処理するなどの手順が必要になるかもしれません。
(下段の図)
暗号化されたデータを、リカバリ処理などを通して平文へ戻し、それを複製する形を示しています。この場合、複製元は暗号化されており、複製は平文となっているためコンペアやハッシュ値による同一性の確認は取れません。
この方法が必要になるケースとしては、ハードウェア(セキュリティチップ等)と連携して暗号化処理を行っている場合が考えられます。例えば別のハードディスクへ複製し、その複製した HDD を PC へ接続しリカバリ処理を行おうとしても、それが出来ないようなケースが想定されます。この場合(安全のため暗号化された状態の複製を取得した後)複製元でリカバリ処理を実行し、平文の状態へ戻してから複製を取得するという流れになると考えられます。
リカバリ処理が行えない仕組みだとすると、オフラインではお手上げになる可能性が高いです。

*1:複製の形態としては物理的な複製かddイメージ、いずれにせよ中身は暗号化された状態で複製される

*2:複製に対してもリカバリが行える必要があります

*3:複製のそのまた複製ということになるかもしれませんが