アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

スライド7 「リカバリ処理」

ディスク全体が暗号化されている環境で、オフラインでリカバリ(復号化)処理を行った後、平文の状態でイメージを作成する方法について示した図になります。
リカバリの方法や手順は暗号化ツールにより異なりますが、例えば PGP Whole Disk Encryption のリカバリと複製は以下のような流れになります。
1.システムの電源を落とす
2.リカバリ用の CD-ROM または FD から起動する
3.パスフレーズを入力しリカバリ処理を開始する
4.暗号化されていたデータ(セクタ)がリカバリ処理により平文へ戻される
5.リカバリが終了すると平文状態のディスクへ戻る
6.一旦、電源を落とし複製用のシステム(ENBDとかHELIX)で起動する
7.複製を取得する
恐らく他のディスク暗号化製品も似たようなリカバリ手順をとることになると思いますが、このリカバリ手順が取れるとフォレンジック的には嬉しかったりします。
ポイントとなるのは、6 の一旦電源を落とすことができるか?というところです。リカバリ処理が終了した段階またはリカバリ処理のためにシステムが起動してしまうと、タイムスタンプなどもろもろが変化してしまいます。そのため、リカバリが終了したらシステムを起動することなく複製作業に入りたいわけです。
なお、リカバリ処理は複製元(オリジナル)で直接実行する必要はなく、複製(コピー)に対してリカバリ処理を行うほうが安心です。リカバリ処理が複製に対して実行することができるかどうかも製品選択のポイントになるのかもしれません。一般的にはハードディスクに依存して暗号化しているわけではないでしょうから、複製したディスクにもリカバリ処理がかけられると思いますが...
なお、リカバリに必要なパスフレーズなどは管理者さんから教えていただくなどしないと戻せませんので、きちんと管理されていない環境ではこの方法は取れません。