アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

スライド13 「暗号化ファイル」

暗号化されたファイルを復号化し、暗号化されている状態のファイルと平文の状態とでコンペアをとったり、ハッシュ値を計算すると当然値が一致しませんよね〜というお話です。これは一致しないのが通常ですから、どれを復号化して平文のデータとしたのかを記録にしっかり残す、可能であれば暗号化された状態のファイルも保持しておく必要があるのか検討する必要がありますね、というのが上段の図です。
下段の図が示しているのは NTFS の暗号化ファイルシステム(EFS)のように OS が稼働中であれば透過的に復号化が行われ、コピー元(EFSで暗号化されている状態)とコピー先(EFSが解かれ平文の状態)の内容は、お互いをコンペアしたりハッシュ値を計算すると一致しますよね、というお話です。