Verificacao forense de hash.

Pratica de calcular e comparar hashes criptograficos (geralmente MD5 e SHA-256) das imagens forenses e dos suportes originais para provar a integridade da evidencia. Pertence à categoria Forense e resposta da cibersegurança.

Pratica de calcular e comparar hashes criptograficos (geralmente MD5 e SHA-256) das imagens forenses e dos suportes originais para provar a integridade da evidencia.

A verificacao forense de hash e a pratica fundamental de calcular hashes criptograficos como MD5, SHA-1 e SHA-256 sobre a evidencia digital e compara-los em cada etapa para demonstrar que a evidencia nao foi alterada. Durante a aquisicao, bloqueadores de escrita por hardware ou software e ferramentas como FTK Imager, Guymager ou 'dd' calculam um hash do suporte original e da imagem resultante; os hashes devem coincidir. A re-hashing na estacao de trabalho e em cada transferencia ou restauracao e documentada na cadeia de custodia. Normas como NIST SP 800-86, as boas praticas da SWGDE e a ISO/IEC 27037 exigem hashing duplo (MD5 + SHA-256), pois o MD5 ja nao e resistente a colisoes. Conjuntos como o NIST NSRL ajudam ainda a filtrar ficheiros conhecidos como confiaveis.

As defesas contra Verificacao forense de hash costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Nomes alternativos comuns: Hash de evidencia, Verificacao de hash de imagem, Hashing forense.