Форензическая верификация хеша.

Практика вычисления и сравнения криптографических хешей (обычно MD5 и SHA-256) форензических образов и исходных носителей для доказательства целостности доказательств. Относится к категории Криминалистика и реагирование в кибербезопасности.

Практика вычисления и сравнения криптографических хешей (обычно MD5 и SHA-256) форензических образов и исходных носителей для доказательства целостности доказательств.

Форензическая верификация хеша — фундаментальная практика, при которой над цифровыми доказательствами вычисляются криптографические хеши, такие как MD5, SHA-1 и SHA-256, и сопоставляются на каждом этапе для подтверждения того, что доказательства не были изменены. На стадии сбора аппаратные и программные блокировщики записи, а также инструменты вроде FTK Imager, Guymager или 'dd' вычисляют хеш исходного носителя и полученного образа; хеши обязаны совпадать. Повторное хеширование на рабочей станции и при каждой передаче или восстановлении документируется в цепочке хранения доказательств. Стандарты NIST SP 800-86, SWGDE Best Practices и ISO/IEC 27037 требуют двойного хеширования (MD5 + SHA-256), поскольку MD5 более не устойчив к коллизиям. Хеш-наборы, такие как NIST NSRL, также помогают отфильтровывать заведомо «чистые» файлы.

Защита от Форензическая верификация хеша обычно сочетает технические меры и операционные практики, как описано в определении выше.

Распространённые альтернативные названия: Хеш доказательств, Верификация хеша образа, Форензическое хеширование.