Beglaubigung von Backups mit forensischen Daten

Um sicherzustellen, dass ein Forensik-Backup wirklich genau dem erfassten Image entspricht und dass dieses nicht kompromittiert wurde, führt das Backup-Modul bei Backups mit forensischen Daten eine Beglaubigung (Notarization) durch.

Und so funktioniert es

Mit der Beglaubigungsfunktion können Sie überprüfen und belegen, dass ein Laufwerk mit forensischen Daten authentisch ist und die entsprechenden Daten seit der ursprünglichen Backup-Erfassung nicht geändert wurden.

Der Agent berechnet während eines Backups die Hash-Werte der gesicherten Laufwerke, erstellt einen Hash-Baum, speichert diesen Hash-Baum mit im Backup und sendet dann das Stammverzeichnis (Root) des Hash-Baums an den Notary Service. Der Notary Service speichert das Wurzelverzeichnis des Hash-Baums in der Blockchain-Datenbank von Ethereum. Damit wird sichergestellt, dass dieser Wert nicht mehr geändert werden kann.

Wenn die Authentizität des Laufwerks mit den forensischen Daten überprüft werden soll, berechnet der Agent den Hash-Wert des Laufwerks und vergleicht diesen dann mit dem Hash-Wert, der im Hash-Baum innerhalb des Backups gespeichert ist. Sollten diese Hash-Werte nicht übereinstimmen, wird das Laufwerk als 'nicht authentisch' eingestuft. Im anderen Fall ist die Authentizität des Laufwerks durch den Hash-Baum verbürgt.

Um zu verifizieren, dass der Hash-Baum selbst nicht kompromittiert wurde, sendet der Agent den Wert des Hash-Baum-Wurzelverzeichnisses an den Notary Service. Der Notary Service vergleicht diesen Wert mit dem, der in der Blockchain-Datenbank gespeichert ist. Wenn die Hash-Werte übereinstimmen, ist das ausgewählte Laufwerk garantiert authentisch. Falls nicht, zeigt die Software über eine Nachricht an, dass das Laufwerk nicht authentisch ist.

Das untere Schema soll den Beglaubigungsprozess für Backups mit forensischen Daten verdeutlichen.

Wenn Sie das beglaubigte Laufwerk-Backup manuell verifizieren wollen, können Sie dessen Zertifikat abrufen und die mit dem Zertifikat angezeigte Verifizierungsprozedur befolgen (mithilfe des Tools tibxread).

Das Zertifikat für Backups mit forensischen Daten abrufen

Gehen Sie folgendermaßen vor, um das Zertifikat eines Backups mit forensischen Daten von der Konsole aus abzurufen:

  1. Gehen Sie zu Backup Storage und wählen Sie das gewünschte Backup mit forensischen Daten aus.
  2. Stellen Sie die komplette Maschine wieder her.
  3. Das System öffnet die Anzeige Laufwerkszuordnung.
  4. KlickenSie auf das Symbol Zertifikat abrufen für das entsprechende Laufwerk.
  5. Das System wird das Zertifikat generieren und das Zertifikat in einem neuen Browser-Fenster öffnen. Unter dem Zertifikat wird Ihnen eine Anweisung angezeigt, wie Sie das beglaubigte Laufwerk-Backup manuell verifizieren können.