Encriptación de Clave Simétrica para Propósitos Antiforenses

  • Posted on: 20 August 2019
  • By: ReYDeS

La encriptación de clave simétrica, en el término más básico, significa una clave simétrica ha sido utilizada para encriptar los datos; en otras palabras, la misma clave de encriptación es utilizada para encriptar y desencriptar los datos. La encriptación de clave asimétrica es únicamente tan fuerte como la longitud de la clave, y la capacidad de mantener a otros lejos de la clave por si misma. Si los datos son encriptados con una clave simétrica, no se estará en la capacidad de analizar o buscar el contenido directamente, y se deberá encontrar algún otro método para identificar y acceder hacia los datos. De hecho, no se puede determinar si los datos fueron encriptados con un algoritmo simétrico a menos se haya identificado como tal.

Identificar y Acceder a Encriptación de Clave Simétrica

Se puede identificar archivos encriptados con clave simétrica de dos maneras, ya sea el archivo tenga una extensión la cual sea utilizada por un programa de encriptación para identificar sus archivos, o se puede utilizar un proceso conocido como “prueba de entropía”. Este es un proceso por el cual la aleatoriedad de la distribución de datos dentro de un archivo puede ser evaluado. La aleatoriedad específica puede luego ser comparado contra una tabla de aleatoriedad de algoritmos conocidos, para identificar si ha sido utilizado un algoritmo conocido. Esto funciona bien para los algoritmos de encriptación conocidos públicamente y documentados, porque es factible utilizarlos para documentar su escala de aleatoriedad. Por lo tanto, si se sospecha la utilización de un algoritmo nuevo y no público, una prueba de entropía no será capaz de identificar el tipo de encriptación utilizada.

Identificar Encriptación de Clave Simétrica con Autopsy 4

Autopsy 4 tiene la capacidad de detectar encriptación de clave simétrica. Categoriza los archivos en los cuales se ha detectado encriptación de dos maneras “Encriptación Detectada” y “Encriptación Sospechosa”.

La “Encriptación Detectada”, implica la plena identificación de un archivo con encriptación. Para este caso encriptación de clave simétrica.

La “Encriptación Sospechosa”, se basa en el resultado de una prueba de entropía realizada. Para este caso se detectó una alta entropía.

Si fuese factible conocer u obtener por algún mecanismo la contraseña para el archivo encriptado, es factible utilizar la interfaz de Autopsy 4 para ingresar la contraseña y acceder al archivo.

Mencionar Autopsy 4 no incluye una funcionalidad o característica para intentar romper las contraseñas de los archivos encriptados. Razón por lo cual se sugiere utilizar otro programa específicamente diseñado para este propósito. Otras herramientas forenses como EnCase Forensics o Forensics ToolKit si incluyen estas funcionalidades de manera inherente.

Fuentes:

https://autopsy.com/
https://en.wikipedia.org/wiki/Anti-computer_forensics
https://www.forensicswiki.org/wiki/Anti-forensic_techniques
https://en.wikipedia.org/wiki/Entropy_(computing)

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1