(Im) Membuktikan Chain of Custody dan Integritas Barang Bukti Digital dengan Time Stamp

Jasmin osi and Miroslav Ba a

IT Section of Police Administration
Ministry of Interior of Una-sana canton

502.V.bbr br.2, Bihac, B&H

Phone: +387 61 790 484 E-mail: jascosic@bih.net.ba;
Faculty of Organization and Informatics
University of Zagreb

Pavlinska 2, Varazdin, RH

Phone: +385 98 552 235 E-mail: miroslav.baca@foi.hr

 

Abstaksi

Integritas (keadaan yang menunjukkan kesatuan yang utuh) dari barang bukti digital memainkan peran penting dalam proses investigasi forensik digital. Chain od Custody mesti mencakup informasi tentang bagaimana bukti-bukti dikumpulkan (collected), diangkut (transported), dianalisis (analyzed), diawetkan (preserved), dan ditangani. Ada beberapa metode yang disesuaikan untuk penandaan barang bukti digital agar integritas nya terjaga. Sangat banyak tool forensik dan aplikasi menggunakan jenis algoritma hashing tertentu untuk memungkinkan peneliti memverifikasi integritas dari disk / gambar. Pada proses ini masalah terkait ke-integritas-an meningkat, baik identitas serta tanggal dan waktu akses terhadap barang bukti.

Dalam paper ini penulis akan mempersembahkan sebuah metode Time Stamp sebagai penandaan sah sebuah bukti digital dalam keseluruahan tahapan penyidikan. Time stamp diperoleh dari pihak ketiga (Otoritas Time Stamp). ini akan digunakan untuk membuktikan ketika staff mengakses barang bukti digital pada setiap tahapan investigasi forensik.

I. Pendahuluan

Chain of custody dan integritas barang bukti digital memainkan peran penting dalam aturan proses investigasi forensik, karena fakta dari setiap tahapan forensik seorang investigator mesti mengerti benar bagaimana bukti digital ditemukan, dikumpulkan, ditangani, dalam berhubungan dengan barang bukti. Penanganan Chain of custody mesti menyertakan jawaban atas semua pertanyaan terkait integritas. Jika satu pertanyaan belum terjawab, chain of custody dapat dipertanyakan dan validasi nya dapat terganggu. Dalam hal ini ketika menyajikan barang bukti di pengadilan, jika satu aturan/hubungan hilang maka pengadilan akan menerima barang bukti yang tidak relevan seluruh proses investigasi akan sia-sia. Pertanyaan paling umum dalam presentasi bukti digital adalah “siapa, kapan, dimana dan alasan melakukan kontak/hubungan dengan bukti digital?”. Variable yang paling sensitif adalah “waktu melakukan kontak/hubungan” dengan bukti digital. Bukti digital bisa saja sebuah file dengan atau tanpa ekstensi, beberapa file, sebuah partisi pada hardisk atau keseluruhan isi hardisk, flash disk, CD/DVD/BlueRay Disk dan media penyimpanan lainnya.

Bagaimanapun pada investigasi forensik mengacu pada media penyimpanan atau hardisk dengan tujuan penyelidikan adalah perangkat komputer. Investigator mesti membuat identitas lengkap “bit to bit” dalam salinan file yang asli ketika bukti digital yang asli ber-sirkulasi melalui tahapan-tahapan investigasi, atau ketika melewati keseluruhan tahapan dari investigasi bukti digital, staf yang menangani barak bukti akan selalu berganti, oleh sebab itu dokumentasi tidak hanya pada perubahan tapi juga orang yang melakukan kontak/hubungan.

II. Chain of custody dan Live circle dari bukti digital.

Chain of Custody dapat didefinisikan sebagai "Sebuah peta jalan yang

menunjukkan bagaimana bukti-bukti dikumpulkan, dianalisis, dandiawetkan dalam rangka untuk disajikan sebagai bukti di pengadilan ". (John Vacca, P-154) [1]. Chain of custody memegang peranan yang sangat peranan penting dalam proses penyidikan digital. Ini adalah frase yang mengacu pada audit yang akurat dan kontrol barang bukti asli yang berpotensi dapat digunakan untuk tujuan hukum. Tidak cukup hanya mengetahui lokasi saat ini, namun harus ada juga log (sejarah akses) yang akurat dalam melacak setiap saat pergerakan dan kepemilikan barang bukti Penyidik ​​harus tahu bagaimana untuk menjawab pertanyaan-pertanyaan tertentu dalam penyelidikan forensik keseluruhan proses:

1. Apa barang bukti digital ?

2. Dimana bukti digital ditemukan, dikumpulkan, ditangani dan/atau diperiksa?

3. Siapa saja yang berhubungan dengan barang bukti, menangani, menemukan?

4. Kapan barang bukti digital ditemukan, diakses, diperiksa atau dipindahkan (transfer).

5. Bagaimana barang bukti digital digunakan.

Chain of custody harus mencakup dokumentasi bagai mana data dikumpulkan, diangkut, dianalisis, diawetkan dan ditangani (dengan membayar lisensi, misalnya bukti Internasional).

Informasi ini penting dalam memverifikasi data elektronik agar melakukan pencegahan bila data diubah. Mempertahankan Chain of custody adalah penting untuk orang yang melindungi data, serta otoritas dalam hukum [1]. Mengadopsi Chain of custody akan membantu penyidik ​​untuk membuktikan bahwa bukti yang memberatkan tidak hancur atau bukti terkontaminasi.

III. Integritas Barang Bukti Digital

Menurut Vastone [3], Integritas digital “properti dimana data digital belum diubah secara tidak sah sejak dibuat, ditransmisikan, atau disimpan oleh sumber resmi”. Integritas bukti digital memastikan bahwa informasi disajikan lengkap dan tidak berubah dari waktu memperoleh disposisi hingga akhir. Ada beberapa metode yang disesuaikan untuk bukti penandatanganan digital untuk (im) membuktikan integritasnya. Saat ini sebagian besar

alat forensik dan aplikasi mengimplementasikan beberapa jenis checksum atau hashing algoritma untuk memungkinkan peneliti kemudian untuk memverifikasi integritas disk atau gambar [4]. Sebuah fungsi hashing kriptografi atau algoritma memiliki karakteristik teknis sebagai berikut [Tabel 1].

IV. Menggunakan Time Stamp Untuk Menandai Bukti Digital

Ada banyak definisi terkait Time Stamp (trjmh: Cap Waktu). Dalam dunia nyata sebuah Time Stamp dapat di representasikan beberapa moment waktu, didunia komputer (dunia digital), time stamp di representasikan sebuah moment waktu dalam format digital. Time stamp dan Digital time memainkan peran penting dalam forensika digital, karena adanya kebutuhan untuk mengetahui waktu-waktu saat tertentu pada proses investigasi.

Hal ini sangat penting untuk mengetahui jawaban atas pertanyaan diruang sidang. Kapan barang bukti diakses, berapa lama seorang staff berhubungan dengan barang bukti? Pertanyaan berikutnya dapat berupa: Berapa lama bukti digital dapat dibuktikan integritasnya saat ditandai.[7]

Waktu adalah faktor penting dalam menentukan pertanyaan. Kita harus membuktikan integritas digital bukti. Kita perlu tahu waktu yang tepat saat bukti digital diakses. Masalah besar lainnya adalah kepercayaan sumber waktu, karena fakta bahwa dalam dunia nyata dan digital waktu selalu tergantung pada pengaturan jam . Sebagai contoh, jika kita menggunakan komputer pribadi yang jam salah, kita akan mendapatkan cap waktu yang salah. Karena itu, waktu tidak bisa sepenuhnya diandalkan. Dalam kasus ini Time Stamp tidak dapat menjadi sebagai faktor vital untuk merekonstruksi peristiwa di digital forensik.

Masalah Time stamp telah menjadi subyek dari penelitian. Hosmer [7] menekankan penggunaan waktu untuk membuktikan integritas dari bukti digital, dan 3 langkah besar yang harus kita lakukan agar dapat secara efektif menggunakan bukti digital untuk membuktikan motif, kesempatan dan sarana kejahatan dunia maya:

Langkah 1: Lacak keabsahan Sumber waktu

Langkah 2: Distribusi Waktu

Langkah 3: Sumber Digital Time Stamp

Weil[2002] dan Boyd [2004] menganjurkan penggunaan metode korelasi untuk penyimpanan Time Stamp yang tersimpan di komputer yang dibuat oleh Jam lain (misalnya Time Stamp dalam Halaman web yang dihasilkan secara dinamis)[8]. Dalam penelitian sinkronisasi jam jaringan komputer mereka, Mohay and Clark [9] Menunjukkan bahwa jam/waktu dapat dikurangi dengan menghubungkan Rime Stamp yang tersimpan dalam chance web dari halaman web dengan record yang tersimpan di web server.

A. Validitas Time Stamp

Menurut RFC 3161 standar [10], sebuah

Time Stamp valid adalah Time Stamp yang dikeluarkan oleh pihak ketiga yang terpercaya (trusted third party (TTP)) bertindak sebagai otoritas stamping waktu (time stamping authority (TSA)). Hal ini digunakan untuk membuktikan adanya data tertentu sebelum titik tertentu (misalnya kontak dengan bukti digital) tanpa kemungkinan bahwa pemilik dapat backdate Time Stamp. di beberapa negara kita dapat menggunakan jasa TSA dalam kewenangan untuk membuktikan konsistensi dan integritas bukti digital dalam setiap tahap keberadaannya. Hal ini sangat penting dalam standar internasional

pertukaran bukti digital dan Investigasi digital internasional. Ketika sebuah Time Stamp Authority (TSA), yang kami hubungi untuk mendapatkan Time Stamp, melanjutkan permintaan kami, ada beberapa "Auditor eksternal" bertindak sebagai saksi. Dalam beberapa hal ada satu, dalam beberapa dua auditor [12] mana bukti chain document.

Proses mendapatkan Time stamo dari TSA, yang akan membuktikan keberadaan dan kontak dengan bukti digital oleh semua staf di setiap saat, terdiri dari beberapa langkah dibagi dalam dua bagian yang terpisah:

Pada sisi klien:

· Proses pembuatan pengenal unik, sidik jari (menciptakan hash) bukti digital (SHA-256,MD5, dll)

· Proses kewenangan pengiriman sidik jari untuk Time Stamp

· Proses verifikasi dengan Public Key dan lokal menyimpan

Di sisi TSA:

· Proses mendapatkan waktu resmi dari server

· Proses menambahkan Time stanmp untuk sidik jari

· Proses melindungi (penandatanganan) dengan Private Key

· Proses pengiriman tanda tangan digital untuk klien

Proses ini diilustrasikan dalam gambar 1. pertama, peneliti (atau staf lain yang menangani bukti digital) harus menghasilkan sebuah identifikasi unik - sidik jari bukti digital. Dalam proses ini beberapa metode sebelumnya, fungsi hash atau, untuk keamanan yang lebih baik, beberapa hash fungsi dapat digunakan. Hal ini diusulkan untuk menggunakan- SHA / MD algoritma. Setelah menghasilkan hash bukti digital, ini "beberapa bit" dikirim ke "pihak ketiga" – TSA. Hal ini penting untuk menyebutkan bahwa hanya sidik jari (hash) adalah ditransmisikan ke TSA, pernah file asli. TSA tidak dapat melihat dokumen yang sebenarnya (tidak file apapun). Selanjutnya apa yang terjadi adalah bahwa TSA menerima hash dengan menambahkan Time stamp, menghitung hash baru dan digital menandatangani berkas dengan kunci penandatanganan dilindungi. Tujuan dari dokumen ini adalah untuk menunjukkan sebuah metode Time stamp yang sah untuk menandatangani bukti digital dalam setiap tahapan proses penyidikan.

TSA kemudian mengirimkan file ini kembali ke klien (penyidik​​), yang memiliki sepasang kunci penandatanganan. Pada tahap berikutnya dari penyelidikan forensik persis proses yang sama terjadi. Pada cara ini kita bisa membuktikan waktu membawa bukti digital pada setiap tahap penyelidikan forensik.

I. Kesimpulan dan Penelitian lebih lanjut

Karena perkembangan TIK yang luas, khususnya internet dan komunikasi digital, membawa bukti lebih besar dari sebelumnya. Seperti bukti digital ke dalam bentuk bit/byte. Salah satu hal yang sangat penting dalam proses forensik adalah pemeliharaan dari chain of custody bukti digital.

Penelitian lebih lanjut akan difokuskan pada masalah lanjutan dari chain of custody-pada proses bukti digital, dan bagaimana dapat dikembangkan keamanan “ Framework manajemen bukti Digital ” Itu akan membantu peneliti untuk aman menangani bukti, dan menyimpan hash file dalam bentuk digital, serta biometric tanda tangan, cap waktu, dan karakteristik tempat di mana semua bukti diakses.

REFERENCES

[1] M.G.Nagaraya, „Investigators chain of custody in digital

[2] R. Yeager,, „Criminal Computer Forensics Management“, InfoSecCD, ACM, Kennesaw, USA, 2006

[3] S.Vanstone, P. Van Oorschot,, & A. Menezes, „Handbook of Applied Criptografy“, CRC Press, 1997

[4] C. Brown, „Digital evidence: Collecting and Preservation“, 2006

[5] Cryptographic hash function, http://en.wikipedia.org/wiki/ Cryptographic_hash_function#cite_note-13, (accessed: 04.12.2010)

[6] J. osi , M.Ba a, „Steganography and its implication on forensic investigation“, INFOTEH 2010, Jahorina, B&H, in press

[7] C. Hosmer, „Proving the Integrity of Digital Evidence with Time“ , International Journal of Digital Evidence, Spring 2002, Vol.1, Issue 1

[8] S. Willassen, „Hypothesis based investigation of Digital Time stamps“, IFIP, Advances in Digital Forensic IV, pp.75-86, 2008

[9] B. Schatz, G. Mohay, A. Clark, „ A correlation method for establishing the provenance of time stamps in digital evidence“ , Digital Investigation, vol 3, 98-107,2006

[10] Internet X.509 PKI, Time Stamp Protocol (TSP), http://tools.ietf.org/html/rfc3161 accessed: 01.01.2010

[11] Financial Agency of Croatia, http://www.fina.hr/ accessed: 31.12.2009

[12] E-TimeStamp, An Internet Notary, http://www.digistamp.com/evidence.htm, accessed: 02.01.2010

[13] M. Ba a, Introduction in computer security, Narodne novine, Zagreb, 2004, (on Croatian)

 

DI RINGKAS DAN DITERJEMAHKAN OLEH MITRA UNIK, Dokument asli dapat di unduh disini, dan Dokument terjemahan bahasa (+62) dapat diunduh disini,