Home 01 - Conceitos 07 - Forense e Antiforense 01 - Criptografia

A criptografia é definida como a ciência da escrita em segredo, consistindo na prática de codificar e decodificar dados através de algoritmos para que a informação não possa ser lida em seu formato original. No contexto da segurança da informação, ela busca atender a requisitos fundamentais: autenticação (provar a identidade), privacidade/confidencialidade (garantir que apenas o destinatário leia), integridade (assegurar que não houve alteração) e não repúdio (provar o envio por parte do remetente).

Na Computação Forense, a criptografia é uma ferramenta essencial para garantir a integridade das evidências digitais. Os peritos utilizam funções hash (como MD5, SHA1 ou SHA256) para criar “impressões digitais” dos dados coletados. Ao comparar o hash extraído do equipamento original com o hash das cópias forenses, o perito pode provar em juízo que a evidência permanece inalterada e autêntica. Softwares especializados, como o dcfldd, são capazes de calcular esses hashes em tempo real durante o processo de aquisição da imagem.

No entanto, sob a ótica da Antiforense, a criptografia é aplicada com o intuito de impedir ou dificultar a investigação. Ela é considerada uma técnica que compromete a utilidade da prova, pois torna os dados ilegíveis para qualquer pessoa que não possua a chave secreta. Um exemplo comum de uso malicioso é o Ransomware, que utiliza a criptografia para sequestrar dados e exigir pagamentos. Ao contrário da esteganografia, que oculta a própria existência de uma mensagem, a criptografia torna o conteúdo incompreensível, mas sua presença é óbvia, o que desafia o perito a encontrar meios de descriptografá-lo.

Para superar as barreiras impostas por técnicas antiforense, a perícia moderna recomenda a análise “Live” (com o sistema ligado) e a realização de um dump de memória RAM. Como as chaves de criptografia e senhas de volumes montados (como Bitlocker ou Truecrypt) precisam estar na memória para que o sistema funcione, a captura dos dados voláteis permite que o investigador recupere essas chaves e acesse o conteúdo protegido. Caso o perito se depare com volumes criptografados sem acesso à memória, restam poucas opções, como ataques de força bruta ou a busca por senhas em arquivos de configuração no próprio computador.