Home 01 - Conceitos 07 - Forense e Antiforense 01 - Criptografia 03 - Tipos

No contexto dos Tipos de algoritmos criptográficos, as funções hash são apresentadas como o terceiro pilar fundamental, ao lado da criptografia de chave secreta (simétrica) e da de chave pública (assimétrica). Enquanto os outros dois tipos focam primariamente em privacidade, troca de chaves e autenticação, o hash é o esquema especificamente otimizado para garantir a integridade dos dados.

Abaixo, detalho as características e a aplicação das funções hash conforme as fontes:

1. Conceito e Funcionamento

Conceitualmente, uma função hash atua como uma “impressão digital” da informação. Ela processa dados de qualquer tamanho e gera um código de comprimento fixo.

  • Sensibilidade a Mudanças: O ponto crítico dessa técnica é que qualquer alteração mínima no conteúdo de uma mensagem resultará em um valor de hash completamente diferente no destino.
  • Confiabilidade: É considerado altamente improvável que duas mensagens distintas produzam o mesmo resultado de hash, o que permite garantir a integridade da informação com um alto grau de confiança.

2. O Papel das Funções Hash na Computação Forense

Diferente da criptografia comum, que pode ser um obstáculo (antiforense), o hash é uma ferramenta de defesa e validação para o perito:

  • Garantia da Cópia Fiel: Ao realizar uma coleta de dados, o investigador extrai o hash do equipamento original e o compara com o hash da cópia (imagem forense); se os resultados forem iguais, prova-se em juízo que a evidência permanece inalterada e autêntica.
  • Cadeia de Custódia: O registro dos hashes é parte essencial da documentação que rastreia a evidência, assegurando que ela não sofreu manipulação desde o local do crime até o laboratório.
  • Identificação de Arquivos e Malwares: Peritos utilizam bancos de dados globais de hashes (como o NSRL ou o MHR) para identificar rapidamente arquivos conhecidos. Isso permite eliminar da análise arquivos “sabidamente bons” do sistema operacional ou detectar arquivos “sabidamente ruins” (malwares e rootkits) sem a necessidade de uma análise manual lenta.

3. Algoritmos e Procedimentos Técnicos

As fontes citam diversos algoritmos de hash utilizados na prática pericial, sendo os mais comuns o MD5 e a família SHA (SHA1, SHA256, SHA384 e SHA512).

  • Hashes em Tempo Real: Softwares como o dcfldd (desenvolvido pelo Departamento de Defesa dos EUA) são capazes de calcular esses hashes em tempo real enquanto a cópia dos dados está sendo feita.
  • Janelas de Hash: Para imagens de disco muito grandes, recomenda-se calcular hashes de “janelas” ou pedaços da imagem, além de um hash geral. Isso facilita a verificação periódica da integridade e permite que, caso uma área da mídia original esteja danificada, apenas aquele pedaço seja descartado, preservando o restante da validade da prova.

Em suma, as funções hash representam o tipo de criptografia voltado para a imutabilidade, sendo o alicerce que permite à computação forense dar validade científica e legal aos vestígios digitais coletados.