今日は夜にデジタルフォレンジック研究会の第５期第１回「技術」分科会「原本同一性の確保とEnCaseを利用したフォレンジック調査」でした。N社からのお話で、EnCaseを使っての手順解説でした。
具体的な解説、ありがとうございました。時間一杯で質疑時間が取れず残念でした。
暗号化したファイルを、復号してから原本複製する、という説明でしたが、私としては、
１　復号する際に当該ファイルを破壊される可能性が残る。例えば、間違った復号鍵を与えても、間違ったまま復号するソフトも中にはありますから、それで元のファイルを破壊されたら大変ですね。
２　正しく復号されてもタイムスタンプは当然新しくなってしまうし、正しく復号されたかどうか検証するなどでもタイムスタンプが変わるなど不都合（原本と違うことになる点を攻撃される余地を作ってしまう）。
以上２つのことから、復号する前に原本複製しておき、複製後に復号すべき、と思いました。
あと、物理複製と、ｄｄとの区別を判然とは説明しなかったと思いました。説明者は判っているはずですが、聞いていた人に伝わらなかったと思います（私だけかも）。物理的なギャップとか云々の話です。
でもね、夜遅くまでご苦労様でございます。無料ですものね。