해당 논문의 abstract를 읽고 이해가 안된 개념을 논문 안에서 키워드 검색하여 논문에서 어떻게 설명했는지 번역했다
직역하니까 뒤죽박죽 정리되어서 앞뒤문장 위치 바꾸고 워딩도 수정하고 했지만.. 여전히 부족하다.
개념 정리 겸 올리는 내용입니다.
Abstract
방화벽 로그, 운영체제 이벤트 로그, 다양한 메타데이터들과 같은 자동적이거나 인공적으로 생성된 독특한 특성은 몇몇의 케이스들에서 조사에 의해 쉽게 인식될 수 는 디지털 증거에 잘 숨겨져있다. 디지털 데이터는 잘 보이지 않고, 포렌식 과정의 안전한 보존과 분석에서 다양한 이해관계자들이 참여하기 때문에 무결성을 갖춘 전통적인 관리에 주의를 집중해야 한다
파일 포맷과 비슷하게 E01과 L01과 같은 디지털 증거 백(DEB)은 메타데이터 또한 포함된 raw 포맷으로 주요 기반에 대한 디지털 데이터들을 포함하는데 다양하게 사용된다. DEB는 증명을 위한 광범위한 데이터로부터 필요한 부분들을 추출하거나 모은 선택적 이미징을 통한 데이터를 얻기 위한 방법을 제공한다.
그러나 많은 양의 데이터로부터 얻어진 정보들이거나 또는 민감한 데이터가 관련되어 있거나 보호되어야만 하는 불필요한 자료를 파괴하는 경우 유연하게 다룰 수 없다.
따라서 이 연구에서 우리는 보편적인 DEB로서 사용된 Merkle tree에 기반한 새로운 컨테이너 포맷을 제안한다.
제안된 ECo-Bag은 저장공간의 medium, 네트워크간의 전송되는 비트스트림과 클라우드 또는 distributed된 시스템들의 파일 파편들과 두번째 결과와 메타데이터들로부터 물리적이고 논리적 이미지를 저장할 수 있다
그러므로 데이터 무결성과 관리 연속성 내에서 출처를 추적하는 동시에 초기에 수집된 데이터들을 봉인하거나 파괴하기 위한 작동들을 도울 수 있다.
따라서 디지털 조사와 e-discovery에서 증거의 추가와 삭제의 탄력적인 관리에 기여하는 것을 기대해볼 수 있다.
DEB (digital evidence bags)
- such as E01, L01
- 메타데이터도 포함된 raw 포맷에서 주로 기반한 디지털 데이터를 담기 위해 사용된다.
- 몇몇의 파일 포맷들은 디지털 증거를 저장하고 메타데이터를 통합하기 위한 DEBs로서 제안되고 사용되어 왔다.
- 기존의 포맷들 일부는 독점되기 때문에, 그들의 내부 콘텐츠는 특정 포렌식 도구로서만 적절하게 볼 수 있다.
- 일반적으로, DEB는 메타데이터와 콘텐츠를 통합된 방법으로 관리하므로 개별적인 아이템들은 보안과 개인정보보호를 위해 암호화하거나 삭제할 수 없다.
- 이 연구에서 우리는 증거를 보존하는 관점으로부터 범용 DEB로서 사용될 수 있는 새로운 논리적 증거 컨테이너를 제안한다.
- DEB는 서로 다른(disparate) 소스의 디지털 증거를 통합하여(unification) 정의되었으며 이를 통해 출처(provenance)를 기록하고 조사 기간 동안(throughtout the life of the investigation) 연속성을 유지할 수 있다
- Expert Witness Format(EWF)와 Advanced Forensic Format(AFF) 는 DEB를 사용하는 두가지 대표 형식이며 메타데이터로 압축 및 암호화를 허용하는 추가적 기능 지원으로 인해 이 형식들을 사용하는 것이 raw 형식보다 더 안전하고 효율적이다
Merkle tree
- 머클 트리 - 블록체인의 개념
블록의 구성
- 블록헤더 : 블록의 정체성(비젼, 이전 블록의 해시, 머클루트, 타임스탬프, 난이도 목표, nonce)
- 거래 카운터 : 거래의 개수
- 거래 : 블록에 기록된 거래내역(블록 당 평균 500개의 거래)
- 블록의 정체성을 띠는 데이터를 가진 블록 헤더
- 해당 블록에 거래의 개수를 알려주는 거래 카운터
- 가장 많은 공간을 차지하는 거래목록들
이중 블록헤더는 3가지로 구성됨
1. 현재 블록이 이전 블록들과 연결되어 있음을 나타내는, 이전 블록의 해시값을 갖는 데이터
2. 난이도, 타임스탬프, Nonce : 채굴 경쟁과 직접적 연관이 되는 부분
3. 머클루트
Merkle Root란?
- 머클트리가 나무라고 했을 때,
- 블록 하나에 모든 거래 내역을 가지는데 왜 요약본을 더 가지고 있을까?
머클트리
1. 거래를 묶어줌
- 이진 트리(binary trees)라는 이름으로도 알려져 있음
- 몇 개의 거래 데이터가 있든 하나의 root로 만들어 줌
2. 특정 거래를 쉽고 빠르게 찾아줌
- 두 개씩 묶어 올라가게 되면 거래량이 기하급수적으로 늘어나도 특정 거래를 찾는 경로는 단순하다는 점
- 거래 건수인 N이 증가할 때마다 특정 거래의 경로를 찾는 경우의 수는 log2(N)으로 늘어나기 때문.
- 1024개의 거래여도 해싱이 되는 과정은 열 번이었으니, 열번의 경로를 찾아가는 연산을 하면 특정 거래 데이터를 쉽게 찾을 수 있는 것.
- 거래 내역을 위조하려는 시도가 있어도 머클트리의 경로를 따라가면 해시값이 다른 것이 나오게 되어 거래의 위변조도 쉽고 빠르게 알 수 있게 되고 방지할 수 있게 됨.
- 블록체인의 용량은 시간이 지날수록 계속해서 늘어나기 때문에 성능이 좋은 컴퓨터만 모든 블록체인을 받는 full-node가 될 수 있음
- 하지만 머클트리의 이진트리 방식은 블록데이터의 일부만 받는 light-node로, 우리가 가지고 다니는 모바일로도 쉽고 빠르게 특정 거래를 찾도록 해줌
- 이게 머클트리가 블록에서 맡은 역할
REFERENCE
- 블록체인.. 처음 접하는데 정말 알면 알수록 공부해야할 게 많은 분야 같다.
