Integridade de Dados Digitais com auditor

• Obtendo o software auditor
• A – Geração dos Arquivos de Auditoria
• B – Verificação da Integridade

Voltar

O auditor pode ser obtido a partir de: https://thash.org/auditor e descompactado para uma pasta local.

Para que ele esteja disponível de maneira fácil a partir de qualquer lugar do prompt, ele precisa estar dentro de uma pasta esteja inclusa no PATH.

Pastas que normalmente fazem parte do PATH são:

• No windows: %localappdata%\Microsoft\WindowsApps : (Você pode colar esse atalho diretamente no windows explorer que será direcionado pra lá!), C:\Windows\System32
• No linux: /usr/local/bin /usr/bin, /bin, /usr/sbin

• Para facilitar a organização, coloque todos os dados que deseja garantir a integridade dentro de uma única pasta, em um suporte confiável e seguro (pendrive, HD, etc). Recomenda-se usar discos rígidos ou pendrives rápidos, pois o tempo do processo depende do tamanho da pasta, da velocidade de acesso e do tipo de tecnologia da mídia sendo usada.
• Somente quando não houver mais alteração do conteúdo da pasta, deve-se efetuar a geração dos arquivos de auditoria (que, entre outros dados, irá armazenar os hashes), usando o auditor com o subcomando 'hash' (Exemplo usando a pasta D:\EquipeSC-05\):
  
  Para discos SSD (usando-se a opção para otimizar a performance):
  auditor.exe hash D:\EquipeSC-05 -z
  
  Para outros discos e mídias USB:
  auditor.exe hash D:\EquipeSC-05
• O auditor irá submeter todos os arquivos da pasta ao algoritmo de hash padrão (SHA256) e gerar os seguintes arquivos:
  
  _auditor_hashes.txt: Lista com os dados de integridade (hash, algoritmo, tamanho e caminho do arquivo) de cada um dos arquivos contidos na pasta.
  _auditor_stamp.txt: Somente dados de integridade do arquivo anterior, que também são exibidos na tela no fim do subcomando 'hash'.
  
  
  Obs.: Se os arquivos de auditoria já existirem, o auditor irá falhar por padrão. Para apagar os arquivos de auditoria e criar novos, utilize a flag -o. No exemplo:
  auditor.exe hash D:\EquipeSC-05 -o
• Após a geração, os dados de integridade do arquivo _auditor_hashes.txt devem ser impressos ou digitalmente assinados. Estes dados são exibidos na tela e também são gravados no arquivo _auditor_stamp.txt. Exemplo de dados de integridade:
  

  979e8d4e5742d17f9de509c564867b64d56aef9b0a131319c25841ef3902dbaa ?SHA256|40329*_auditor_hashes.txt

  Se desejar adicionar um carimbo de tempo aos arquivos de auditoria ( para fins comprovação que o processo foi executado em determinada data e horário), é possível registrar a assinatura de carimbo de tempo em serviços online, como freetsa.org (using Online Signature).
• Para preservar os dados, todo o conteúdo da pasta (incluindo os arquivos de auditoria) deve ser armazenado em um suporte seguro, com pelo menos uma cópia de backup em outra mídia.
  
  
  Importante: A alteração de qualquer byte de um arquivo após a geração dos hashes será detectada e invalidará sua integridade.
  Para mídias sem proteção contra escrita: Não abra os arquivos diretamente a partir da pasta, use sempre cópias: Caso precise abrir arquivos contidos numa pasta já submetida ao processo de integridade, crie uma cópia fora da pasta originalmente auditada e use a cópia. Alguns softwares, por exemplo o Microsoft Word, salvam automaticamente arquivos abertos (alterando metadados internos) que fatalmente invalidará a integridade do arquivo de forma irreversível.

Após a geração dos arquivos de auditoria, pode-se realizar a verificação da integridade dos dados. Isso deve ser feito sempre que houver suspeita de alteração ou corrupção dos arquivos.

• A correta verificação de integridade deve ser feita com através do auditor com o subcomando 'check' (Usando a pasta D:\EquipeSC-05 como exemplo:):
  
  Para discos SSD (usando-se a opção para otimizar a performance):
  auditor.exe check D:\EquipeSC-05 -z
  
  Para outros discos e mídias USB:
  auditor.exe check D:\EquipeSC-05
• O auditor recalcula os dados de integridade do arquivo _auditor_hashes.txt, verifica se coincidem com os valores em _auditor_stamp.txt e verifica se todos os arquivos listados mantêm os hashes e tamanhos corretos.
• Finalizada a checagem, os dados de integridade recalculados do arquivo _auditor_hashes.txt também serão exibidos na tela e é necessário que eles sejam idênticos aqueles contidos no documento fisicamente impresso ou no documento digital cuja assinatura digital foi devidamente verificada. Usando o exemplo da geração, os dados devem coincidir com aquele apresentado no item A.4 .

Caso qualquer divergência seja detectada, o auditor informará o erro.

• Caso haja suspeita sobre a integridade do software Auditor, calcule o hash SHA256 do executável com uma ferramenta independente e compare com o valor publicado em: https://thash.org/auditor.
• O procedimento descrito usa as opções padrão. Outras opções e detalhes estão disponíveis no manual completo do Auditor.
• Por padrão, o Auditor utiliza o método thash, que é mais rápido. É possível desabilitar esse método se desejado.

Voltar