Восстановление зашифрованных и сжатых данных
Сжатие данных и шифрование – это лишь дань моде. Причем сегодня они могут быть на пике популярности, но в один прекрасный день становятся совершенно не модными и не важными. Их популярность постоянно то растет, то снижается – циклично. Причем иногда шифрование данных становится более модным, в то время как сжатие сильно теряет в популярности, а затем ситуация снова может измениться…
Давайте посмотрим, какие типы шифрования (и сжатия) вообще доступны для пользователя Windows, и что вы можете сделать, если потеряли сжатые или зашифрованные данные.
Содержание:
Начнем с сжатия.
NTFS-сжатие в реальном времени
Windows 7, 8, 8.1, а также некоторые более старые версии Windows используют высокоразвитую файловую систему NTFS. Одной из особенностей NTFS является возможность сжатия файлов в реальном времени с использованием быстрого алгоритма потокового сжатия. Алгоритмы сжатия в NTFS нацелены на обеспечение максимально понятной и прозрачной работы пользователя с сжатыми данными. То есть ни вы, ни какое-либо приложение не определите, что определенный файл или папка являются сжатыми, если только вы не пытались обнаружить сжатый элемент намеренно.
Сжатие NTFS – это быстро, понятно и удобно. Вы можете сжимать файлы поштучно, изменяя их свойства; так же вы можете сжать папку или весь диск (в этом случае сжатие станет стандартным атрибутом для всех файлов внутри сжатого объекта).
Если вы хотите использовать сжатие, обратите внимание, что оно лучше всего подходит для файлов малого и среднего размера, которые хорошо поддаются сжатию (например, сообщения электронной почты, файлы журналов, тексты или HTML), записываемые не часто и в определенной последовательности, не сжимаемые сами по себе.
Последний момент важен, поскольку он в значительной степени исключает возможность использовать сжатие для тех данных, которые занимают больше всего места на вашем жестком диске, например, фотографий, музыки и видео. Просто потому что все видео уже и так сжаты в максимально возможной степени. То же самое можно сказать о картинах во всех распространенных форматах (включая сжатие с потерей качества и без). Музыка также сжимается различными алгоритмами сжатия с потерями (MP3, OGG, AC3) или без (FLAC, ALAC). Очевидно, что нет никакого смысла сжимать папки, содержащие какие-либо из этих файлов.
На самом деле, сжатие папки «Документы» – также не лучшая идея. «Новые» форматы Microsoft Office (.docx, .xlsx и т. д.) на самом деле являются XML-файлами, сжатыми в ZIP-архивы. Так что использование NTFS-сжатия для этих файлов (или всей папки «Документы») также не принесет пользы.
Сжатие исполняемых файлов действительно может освободить несколько мегабайт – за счет более длительного времени их загрузки. Наконец, сжатие системных файлов может привести к невозможности загрузки всей операционной системы (хотя Windows достаточно умна, чтобы защитить эти файлы от сжатия).
Ограничения на сжатие файлов</h2
Довольно теории. Если вы читаете это, вероятно, у вас пропал файл, папка или целый сжатый раздел, и вы ищете инструмент для восстановления этих данных. Итак, есть хорошие новости и плохие.
Хорошая новость в том, что файлы, сжатые NTFS, возможно восстановить. А плохая – в том, что они не восстанавливаются так же легко и в том же объеме, что файлы, не подвергавшиеся сжатию.
Хотя разработчики многих средств восстановления данных заявляют о возможности восстановления сжатых файлов, эффективность данной функции на самом деле может быть весьма ограниченной. Например, некоторые инструменты восстановления данных оказываются неспособными использовать нужный алгоритм обработки данных (вариант метода поиска по сигнатурам) в файлах, сжатых NTFS. Разумеется, лучшие инструменты обнаруживают, что определенный дисковый кластер был сжат, и сразу же распаковывают его, чтобы применить алгоритм восстановления по сигнатурам.
Другая проблема с файлами, сжатыми NTFS, посерьезнее, чем обычная фрагментация. Реализация алгоритма сжатия файлов в Windows позволяет практически мгновенно получать доступ к сжатым данным. Однако из-за некоторых конструктивных особенностей этих алгоритмов большие сжимаемые файлы могут сильно фрагментироваться. Из-за этого восстановить сжатые файлы размером более 64 КБ гораздо сложнее, чем несжатые файлы или файлы меньшего размера (например, сообщения электронной почты).
Если вы ищите инструмент для восстановления файлов, сжатых NTFS, попробуйте RS Partition Recovery, программу, поддерживающую восстановление сжатых файлов.
Алгоритмы самосжатия
Существует существенное исключение из правил, описанных выше. Некоторые устройства хранения данных, такие как накопители SSD с контроллерми Sandforce, сжимают данные в фоновом режиме. Суть этой логики – в сокращении износа привода (через запись меньших объемов информации в ячейки памяти NAND) и одновременном повышении производительности. В реальности это работает не так хорошо, как задумывалось, и ни одна другая компания (за парой исключений) не использовала этот принцип.
Что касается восстановления данных, самосжимающие устройства хранения данных полностью прозрачны для приложений, операционной системы и, что самое важное, для инструментов восстановления данных. Если мы говорим о контроллерах Sandforce, в них была допущена ошибка в реализации программы TRIM и «зачистке мусора», в результате чего удаленные данные просто оставались на устройстве, а не стирались. Все это сделало SSD-накопители Sandforce прекрасно подходящими для восстановления данных (но не особенно подходящими для других целей, в частности, для их использования в качестве, собственно, дисков).
Восстановление зашифрованных данных
Шифрование – очень общий термин. Зашифрованные данные могут варьироваться от защищенных паролем документов Word до целых разделов диска, заблокированных с помощью шифрования. В этой статье мы не сможем охватить все, что связано с шифрованием – для этого пришлось бы написать книгу, и не самую тонкую.
Вместо этого мы поговорим о двух совершенно разных типах шифрования, доступных пользователям Windows. Это файловое шифрование NTFS и разделов BitLocker.
Восстановление файлов с зашифрованных NTFS
NTFS – замечательная файловая система с множеством возможностей и функций. Одна из них – Encrypting File System (EFS) – обеспечивает надежное и понятное шифрование файлов и папок в разделах NTFS. Важно отметить, что EFS шифрует данные для каждого файла и не использует свободное пространство специально для шифрования. Однако любые зашифрованные файлы, которые теряются или удаляются, будут оставаться на диске в зашифрованном виде, даже если они уже находятся на дисковом пространстве, помеченном как «свободное». Важно отметить, что вы не можете шифровать и сжимать файлы с помощью NTFS одновременно, поскольку это взаимоисключающие опции.
NTFS шифрует данные с использованием объемного симметричного ключа. Это шифрование полностью прозрачно для пользователя и приложений, запрашивающих доступ к зашифрованным файлам через системные API. Однако пытаясь получить доступ к зашифрованным файлам, читая диск напрямую (в обход системных API), вы будете видеть только зашифрованные данные, расшифровать которые, не зная ключа шифрования и не владея правильным алгоритмом дешифрования, очень сложно. В результате многие средства восстановления данных либо не могут восстановить зашифрованные файлы, либо используют только половинчатый подход (например, производят восстановление на уровне файловой системы, но не используют низкоуровневый поиск данных / сигнатур).
Тем не менее, в NTFS, зашифрованные файлы – это просто … файлы. Если с ними что-то случается, и в файловой системе все еще есть информация о их местонахождении в прошлом, вы можете применить все известные приемы, чтобы проанализировать записи файловой системы и восстанавливать зашифрованный файл в оригинальном виде. Инструменты для восстановления данных, работающие с такими данными, всегда «помечают» восстановленный файл как зашифрованный, чтобы Windows могла правильно распознать его и расшифровать содержимое файла для пользователя.
Обратите внимание, что файлы с зашифрованными файлами NTFS могут быть успешно дешифрованы только после того, как их владелец войдет в свою учетную запись. Если вы не знаете пароль для учетной записи пользователя, сброс этого пароля мгновенно сделает зашифрованные файлы недоступными. Также обратите внимание, что для дешифрования файлов, зашифрованных NTFS, можно использовать текущий пароль или предыдущие пароли для этой учетной записи, которые использовались в прошлом.
Ищете инструмент для восстановления файлов, зашифрованных NTFS? Попробуйте RS Partition Recovery – средство восстановления данных, поддерживающее восстановление зашифрованных файлов и папок.
Восстановление данных из разделов зашифрованных BitLocker
BitLocker – это встроенная система шифрования всего диска Windows. BitLocker не работает с отдельными файлами и папками. Вместо этого он шифрует весь том на диске, включая свободное пространство (независимо от настроек).
Разделы BitLocker могут быть прочитаны всеми версиями Windows (Windows 7, 8, 8.1 и новее). Однако новые тома могут быть созданы только в Windows 7 Ultimate и большинстве систем Windows 8.x.
Начиная с Windows 8, основной раздел (диск C:) автоматически зашифровывается с помощью BitLocker после входа пользователя в учетную запись Microsoft (учитывая, что учетная запись Microsoft имеет административные привилегии). Если администратор использует локальную учетную запись Windows, диск C: по умолчанию не зашифрован.
Что это значит для возможностей восстановления данных? Что при восстановлении данных вам так или иначе придется иметь дело с разделами BitLocker…
Шифрование BitLocker полностью прозрачно. Доступ к томам BitLocker можно получить на низком уровне с помощью системных API, которые вернут незашифрованные данные. В результате вы сможете успешно восстановить информацию из разделов BitLocker, используя те же инструменты восстановления данных, которые вы использовали бы для восстановления простого, незашифрованного раздела.
Трудности начинаются, когда ваша система не загружается, и вы пытаетесь восстановить раздел BitLocker, который не был установлен. Если вы подключили диск к системе Windows, вы можете установить раздел BitLocker, введя ключ восстановления. (Не знаете, куда вводить этот ключ? Не беспокойтесь, Windows предложит вам это в тот момент, когда вы попытаетесь получить доступ к разделу BitLocker.) Свой ключ восстановления вы можете получить, войдя в свою учетную запись Microsoft и используя следующую ссылку: https://onedrive.live.com/recoverykey
После этого найдите правильный ключ восстановления, сопоставив запрошенное имя со списком доступных ключей. Раздел BitLocker будет установлен.
Что делать, если у вас нет доступа к ключу восстановления? В этом случае вы действительно ничего не можете сделать. В конце концов, BitLocker был разработан, чтобы противостоять атакам против несанкционированного доступа.
Ищете инструмент для восстановления защищенных разделов BitLocker? Попробуйте RS Partition Recovery, средство восстановления данных, поддерживающее восстановление дисков и разделов, зашифрованных BitLocker.
Классический криптоанализ
На протяжении многих веков люди придумывали хитроумные способы сокрытия информации — шифры, в то время как другие люди придумывали еще более хитроумные способы вскрытия информации — методы взлома.
В этом топике я хочу кратко пройтись по наиболее известным классическим методам шифрования и описать технику взлома каждого из них.
Шифр Цезаря
Самый легкий и один из самых известных классических шифров — шифр Цезаря отлично подойдет на роль аперитива.
Шифр Цезаря относится к группе так называемых одноалфавитных шифров подстановки. При использовании шифров этой группы «каждый символ открытого текста заменяется на некоторый, фиксированный при данном ключе символ того же алфавита» wiki.
Способы выбора ключей могут быть различны. В шифре Цезаря ключом служит произвольное число k, выбранное в интервале от 1 до 25. Каждая буква открытого текста заменяется буквой, стоящей на k знаков дальше нее в алфавите. К примеру, пусть ключом будет число 3. Тогда буква A английского алфавита будет заменена буквой D, буква B — буквой E и так далее.
Для наглядности зашифруем слово HABRAHABR шифром Цезаря с ключом k=7. Построим таблицу подстановок:
| a | b | c | d | e | f | g | h | i | j | k | l | m | n | o | p | q | r | s | t | u | v | w | x | y | z |
| h | i | j | k | l | m | n | o | p | q | r | s | t | u | v | w | x | y | z | a | b | c | d | e | f | g |
И заменив каждую букву в тексте получим: C(‘HABRAHABR’, 7) = ‘OHIYHOHIY’.
При расшифровке каждая буква заменяется буквой, стоящей в алфавите на k знаков раньше: D(‘OHIYHOHIY’, 7) = ‘HABRAHABR’.
Криптоанализ шифра Цезаря
Малое пространство ключей (всего 25 вариантов) делает брут-форс самым эффективным и простым вариантом атаки.
Для вскрытия необходимо каждую букву шифртекста заменить буквой, стоящей на один знак левее в алфавите. Если в результате этого не удалось получить читаемое сообщение, то необходимо повторить действие, но уже сместив буквы на два знака левее. И так далее, пока в результате не получится читаемый текст.
Аффиный шифр
Рассмотрим немного более интересный одноалфавитный шифр подстановки под названием аффиный шифр. Он тоже реализует простую подстановку, но обеспечивает немного большее пространство ключей по сравнению с шифром Цезаря. В аффинном шифре каждой букве алфавита размера m ставится в соответствие число из диапазона 0… m-1. Затем при помощи специальной формулы, вычисляется новое число, которое заменит старое в шифртексте.
Процесс шифрования можно описать следующей формулой:
,
где x — номер шифруемой буквы в алфавите; m — размер алфавита; a, b — ключ шифрования.
Для расшифровки вычисляется другая функция:
,
где a -1 — число обратное a по модулю m. Это значит, что для корректной расшифровки число a должно быть взаимно простым с m.
С учетом этого ограничения вычислим пространство ключей аффиного шифра на примере английского алфавита. Так как английский алфавит содержит 26 букв, то в качестве a может быть выбрано только взаимно простое с 26 число. Таких чисел всего двенадцать: 1, 3, 5, 7, 9, 11, 15, 17, 19, 21, 23 и 25. Число b в свою очередь может принимать любое значение в интервале от 0 до 25, что в итоге дает нам 12*26 = 312 вариантов возможных ключей.
Криптоанализ аффиного шифра
Очевидно, что и в случае аффиного шифра простейшим способом взлома оказывается перебор всех возможных ключей. Но в результате перебора получится 312 различных текстов. Проанализировать такое количество сообщений можно и в ручную, но лучше автоматизировать этот процесс, используя такую характеристику как частота появления букв.
Давно известно, что буквы в естественных языках распределены не равномерно. К примеру, частоты появления букв английского языка в текстах имеют следующие значения:
Т.е. в английском тексте наиболее встречающимися буквами будут E, T, A. В то время как самыми редкими буквами являются J, Q, Z. Следовательно, посчитав частоту появления каждой буквы в тексте мы можем определить насколько частотная характеристика текста соответствует английскому языку.
Для этого необходимо вычислить значение:
,
где ni — частота i-й буквы алфавита в естественном языке. И fi — частота i-й буквы в шифртексте.
Чем больше значение χ, тем больше вероятность того, что текст написан на естественном языке.
Таким образом, для взлома аффиного шифра достаточно перебрать 312 возможных ключей и вычислить значение χ для полученного в результате расшифровки текста. Текст, для которого значение χ окажется максимальным, с большой долей вероятности и является зашифрованным сообщением.
Разумеется следует учитывать, что метод не всегда работает с короткими сообщениями, в которых частотные характеристики могут сильно отличатся от характеристик естественного языка.
Шифр простой замены
Очередной шифр, относящийся к группе одноалфавитных шифров подстановки. Ключом шифра служит перемешанный произвольным образом алфавит. Например, ключом может быть следующая последовательность букв: XFQABOLYWJGPMRVIHUSDZKNTEC.
При шифровании каждая буква в тексте заменяется по следующему правилу. Первая буква алфавита замещается первой буквой ключа, вторая буква алфавита — второй буквой ключа и так далее. В нашем примере буква A будет заменена на X, буква B на F.
При расшифровке буква сперва ищется в ключе и затем заменяется буквой стоящей в алфавите на той же позиции.
Криптоанализ шифра простой замены
Пространство ключей шифра простой замены огромно и равно количеству перестановок используемого алфавита. Так для английского языка это число составляет 26! = 2 88 . Разумеется наивный перебор всех возможных ключей дело безнадежное и для взлома потребуется более утонченная техника, такая как поиск восхождением к вершине:
- Выбирается случайная последовательность букв — основной ключ. Шифртекст расшифровывается с помощью основного ключа. Для получившегося текста вычисляется коэффициент, характеризующий вероятность принадлежности к естественному языку.
- Основной ключ подвергается небольшим изменениям (перестановка двух произвольно выбранных букв). Производится расшифровка и вычисляется коэффициент полученного текста.
- Если коэффициент выше сохраненного значения, то основной ключ заменяется на модифицированный вариант.
- Шаги 2-3 повторяются пока коэффициент не станет постоянным.
Шифр Полибия
Еще один шифр подстановки. Ключом шифра является квадрат размером 5*5 (для английского языка), содержащий все буквы алфавита, кроме J.
При шифровании каждая буква исходного текста замещается парой символов, представляющих номер строки и номер столбца, в которых расположена замещаемая буква. Буква a будет замещена в шифртексте парой BB, буква b — парой EB и так далее. Так как ключ не содержит букву J, перед шифрованием в исходном тексте J следует заменить на I.
Например, зашифруем слово HABRAHABR. C(‘HABRAHABR’) = ‘AB BB EB DA BB AB BB EB DA’.
Криптоанализ шифра Полибия
Шифр имеет большое пространство ключей (25! = 2 83 для английского языка). Однако единственное отличие квадрата Полибия от предыдущего шифра заключается в том, что буква исходного текста замещается двумя символами.
Поэтому для атаки можно использовать методику, применяемую при взломе шифра простой замены — поиск восхождением к вершине.
В качестве основного ключа выбирается случайный квадрат размером 5*5. В ходе каждой итерации ключ подвергается незначительным изменениям и проверяется насколько распределение триграмм в тексте, полученном в результате расшифровки, соответствует распределению в естественном языке.
Перестановочный шифр
Помимо шифров подстановки, широкое распространение также получили перестановочные шифры. В качестве примера опишем Шифр вертикальной перестановки.
В процессе шифрования сообщение записывается в виде таблицы. Количество колонок таблицы определяется размером ключа. Например, зашифруем сообщение WE ARE DISCOVERED. FLEE AT ONCE с помощью ключа 632415.
Так как ключ содержит 6 цифр дополним сообщение до длины кратной 6 произвольно выбранными буквами QKJEU и запишем сообщение в таблицу, содержащую 6 колонок, слева направо:
Для получения шифртекста выпишем каждую колонку из таблицы в порядке, определяемом ключом: EVLNE ACDTK ESEAQ ROFOJ DEECU WIREE.
При расшифровке текст записывается в таблицу по колонкам сверху вниз в порядке, определяемом ключом.
Криптоанализ перестановочного шифра
Лучшим способом атаки шифра вертикальной перестановки будет полный перебор всех возможных ключей малой длины (до 9 включительно — около 400 000 вариантов). В случае, если перебор не дал желаемых результатов, можно воспользоваться поиском восхождением к вершине.
Для каждого возможного значения длины осуществляется поиск наиболее правдоподобного ключа. Для оценки правдоподобности лучше использовать частоту появления триграмм. В результате возвращается ключ, обеспечивающий наиболее близкий к естественному языку текст расшифрованного сообщения.
Шифр Плейфера
Шифр Плейфера — подстановочный шифр, реализующий замену биграмм. Для шифрования необходим ключ, представляющий собой таблицу букв размером 5*5 (без буквы J).
Процесс шифрования сводится к поиску биграммы в таблице и замене ее на пару букв, образующих с исходной биграммой прямоугольник.
Рассмотрим, в качестве примера следующую таблицу, образующую ключ шифра Плейфера:
Зашифруем пару ‘WN’. Буква W расположена в первой строке и первой колонке. А буква N находится во второй строке и третьей колонке. Эти буквы образуют прямоугольник с углами W-E-S-N. Следовательно, при шифровании биграмма WN преобразовывается в биграмму ES.
В случае, если буквы расположены в одной строке или колонке, результатом шифрования является биграмма расположенная на одну позицию правее/ниже. Например, биграмма NG преобразовывается в биграмму GP.
Криптоанализ шифра Плейфера
Так как ключ шифра Плейфера представляет собой таблицу, содержащую 25 букв английского алфавита, можно ошибочно предположить, что метод поиска восхождением к вершине — лучший способ взлома данного шифра. К сожалению, этот метод не будет работать. Достигнув определенного уровня соответствия текста, алгоритм застрянет в точке локального максимума и не сможет продолжить поиск.
Чтобы успешно взломать шифр Плейфера лучше воспользоваться алгоритмом имитации отжига.
Отличие алгоритма имитации отжига от поиска восхождением к вершине заключается в том, что последний на пути к правильному решению никогда не принимает в качестве возможного решения более слабые варианты. В то время как алгоритм имитации отжига периодически откатывается назад к менее вероятным решениям, что увеличивает шансы на конечный успех.
Суть алгоритма сводится к следующим действиям:
- Выбирается случайная последовательность букв — основной-ключ. Шифртекст расшифровывается с помощью основного ключа. Для получившегося текста вычисляется коэффициент, характеризующий вероятность принадлежности к естественному языку.
- Основной ключ подвергается небольшим изменениям (перестановка двух произвольно выбранных букв, перестановка столбцов или строк). Производится расшифровка и вычисляется коэффициент полученного текста.
- Если коэффициент выше сохраненного значения, то основной ключ заменяется на модифицированный вариант.
- В противном случае замена основного ключа на модифицированный происходит с вероятностью, напрямую зависящей от разницы коэффициентов основного и модифицированного ключей.
- Шаги 2-4 повторяются около 50 000 раз.
Для расчета коэффициентов, определяющих принадлежность текста к естественному языку лучше всего использовать частоты появления триграмм.
Шифр Виженера
Шифр Виженера относится к группе полиалфавитных шифров подстановки. Это значит, что в зависимости от ключа одна и та же буква открытого текста может быть зашифрована в разные символы. Такая техника шифрования скрывает все частотные характеристики текста и затрудняет криптоанализ.
Шифр Виженера представляет собой последовательность нескольких шифров Цезаря с различными ключами.
Продемонстрируем, в качестве примера, шифрование слова HABRAHABR с помощью ключа 123. Запишем ключ под исходным текстом, повторив его требуемое количество раз:
Цифры ключа определяют на сколько позиций необходимо сдвинуть букву в алфавите для получения шифртекста. Букву H необходимо сместить на одну позицию — в результате получается буква I, букву A на 2 позиции — буква C, и так далее. Осуществив все подстановки, получим в результате шифртекст: ICESCKBDU.
Криптоанализ шифра Виженера
Первая задача, стоящая при криптоанализе шифра Виженера заключается в нахождении длины, использованного при шифровании, ключа.
Для этого можно воспользоваться индексом совпадений.
Индекс совпадений — число, характеризующее вероятность того, что две произвольно выбранные из текста буквы окажутся одинаковы.
Для любого текста индекс совпадений вычисляется по формуле:
,
где fi — количество появлений i-й буквы алфавита в тексте, а n — количество букв в тексте.
Для английского языка индекс совпадений имеет значение 0.0667, в то время как для случайного набора букв этот показатель равен 0.038.
Более того, для текста зашифрованного с помощью одноалфавитной подстановки, индекс совпадений также равен 0.0667. Это объясняется тем, что количество различных букв в тексте остается неизменным.
Это свойство используется для нахождения длины ключа шифра Виженера. Из шифртекста по очереди выбираются каждая вторая буквы и для полученного текста считается индекс совпадений. Если результат примерно соответствует индексу совпадений естественного языка, значит длина ключа равна двум. В противном случае из шифртекста выбирается каждая третья буква и опять считается индекс совпадений. Процесс повторяется пока высокое значение индекса совпадений не укажет на длину ключа.
Успешность метода объясняется тем, что если длина ключа угадана верно, то выбранные буквы образуют шифртекст, зашифрованный простым шифром Цезаря. И индекс совпадений должен быть приблизительно соответствовать индексу совпадений естественного языка.
После того как длина ключа будет найдена взлом сводится к вскрытию нескольких шифров Цезаря. Для этого можно использовать способ, описанный в первом разделе данного топика.
Исходники всех вышеописанных шифров и атак на них можно посмотреть на GitHub.
Криминалистика
Восстановление нечитаемых записей, разорванных и сожженных документов, прочтение шифровальной переписки
Документы нередко подвергаются случайному или преднамеренному повреждению: покрытию посторонним красящим веществом, обесцвечиванию под воздействием солнечного света, механическому или термическому повреждению материала документа. Методика прочтения таких записей зависит от многих факторов, например, от состава бумаги документа; каким красителем были выполнены записи; какое химическое вещество применялось при их травлении; характер подчистки.
Выявление записей, вытравленных или обесцвеченных химическими реактивами, возможно с помощью фотографирования в ультрафиолетовых и инфракрасных лучах, а также путем применения диффузно-копировального метода на светочувствительный эмульсионный слой фотопленки или фотобумаги. При контакте документа с этими увлаженными фотоматериалами на эмульсионном слое могут откопироваться частицы красителя, оставшиеся в массе бумаги исследуемого документа.
Восстановление залитых, зачеркнутых и замазанных записей. Выбор метода выявления таких записей зависит от того, каким красителем выполнен и каким залит, зачеркнут или замазан текст. Если текст написан красителем, содержащим углерод (простой графитный карандаш, черная тушь, машинописная лента, копировальная бумага, типографская краска, спецчернила), а залит анилиновым красителем, его можно восстановить в инфракрасных лучах. Визуальное наблюдение при этом производится через электронно-оптический преобразователь, возможно фотографирование на фотоматериал инфрахром.
При однородности по составу, но различии по цвету красителей положительный эффект дает цветоделительная съемка со светофильтрами. Если красители однородны по цвету, но различны по составу, прибегают к исследованию в ультрафиолетовых лучах (различие люминесценции), диффузно-копировальному методу, основанному на различии растворимости красителей, к выявлению рельефных следов текста на оборотной стороне документа, механическому и химическому ослаблению (удалению, растворению, обесцвечиванию) пятна, покрывающего текст.
Восстановление разорванных и сожженных документов. Для того чтобы восстановить разорванные документы, клочки осматривают и рассортировывают по физическим свойствам бумаги: цвету, плотности, типографскому графлению, по цвету штрихов текста, общим и частным признакам почерка.
Затем их раскладывают на органическом стекле по линиям разрыва: вначале те, которые составляют рамку документа, с последующим заполнением внутреннего пространства клочками, подбираемыми по линиям разрыва и сгиба, штрихам и тексту. Собранный документ накрывается сверху другим стеклом того же размера и окантовывается липкой лентой.
Сгорая, бумага вначале высыхает, затем обугливается и испепеляется. При этом она теряет свои свойства, вплоть до полного разрушения. При высыхании бумага и текст на ней сохраняются, а при обугливании она становится очень хрупкой. Испепеленные тексты, которые были выполнены анилиновыми красителями, восстанавливаются не всегда.
Изъятие обугленного документа производится очень осторожно. Под него подводится картонная или металлическая пластинка, помещаемая затем в коробку с ватой, где предварительно делается соответствующее гнездо.
Для укрепления обуглившейся бумаги ее можно увлажнить через пульверизатор водой, 15-процентным раствором глицерина или синтетическими смолами.
Для восстановления текста сожженного документа в лабораторных условиях он расправляется на стеклянной пластинке. Иногда текст просматривается в виде серых и цветных штрихов на темном фоне. Он может быть усилен с помощью контрастирующей ультрафиолетовой или инфракрасной съемки.
Применим и метод испепеления, заключающийся в том, что сожженный документ помещают между двумя термостойкими стеклами и подвергают воздействию высокой температуры. При этом штрихи текста проступают на сером фоне испепеленного документа.
Тексты документов, выполненные простым графитным карандашом, черной тушью, типографской краской, пастой шариковых ручек, устойчивы к высокой температуре и в большинстве случаев выявляются на сожженной бумаге.
Прочтение тайнописных текстов и шифровальной переписки. В ходе раскрытия и расследования преступлений встречаются случаи, когда необходимо проверить документы с целью выявления в них тайнописи или шифровальной переписки.
Тайнопись — это скрытый текст, выполненный «симпатическими чернилами», находящийся, как правило, на поверхности бумаги или нанесенный с помощью тайнописных копировок. В качестве простейших «симпатических чернил» используются растворы таких лекарств, как аспирин, хинин, нашатырный спирт, некоторые кислоты и продукты — молоко, сок овощей и фруктов; выделения человека — слюна, моча и др.
При использовании этих тайнописных средств уже в ходе визуального осмотра можно выявить такие признаки скрытого текста, как неоправданно увеличенные междустрочные интервалы; матовые штрихи в местах воздействия на бумагу «симпатических чернил»; пересылка чистых листов бумаги; отвлеченный текст основных записей.
Тайнописные тексты могут быть проявлены окуриванием парами йода, нагреванием либо проглаживанием нагретым утюгом, опрыскиванием специальными растворами, опылением порошками. Проявленный текст сразу же фотографируется.
Шифровальная переписка — это текст, состоящий из знаков (букв, цифр, рисунков). При «неподготовленном» чтении такое письмо не содержит какого-либо смысла. Однако если переставить буквы и цифры или заместить одни буквы алфавита другими, зашифрованный текст становится понятным.
Такие документы, как правило, направляются на исследование в соответствующие НИИ. Методики выявления тайнописи и расшифровки текстов строятся на основе новейших достижений химии, физики и математики.
Восстановление текста, зашифрованного неравновероятной гаммой
Если СПШ модульного гаммирования использует неравновероятную гамму, то открытый текст можно определить по перехваченной криптограмме без восстановления ключа.
Рассмотрим гаммирование по модулю т в соответствии с уравнениями (14.7). Пусть гамма есть реализация последовательности независимых испытаний в полиномиальной вероятностной схеме с т исходами, где pj есть вероятность знака j на любой позиции в гамме (стационарная модель), j = 0, . т — 1, и не все из вероятностей /?0, . рт_х равны 1 /т. Требуется дешифровать криптограмму yv . yt, полученную при данном гаммирова- нии.
Для оценки вероятностей р> знаков гаммы можно использовать два подхода: либо рассчитать вероятности/?; в рамках определенной вероятностной модели шифра, используя закон образования гаммы (криптосхему генератора гаммы), либо рассчитать их в соответствии с уравнениями шифрования (14.7), используя частоты знаков криптограммы и вероятностное распределение на знаках открытого текста.
Пусть некоторые знаки вовсе не встречаются в гамме. Не теряя общности, положим:
Ус-г+ 1
Данный метод относится к методам бесключевого чтения, т.е. к методам восстановления открытого текста без предварительного определения ключа. Применение метода чтения в колонках тем успешнее, чем больше неравновероятность гаммы и меньше высота колонок г, характеризующая многозначность решения задачи. При г, близких к т, чтение в колонках теряет смысл, так как таблица содержит большое количество не только осмысленных, но и взаимно противоречивых открытых текстов. Критическая высота колонок г (примерно 10—12) определяется исходя из энтропийных свойств языка и вероятностей знаков гаммы.