2008年1月17日
第5卷，第7期

  PDF

文档和媒体利用

DOMEX 挑战是将数字比特转化为可执行的情报。

SIMSON L. GARFINKEL，博士

基地组织使用的一台电脑最终落入了一位华尔街日报记者的手中。发现一台来自伊朗的笔记本电脑，其中包含该国核武器计划的详细信息。照片和视频从恐怖主义网站上下载。

正如这些和无数其他案例所证明的那样，数字文档和存储设备掌握着许多正在进行的军事和刑事调查的关键。使用这些媒体和文档最直接的方法是使用普通工具——用 Microsoft Word 打开 Word 文件，用 Internet Explorer 查看网页，等等。

虽然这种直接的方法很容易理解，但它可能会遗漏很多东西。使用基本的取证工具可以使已删除和隐藏的文件可见。名为carvers的程序可以定位甚至不完整的文件信息，并将其转化为可以轻松处理的形式。对电子邮件标头和日志文件的详细检查可以揭示计算机的使用地点以及与之接触的其他计算机。语言工具可以发现引用相同个体的多个文档，即使不同文档中的姓名拼写不同且使用不同的人类语言。数据挖掘技术（如跨驱动器分析）可以重建社交网络——例如，自动确定计算机的先前用户是否与已知的恐怖分子有过联系。这种高级分析是 DOMEX 的内容，DOMEX 是一种鲜为人知的情报实践，即文档和媒体利用。

美国情报界将 DOMEX 定义为“对收集到的硬拷贝文档和电子媒体进行处理、翻译、分析和传播，这些文档和媒体在美国政府的实际控制之下，并且不是公开可用的。”1 该定义继续排除“在收集、初步审查和盘点过程中处理文档和媒体”。DOMEX 不是关于成为一名数字图书馆员；而是关于成为一名数字侦探。

虽然关于政府的 DOMEX 活动披露甚少，但近年来，学术研究人员——特别是那些关注电子隐私的研究人员——已经了解了很多关于电子文档和媒体利用的一般过程。我对 DOMEX 的兴趣始于研究文件被删除或媒体被“格式化”后留在硬盘驱动器和记忆棒上的数据。我构建了一个系统来自动复制硬盘驱动器上的数据，将其存储在服务器上，并搜索机密信息。在这个过程中，我构建了一个初步的 DOMEX 系统。计算机取证、数据恢复、机器翻译和数据挖掘领域的其他最新学术研究也直接适用于 DOMEX。

本文从学术角度介绍了电子文档和媒体利用。它提出了一个执行此类利用的模型，并讨论了一些相关的学术研究。如果做得好，DOMEX 远远超出了从硬盘驱动器恢复文档并将它们存储在可搜索的档案中。理解这个工程问题可以为设计任何处理大量非结构化异构数据的系统提供有用的见解。

为什么是“利用”？

当研究人员说他们的工作以信息或文档“利用”为中心时，人们总是会扬起眉毛。“利用”这个词具有挑衅性，不必要地引起人们对一个可以很容易地归类为“计算机取证”甚至“数据恢复”的过程的关注。但是，事实上，这个词很贴切。

利用和剥削这两个词意味着以“不公平或自私”的方式使用某物。2 这是真的。从事文档和媒体利用业务的人们确实寻求不公平地使用计算机文档和电子存储设备。毕竟，公平意味着遵守规则。计算机系统的“规则”是 API、数据存储标准、文件权限以及文件创建者打算使用的其他接口。当计算机电子垃圾箱中的文件通过“清空垃圾箱”删除时，规则规定该文件的内容不应再被访问。每个取证工具包中都包含的“undelete”命令利用了计算机系统通常不会覆盖已删除文件的内容这一事实。这是计算机系统中的一个常见问题，不仅影响文件系统中的已删除文件，还影响文字处理器中已删除的段落，甚至虚拟内存系统中未分配的页面。

为警察部门和诉讼支持公司工作的计算机取证从业人员也靠恢复有意删除的数据为生，但即使是这些过程也遵循规则——尽管那些参与利用的人可能会选择忽略这些规则。计算机取证的目标是协助某种调查，这种调查通常始于犯罪行为的发生，并有望以罪犯在法庭上被判刑而结束。以定罪为目标，取证从业人员必须关注证据的完整性和监管链——并且他们需要将搜索范围限制在与该调查相关的信息上。在许多情况下，证据将根据搜查令或取证程序获得，其条款可能会限制取证检查员的行为，甚至可以检查哪些类型的文件。通过违反规则获得的证据甚至可能被压制。

例如，在 U.S. v. Carey 案中，一名执行毒品搜查令的调查员发现了扩展名为 JPG 的文件，其中包含儿童色情制品。Carey 因持有儿童色情制品而被起诉并被判有罪，但上诉法院推翻了判决，并将案件发回初审法院，理由是“证据的扣押超出了搜查令的范围。”3 证据应该被压制。

与 Carey 案中的调查员不同，那些从事文档和媒体利用的人不受任何规则的约束，除了物理和自然定律。信息利用的目标是获取和使用数据——目的证明手段是正当的。如果这些结果不足以定罪，也没关系。利用很少寻求证明或反驳案件的细节；相反，它寻求充分利用已获得的所有数据。成功的标准是结果的有用性，而不是过程的可靠性。

如果您觉得前面的段落令人担忧，请记住 DOMEX 是关于利用数据，而不是人。“利用”正是当您将崩溃的硬盘驱动器送到数据恢复公司时想要的态度。如果您刚刚丢失了 400 页手稿的唯一副本，如果该公司能够恢复 9 月 20 日版本的头 200 页和 8 月 19 日版本的最后 180 页，您可能会觉得没问题。虽然一位优秀的辩护律师可能会压制一份由这两半拼接而成的文件，但如果您是作者，并且另一种选择是从记忆中重写这 400 页，您可能并不在意。同样，如果您使用某种桌面搜索系统来索引硬盘驱动器上的文件，您不会介意该产品犯了一两个错误并向您显示您“不允许”看到的文件——只要您找到您正在搜索的内容即可。

DOMEX 的两个问题

广义上讲，DOMEX 解决了两个问题，我们将分别称之为“深度”和“广度”。

深度问题是两个问题中较容易理解的一个。某种文档或数据存储设备——例如，硬盘驱动器、DVD 或手机——可用于分析。由于获得此对象的方式，我们知道它很有趣。目标是尽可能多地了解它。

深度问题的一个很好的例子是分析 2001 年 11 月 12 日从基地组织在喀布尔的中央办公室偷来的两个硬盘驱动器。这些硬盘驱动器位于艾伦·卡利森（Alan Cullison）——一位为华尔街日报工作的战地记者——在喀布尔购买的笔记本电脑和台式电脑中。4 分析显示，台式电脑主要由艾曼·扎瓦希里（Ayman al-Zawahiri）——基地组织的高级领导人之一——使用。在卡利森验证了这些电脑的合法性后，他将它们交给了美国情报官员。获得这些设备的分析师大概想尽可能多地了解它们——不仅是文档，还有应用程序、配置设置、这些机器与之接触过的其他计算机等等。虽然关于如何分析这些电脑的细节很少公开，但可以合理地假设美国武器库中所有适用的取证和文档分析工具都已应用于这些机器。

深度问题的另一个例子是分析美国政府于 2005 年 7 月获得的被盗伊朗笔记本电脑。据纽约时报报道，该笔记本电脑包含“一千多页伊朗计算机模拟和实验记录”，这些记录“显示了设计核弹头的长期努力。”5 再次，面对检查这台笔记本电脑的分析师会想知道关于它的一切在技术上和人为上都是可能的。

广度 DOMEX 问题颠倒了。分析师没有无限的资源来处理特定的文档，而是被给予大量的数字对象，并且时间有限，需要找到对调查有用的东西。近年来，在执法、情报甚至民事诉讼过程中查获的数字信息量呈爆炸式增长。“十年前，一个案件会涉及几个计算机硬盘驱动器，”电子取证专家杰克·西沃德（Jack Seward）在 2005 年说。“现在，一个案件通常是数百个硬盘驱动器、大量服务器和磁带档案。”6 事实上，FBI 北德克萨斯地区计算机取证实验室在 2002 年处理的一个案例需要超过 8.5 太字节的存储空间和超过一个月的计算机工作时间才能处理。7

这种数字媒体的雪崩使得广度问题从国家安全和商业角度来看都非常引人注目：一个可以可靠地找到“好东西”的系统可以节省金钱、时间和甚至生命。

虽然这两个问题表面上看起来可能截然不同，但两者都需要许多相同的工具和技术。将任何一种方法应用于硬盘驱动器都需要能够解释各种操作系统及其不同版本的磁盘结构的软件。执行此操作的幼稚方法是以只读方式挂载磁盘分区；更好的方法是使用取证文件系统恢复软件，例如 Sleuth Kit。8 此类软件知道如何解码磁盘上的文件系统结构，可以恢复已删除的文件，并且可以容忍可能丢失或损坏的数据结构。

文件恢复只是众多必需的技术能力之一。文件恢复后，软件需要提取重要的“名称和实体”，例如人名、电子邮件地址、物理地址等。该软件需要能够识别同一信息的变体拼写或编码。该系统可能需要构建某种假设，即计算机系统内部的哪些类型的进程首先创建了存储的数据。最后，该软件必须能够系统地组织信息，以便可以自动处理。

人为生成的内容与技术内容

情报界在其 DOMEX 定义中强调翻译、分析和传播并非偶然。DOMEX 的大部分工作都源于之前关于 DOCEX（文档利用）的工作。自 20 世纪 90 年代以来，商业 DOCEX 系统已可供美国政府使用。9

今天，仍然非常强调文档以及人类创造的信息。当 DOMEX 信息在刑事或民事审判中呈现时，尤其如此。在法庭上，检方可以轻松地打印出在硬盘驱动器上找到的电子邮件消息或数码照片，并将其作为证据提交。当然，基地组织硬盘驱动器有价值的原因之一是它包含与奥萨马·本·拉登和其他基地组织领导人的通信。

技术内容可能同样有价值。例如，分析师可能会发现两名女性之间的联系，因为这两名女性的硬盘驱动器上都有同一个男人的照片。发现这种联系的另一种方式可能是通过确定这两名女性都拥有来自同一台数码相机的数码照片（通过 EXIF 文件中的序列号识别），或者因为她们的 Windows XP 副本是用同一个被盗序列号激活的。计算机生成的信息，例如嵌入在 JPEG EXIF 记录中的数码相机序列号，可能对于建立两个人之间的联系至关重要。与识别同一个男人的分析师不同，技术连接可以自动建立——即使两个硬盘驱动器在两个不同的地点进行分析——前提是在中央位置完成相关步骤。

提取技术信息很复杂，因为许多文件格式要么是专有的，要么是文档记录不完善的。这种分析在当今的商业取证工具中也很少见，这些工具往往侧重于文档恢复和从单个驱动器呈现数据。例如，一种数据挖掘算法，它发现一个 PDF 文件的不可打印片段与另一个 PDF 文件具有共同的“祖先”，这在法庭上可能没有用：向陪审团解释这种匹配的实际含义将是困难的。然而，在一个捕获的笔记本电脑上找到其中一个 PDF 文件，并在一个恐怖主义网站上找到另一个 PDF 文件，可能有助于分析师了解信息如何在组织中流动。

随着磁盘和文件加密的广泛可用性使得人为生成的内容更难访问，技术内容的分析在未来几年可能会变得更加重要，正如通信加密的广泛使用增加了流量分析对于通信情报的重要性一样。10

自动化 DOMEX

在本文的其余部分，我将介绍一个用于执行自动化文档和媒体利用的架构，并展示该架构如何应用于 DOMEX 的深度和广度问题。虽然我使用到达待利用的硬盘驱动器的例子，但大部分讨论同样适用于 DVD 或 USB 闪存存储设备。

步骤 1：映像和存储

当硬盘驱动器首次可用于利用时，其状况通常是未知的。驱动器可能处于完美的工作状态。另一方面，驱动器可能已损坏或即将发生故障，可能只有几分钟的剩余运行寿命。因此，当驱动器到达待利用时，驱动器的内容通常会复制到高容量存储系统（例如 RAID 或 SAN（存储区域网络））。此过程称为映像，执行此任务的工具称为磁盘映像器。

已经开发了许多磁盘映像器供警察部门和其他计算机取证调查人员使用。这些程序将扇区到扇区的磁盘副本复制到一个或多个存储系统上的证据文件中。

大多数取证磁盘映像器还会计算原始磁盘和映像的 MD5 或 SHA-1 加密哈希值：通过比较这两个哈希值，调查员可以确定副本的忠实度。在刑事调查中，此哈希值记录在警察或调查员的报告中；如果磁盘映像稍后提供给为辩方工作的专家，则该专家可以验证辩方团队收到的磁盘映像与警方获得的磁盘映像相同。

取证维基上提供了磁盘映像器的完整列表。11

当磁盘映像器用于 DOMEX 时，以下附加功能是理想的：

• 映像器应尽可能自动化，因为可能需要处理大量磁盘。
• 映像器应捕获有关硬盘驱动器的元数据，例如其序列号、制造商和固件版本，并处理坏扇区。（一些所谓的坏扇区仍然可以通过关闭错误纠正来读取；另一些则不能。一些坏驱动器甚至会在您尝试启动驱动器时使您的主机计算机崩溃。）
• 映像器应包含工作流程自动化功能，例如为映像文件选择文件名和存储位置，以及检测是否已无意中对同一驱动器进行映像。
• 在某些应用中，使用公钥加密映像文件可能是理想的，这样除了在安全设施中，内容无法解密。

即使映像是众所周知的技术，也可能进行许多改进。今天的映像器需要更快、更高度自动化，并且更好地处理磁盘错误。还需要手持式映像器和隐蔽式映像器，以及可以在映像完成之前开始分析的工具。

步骤 2：文件系统分析

60 吉字节的硬盘驱动器有 1.2 亿个 512 字节的扇区，但是以这种方式考虑驱动器并不是非常有效或有用的。大多数硬盘驱动器有一个或多个分区，这些分区可能是一个或多个文件系统。反过来，每个文件系统都有驻留文件和已删除但仍然可以恢复的文件。这种提取可以使用开源工具（例如 Sleuth Kit）完成。

一旦提取了文件系统元数据，就应该对其进行智能处理并存储在公共数据库中。文档也可以被标记化和索引。这样的系统使得通过键入单个命令即可快速搜索数百或数千个磁盘成为可能。

在提取磁盘的元数据之后，仍然可能剩下大量数据。这些数据来自分区之间或末尾的扇区、无法归因于任何文件的扇区，甚至来自扇区和簇末尾的空闲空间中的字节。在磁盘文件中找不到任何有罪信息的取证调查人员通常会使用 carving 工具（例如 Scalpel 或 Foremost）来搜索此附加空间，以查找数字图像、Word 文档以及他们可以找到的任何其他类型的有用信息。

虽然文件系统分析实际上是当今每个民事和刑事取证检查的一部分，但当今的大多数工具都是为交互式分析而设计的，并且在批量环境中无法很好地工作。这是一个研究、工程和产品开发可以产生重大影响的领域。

需要研究的另一个领域是提高性能。当今的分析工具，很像当今的文件系统，经常依赖计算机硬盘驱动器的磁头来查找信息。处理整个硬盘驱动器（或硬盘驱动器映像）的内容可能涉及对每个目录然后对每个文件的寻道——这甚至是在 carving 开始之前。这里的问题是，磁盘容量和数据传输时间的增长速度都远快于硬盘驱动器寻道速度的增长速度。因此，一个碎片非常多的磁盘可能可以在一小时内完成映像，但通常需要 15 到 20 小时才能进行初始分析——即使映像存储在高性能 SAN 上也是如此。文件系统分析领域的一个好的研究问题是开发以流模式运行的分析软件，从头到尾读取磁盘映像，并在数据飞速掠过时执行所有必要的数据分析。

步骤 3：文件分析和特征提取

一旦找到文件，就需要分析它们——如果可能，自动分析。

当今的计算机取证系统擅长文档分析，但前提是必须由训练有素的操作员使用。商业“文件过滤器”软件可用于理解、在屏幕上显示和提取来自数百种不同类型的应用程序数据文件格式的文本。一旦提取数据，就可以使用语言工具对其进行处理，这些工具可以检测文档的语言，将文本翻译成英语（如有必要），或将姓名和地址音译成标准化的英语拼写。然后，原始语言、翻译和音译都可以存储在全文搜索引擎中，使人类分析师可以轻松地快速搜索数千个已处理的硬盘驱动器以查找特定的单词或术语。

当然，完全自动化的利用可以比简单的索引走得更远。例如，先前编辑会话的隐藏数据经常留在 Microsoft Word 文件中；这些数据也可以自动提取和索引。12 元数据中发现的其他信息包括编辑发生的时间以及执行编辑的人员的注册姓名。JPEG 图像文件记录了诸如所用相机的序列号和一天中的时间等详细信息；JPEG 格式甚至规定记录每张照片的 GPS 位置；几乎在每个硬盘驱动器上找到的日志文件都可以用于构建计算机电子邻域的网络中心地图。所有这些信息都可以伪造——但通常不会。分析师可以提取、存档和利用所有这些信息。

对于涉及记录丢弃的硬盘驱动器上的隐私泄露的工作，13 我们编写了一个程序，该程序可以自动查找具有高概率成为信用卡号码的字符序列。将此程序应用于 150 个硬盘驱动器的语料库，我们可以快速区分出少数几个拥有数千个信用卡号码的驱动器和大量几乎没有信用卡号码的驱动器。然后，我们将调查重点放在这些“热驱动器”上。其中一个驱动器在 eBay 上出售之前已在 ATM 中使用过；另一个驱动器是从用于在超市处理信用卡的计算机上取出的。这两个磁盘在出售之前都没有被擦除。

在这个领域，令人惊讶的应用研究和基础研究都需要进行。虽然一些商业和开源工具可用于数据提取，但几乎所有这些工具都侧重于提取人类可读的文本，而不是可能对二次分析有用的元数据。更重要的是，提取软件总是落后于商业应用程序使用的文件格式。例如，许多开源程序现在可以处理 Microsoft Word、Excel 和 PowerPoint 使用的 OLE 格式。不幸的是，Microsoft 现在正在转向 Office XML。

从事犯罪或恐怖活动的人可能会使用过时或晦涩的文字处理器、电子表格和图像文件格式来代替使用加密。这是因为加密数据的存在可能是一个危险信号，引起调查员的注意。另一方面，奇怪文件格式的数据可能会被普通调查员忽略，除非有理由深入挖掘。因此，奇怪的文件格式为那些试图隐藏其通信内容的人提供了一种似是而非的推诿。

另一个研究挑战是开发自动化软件，该软件可以在首次遇到硬盘驱动器上的数据文件时就理解这些文件，而无需有人坐下来编写解析器。虽然这听起来像是一个幻想，但事实并非如此。这是因为典型的硬盘驱动器不仅包含数据文件，还包含处理这些数据文件的程序。从理论上讲，应该可以将这些程序加载到虚拟机中，运行它们，然后让程序读取和处理文档文件。许多安全研究人员现在正在使用这种方法进行恶意软件分析。它也应该可以用于 DOMEX。

步骤 4：异常检测和社交网络分析

在此过程的这一点上，来自硬盘驱动器的数据已被提取、切片、重构、翻译成多种表示形式，并存储在多个数据库中。现在真正的工作开始了。

对于深度 DOMEX 问题，自动化软件应该能够执行至少与一个或多个人类创建的分析一样彻底的分析。这是因为深度软件可以访问比最著名的调查员甚至更多的取证知识和技术。自动化软件在适当的数据库中运行，几乎可以了解曾经商业销售的每个程序的每个版本。它可以创建一个详细的假设，说明嫌疑人的硬盘驱动器一定是如何使用的，然后在驱动器上（或在互联网上）寻找更多证据来支持该假设。与昂贵的取证调查员不同，这种自动化软件可以在情报和执法部门内部广泛部署——当然，前提是有人会编写它。

自动化软件也应该能够在广度 DOMEX 问题上表现出色。一个 DOMEX 设施，在一个数据库中存储来自数千个硬盘驱动器的特征，可以对电子邮件地址或信用卡号码等特征进行大规模关联。这种方法称为跨驱动器分析，14 可以确定特定的硬盘驱动器是否被与先前确定的恐怖分子网络有联系的人使用过。或者，跨驱动器分析可用于在来自捕获驱动器的大量数据中查找恐怖分子网络。

当前的信息环境数据库也可以改进深度分析。例如，在硬盘驱动器上找到基地组织培训手册的扫描页可能是一件重要的事情——除非它是曼彻斯特（英格兰）大都会警察局发现的手册，现在位于美国司法部网站上。15 另一方面，找到一个与司法部手册的前 25 页匹配但随后出现不同文本的文件可能非常重要。

步骤 5：报告

一旦自动化分析完成，就需要将结果提供给其他人——调查员、分析师，甚至情报产品的最终消费者。今天，这些报告由人工分析师创建，他们根据预期接收者的需求和知识定制报告。毫不奇怪，生成报告可能非常耗时——有时甚至比实际分析更耗时。

自动化 DOMEX 系统可以生成自己的报告。这些报告可能优于当前的取证报告，不仅考虑到主题材料和报告的预期消费者，还考虑到已向消费者报告的信息。也就是说，DOMEX 系统可以跟踪每个用户的知识，并在必要时填补空白。

搜索和研究

在这个假设的自动化 DOMEX 系统中，每个连续的步骤都比当前的技术水平更加先进。开源映像、文件提取和文件 carving 软件可以从各种网站获得，但此处描述的报告场景离成为可用的技术还有很多年。

一些公民自由主义者表示，他们对这项工作的道德合法性持保留态度。他们担心，自动化 DOMEX 系统很容易成为针对大众的更好的监控工具。例如，大型公司可以在台式电脑上秘密运行 DOMEX 软件。他们认为，不应开发有可能如此侵入性的软件。

然而，自动化 DOMEX 软件实际上有能力提高隐私——不是对普通大众而言，而是对调查对象而言。今天，有更多的硬盘驱动器需要分析，而处理它们的检查员却很少。结果是延误，这既可能危险地阻碍调查，又可能损害无辜嫌疑人的公民自由。

例如，在 2005 年，英国通过立法，将恐怖主义嫌疑人在未被起诉的情况下可以被拘留的时间从 14 天延长到 90 天，部分原因是先前的恐怖主义法提供的两周时间不足以对典型的硬盘驱动器进行取证分析。16 高置信度的自动化 DOMEX 系统可能会为警方提供他们需要的工具，以便在几天甚至几小时内清除嫌疑人。

结论

正如这里所描述的那样，DOMEX 问题非常非结构化。您有一堆数据，直觉告诉您这些数据很重要。挑战在于用它做一些有用的事情——理想情况下尽可能自动化。

这种广泛的、非结构化的问题让科学家感到不安，因为没有假设需要检验。它让商人感到不安，因为没有明显的指标来衡量成功或失败。但是，这种非结构化问题在当今许多信息丰富的环境中占据主导地位。

我们拥有数据，但获取数据并不是困难的部分——这只是开始。

参考文献

1. 情报界指令第 302 号。2007 年。文档和媒体利用（7 月 6 日）。
2. 牛津美国词典。2005 年。
3. US v. Carey 98-3077, 172 f.3d 1268 (10th Cir. 1999)。
4. Cullison, A. 2004 年。基地组织硬盘驱动器内部。大西洋月刊（9 月）。 http://www.theatlantic.com/doc/200409/cullison。
5. Broad, W. J., Sanger, D.E. 2005 年。依靠计算机，美国寻求证明伊朗的核武器目标。纽约时报（11 月 13 日）。 http://www.nytimes.com/2005/11/13/international/middleeast/13nukes.html。
6. Kahan, S. 2005 年。完整地带回他们！会计今日（6 月 6-19 日）。 http://www.webcpa.com/article.cfm?articleid=13192。
7. Davis, M., Manes, G., Shenoi, S. 2005 年。用于存储数字证据的基于网络的架构。在数字取证进展中，编辑 M. Pollitt 和 S. Shenoi。IFIP 国际数字取证会议，国家法医科学中心，佛罗里达州奥兰多（2 月 13-16 日）。
8. http://www.sleuthkit.org/.
9. 文档利用 (DOCEX) 可运输支持系统 (DTSS)。1997 年。商业日报（7 月 31 日）。弗吉尼亚州承包活动，MDA908-97-R-0040。 http://www.globalsecurity.org/intell/systems/docex_dtss.htm。
10. Diffie, W., Landau, S. 1998 年。在线隐私：窃听和加密的政治。麻省理工学院出版社。
11. 工具：磁盘映像。 http://www.forensicswiki.org/wiki/Tools:Disk_Imaging。
12. Byers, S. 2003 年。通过已发布文档中隐藏的数据进行可扩展的利用和响应信息泄漏。AT&T 研究。 http://www.user-agent.org/word_docs.pdf。
13. Garfinkel, S., Shelat, A. 2003 年。逝去数据的记忆：磁盘清理实践研究。IEEE 安全与隐私（1 月/2 月）。
14. Garfinkel, S. 2006 年。取证特征提取和跨驱动器分析。数字取证研究研讨会，印第安纳州拉斐特（8 月 14-16 日）。
15. http://www.usdoj.gov/ag/manualpart1_1.pdf .
16. 上议院和下议院人权联合委员会。2005 年。反恐政策和人权：恐怖主义法案及相关事项。2005-06 会议第三次报告，HL Paper 75-I，HC 561-i。 http://www.publications.parliament.uk/pa/jt200506/jtselect/jtrights/278/27802.htm。

SIMSON L. GARFINKEL 是加利福尼亚州蒙特雷海军研究生院的副教授，也是哈佛大学计算与社会研究中心的研究员。他的研究兴趣包括计算机取证、新兴的可用性和安全领域以及个人信息管理。 

本文表达的观点仅代表作者个人观点，不一定反映海军研究生院或美国政府的立场或政策。本文介绍了作者的研究，旨在进一步讨论。

 

最初发表于 Queue vol. 5，no. 7—
在 数字图书馆 中评论本文

---

更多相关文章

Jinnan Guo, Peter Pietzuch, Andrew Paverd, Kapil Vaswani - 使用机密联邦学习的可信赖人工智能
安全性、隐私性、问责制、透明性和公平性原则是现代人工智能法规的基石。经典 FL 的设计非常强调安全性与隐私性，但以牺牲透明性和问责制为代价。CFL 通过将 FL 与 TEE 和承诺相结合，弥合了这一差距。此外，CFL 还带来了其他理想的安全特性，例如基于代码的访问控制、模型机密性和推理期间的模型保护。机密计算（如机密容器和机密 GPU）的最新进展意味着，现有的 FL 框架可以无缝扩展以支持低开销的 CFL。

Raluca Ada Popa - 机密计算还是密码计算？
通过 MPC/同态加密与硬件飞地实现的安全计算，在部署、安全性和性能方面存在权衡。关于性能，您考虑的工作负载至关重要。对于简单的求和、低阶多项式或简单的机器学习任务等简单工作负载，两种方法都可以在实践中使用，但对于复杂的 SQL 分析或训练大型机器学习模型等复杂的计算，目前只有硬件飞地方法在许多实际部署场景中足够实用。

Matthew A. Johnson, Stavros Volos, Ken Gordon, Sean T. Allen, Christoph M. Wintersteiger, Sylvan Clebsch, John Starks, Manuel Costa - Confidential Container Groups
此处展示的实验表明，Parma（驱动 Azure 容器实例上的机密容器的架构）增加的额外性能开销不到底层 TEE 增加的开销的百分之一。重要的是，Parma 确保了基于证明报告的容器组所有可达状态的安全不变性。这使得外部第三方能够与容器安全地通信，从而实现各种需要机密访问安全数据的容器化工作流程。公司可以在云中运行最机密的工作流程，同时不必在其安全要求上妥协，从而获得优势。

Charles Garcia-Tobin, Mark Knight - Elevating Security with Arm CCA
机密计算具有巨大的潜力，可以通过将监管系统从 TCB 中移除，从而减小 TCB 的尺寸、攻击面以及安全架构师必须考虑的攻击向量，来提高通用计算平台的安全性。机密计算需要在平台硬件和软件方面进行创新，但这些创新有可能增强对计算的信任，尤其是在由第三方拥有或控制的设备上。机密计算的早期用户将需要自行决定他们选择信任的平台。

---

---

© 保留所有权利。