基本要求
電子數據的取證和鑑定有一個區分,取證的主體主要是執法人員。鑑定主要是獨立的第三方,提供鑑定結論,技術本質上是一樣的,稱為電子數據取證技術,也可以說是電子數據鑑定技術。因為電子數據司法鑑定是一項必須符合法律要求的活動。那么為了保證所獲取電子證據法律的有效性,電子數據鑑定過程需要遵循以下基本要求:
任何處理的行為不能更改被檢驗介質上的數據,必須使用司法意義上的捷徑的工作介質,對原始數據進行徑向、拷貝和分析,並保障被檢驗介質的數據完整性。數據完整性是這個環節的關鍵點。
如果不得不訪問這個原始介質,訪問者必須掌握這種技能,並證明行為的必要性和可能造成的後果。
對證據處理的過程中要詳細記錄,獨立的第三方應該能根據記錄可以重複檢驗鑑定的過程,並能獲得同樣的結果。
檢驗數據的計算機系統及輔助的軟體必須保證安全可信。
電子數據司法鑑定的主要任務:
電子數據內容統一性的認定。
電子數據的真偽及形成過程的鑑定。
電子數據內容的生成、傳遞、存儲及來源情況的認定。
電子數據與案件事實的因果關係及確定事實的程度。
關鍵技術
圍繞著基本要求和主要任務去司法鑑定,鑑定技術主要包括以下三類關鍵技術:
電子數據的複製技術
它主要指從待鑑定的設備中把電子數據複製出來,以固定證據數據,並保證這個證據數據的原始性和證據數據的完整性。待鑑定設備是指存儲、處理或者傳輸二進制數據的設備,包括計算機、通信設備、網路設備、電子數據存儲設備等。該技術主要涉及到各種設備中存儲數據的防寫技術、主比特的數據複製技術、可信值的校驗技術和數據擦除技術。數據擦除技術保證在司法意義上的決定介質。
數據規模技術
它是對電子數據中被刪除、覆蓋、損害或者加密的檔案進行還原恢復。它主要涉及有檔案系統級的恢復技術,比方系統崩潰了,需要恢復,然後把裡面的證據檔案清理出來。然後系統檔案套用級的恢復技術,資料庫的恢復檔案以及錯誤檔案修復技術和加密文檔的破解技術。
數據搜尋分析技術
這是指在這樣的數據中搜尋特定的信息並加以關聯,進行有效的分析。如檔案屬性分析,檔案的數字摘要分析,日誌分析等等。它主要涉及對於文本信息的搜尋關聯技術和圖象、音頻、視頻內容的識別技術和海量數據的分析技術。
基礎工作
電子數據鑑定的基礎工作主要是包括兩個方面。一是鑑定過程的規範化和鑑定技術的標準化。規範化可以通過立法或者一些規章制度來解決。但是鑑定技術標準化就顯的更為複雜,必須在研究國外的電子數據取證和鑑定技術基礎上,根據我國的法律結合國內的司法實踐活動進行逐步的完善。在鑑定技術標準中,鑑定工具的標準是目前急需解決的問題,我國當前套用於電子數據鑑定中的工具主要是國外的電子數據鑑定設備和軟體。那么這些設備和工具能否套用於我國的電子數據鑑定領域呢?能夠用於鑑定的標準是什麼?以及具備什麼條件的機構可以生產這些設備和工具。電子數據鑑定專用工具的質量好壞直接關係到鑑定結論的準確性,關係到司法活動的公平性和公正性。因此制訂相應的標準來規範鑑定工具的研發和生產過程,檢測和認定這些工具的質量,對電子數據鑑定的規範化是十分必要的。
在電子數據鑑定的基礎工作方面,在我國首先是公安部公共信息網路安全監察局在2008年初提出的4個社會公共安全行業標準(待批),它主要包括數位化設備證據數據發現提取固定方法(這是程式上的規定),還有程式功能檢驗方法,電子數據存儲介質防寫設備的要求及檢測方法和電子數據存儲介質、複製工具要求及檢測方法。起草單位包括福建的廈門市美亞柏科資訊科技有限公司和
國家計算機病毒應急處理中心。
公安部第三研究所電子數據司法鑑定技術實驗室於2007年年底開展了一些基礎工作,主要是電子證據鑑定工具體系和鑑定工具檢測項目的研究,主要研究以下的幾個內容:
首先,是對電子證據和工具進行分類,提出各種鑑定工具應該具備的功能和性能指標,以及每一類這樣的證據它應該對應的鑑定工具是什麼?在實踐中指導我們自主開發專門的鑑定工具,指導從業人員在司法實踐中,面對一個電子證據選擇適當的鑑定工具。
第二,在鑑定工具的使用中發現,即使技術成熟、套用廣泛的工具也難免會出現不符合法律取證要求、程式錯誤、不便使用等問題。為防止這些錯誤所導致的數據損壞和證據失效,對目前常用的鑑定工具的可靠性、有效性進行檢測評估是非常必要的。我們吸取了美國一個項目的經驗,該項目就是2002年啟動了CFTT項目——針對計算機取證的工具檢測項目。它對美國的各個執法部門當前套用的150多種鑑定工具進行了有效性檢測。截止2008年9月,CFTT項目已經完成對多種磁碟影像類軟體防寫和硬體防寫類鑑定工具的測評,並已經展開字元串、搜尋類的工具測評,而國內在這方面還是空白。因此,結合我國的國情和司法體制,從實際出發,深入研究各類取證與鑑定工具的檢測方法,並對現有常用工具實施有效性檢測,最後提交對每一類工具的檢測報告,提出對我國電子數據的鑑定工具檢測規範和建議。
第三,在數據鑑定的過程中,如何從海量的數據中發現證據是一個具有挑戰性的工作。據統計在一個計算機系統中,已知的常用檔案占據該系統所有檔案的40%-95%,例如如果單純的安裝了一個Windows2000的作業系統的計算機,其中有7720個檔案,這裡只有840個檔案是未知的,已知檔案占所有檔案的89%。如果排除了這些已知的檔案,就會為鑑定工作節省大量的時間和精力。美國的NSRL這個項目,就建設了一個龐大的軟體參考庫,把目前在美國常用的軟體每個軟體做哈希值標註於正常的檔案,然後在海量數據中進行排除,篩選出用戶產生的檔案和一些被惡意篡改的檔案,在鑑定時就針對這些檔案就可以了,因此建立我國的軟體參考庫就很有意義。
第四,鑑定工具的開發。美國在這方面投入力量最大,技術也是最領先的國家,其中NTI是美國最大的計算機取證專業公司。我國在鑑定工具的研發方面還有很大的差距,目前主要是翻譯漢化或者改版國外的工具,真正適用的工具並不多。因此,自主開發適合我國國情的、能夠全面的檢查數位化設備與網路系統的鑑定工具與軟體已經迫在眉睫。
挑戰
當前電子數據司法鑑定技術面臨的挑戰:
越來越多的案件不再只是針對某一台設備的分析,而是需要分析有證據關聯性的多台設備。比如,使用雲計算來進行數據的遠端處理和存儲,就意味著甚至常常無法獲取需要分析的設備。
作業系統和檔案格式的增多極大增加了鑑定工具開發的複雜度和成本。
在進行電子數據司法鑑定時,為了避免破壞原始證據,鑑定人員一般不會直接對原始的存儲設備進行鑑定操作,而是先取出原始存儲設備,對原始數據進行完整、精確、無損的鏡像,再對鏡像數據進行鑑定。而嵌入式FLASH存儲設備的流行和硬體接口類型的大量增加意味著存儲設備不再容易被取出以進行完整鏡像。
加密技術的成熟和廣泛使用意味著即使數據能夠恢復和查看,也難以解密其含義。
鑑定人員已經開始陷入不能以一種合理的方法來獲得數據或者在獲得數據後進行處理直至完成的困境。證據,特別是用於法庭辯論的關鍵證據,常常被例行地遺失掉。當調查人員面對手機時,這個問題最為明顯。在我國還沒有專門針對手機鑑定的技術標準和技術規範。