电子数据司法鉴定作为司法程式中的重要环节,它涉及到对电子数据的获取、保存、分析,证物呈堂等相关的法律和技术问题。其主要任务是电子数据内容统一性的认定;电子数据的真伪及形成过程的鉴定;电子数据内容的生成、传递、存储及来源情况的认定;电子数据与案件事实的因果关係及确定事实的程度。
基本介绍
- 中文名:电子数据司法鉴定业务
- 外文名:Electronic data forensic business
- 关键技术一:电子数据複製技术
- 关键技术二:数据规模技术
- 关键技术三:数据搜寻分析技术
- 挑战:规模大、难度大
基本要求
电子数据的取证和鉴定有一个区分,取证的主体主要是执法人员。鉴定主要是独立的第三方,提供鉴定结论,技术本质上是一样的,称为电子数据取证技术,也可以说是电子数据鉴定技术。因为电子数据司法鉴定是一项必须符合法律要求的活动。那幺为了保证所获取电子证据法律的有效性,电子数据鉴定过程需要遵循以下基本要求:
- 任何处理的行为不能更改被检验介质上的数据,必须使用司法意义上的捷径的工作介质,对原始数据进行径向、拷贝和分析,并保障被检验介质的数据完整性。数据完整性是这个环节的关键点。
- 如果不得不访问这个原始介质,访问者必须掌握这种技能,并证明行为的必要性和可能造成的后果。
- 对证据处理的过程中要详细记录,独立的第三方应该能根据记录可以重複检验鉴定的过程,并能获得同样的结果。
- 检验数据的计算机系统及辅助的软体必须保证安全可信。
电子数据司法鉴定的主要任务:
- 电子数据内容统一性的认定。
- 电子数据的真伪及形成过程的鉴定。
- 电子数据内容的生成、传递、存储及来源情况的认定。
- 电子数据与案件事实的因果关係及确定事实的程度。
关键技术
围绕着基本要求和主要任务去司法鉴定,鉴定技术主要包括以下三类关键技术:
电子数据的複製技术
它主要指从待鉴定的设备中把电子数据複製出来,以固定证据数据,并保证这个证据数据的原始性和证据数据的完整性。待鉴定设备是指存储、处理或者传输二进制数据的设备,包括计算机、通信设备、网路设备、电子数据存储设备等。该技术主要涉及到各种设备中存储数据的防写技术、主比特的数据複製技术、可信值的校验技术和数据擦除技术。数据擦除技术保证在司法意义上的决定介质。
数据规模技术
它是对电子数据中被删除、覆盖、损害或者加密的档案进行还原恢复。它主要涉及有档案系统级的恢复技术,比方系统崩溃了,需要恢复,然后把里面的证据档案清理出来。然后系统档案套用级的恢复技术,资料库的恢复档案以及错误档案修复技术和加密文档的破解技术。
数据搜寻分析技术
这是指在这样的数据中搜寻特定的信息并加以关联,进行有效的分析。如档案属性分析,档案的数字摘要分析,日誌分析等等。它主要涉及对于文本信息的搜寻关联技术和图象、音频、视频内容的识别技术和海量数据的分析技术。
基础工作
电子数据鉴定的基础工作主要是包括两个方面。一是鉴定过程的规範化和鉴定技术的标準化。规範化可以通过立法或者一些规章制度来解决。但是鉴定技术标準化就显的更为複杂,必须在研究国外的电子数据取证和鉴定技术基础上,根据我国的法律结合国内的司法实践活动进行逐步的完善。在鉴定技术标準中,鉴定工具的标準是目前急需解决的问题,我国当前套用于电子数据鉴定中的工具主要是国外的电子数据鉴定设备和软体。那幺这些设备和工具能否套用于我国的电子数据鉴定领域呢?能够用于鉴定的标準是什幺?以及具备什幺条件的机构可以生产这些设备和工具。电子数据鉴定专用工具的质量好坏直接关係到鉴定结论的準确性,关係到司法活动的公平性和公正性。因此制订相应的标準来规範鉴定工具的研发和生产过程,检测和认定这些工具的质量,对电子数据鉴定的规範化是十分必要的。
在电子数据鉴定的基础工作方面,在我国首先是公安部公共信息网路安全监察局在2008年初提出的4个社会公共安全行业标準(待批),它主要包括数位化设备证据数据发现提取固定方法(这是程式上的规定),还有程式功能检验方法,电子数据存储介质防写设备的要求及检测方法和电子数据存储介质、複製工具要求及检测方法。起草单位包括福建的厦门市美亚柏科资讯科技有限公司和国家计算机病毒应急处理中心。公安部第三研究所电子数据司法鉴定技术实验室于2007年年底开展了一些基础工作,主要是电子证据鉴定工具体系和鉴定工具检测项目的研究,主要研究以下的几个内容:
首先,是对电子证据和工具进行分类,提出各种鉴定工具应该具备的功能和性能指标,以及每一类这样的证据它应该对应的鉴定工具是什幺?在实践中指导我们自主开发专门的鉴定工具,指导从业人员在司法实践中,面对一个电子证据选择适当的鉴定工具。
第二,在鉴定工具的使用中发现,即使技术成熟、套用广泛的工具也难免会出现不符合法律取证要求、程式错误、不便使用等问题。为防止这些错误所导致的数据损坏和证据失效,对目前常用的鉴定工具的可靠性、有效性进行检测评估是非常必要的。我们吸取了美国一个项目的经验,该项目就是2002年启动了CFTT项目——针对计算机取证的工具检测项目。它对美国的各个执法部门当前套用的150多种鉴定工具进行了有效性检测。截止2008年9月,CFTT项目已经完成对多种磁碟影像类软体防写和硬体防写类鉴定工具的测评,并已经展开字元串、搜寻类的工具测评,而国内在这方面还是空白。因此,结合我国的国情和司法体制,从实际出发,深入研究各类取证与鉴定工具的检测方法,并对现有常用工具实施有效性检测,最后提交对每一类工具的检测报告,提出对我国电子数据的鉴定工具检测规範和建议。
第三,在数据鉴定的过程中,如何从海量的数据中发现证据是一个具有挑战性的工作。据统计在一个计算机系统中,已知的常用档案占据该系统所有档案的40%-95%,例如如果单纯的安装了一个Windows2000的作业系统的计算机,其中有7720个档案,这里只有840个档案是未知的,已知档案占所有档案的89%。如果排除了这些已知的档案,就会为鉴定工作节省大量的时间和精力。美国的NSRL这个项目,就建设了一个庞大的软体参考库,把目前在美国常用的软体每个软体做哈希值标注于正常的档案,然后在海量数据中进行排除,筛选出用户产生的档案和一些被恶意篡改的档案,在鉴定时就针对这些档案就可以了,因此建立我国的软体参考库就很有意义。
第四,鉴定工具的开发。美国在这方面投入力量最大,技术也是最领先的国家,其中NTI是美国最大的计算机取证专业公司。我国在鉴定工具的研发方面还有很大的差距,目前主要是翻译汉化或者改版国外的工具,真正适用的工具并不多。因此,自主开发适合我国国情的、能够全面的检查数位化设备与网路系统的鉴定工具与软体已经迫在眉睫。
挑战
当前电子数据司法鉴定技术面临的挑战:
- 越来越多的案件不再只是针对某一台设备的分析,而是需要分析有证据关联性的多台设备。比如,使用云计算来进行数据的远端处理和存储,就意味着甚至常常无法获取需要分析的设备。
- 作业系统和档案格式的增多极大增加了鉴定工具开发的複杂度和成本。
- 在进行电子数据司法鉴定时,为了避免破坏原始证据,鉴定人员一般不会直接对原始的存储设备进行鉴定操作,而是先取出原始存储设备,对原始数据进行完整、精确、无损的镜像,再对镜像数据进行鉴定。而嵌入式FLASH存储设备的流行和硬体接口类型的大量增加意味着存储设备不再容易被取出以进行完整镜像。
- 加密技术的成熟和广泛使用意味着即使数据能够恢复和查看,也难以解密其含义。
- 鉴定人员已经开始陷入不能以一种合理的方法来获得数据或者在获得数据后进行处理直至完成的困境。证据,特别是用于法庭辩论的关键证据,常常被例行地遗失掉。当调查人员面对手机时,这个问题最为明显。在我国还没有专门针对手机鉴定的技术标準和技术规範。
