◆王彩玲 高 倩

（河南警察學(xué)院 河南 450046）

可信時(shí)間戳技術(shù)在電子物證取證中的應(yīng)用分析

◆王彩玲 高 倩

（河南警察學(xué)院 河南 450046）

信息技術(shù)和計(jì)算機(jī)設(shè)備的應(yīng)用給人們生活帶來便利的同時(shí)，也成為一些不法分子違法犯罪的手段。近年來，我國(guó)刑事案件中利用計(jì)算機(jī)進(jìn)行犯罪的案件比例在逐年上漲，從而對(duì)我國(guó)打擊犯罪的技術(shù)提出了更高的要求?？尚艜r(shí)間戳技術(shù)是近年來發(fā)展起來的一種電子取證技術(shù)，在取證的有效性和可靠性上都有了顯著的提升。本文對(duì)相關(guān)的技術(shù)理論進(jìn)行了闡釋，并分析了這一技術(shù)的具體應(yīng)用方法。

時(shí)間戳；電子物證；取證

0 引言

隨著計(jì)算機(jī)的普及，違法犯罪分子的作案手段也有了新的途徑。通過計(jì)算機(jī)進(jìn)行信息的竊取、篡改、盜取商業(yè)機(jī)密等案件層出不窮，給案件的偵破帶來了一定的難度。在高科技犯罪安監(jiān)站中，采用傳統(tǒng)的電子物證取證已經(jīng)無(wú)法起到良好的效果，可信時(shí)間戳技術(shù)的發(fā)明也應(yīng)用有效的解決了這一問題。本文就對(duì)這一技術(shù)的發(fā)展和應(yīng)用進(jìn)行了詳細(xì)的說明及分析。

1 電子物證相關(guān)概念

1.1 電子物證

根據(jù)我國(guó)《行政訴訟法》對(duì)物證的定義，犯罪嫌疑人在作案過程中使用、產(chǎn)生、遺留、移動(dòng)的所有物品都被稱為物證。電子物證是物證的一種類型，它是通過電子設(shè)備對(duì)信息進(jìn)行記錄和傳輸?shù)?。電子信息包括?jì)算機(jī)程序、聲音、圖像、文字以及這些信息的派生物。電子物證可以分為本地電子物證和遠(yuǎn)程電子物證兩種類別。本地電子物證是儲(chǔ)存在本地介質(zhì)中的一類電子物證。它可以直接從電子的源文件中進(jìn)行獲取，而遠(yuǎn)程電子物證是指存儲(chǔ)在遠(yuǎn)程服務(wù)器上的物證，不能直接通過電子源文件進(jìn)行獲取，只能以文件的形式進(jìn)行傳輸。

1.2 電子證取證

物證的取證是指執(zhí)法人員為調(diào)查案件的情況，依照相關(guān)的法律規(guī)定和程序?qū)﹄娮游镒C進(jìn)行提取、保存、分析等過程。電子物證的取證通常是通過電子載體中數(shù)據(jù)信息的讀取來實(shí)現(xiàn)的。在提取了電子載體中的信息后，執(zhí)法人員必須對(duì)其中的信息進(jìn)行分析、整理和審查，對(duì)數(shù)據(jù)進(jìn)行合理的篩選，選擇那些能夠?yàn)榘讣膫善铺峁椭臄?shù)據(jù)。

2 可信時(shí)間戳

2.1 時(shí)間戳

時(shí)間戳是指描述某一個(gè)事件發(fā)生時(shí)間的計(jì)算機(jī)字符。在一般的計(jì)算機(jī)系統(tǒng)中，對(duì)文件的操作分為創(chuàng)建、修改和訪問三種類型，相應(yīng)的，系統(tǒng)中的每一個(gè)文件都擁有三個(gè)時(shí)間戳。但需要引起注意的是，計(jì)算機(jī)中記錄的時(shí)間戳是以計(jì)算機(jī)內(nèi)部的時(shí)鐘為依據(jù)的，有時(shí)候會(huì)與實(shí)際的時(shí)間存在一定的偏差。

2.2 可信時(shí)間戳

可信時(shí)間戳是由具有一定權(quán)威性的第三方公布的時(shí)間戳依據(jù)，具有較強(qiáng)的法律效益和憑證。在可信時(shí)間戳中，時(shí)間戳與計(jì)算機(jī)中的數(shù)據(jù)是一一對(duì)應(yīng)的，數(shù)據(jù)內(nèi)容包括數(shù)據(jù)的生成時(shí)間、時(shí)間戳的信息等。

3 電子物證的種類

電子物證具有多種存在方式，常見的形式包括視頻、聲音、圖像、文字等。只要其中任何一種形式的物證能夠證明犯罪情況的存在，都能夠成為案件中重要的物證。電子文件主要有五種類型，分別是字處理文件、圖形處理文件、數(shù)據(jù)庫(kù)文件、程序文件、影音文件等。字處理文件是指經(jīng)過文字處理后形成的文件，通常由文字、標(biāo)點(diǎn)、編碼、符合等組成。由不同文字處理程序產(chǎn)生的字處理文件有時(shí)在打開時(shí)不能兼容，因此文件不能直接進(jìn)行讀取，需要經(jīng)過一定的程序轉(zhuǎn)換。圖形處理文件是指通過計(jì)算機(jī)輔助的圖形處理軟件處理過的圖形數(shù)據(jù)。圖形文件具有更高的直觀性，能夠更好的反映信息內(nèi)容。數(shù)據(jù)庫(kù)文件是指原始數(shù)據(jù)記錄而成的文件。數(shù)據(jù)庫(kù)中的大多數(shù)信息都屬于源文件，具有很高的參考價(jià)值。但通常需要經(jīng)過整理和分析后才能成為有效的物證。程序文件是指計(jì)算機(jī)內(nèi)部所包含的各個(gè)程序軟件，是實(shí)現(xiàn)人機(jī)交流的主要途徑。影音文件也就是人們常說的多媒體文件。這些文件通常是通過掃描、捕捉、錄入的方式進(jìn)行記錄的。

4 電子物證取證的任務(wù)

4.1 認(rèn)定信息的存在性

電子物證取證的首要任務(wù)是確定存儲(chǔ)媒介上的信息是否真實(shí)存在。這一過程需要對(duì)存儲(chǔ)媒介進(jìn)行深入的分析，并排除其中的有害信息。存儲(chǔ)媒介中包含許多的種類，如硬盤、軟盤、內(nèi)存、讀卡器、打印機(jī)等。

4.2 認(rèn)定信息的量

物證信息的量對(duì)罪犯的定罪有著直接影響。因此，對(duì)于物證信息量的確定是十分關(guān)鍵的。特別是對(duì)于制作傳播淫穢物品的案件來說，只有對(duì)淫穢信息的數(shù)量進(jìn)行確定后，才能對(duì)案件的性質(zhì)進(jìn)行確認(rèn)。

4.3 認(rèn)定信息的來源

通過對(duì)信息的分析確定信息的傳播方式、產(chǎn)生形式、產(chǎn)生時(shí)間等，從而從根本上確定信息傳播的目的。例如對(duì)網(wǎng)上某張圖片是由哪一種類型的相機(jī)進(jìn)行拍攝、某個(gè)程序代碼的發(fā)布者等都屬于對(duì)信息來源的調(diào)查。

4.4 認(rèn)定程序功能

認(rèn)定程序功能就是指對(duì)程序進(jìn)行靜態(tài)和動(dòng)態(tài)的分析，從而確定程序是否具有某種特定的功能。例如對(duì)一些惡意程序和木馬軟件的分析可以確定犯罪過程的各項(xiàng)信息，并且實(shí)現(xiàn)遠(yuǎn)程的控制。通過對(duì)計(jì)算機(jī)病毒的分析，可以確定計(jì)算機(jī)是否具有破壞計(jì)算機(jī)的功能或自我復(fù)制的能力。

5 電子物證的法律定位

5.1 國(guó)際通行做法

當(dāng)前，各個(gè)國(guó)家都在推行電子物證在案件偵查過程中的應(yīng)用。美國(guó)在各項(xiàng)電子交易條款中都對(duì)電子物證作為了一項(xiàng)單獨(dú)的條款，并對(duì)電子物證的相關(guān)執(zhí)行細(xì)節(jié)進(jìn)行了規(guī)定。英國(guó)和法國(guó)等歐洲國(guó)家在國(guó)家的法律體系中也將電子物證作為了重要的內(nèi)容。亞洲的一些國(guó)家，如新加波、印度等也將電子物證作為了法律體系中的重要內(nèi)容。

5.2 電子物證在我國(guó)的法律地位

電子物證在我國(guó)的應(yīng)用起步較晚，截至當(dāng)前，我國(guó)還尚未將電子物證作為一種獨(dú)立的物證來進(jìn)行應(yīng)用。通常，我國(guó)在案件的偵破過程中是將電子物證作為一種聽證材料來進(jìn)行利用的。對(duì)于電子物證的重要性，在司法界中已經(jīng)形成了共識(shí)，但對(duì)其在案件偵破過程中的效力還存在較大的爭(zhēng)議。爭(zhēng)議的主要內(nèi)容是是否應(yīng)當(dāng)將電子物證作為一種單獨(dú)的證據(jù)，還是將視聽證據(jù)。這決定著電子物證是作為一種直接物證還是作為一種間接物證在司法案件中進(jìn)行應(yīng)用。

法律的修改和調(diào)整是需要一定時(shí)間的，但在實(shí)際的案件審查過程中，電子物證的作用已經(jīng)充分的顯現(xiàn)出來了，并且在很多案件的審理過程中都將電子物證作為定罪量刑的重要依據(jù)。

6 將可信時(shí)間戳技術(shù)引入電子物證取證的必要性

6.1 電子物證與傳統(tǒng)物證的區(qū)別

與傳統(tǒng)的物證相比，電子物證的優(yōu)勢(shì)主要體現(xiàn)在兩個(gè)方面。首先，電子物證容易遭到破壞，在運(yùn)輸和讀取的過程中，若處理的方式不當(dāng)就會(huì)對(duì)信息產(chǎn)生改變或破壞。其次，電子物證很容易被修改。電子物證與傳統(tǒng)物證相比較，在真實(shí)性和可靠性的保障較低，容易受到質(zhì)疑。電子信息易受損、易篡改的特點(diǎn)使得電子文件的真實(shí)性很難得到確認(rèn)，一旦在案件的偵破過程中進(jìn)行使用，很容易遭到違法犯罪分子的抵賴。一旦在電子物證的提取或檢測(cè)過程中出現(xiàn)了問題，對(duì)其法律效力將會(huì)產(chǎn)生極大的影響。

6.2 時(shí)間參數(shù)對(duì)于電子物證取證工作的意義

在電子物證的取證過程中時(shí)間參數(shù)是一個(gè)關(guān)鍵的數(shù)據(jù)。對(duì)犯罪過程的調(diào)查都是圍繞著時(shí)間展開的。當(dāng)電子物證的時(shí)間參數(shù)出現(xiàn)問題時(shí)，電子物證的法律效力就會(huì)受到極大的降低。從一定程度上可以說，時(shí)間參數(shù)是電子物證最重要的價(jià)值，是電子物證法律效力的保障。

計(jì)算機(jī)系統(tǒng)中的每一個(gè)文件都具有其特定的時(shí)間戳，通過時(shí)間戳的對(duì)比可以對(duì)文件的創(chuàng)建、修改和訪問時(shí)間進(jìn)行確定。例如，當(dāng)犯罪嫌疑人在網(wǎng)站上發(fā)布一條犯罪信息時(shí)，公安機(jī)關(guān)就可以通過對(duì)該人計(jì)算機(jī)的軟件上的時(shí)間戳進(jìn)行對(duì)比，從而證明信息的發(fā)布者。時(shí)間軸的對(duì)比對(duì)時(shí)間的精確度要求較高。隨著網(wǎng)絡(luò)的普及，信息可以在極短的時(shí)間內(nèi)進(jìn)行傳播。因此，虛假信息可以對(duì)社會(huì)的和諧和穩(wěn)定造成極大的破壞。

7 電子物證平臺(tái)體系結(jié)構(gòu)設(shè)計(jì)

7.1 總體體系結(jié)構(gòu)設(shè)計(jì)

在總體體系結(jié)構(gòu)的設(shè)計(jì)上通常采用三層結(jié)構(gòu)，分別由取證終端、本地服務(wù)器、遠(yuǎn)端服務(wù)器。取證終端主要負(fù)責(zé)證據(jù)的收集工作。本地服務(wù)器負(fù)責(zé)對(duì)登錄用戶的身份進(jìn)行認(rèn)證。遠(yuǎn)程服務(wù)器負(fù)責(zé)對(duì)電子物證的時(shí)間戳進(jìn)行加蓋服務(wù)。電子物證取證平臺(tái)將會(huì)提取電子物證的Hash值，并將其提交給時(shí)間戳認(rèn)證服務(wù)器進(jìn)行認(rèn)證，固化之后的證據(jù)包中將含有電子物證源文件、時(shí)間戳文件和數(shù)字簽名文件。

7.2 系統(tǒng)安全性設(shè)計(jì)

電子物證的安全性需要有第三方的參與來保證。第三方公共機(jī)構(gòu)不直接接觸電子物證，而通過文件的讀取來進(jìn)行取證，這樣就能更好的安全保障。系統(tǒng)安全性的設(shè)計(jì)包括下述一系列的過程：（1）標(biāo)準(zhǔn)時(shí)間的校驗(yàn)。電子物證取證系統(tǒng)本身的系統(tǒng)應(yīng)通過第三方公共時(shí)間戳服務(wù)機(jī)構(gòu)的時(shí)間服務(wù)器校準(zhǔn)，并對(duì)取證時(shí)間進(jìn)行基于國(guó)家標(biāo)準(zhǔn)時(shí)間的實(shí)時(shí)校驗(yàn)。（2）取證人員身邊信息校驗(yàn)。為了確保取證人員身份的合法性，在取證的過程中可以采用數(shù)字簽名技術(shù)。常用的數(shù)字簽名技術(shù)有PKI技術(shù)和數(shù)字證書技術(shù)。在取證時(shí)，取證人員應(yīng)當(dāng)出示由國(guó)家所發(fā)放的身份標(biāo)志，并把身份信息在計(jì)算機(jī)中進(jìn)行記錄。（3）遠(yuǎn)程電子物證IP地址校驗(yàn)。在進(jìn)行遠(yuǎn)程電子物證的取證時(shí)，獲取的IP地址是無(wú)法進(jìn)行篡改的，從而能夠充分的保障信息的準(zhǔn)確性。（4）操作過程保護(hù)。在取證過程中對(duì)生成的文件取Hash值，等生成完整的文件以后再取Hash值，判斷兩個(gè)Hash值是否一樣，一樣則證明文件沒有被篡改，可以進(jìn)行證據(jù)保全，不一樣則證明文件被篡改了，不能作為證據(jù)被保全，以此保證取得證據(jù)的真實(shí)性。（5）自動(dòng)生成電子物證取證報(bào)告。電子物證取證的優(yōu)勢(shì)在于，系統(tǒng)可以根據(jù)取證的內(nèi)容自動(dòng)生成取證報(bào)告。報(bào)告中包括取證的時(shí)間、取證人員的身份、取證信息的簡(jiǎn)單描述等。電子報(bào)告的內(nèi)容通過電子報(bào)告的方式呈現(xiàn)出來，平臺(tái)能夠?qū)讣姆治鼋Y(jié)構(gòu)形成一個(gè)完整的報(bào)告。

8 結(jié)語(yǔ)

在許多國(guó)家的辦案單位中，電子物證取證機(jī)構(gòu)是一個(gè)獨(dú)立的第三方部門，它的取證結(jié)果可靠性受到其操作流程規(guī)范性的影響。因此，相關(guān)部門應(yīng)當(dāng)對(duì)取證的過程進(jìn)行規(guī)范，提高取證的準(zhǔn)確性和可靠性?？尚艜r(shí)間戳技術(shù)是電子物證取證中的一項(xiàng)重要內(nèi)容，主要利用了時(shí)間唯一性的原理，對(duì)物證進(jìn)行遠(yuǎn)程的提取。

[1]黃旭輝．可信時(shí)間戳技術(shù)在電子物證取證中的應(yīng)用[J]．科技資訊，2014．

[2]黃梅竹，裴莉．可信時(shí)間戳在電子檔案安全防護(hù)中的應(yīng)用[J]．北京檔案，2015．

[3]何姍．基于權(quán)威時(shí)間戳的電子數(shù)據(jù)固定方法研究[J]．計(jì)算機(jī)光盤軟件與應(yīng)用，2013．