基本要求
电子数据的取证和鉴定有一个区分,取证的主体主要是执法人员。鉴定主要是独立的第三方,提供鉴定结论,技术本质上是一样的,称为电子数据取证技术,也可以说是电子数据鉴定技术。因为电子数据司法鉴定是一项必须符合法律要求的活动。那么为了保证所获取电子证据法律的有效性,电子数据鉴定过程需要遵循以下基本要求1:
任何处理的行为不能更改被检验介质上的数据,必须使用司法意义上的捷径的工作介质,对原始数据进行径向、拷贝和分析,并保障被检验介质的数据完整性。数据完整性是这个环节的关键点。
如果不得不访问这个原始介质,访问者必须掌握这种技能,并证明行为的必要性和可能造成的后果。
对证据处理的过程中要详细记录,独立的第三方应该能根据记录可以重复检验鉴定的过程,并能获得同样的结果。
检验数据的计算机系统及辅助的软件必须保证安全可信。
电子数据司法鉴定的主要任务:
电子数据内容统一性的认定。
电子数据的真伪及形成过程的鉴定。
电子数据内容的生成、传递、存储及来源情况的认定。
电子数据与案件事实的因果关系及确定事实的程度。
关键技术围绕着基本要求和主要任务去司法鉴定,鉴定技术主要包括以下三类关键技术1:
电子数据的复制技术它主要指从待鉴定的设备中把电子数据复制出来,以固定证据数据,并保证这个证据数据的原始性和证据数据的完整性。待鉴定设备是指存储、处理或者传输二进制数据的设备,包括计算机、通信设备、网络设备、电子数据存储设备等。该技术主要涉及到各种设备中存储数据的写保护技术、主比特的数据复制技术、可信值的校验技术和数据擦除技术。数据擦除技术保证在司法意义上的决定介质。
数据规模技术它是对电子数据中被删除、覆盖、损害或者加密的文件进行还原恢复。它主要涉及有文件系统级的恢复技术,比方系统崩溃了,需要恢复,然后把里面的证据文件清理出来。然后系统文件应用级的恢复技术,数据库的恢复文件以及错误文件修复技术和加密文档的破解技术。
数据搜索分析技术这是指在这样的数据中搜索特定的信息并加以关联,进行有效的分析。如文件属性分析,文件的数字摘要分析,日志分析等等。它主要涉及对于文本信息的搜索关联技术和图象、音频、视频内容的识别技术和海量数据的分析技术。
基础工作电子数据鉴定的基础工作主要是包括两个方面。一是鉴定过程的规范化和鉴定技术的标准化。规范化可以通过立法或者一些规章制度来解决。但是鉴定技术标准化就显的更为复杂,必须在研究国外的电子数据取证和鉴定技术基础上,根据我国的法律结合国内的司法实践活动进行逐步的完善。在鉴定技术标准中,鉴定工具的标准是目前急需解决的问题,我国当前应用于电子数据鉴定中的工具主要是国外的电子数据鉴定设备和软件。那么这些设备和工具能否应用于我国的电子数据鉴定领域呢?能够用于鉴定的标准是什么?以及具备什么条件的机构可以生产这些设备和工具。电子数据鉴定专用工具的质量好坏直接关系到鉴定结论的准确性,关系到司法活动的公平性和公正性。因此制订相应的标准来规范鉴定工具的研发和生产过程,检测和认定这些工具的质量,对电子数据鉴定的规范化是十分必要的1。
在电子数据鉴定的基础工作方面,在我国首先是公安部公共信息网络安全监察局在2008年初提出的4个社会公共安全行业标准(待批),它主要包括数字化设备证据数据发现提取固定方法(这是程序上的规定),还有程序功能检验方法,电子数据存储介质写保护设备的要求及检测方法和电子数据存储介质、复制工具要求及检测方法。起草单位包括福建的厦门市美亚柏科资讯科技有限公司和国家计算机病毒应急处理中心。公安部第三研究所电子数据司法鉴定技术实验室于2007年年底开展了一些基础工作,主要是电子证据鉴定工具体系和鉴定工具检测项目的研究,主要研究以下的几个内容:
首先,是对电子证据和工具进行分类,提出各种鉴定工具应该具备的功能和性能指标,以及每一类这样的证据它应该对应的鉴定工具是什么?在实践中指导我们自主开发专门的鉴定工具,指导从业人员在司法实践中,面对一个电子证据选择适当的鉴定工具。
第二,在鉴定工具的使用中发现,即使技术成熟、应用广泛的工具也难免会出现不符合法律取证要求、程序错误、不便使用等问题。为防止这些错误所导致的数据损坏和证据失效,对目前常用的鉴定工具的可靠性、有效性进行检测评估是非常必要的。我们吸取了美国一个项目的经验,该项目就是2002年启动了CFTT项目——针对计算机取证的工具检测项目。它对美国的各个执法部门当前应用的150多种鉴定工具进行了有效性检测。截止2008年9月,CFTT项目已经完成对多种磁盘影像类软件写保护和硬件写保护类鉴定工具的测评,并已经展开字符串、搜索类的工具测评,而国内在这方面还是空白。因此,结合我国的国情和司法体制,从实际出发,深入研究各类取证与鉴定工具的检测方法,并对现有常用工具实施有效性检测,最后提交对每一类工具的检测报告,提出对我国电子数据的鉴定工具检测规范和建议。
第三,在数据鉴定的过程中,如何从海量的数据中发现证据是一个具有挑战性的工作。据统计在一个计算机系统中,已知的常用文件占据该系统所有文件的40%-95%,例如如果单纯的安装了一个Windows2000的操作系统的计算机,其中有7720个文件,这里只有840个文件是未知的,已知文件占所有文件的89%。如果排除了这些已知的文件,就会为鉴定工作节省大量的时间和精力。美国的NSRL这个项目,就建设了一个庞大的软件参考库,把目前在美国常用的软件每个软件做哈希值标注于正常的文件,然后在海量数据中进行排除,筛选出用户产生的文件和一些被恶意篡改的文件,在鉴定时就针对这些文件就可以了,因此建立我国的软件参考库就很有意义。
第四,鉴定工具的开发。美国在这方面投入力量最大,技术也是最领先的国家,其中NTI是美国最大的计算机取证专业公司。我国在鉴定工具的研发方面还有很大的差距,目前主要是翻译汉化或者改版国外的工具,真正适用的工具并不多。因此,自主开发适合我国国情的、能够全面的检查数字化设备与网络系统的鉴定工具与软件已经迫在眉睫。
挑战当前电子数据司法鉴定技术面临的挑战2:
越来越多的案件不再只是针对某一台设备的分析,而是需要分析有证据关联性的多台设备。比如,使用云计算来进行数据的远端处理和存储,就意味着甚至常常无法获取需要分析的设备。
操作系统和文件格式的增多极大增加了鉴定工具开发的复杂度和成本。
在进行电子数据司法鉴定时,为了避免破坏原始证据,鉴定人员一般不会直接对原始的存储设备进行鉴定操作,而是先取出原始存储设备,对原始数据进行完整、精确、无损的镜像,再对镜像数据进行鉴定。而嵌入式FLASH存储设备的流行和硬件接口类型的大量增加意味着存储设备不再容易被取出以进行完整镜像。
加密技术的成熟和广泛使用意味着即使数据能够恢复和查看,也难以解密其含义。
鉴定人员已经开始陷入不能以一种合理的方法来获得数据或者在获得数据后进行处理直至完成的困境。证据,特别是用于法庭辩论的关键证据,常常被例行地遗失掉。当调查人员面对手机时,这个问题最为明显。在我国还没有专门针对手机鉴定的技术标准和技术规范。