可信时间戳技术在电子物证取证中的应用分析

2016-03-14王彩玲

网络安全技术与应用 2016年11期

关键词：物证案件信息

◆王彩玲高倩

（河南警察学院河南 450046）

可信时间戳技术在电子物证取证中的应用分析

◆王彩玲高倩

（河南警察学院河南 450046）

信息技术和计算机设备的应用给人们生活带来便利的同时，也成为一些不法分子违法犯罪的手段。近年来，我国刑事案件中利用计算机进行犯罪的案件比例在逐年上涨，从而对我国打击犯罪的技术提出了更高的要求。可信时间戳技术是近年来发展起来的一种电子取证技术，在取证的有效性和可靠性上都有了显著的提升。本文对相关的技术理论进行了阐释，并分析了这一技术的具体应用方法。

时间戳；电子物证；取证

0 引言

随着计算机的普及，违法犯罪分子的作案手段也有了新的途径。通过计算机进行信息的窃取、篡改、盗取商业机密等案件层出不穷，给案件的侦破带来了一定的难度。在高科技犯罪安监站中，采用传统的电子物证取证已经无法起到良好的效果，可信时间戳技术的发明也应用有效的解决了这一问题。本文就对这一技术的发展和应用进行了详细的说明及分析。

1 电子物证相关概念

1.1 电子物证

根据我国《行政诉讼法》对物证的定义，犯罪嫌疑人在作案过程中使用、产生、遗留、移动的所有物品都被称为物证。电子物证是物证的一种类型，它是通过电子设备对信息进行记录和传输的。电子信息包括计算机程序、声音、图像、文字以及这些信息的派生物。电子物证可以分为本地电子物证和远程电子物证两种类别。本地电子物证是储存在本地介质中的一类电子物证。它可以直接从电子的源文件中进行获取，而远程电子物证是指存储在远程服务器上的物证，不能直接通过电子源文件进行获取，只能以文件的形式进行传输。

1.2 电子证取证

物证的取证是指执法人员为调查案件的情况，依照相关的法律规定和程序对电子物证进行提取、保存、分析等过程。电子物证的取证通常是通过电子载体中数据信息的读取来实现的。在提取了电子载体中的信息后，执法人员必须对其中的信息进行分析、整理和审查，对数据进行合理的筛选，选择那些能够为案件的侦破提供帮助的数据。

2 可信时间戳

2.1 时间戳

时间戳是指描述某一个事件发生时间的计算机字符。在一般的计算机系统中，对文件的操作分为创建、修改和访问三种类型，相应的，系统中的每一个文件都拥有三个时间戳。但需要引起注意的是，计算机中记录的时间戳是以计算机内部的时钟为依据的，有时候会与实际的时间存在一定的偏差。

2.2 可信时间戳

可信时间戳是由具有一定权威性的第三方公布的时间戳依据，具有较强的法律效益和凭证。在可信时间戳中，时间戳与计算机中的数据是一一对应的，数据内容包括数据的生成时间、时间戳的信息等。

3 电子物证的种类

电子物证具有多种存在方式，常见的形式包括视频、声音、图像、文字等。只要其中任何一种形式的物证能够证明犯罪情况的存在，都能够成为案件中重要的物证。电子文件主要有五种类型，分别是字处理文件、图形处理文件、数据库文件、程序文件、影音文件等。字处理文件是指经过文字处理后形成的文件，通常由文字、标点、编码、符合等组成。由不同文字处理程序产生的字处理文件有时在打开时不能兼容，因此文件不能直接进行读取，需要经过一定的程序转换。图形处理文件是指通过计算机辅助的图形处理软件处理过的图形数据。图形文件具有更高的直观性，能够更好的反映信息内容。数据库文件是指原始数据记录而成的文件。数据库中的大多数信息都属于源文件，具有很高的参考价值。但通常需要经过整理和分析后才能成为有效的物证。程序文件是指计算机内部所包含的各个程序软件，是实现人机交流的主要途径。影音文件也就是人们常说的多媒体文件。这些文件通常是通过扫描、捕捉、录入的方式进行记录的。

4 电子物证取证的任务

4.1 认定信息的存在性

电子物证取证的首要任务是确定存储媒介上的信息是否真实存在。这一过程需要对存储媒介进行深入的分析，并排除其中的有害信息。存储媒介中包含许多的种类，如硬盘、软盘、内存、读卡器、打印机等。

4.2 认定信息的量

物证信息的量对罪犯的定罪有着直接影响。因此，对于物证信息量的确定是十分关键的。特别是对于制作传播淫秽物品的案件来说，只有对淫秽信息的数量进行确定后，才能对案件的性质进行确认。

4.3 认定信息的来源

通过对信息的分析确定信息的传播方式、产生形式、产生时间等，从而从根本上确定信息传播的目的。例如对网上某张图片是由哪一种类型的相机进行拍摄、某个程序代码的发布者等都属于对信息来源的调查。

4.4 认定程序功能

认定程序功能就是指对程序进行静态和动态的分析，从而确定程序是否具有某种特定的功能。例如对一些恶意程序和木马软件的分析可以确定犯罪过程的各项信息，并且实现远程的控制。通过对计算机病毒的分析，可以确定计算机是否具有破坏计算机的功能或自我复制的能力。

5 电子物证的法律定位

5.1 国际通行做法

当前，各个国家都在推行电子物证在案件侦查过程中的应用。美国在各项电子交易条款中都对电子物证作为了一项单独的条款，并对电子物证的相关执行细节进行了规定。英国和法国等欧洲国家在国家的法律体系中也将电子物证作为了重要的内容。亚洲的一些国家，如新加波、印度等也将电子物证作为了法律体系中的重要内容。

5.2 电子物证在我国的法律地位

电子物证在我国的应用起步较晚，截至当前，我国还尚未将电子物证作为一种独立的物证来进行应用。通常，我国在案件的侦破过程中是将电子物证作为一种听证材料来进行利用的。对于电子物证的重要性，在司法界中已经形成了共识，但对其在案件侦破过程中的效力还存在较大的争议。争议的主要内容是是否应当将电子物证作为一种单独的证据，还是将视听证据。这决定着电子物证是作为一种直接物证还是作为一种间接物证在司法案件中进行应用。

法律的修改和调整是需要一定时间的，但在实际的案件审查过程中，电子物证的作用已经充分的显现出来了，并且在很多案件的审理过程中都将电子物证作为定罪量刑的重要依据。

6 将可信时间戳技术引入电子物证取证的必要性

6.1 电子物证与传统物证的区别

与传统的物证相比，电子物证的优势主要体现在两个方面。首先，电子物证容易遭到破坏，在运输和读取的过程中，若处理的方式不当就会对信息产生改变或破坏。其次，电子物证很容易被修改。电子物证与传统物证相比较，在真实性和可靠性的保障较低，容易受到质疑。电子信息易受损、易篡改的特点使得电子文件的真实性很难得到确认，一旦在案件的侦破过程中进行使用，很容易遭到违法犯罪分子的抵赖。一旦在电子物证的提取或检测过程中出现了问题，对其法律效力将会产生极大的影响。

6.2 时间参数对于电子物证取证工作的意义

在电子物证的取证过程中时间参数是一个关键的数据。对犯罪过程的调查都是围绕着时间展开的。当电子物证的时间参数出现问题时，电子物证的法律效力就会受到极大的降低。从一定程度上可以说，时间参数是电子物证最重要的价值，是电子物证法律效力的保障。

计算机系统中的每一个文件都具有其特定的时间戳，通过时间戳的对比可以对文件的创建、修改和访问时间进行确定。例如，当犯罪嫌疑人在网站上发布一条犯罪信息时，公安机关就可以通过对该人计算机的软件上的时间戳进行对比，从而证明信息的发布者。时间轴的对比对时间的精确度要求较高。随着网络的普及，信息可以在极短的时间内进行传播。因此，虚假信息可以对社会的和谐和稳定造成极大的破坏。

7 电子物证平台体系结构设计

7.1 总体体系结构设计

在总体体系结构的设计上通常采用三层结构，分别由取证终端、本地服务器、远端服务器。取证终端主要负责证据的收集工作。本地服务器负责对登录用户的身份进行认证。远程服务器负责对电子物证的时间戳进行加盖服务。电子物证取证平台将会提取电子物证的Hash值，并将其提交给时间戳认证服务器进行认证，固化之后的证据包中将含有电子物证源文件、时间戳文件和数字签名文件。

7.2 系统安全性设计

电子物证的安全性需要有第三方的参与来保证。第三方公共机构不直接接触电子物证，而通过文件的读取来进行取证，这样就能更好的安全保障。系统安全性的设计包括下述一系列的过程：（1）标准时间的校验。电子物证取证系统本身的系统应通过第三方公共时间戳服务机构的时间服务器校准，并对取证时间进行基于国家标准时间的实时校验。（2）取证人员身边信息校验。为了确保取证人员身份的合法性，在取证的过程中可以采用数字签名技术。常用的数字签名技术有PKI技术和数字证书技术。在取证时，取证人员应当出示由国家所发放的身份标志，并把身份信息在计算机中进行记录。（3）远程电子物证IP地址校验。在进行远程电子物证的取证时，获取的IP地址是无法进行篡改的，从而能够充分的保障信息的准确性。（4）操作过程保护。在取证过程中对生成的文件取Hash值，等生成完整的文件以后再取Hash值，判断两个Hash值是否一样，一样则证明文件没有被篡改，可以进行证据保全，不一样则证明文件被篡改了，不能作为证据被保全，以此保证取得证据的真实性。（5）自动生成电子物证取证报告。电子物证取证的优势在于，系统可以根据取证的内容自动生成取证报告。报告中包括取证的时间、取证人员的身份、取证信息的简单描述等。电子报告的内容通过电子报告的方式呈现出来，平台能够将案件的分析结构形成一个完整的报告。