汪振林,張程緒
(重慶郵電大學(xué)法學(xué)院,重慶400065)
基于時(shí)間屬性的電子郵件真實(shí)性鑒定研究*
汪振林,張程緒
(重慶郵電大學(xué)法學(xué)院,重慶400065)
社會(huì)的發(fā)展和技術(shù)的進(jìn)步使得電子郵件被用作證據(jù)采納運(yùn)用成為可能,但這種可能首要解決的問(wèn)題是電子郵件的真實(shí)性鑒定?,F(xiàn)有電子郵件真實(shí)性鑒定方法均有不足之處,而把電子郵件的時(shí)間屬性作為切入點(diǎn)來(lái)分析和判斷電子郵件真實(shí)性的鑒定方法原理易懂,操作簡(jiǎn)便,容易實(shí)現(xiàn)電子郵件真實(shí)性鑒定目的。基于時(shí)間屬性的電子郵件真實(shí)性鑒定方法包括時(shí)間信息的解析和時(shí)間屬性邏輯關(guān)系的判斷。如果判斷解析的時(shí)間出現(xiàn)邏輯關(guān)系矛盾,則可以認(rèn)定電子郵件遭到篡改,不滿足作為證據(jù)的真實(shí)性條件。
電子郵件;真實(shí)性鑒定;時(shí)間屬性;郵件頭
隨著互聯(lián)網(wǎng)的發(fā)展,中國(guó)已經(jīng)一躍成為網(wǎng)民最多的國(guó)家。截至2012年年底,中國(guó)互聯(lián)網(wǎng)用戶達(dá)到5.64億,互聯(lián)網(wǎng)普及率高達(dá)42.1%[1]。作為互聯(lián)網(wǎng)通信方式的一種,“電子郵件是網(wǎng)絡(luò)用戶進(jìn)行信息交流的常用手段之一”[2]。和傳統(tǒng)通信方式相比,電子郵件的優(yōu)點(diǎn)在于方便快捷、成本低廉和內(nèi)容豐富多彩。郵件通信不僅傳遞文字信息,還傳遞聲音、圖像或者視頻等信息,另外,電子郵件也可以發(fā)送附件,這使計(jì)算機(jī)之間可以便捷地傳遞各種重要文件。在商務(wù)通信往來(lái)中,采用電子郵件通信,不僅方便快捷,還能降低通信成本,提高交易速度。不過(guò),在產(chǎn)生糾紛、需要使用電子郵件作為證據(jù)證明相關(guān)事實(shí)的場(chǎng)合,由于電子郵件的易偽造性、易修改性和依附性,法庭難以徑直認(rèn)定其真實(shí)性,除非當(dāng)事人自認(rèn),否則就需要委托電子數(shù)據(jù)鑒定機(jī)構(gòu)對(duì)電子郵件的真實(shí)性進(jìn)行鑒定。
對(duì)于電子郵件真實(shí)性的鑒定,目前主要采用以下幾種方法。
1.分析電子郵件偽造方法途徑和電子郵件發(fā)送環(huán)境的方法[3]。該方法是較早出現(xiàn)的電子郵件真實(shí)性鑒定方法,是一種開(kāi)放式列舉分析方法。它主要分析電子郵件的工作原理、電子郵件系統(tǒng)的組成和偽造電子郵件的可能方法和形式。不過(guò),在技術(shù)不斷發(fā)展和進(jìn)步的今天,電子郵件服務(wù)器不斷更新?lián)Q代,電子郵件偽造方法途徑層出不窮,這種列舉式方法很難滿足電子郵件真實(shí)性分析的需要。另外,這種分析方法在具體的案件中也沒(méi)有給鑒定人員提出可操作性方案,僅僅停留在理論分析層面。
2.分析電子郵件郵件頭的方法[4]。郵件頭是電子郵件的重要組成部分,其包含了電子郵件發(fā)送過(guò)程相關(guān)的重要信息。這種方法注重分析郵件頭中的時(shí)間信息、發(fā)送路徑信息等,通過(guò)對(duì)這些信息的分析,達(dá)到電子郵件真實(shí)性鑒定的目的。該方法思路清晰,不足之處在于片面強(qiáng)調(diào)電子郵件頭信息的重要性,忽略了其他郵件組成部分的信息。電子郵件中和郵件相關(guān)的重要信息還可能存在于郵件正文和郵件文件存儲(chǔ)系統(tǒng)的屬性信息中,而這部分信息并沒(méi)有被重視。另外,這種方法同樣沒(méi)有提供能夠指導(dǎo)實(shí)務(wù)操作的方案。
3.綜合分析電子郵件的方法[5]。該方法綜合分析電子郵件頭、郵件正文、郵件客戶端、郵件發(fā)送系統(tǒng)等。這種方法從理論上全面分析了電子郵件工作的基本原理,對(duì)真實(shí)性鑒定起著很大的指導(dǎo)作用。不足之處在于該方法分析面太廣,導(dǎo)致深度方面有所欠缺,在一定程度上影響了電子郵件真實(shí)性鑒定的準(zhǔn)確性。
綜上所述,由于已有的鑒定方法均存在不同程度的缺陷,不能徹底解決電子郵件的真實(shí)性鑒定問(wèn)題,因此需要尋找和確定一種新的電子郵件真實(shí)性鑒定方法。
眾所周知,在電子郵件信息中,時(shí)間信息占據(jù)了重要地位,電子郵件系統(tǒng)設(shè)計(jì)者也充分考慮到時(shí)間因素的重要性,在電子郵件的發(fā)送和接收過(guò)程中,郵件系統(tǒng)會(huì)在電子郵件文件中嵌入大量時(shí)間屬性信息,因而,當(dāng)電子郵件遭到偽造之后,很容易在正常的時(shí)間邏輯關(guān)系上表現(xiàn)出前后不一致或者矛盾的現(xiàn)象。為此,筆者認(rèn)為可以確立一種基于時(shí)間屬性的電子郵件真實(shí)性鑒定方法。這種鑒定方法主要包含電子郵件時(shí)間信息的解析和時(shí)間屬性邏輯關(guān)系判斷,如果判斷時(shí)間屬性邏輯關(guān)系出現(xiàn)矛盾,則可以認(rèn)定電子郵件遭到篡改,不滿足作為證據(jù)的真實(shí)性條件。
不過(guò),采用偽造或者篡改得到的電子郵件不一定都表現(xiàn)出時(shí)間邏輯關(guān)系的矛盾,因此,雖然在電子郵件時(shí)間屬性表現(xiàn)出矛盾時(shí),可以采用基于時(shí)間屬性的電子郵件真實(shí)性鑒定方法判斷出電子郵件是不真實(shí)的,但時(shí)間信息不表現(xiàn)出邏輯關(guān)系的矛盾并不必然得出“電子郵件是真實(shí)的”這個(gè)結(jié)論。所以,當(dāng)郵件時(shí)間屬性邏輯關(guān)系不矛盾時(shí),要判斷郵件的真實(shí)性,就要采用其他方法或者從其他切入點(diǎn)著手分析電子郵件的真實(shí)性。即基于時(shí)間屬性的電子郵件真實(shí)性鑒定方法只能“去偽”,不能“存真”。但與其他電子郵件真實(shí)性鑒定方法相比,本方法原理易懂,操作步驟簡(jiǎn)單,應(yīng)是電子郵件真實(shí)性鑒定的首選。以下就該方法的內(nèi)容,即電子郵件時(shí)間信息的解析和時(shí)間屬性邏輯關(guān)系判斷逐一進(jìn)行討論,并通過(guò)實(shí)例就運(yùn)用該方法的具體程序作一說(shuō)明。
基于時(shí)間屬性的電子郵件鑒定方法主要包含電子郵件時(shí)間信息的解析和時(shí)間屬性邏輯關(guān)系判斷兩方面的內(nèi)容,在此先就電子郵件時(shí)間信息解析進(jìn)行討論。
電子郵件主要由郵件頭、正文和附件組成。郵件頭信息保存郵件各種屬性信息,通過(guò)適當(dāng)設(shè)置電子郵件客戶端軟件可以查看。郵件正文通常包含郵件發(fā)送的文字信息、圖片等內(nèi)容,它和郵件附件一起,是能夠被客戶端軟件正常查看和識(shí)別的信息。時(shí)間屬性信息是電子郵件的重要信息,它記錄了電子郵件的發(fā)送過(guò)程、郵件文件生成時(shí)間等信息。電子郵件的時(shí)間屬性信息保存比較分散,在電子郵件頭、磁盤文件系統(tǒng)的文件時(shí)間屬性、郵件附件屬性等位置都能找到該信息,充分解析這些時(shí)間信息是鑒定電子郵件真實(shí)性的關(guān)鍵。
(一)Message ID時(shí)間信息解析
Message ID是電子郵件的“指紋”,由數(shù)字和符號(hào)組成,保存在郵件頭信息里,具有全球唯一性,即在全球不會(huì)找到兩封Massage ID相同的電子郵件。Message ID由發(fā)送方郵件服務(wù)器生成,具體格式會(huì)因電子郵件客戶端軟件的不同而有所不同。所有電子郵件頭信息都能找到Message ID,但并非所有客戶端軟件生成的Message ID都包含有時(shí)間信息。生成的Message ID包含時(shí)間信息的客戶端軟件主要有Outlook Express、Foxmail、Windows Live,以下將對(duì)其逐一進(jìn)行說(shuō)明。
1.Outlook Express的Message ID中的時(shí)間信息
Outlook Express的Message ID格式為:[random]{4}[hex Windows File Time/Date]{8}MYM[hex Windows File Time/time]{8}MYM[hw-hash]{8}@[hostname]。其中,[hex Windows FileTime/Date]表示8位16進(jìn)制數(shù)值的郵件發(fā)送日期,[hex Windows File Time/time]表示8位16進(jìn)制數(shù)值的郵件發(fā)送時(shí)間。在版本6.00.2900.5512之后的客戶端生成的Message ID中不再包含時(shí)間信息。
例如:Outlook Express生成的Message ID為:00061405071cMYM0a352a80MYMc92c030b@smallmin,這表示該電子郵件發(fā)送時(shí)間為:2005年7月28日10時(shí)53分42秒。
2.Foxmail的Message ID中的時(shí)間信息
Foxmail的Message ID格式為:[Datetime]{21}@[hostdomain]。其中,[Datetime]表示21位的日期時(shí)間。
例如:Foxmail生成的Message ID為:Message-id:201105261552312350836@sjtu.edu.cn,這表示該電子郵件發(fā)送時(shí)間為:2011年5月26日15時(shí)52分31秒。
3.Windows Live的Message ID的時(shí)間信息
Windows Live的Message ID格式為:[Windows File Time&Date]{14}[random]{12}@[hostname]。其中,[Windows File Time&Date]{14}表示14位的日期時(shí)間。
例如:Windows Live生成的Message ID為:20120516234308.802465300A3@webmail.sinamail.sin.com.cn,這表示該電子郵件發(fā)送時(shí)間為:2012年5月16日23時(shí)43分8秒。
(二)Date時(shí)間信息解析
Date時(shí)間屬性是指保存在電子郵件頭信息里的郵件發(fā)送時(shí)間。相比Massage ID,其格式較為簡(jiǎn)單。如:Date:Sun,20 May 2012 08:19:44+0800,該Date時(shí)間表示電子郵件發(fā)送時(shí)間為2012年5月20日8時(shí)19分44秒,發(fā)送地點(diǎn)時(shí)區(qū)為東8區(qū)。
(三)Boundary時(shí)間信息解析
Boundary是電子郵件內(nèi)部信息分界標(biāo)記。郵件頭中的Boundary屬性用來(lái)分隔郵件純文本和超文本正文,郵件正文中的Boundary屬性用來(lái)分隔郵件主體、內(nèi)嵌資源(一般為超文本正文的圖片)以及郵件附件[6]。Boundary屬性在郵件頭會(huì)出現(xiàn)一次,在郵件正文會(huì)出現(xiàn)多次。雖然并非所有郵件客戶端生成的Boundary都能解析出時(shí)間信息,但大多數(shù)國(guó)內(nèi)網(wǎng)絡(luò)郵箱客戶端生成的Boundary中都包含時(shí)間信息。以126郵箱為例,Boundary的格式為:----=_part_[random]{6}_[random2]{8}.[UnixTime]{13}。其中,UnixTime是從1970-01-01 00:00:00格林尼治標(biāo)準(zhǔn)時(shí)間到Date時(shí)間的毫秒數(shù)。
Received信息在郵件頭信息里表示郵件的發(fā)送路徑列表,即從發(fā)送者到接收者之間郵件經(jīng)過(guò)郵件服務(wù)器的路徑順序表。Received信息排列在郵件頭的起始位置,從開(kāi)始位置起,第一項(xiàng)記錄是郵件經(jīng)過(guò)的最后經(jīng)過(guò)服務(wù)器信息,最后一項(xiàng)記錄是郵件的起始經(jīng)過(guò)服務(wù)器信息。Received信息的一般格式為:Received:from郵件服務(wù)器域名[郵件服務(wù)器ip地址]+郵件服務(wù)器類型+郵件經(jīng)過(guò)該服務(wù)器時(shí)間+其他時(shí)間信息。例如:Received:from r175-229.sinamail.sina.com.cn(unknown[60.28.175.229])bymx16(Coremail)with SMTP id QsCowED5DUtw+rJPGm72BA--.942S2;Wed,16 May 2012 08:53:04+0800(CST),這里表示電子郵件在16 May 2012 08:53:04+0800時(shí)間經(jīng)過(guò)r175-229.sinamail.sina.com.cn(unknown[60.28.175.229])服務(wù)器。
(五)郵件文件和郵件附件的時(shí)間信息解析
任何電子數(shù)據(jù)的存儲(chǔ)介質(zhì)所采用的文件系統(tǒng)都必然設(shè)計(jì)管理文件屬性信息的功能,文件屬性信息里就包含了時(shí)間信息。文件系統(tǒng)可以簡(jiǎn)單理解為計(jì)算機(jī)或者其他電子設(shè)備在存儲(chǔ)介質(zhì)里的文件保存方法,一般在我們格式化存儲(chǔ)介質(zhì)的時(shí)候產(chǎn)生。文件系統(tǒng)儲(chǔ)存的文件屬性信息包括文件大小、文件的時(shí)間屬性、文件的類型等信息,其中,文件時(shí)間屬性包含文件創(chuàng)建時(shí)間、修改時(shí)間、訪問(wèn)時(shí)間等,文件類型包括文件是否只讀、隱藏、是否為系統(tǒng)文件等。文件系統(tǒng)會(huì)將文件屬性信息和文件內(nèi)容分開(kāi)存儲(chǔ),文件系統(tǒng)不同,時(shí)間屬性的保存位置也不一樣。如早些年計(jì)算機(jī)硬盤和其他電子設(shè)備存儲(chǔ)介質(zhì)較多使用的Fat32文件系統(tǒng)時(shí)間屬性保存在該文件系統(tǒng)數(shù)據(jù)區(qū)的目錄項(xiàng)里,Windows7系統(tǒng)所采用的NTFS文件系統(tǒng)的文件時(shí)間屬性保存在主文件分配表的10H屬性里。郵件客戶端軟件接收、保存電子郵件之后,會(huì)在計(jì)算機(jī)硬盤里寫入電子郵件文件,同時(shí)將時(shí)間屬性信息寫入文件系統(tǒng)相應(yīng)的位置。電子郵件的時(shí)間屬性信息獲取相對(duì)比較容易,和其他文件操作一樣,在Windows操作系統(tǒng)下,找到文件“右擊”,選擇屬性,便能查看到電子郵件的時(shí)間屬性。如果想進(jìn)一步對(duì)比大量電子郵件的時(shí)間屬性,可以用專業(yè)的計(jì)算機(jī)取證分析軟件如X-ways Forensic和Encase先進(jìn)行電子郵件過(guò)濾,然后再分別列出電子郵件的時(shí)間屬性進(jìn)行分析對(duì)比。
另一個(gè)可以提取時(shí)間信息的文件是電子郵件里添加的郵件附件。附件文件通常是計(jì)算機(jī)硬盤里保存的文件,是通過(guò)計(jì)算機(jī)操作或者其他電子設(shè)備生成的,和其他電子數(shù)據(jù)文件的時(shí)間屬性一樣,這就必然在文件屬性里包含文件時(shí)間屬性信息,如文件創(chuàng)建時(shí)間、修改時(shí)間、訪問(wèn)時(shí)間等,電子郵件的發(fā)送也將這些信息一同發(fā)送給郵件的接收者。附件文件的時(shí)間屬性相比其他時(shí)間信息較為隱蔽,不容易被察覺(jué)和重視,也往往被取證人員或者鑒定人員所忽略,而獲取該信息也要通過(guò)專業(yè)的軟件。在實(shí)踐中鑒定人員通常采用Intella或者Nuix軟件來(lái)查看郵件附件文件的時(shí)間屬性,操作很簡(jiǎn)便。
(六)時(shí)間信息解析的工具和步驟
電子郵件分析有專業(yè)的分析軟件,比如Intella和Nuix Forensics,它們都可以在加載電子郵件文件之后,通過(guò)查看郵件頭信息,直觀方便地查找出郵件頭信息里的時(shí)間屬性信息。電子郵件文件儲(chǔ)存在硬盤的二進(jìn)制數(shù)據(jù)直接轉(zhuǎn)化為ASSIC碼數(shù)據(jù)之后,文件的起始位置就是電子郵件頭信息,如Received、Date和Message ID等信息,這些數(shù)據(jù)或者時(shí)間信息的獲取,簡(jiǎn)單的二進(jìn)制代碼查看軟件就能做到,如Winhex軟件就能查看。專業(yè)的電子郵件分析軟件的不同之處在于將這些數(shù)據(jù)以一種更加直觀的方式呈現(xiàn)給使用者,同時(shí)挖掘深層次的數(shù)據(jù),比如解析電子郵件的內(nèi)容、分析電子郵件附件文件的內(nèi)容和文件屬性信息,專業(yè)的郵件分析軟件的操作也較為簡(jiǎn)便。Intella軟件的電子郵件分析步驟是加載電子郵件文件之后,雙擊郵件文件,點(diǎn)擊郵件頭就能看到郵件頭信息;點(diǎn)擊附件,雙擊附件文件就能看到附件文件和該文件的屬性信息。X-ways Forensic軟件在過(guò)濾出電子郵件文件之后,在電子郵件查閱窗口便可以查看郵件頭的各種數(shù)據(jù),比如Message ID、Date等信息。
一封沒(méi)有經(jīng)過(guò)篡改或者偽造的電子郵件發(fā)送和接收必然要滿足時(shí)間結(jié)構(gòu)上的邏輯關(guān)系,并遵循時(shí)間先后邏輯順序關(guān)系,這是電子郵件發(fā)送必須要遵守的客觀規(guī)律,電子郵件時(shí)間結(jié)構(gòu)的這種關(guān)系主要表現(xiàn)在時(shí)間統(tǒng)一和時(shí)間的先后順序方面。電子郵件在遭到篡改或者偽造之后通常會(huì)表現(xiàn)出時(shí)間邏輯結(jié)構(gòu)方面的矛盾,即時(shí)間的不統(tǒng)一或者時(shí)間先后順序的錯(cuò)亂。經(jīng)過(guò)篡改或者偽造的電子郵件時(shí)間邏輯結(jié)構(gòu)矛盾情況的出現(xiàn)與電子郵件時(shí)間信息的提取位置有關(guān),不同位置提取的時(shí)間信息在矛盾表現(xiàn)上也不一致。
(一)時(shí)間信息的統(tǒng)一性分析
一些電子郵件的Message ID和Boundary信息能夠解析出該電子郵件的發(fā)送時(shí)間,在這類電子郵件頭的郵件信息里,Date信息、Message ID和Boundary信息是在電子郵件發(fā)送過(guò)程中同時(shí)生成的,其內(nèi)部解析出的時(shí)間信息應(yīng)當(dāng)具備統(tǒng)一性,即三個(gè)時(shí)間值要完全一致。另外,在電子郵件經(jīng)過(guò)第一個(gè)服務(wù)器時(shí),Received From信息里添加了第一條記錄,也就是郵件頭信息中的最后一條記錄,該記錄的時(shí)間信息也是郵件的發(fā)送時(shí)間,故和Date時(shí)間信息應(yīng)該具備統(tǒng)一性?,F(xiàn)實(shí)中考慮到郵件數(shù)據(jù)傳遞設(shè)備的延時(shí)效果,該時(shí)間信息和Date時(shí)間信息相比可能會(huì)有出入,但是不會(huì)太大。電子郵件時(shí)間屬性統(tǒng)一性分析通過(guò)對(duì)比解析出的時(shí)間信息,根據(jù)時(shí)間信息的統(tǒng)一關(guān)系,可確認(rèn)時(shí)間信息是否遭到篡改,如發(fā)現(xiàn)時(shí)間信息遭到篡改,便可以判斷出該電子郵件不具有真實(shí)性。
(二)時(shí)間先后順序分析
時(shí)間先后順序是電子郵件時(shí)間分析涉及時(shí)間點(diǎn)最多的邏輯關(guān)系。電子郵件發(fā)送過(guò)程中,各個(gè)包含時(shí)間信息的數(shù)據(jù)生成的時(shí)間先后不一樣,這就導(dǎo)致這些時(shí)間表現(xiàn)為先后順序,這種時(shí)間先后順序的不同會(huì)因時(shí)間提取點(diǎn)的不同而不同。第一,電子郵件的發(fā)送時(shí)間必然在先,接收在后。電子郵件在發(fā)送的過(guò)程中時(shí)間信息要滿足先后順序,這部分的分析可以檢查電子郵件發(fā)送接收時(shí)間信息的先后順序。第二,Received最后一條記錄為電子郵件經(jīng)過(guò)的第一個(gè)服務(wù)器,這條記錄記錄的時(shí)間信息最早,依次稍微延時(shí),直到最后一條記錄,也就是第一條時(shí)間記錄最晚。Received信息生成于電子郵件發(fā)送傳輸過(guò)程中,電子郵件在網(wǎng)絡(luò)中以光速傳播,考慮到實(shí)際電子設(shè)備的延時(shí)效果,電子郵件依次經(jīng)過(guò)的服務(wù)器時(shí)間也會(huì)有差距和延時(shí),但是時(shí)間不會(huì)延遲太久,所以表現(xiàn)出時(shí)間的先后順序。第三,發(fā)送端郵件文件的生成時(shí)間在電子郵件接收時(shí)間之前,電子郵件接收端郵件文件生成時(shí)間在電子郵件發(fā)送之后。電子郵件完成發(fā)送之后,客戶端軟件就會(huì)在本地計(jì)算機(jī)保存電子郵件文件,電子郵件接收之后才能再生成電子郵件文件,因此,解析出的郵件文件生成時(shí)間必然是發(fā)送端郵件文件的生成時(shí)間在電子郵件接收時(shí)間之前,電子郵件接收端郵件文件生成時(shí)間在電子郵件發(fā)送之后,這是電子郵件發(fā)送接收的邏輯規(guī)律。第四,電子郵件附件文件的創(chuàng)建時(shí)間在發(fā)送時(shí)間之前。郵件的附件文件一定是計(jì)算機(jī)或者其他電子設(shè)備創(chuàng)建完成的電子數(shù)據(jù),否則不能添加為附件文件并發(fā)送給郵件接收人,文件建立的活動(dòng)在發(fā)送之前,故電子郵件的建立時(shí)間一定在電子郵件發(fā)送時(shí)間之前。
電子郵件的時(shí)間先后順序分析方法是電子郵件時(shí)間邏輯關(guān)系分析方法中最重要的分析方法,這是由電子郵件活動(dòng)過(guò)程所遵循的邏輯順序決定的。通過(guò)解析電子郵件的時(shí)間,并進(jìn)行各種邏輯關(guān)系論證,便能準(zhǔn)確排除已經(jīng)被污染的電子郵件證據(jù)。
下文將通過(guò)司法鑒定實(shí)務(wù)中的一個(gè)真實(shí)案例來(lái)說(shuō)明基于時(shí)間屬性的電子郵件真實(shí)性鑒定方法的具體程序。
在××民事訴訟中,被告向法庭提交了若干封與原告往來(lái)作為證據(jù)的電子郵件,原告對(duì)其中主題為“貨款”和“催收”的兩封電子郵件提出異議。現(xiàn)法院送檢原告方提交的用于收發(fā)電子郵件的計(jì)算機(jī)的硬盤,委托A司法鑒定中心對(duì)其中有爭(zhēng)議的兩封電子郵件的真實(shí)性進(jìn)行司法鑒定①該案例系筆者所在單位主管的A司法鑒定中心2012年接受委托的鑒定案件。接受委托后,鑒定人員運(yùn)用基于時(shí)間屬性的電子郵件真實(shí)性鑒定方法進(jìn)行鑒定,得出的鑒定意見(jiàn)提交法庭經(jīng)過(guò)質(zhì)證后為法庭所采信?!,F(xiàn)將該案鑒定程序的主要內(nèi)容說(shuō)明如下。
(一)證據(jù)保全
A司法鑒定中心工作人員依照鑒定程序首先記錄硬盤的相關(guān)信息,在送檢方和工作人員的見(jiàn)證之下拆封硬盤接口封條,用硬盤復(fù)制機(jī)對(duì)整個(gè)硬盤二進(jìn)制數(shù)據(jù)進(jìn)行克隆制作硬盤鏡像,同時(shí)計(jì)算檢材硬盤和硬盤鏡像的哈希值。在確認(rèn)兩者一致后,檢材硬盤送交保管,硬盤鏡像用于鑒定,即后期所有鑒定工作均在硬盤鏡像上進(jìn)行。證據(jù)保全的作用在于獲得可供鑒定使用的復(fù)制件,避免在證據(jù)源盤上進(jìn)行操作可能發(fā)生的毀壞或污染電子數(shù)據(jù)的風(fēng)險(xiǎn)。
(二)電子郵件檢驗(yàn)分析
將硬盤鏡像通過(guò)只讀設(shè)備連接鑒定用計(jì)算機(jī),用文件分析軟件分析硬盤文件,過(guò)濾出有爭(zhēng)議的電子郵件文件,同時(shí)計(jì)算電子郵件文件的哈希值,最后采用專業(yè)電子郵件分析軟件分析有爭(zhēng)議的兩封電子郵件。電子郵件分析主要是提取電子郵件內(nèi)容、郵件頭信息、郵件文件屬性信息、郵件附件內(nèi)容和附件屬性信息,分析兩封電子郵件相關(guān)信息,判斷電子郵件是否偽造或篡改。檢驗(yàn)分析過(guò)程應(yīng)使用專業(yè)的取證分析工具,并遵守相應(yīng)的鑒定技術(shù)規(guī)范。具體分析過(guò)程及結(jié)果如下。
1.主題為“貨款”的電子郵件的檢驗(yàn)分析。郵件頭中Data、Message ID以及Received中的時(shí)間均為2012年3月17日,首先使用分析軟件查看郵件的文件屬性,顯示“創(chuàng)建時(shí)間”也為2012年3月17日,表明此封郵件是在2012年3月17日生成。使用分析軟件查看郵件的文件屬性,顯示“修改時(shí)間”為2012年3月21日,這表明此郵件于2012年3月21日被修改。其次查看郵件時(shí)間和附件時(shí)間屬性,使用分析軟件查看郵件附件“協(xié)信公司聲明.doc”,顯示其創(chuàng)建時(shí)間為2012年3月21日,郵件附件應(yīng)早于郵件或與郵件同時(shí)創(chuàng)建,附件的創(chuàng)建時(shí)間與郵件的創(chuàng)建時(shí)間存在明顯的矛盾。綜上,通過(guò)對(duì)郵件頭、文件時(shí)間屬性及附件的時(shí)間屬性的分析,可以得出鑒定意見(jiàn),即該郵件應(yīng)經(jīng)過(guò)偽造、篡改。
2.主題為“催收”的電子郵件的檢驗(yàn)分析。郵件頭中的Message ID與Date同時(shí)生成,故從Message ID中提取的時(shí)間應(yīng)與從Date中提取的時(shí)間一致,Received中提取的時(shí)間也應(yīng)與Date中提取的時(shí)間一致或略微延后。通過(guò)分別提取郵件中郵件頭的Message ID、Date及Received的時(shí)間信息,發(fā)現(xiàn)三個(gè)時(shí)間存在較大差異,綜上,可以得出鑒定意見(jiàn):該郵件應(yīng)經(jīng)過(guò)偽造、篡改。
(三)鑒定意見(jiàn)書制作提交與存檔
A司法鑒定中心工作人員在完成以上檢驗(yàn)分析步驟之后制作了司法鑒定意見(jiàn)書,鑒定意見(jiàn)為:“1.主題為‘貨款’的郵件,經(jīng)過(guò)偽造、篡改;2.主題為‘催收’的郵件,經(jīng)過(guò)偽造、篡改?!辈⑵渑c檢材、附件光盤一起提交法院,同時(shí)在鑒定中心存檔一份。制作鑒定意見(jiàn)書應(yīng)符合《司法鑒定文書規(guī)范》的要求,便于對(duì)電子郵件證據(jù)的質(zhì)證和認(rèn)定。存檔司法鑒定意見(jiàn)書的目的是便于進(jìn)行業(yè)務(wù)總結(jié)和方便外部監(jiān)督。
基于時(shí)間屬性的電子郵件真實(shí)性鑒定,關(guān)鍵在于解析電子郵件在發(fā)送過(guò)程中生成的時(shí)間信息,判斷這些時(shí)間所遵循的邏輯關(guān)系是否成立,以鑒定電子郵件的真?zhèn)?、認(rèn)定電子郵件證據(jù)真實(shí)性。電子數(shù)據(jù)作為新的證據(jù)類型已為訴訟法所規(guī)定[7],隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步普及,電子數(shù)據(jù)在電子商務(wù)案件、電子政務(wù)案件、網(wǎng)絡(luò)侵權(quán)和網(wǎng)絡(luò)犯罪案件中將會(huì)得到越來(lái)越廣泛的運(yùn)用,作為電子數(shù)據(jù)之一的電子郵件由于其易偽造性、易修改性和依附性,在訴訟中往往需要進(jìn)行真實(shí)性鑒定。由于基于時(shí)間屬性電子郵件真實(shí)性鑒定方法的可靠性和簡(jiǎn)易性,其在電子郵件真實(shí)性鑒定中將會(huì)起到不可替代的作用。
[1] 工業(yè)和信息化部電信管理局許廉先生致辭[EB/OL].(2013-03-28)[2013-10-02].http://tech.china.com/news/net/domestic/11066127/20130328/17751876.html.
[2] 廖根為.論電子郵件證據(jù)證明力[J].安徽師范大學(xué)學(xué)報(bào):人文社會(huì)科學(xué)版,2010(3):304-308.
[3] 廖根為.電子郵件真?zhèn)舞b定初探[J].犯罪研究,2009(3):42-48.
[4] 郭弘,金波.利用郵件頭分析電子郵件的真?zhèn)危跩].中國(guó)司法鑒定,2010(4):63-68.
[5] 李巖,施少培,楊旭,等.電子郵件真實(shí)性鑒定方法探索[J].中國(guó)司法鑒定,2012(4):94-99.
[6] 聶小塵,邱衛(wèi)東,李巖,等.基于多屬性的電子郵件鑒定研究[J].信息安全與通信保密,2012(2):76-77,80.
[7] 汪振林.電子數(shù)據(jù)原件問(wèn)題研究[J].重慶郵電大學(xué)學(xué)報(bào):社會(huì)科學(xué)版,2012(5):33-37.
?
時(shí)間信息解析
Time Attribute-based Identification of the Authenticity of the E-mail
WANG Zhenlin,ZHANG Chengxu
(College of Law,Chongqing University of Posts and Telecommunications,Chongqing 400065,China)
The development of society and technologymakes the adoption of e-mail to be used as the evidence possible,but itmay be the most pressing issue to identify the authenticity of e-mail.Existing e-mail authenticity identification methods have shortcomings,but themethod taking the time attribute of the e-mail as an entry point to analyze and judge the authenticity of the e-mail is easy to understand,operate and easy to implement e-mail authenticity identification purposes.This time attribute-based identification of the authenticity of the e-mailmethod includes the time attribute information extraction and time attribute logic relationship judgment.If the time attribute has logical relationship conflicts,you can be sure that the e-mail has been tampered with,and it can not satisfy the authenticity conditions as evidence.
e-mail;authenticity identification;time attribute;e-mail head
TP393.098
A
1673-8268(2014)02-0036-06
(編輯:劉仲秋)
10.3969/j.issn.1673-8268.2014.02.007
2013-11-05
2013-12-10
教育部人文社會(huì)科學(xué)研究青年基金項(xiàng)目:刑事電子證據(jù)規(guī)則研究(13YJC820109)
汪振林(1965-),男,安徽安慶人,副教授,法學(xué)博士,主要從事訴訟法學(xué)、證據(jù)法學(xué)研究。
重慶郵電大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)2014年2期