吳育寶,楊一濤
(南京森林警察學(xué)院,信息技術(shù)學(xué)院,江蘇 南京 210023)
犯罪現(xiàn)場(chǎng)勘查通常指刑事案件發(fā)生后,偵査人員為了査明犯罪事實(shí),收集犯罪證據(jù),揭露證實(shí)犯罪人,依法對(duì)與犯罪有關(guān)的人和事以及場(chǎng)所、物品、人身、尸體等所進(jìn)行的現(xiàn)場(chǎng)訪(fǎng)問(wèn)和勘驗(yàn)檢査工作,必須依據(jù)國(guó)家法律、法規(guī),運(yùn)用刑事科學(xué)技術(shù)手段在特定空間領(lǐng)域內(nèi)進(jìn)行[1]。隨著科技的進(jìn)步,公安的各項(xiàng)警務(wù)工作也進(jìn)入了數(shù)字化時(shí)代,現(xiàn)場(chǎng)勘查中的現(xiàn)場(chǎng)記錄也全面轉(zhuǎn)身電子化、數(shù)字化形式,這對(duì)現(xiàn)場(chǎng)勘查記錄的有效性、真實(shí)性和合法性提出了新的挑戰(zhàn)。本文首先闡述現(xiàn)場(chǎng)勘查電子記錄在案件證據(jù)鏈中的作用,結(jié)合我國(guó)司法制度解釋保證現(xiàn)勘記錄客觀(guān)、準(zhǔn)確的重要性和必要性;然后根據(jù)現(xiàn)場(chǎng)勘查的特點(diǎn),結(jié)合時(shí)、空、人三維數(shù)據(jù)提出現(xiàn)場(chǎng)勘查電子記錄的可信化模型,確?,F(xiàn)勘記錄的制作時(shí)間、制作地點(diǎn)和制作人員的客觀(guān)性及準(zhǔn)確性,同時(shí)保證該記錄從制作的時(shí)間開(kāi)始到最終都是完整的和不變的;最后論證該模型的正確性。
黨的十八屆四中全會(huì)《決定》提出:“推進(jìn)以審判為中心的訴訟制度改革,確保偵查、審查起訴的案件事實(shí)證據(jù)經(jīng)得起法律的檢驗(yàn)?!奔匆笠苑橹行?,我國(guó)憲法規(guī)定的公檢法等部門(mén)分工負(fù)責(zé)、互相配合、互相制約的前提下,訴訟的證據(jù)經(jīng)法庭的舉證、質(zhì)證、查證,訴訟的過(guò)程要以法庭的庭審和裁決關(guān)于事實(shí)認(rèn)定和法律適用的要求和標(biāo)準(zhǔn)進(jìn)行,疑罪從無(wú)[2]。證據(jù)鏈?zhǔn)撬痉▽?shí)踐中的一個(gè)重要概念,從結(jié)構(gòu)上看,證據(jù)鏈?zhǔn)怯啥鄠€(gè)證據(jù)鏈節(jié)通過(guò)聯(lián)結(jié)點(diǎn)連接而成的具有一定證明方向的且可排除所有假設(shè)合理懷疑的證明載體,能夠完整、準(zhǔn)確地還原案件發(fā)生的過(guò)程并指明其中的主客觀(guān)要素。
現(xiàn)場(chǎng)勘查是偵查機(jī)關(guān)對(duì)犯罪處所及其遺留痕跡和其他物證所進(jìn)行的勘驗(yàn)和調(diào)查。目的是發(fā)現(xiàn)、收取犯罪痕跡和其他物證,了解和研究罪犯實(shí)施犯罪的情況和案件性質(zhì),確定偵查方向和范圍,為偵查和審判案件提供線(xiàn)索和證據(jù)[3]。整個(gè)現(xiàn)場(chǎng)勘查過(guò)程里,現(xiàn)場(chǎng)記錄是一項(xiàng)最耗時(shí)的工作,也是犯罪現(xiàn)場(chǎng)勘查工作最為重要的步驟之一?,F(xiàn)場(chǎng)記錄的目的在于記錄和保存犯罪現(xiàn)場(chǎng)物證的位置、物證之間的相互關(guān)系以及犯罪現(xiàn)場(chǎng)的狀況?,F(xiàn)勘記錄是現(xiàn)場(chǎng)勘查工作結(jié)束后形成的文檔和附件的集合,主要包括:現(xiàn)場(chǎng)筆錄、現(xiàn)場(chǎng)照片、現(xiàn)場(chǎng)視頻、現(xiàn)場(chǎng)音頻、痕跡、各類(lèi)物證、各類(lèi)電子數(shù)據(jù)證據(jù)、繪圖等。
現(xiàn)場(chǎng)記錄是證據(jù)鏈上的重要鏈節(jié)點(diǎn),如果收集的證據(jù)在合法性、真實(shí)性和關(guān)聯(lián)性存在疑問(wèn),那么從證據(jù)里提取出的證據(jù)鏈節(jié)必然不穩(wěn)定,證據(jù)鏈的方向就可能出現(xiàn)偏差,導(dǎo)致最后的結(jié)論不正確。因此,現(xiàn)場(chǎng)勘查是一項(xiàng)程序性很強(qiáng)的工作,工作流程出現(xiàn)任何一個(gè)小瑕疵,都會(huì)導(dǎo)致很?chē)?yán)重的后果,比如證據(jù)采集不充分、痕跡物證損壞等。其中,現(xiàn)勘記錄可信度失效是災(zāi)難性的結(jié)果,這將導(dǎo)致整個(gè)證據(jù)鏈的起點(diǎn)就不被采納,進(jìn)而致使整個(gè)現(xiàn)勘工作無(wú)效[4]。
隨著科技發(fā)展,現(xiàn)今的現(xiàn)勘記錄大多是數(shù)字化形式,如照片、視頻、音頻等記錄是實(shí)時(shí)采集的數(shù)字化信息,筆錄、繪圖等形式的現(xiàn)勘記錄由勘查人員事后手工錄入現(xiàn)場(chǎng)勘驗(yàn)信息系統(tǒng)實(shí)現(xiàn)數(shù)字化[5]。傳統(tǒng)現(xiàn)勘記錄的可信機(jī)制是依靠“簽名”,每份紙質(zhì)形式現(xiàn)勘記錄、痕跡物證收集清單均需要偵查人員親筆簽署姓名來(lái)保證記錄的可信性,為了防止記錄被篡改,一般需要兩名以上的偵查人員簽名。但是在實(shí)際的現(xiàn)場(chǎng)勘查工作中,“簽名”這一規(guī)范存在很著很多的問(wèn)題,如“補(bǔ)簽名”和“代簽名”,這顯然破壞了證據(jù)鏈的完整性。伴隨著現(xiàn)勘電子記錄的出現(xiàn),傳統(tǒng)的簽名方法已經(jīng)不再適用,現(xiàn)勘設(shè)備也經(jīng)?;煊茫C據(jù)鏈的可信程度受到質(zhì)疑,給后續(xù)的司法工作埋下隱患。
面對(duì)大量的數(shù)字化現(xiàn)勘記錄,如何高效并有效地保證其可信性也是擺在大家面前的一個(gè)重要課題。本文基于通用的現(xiàn)場(chǎng)勘查專(zhuān)用設(shè)備,提出一種數(shù)字現(xiàn)勘記錄可信化軟件模型,使用密碼學(xué)中的數(shù)字簽名、哈希等方法,針對(duì)數(shù)字化的現(xiàn)勘記錄數(shù)據(jù)進(jìn)行可信化處理,目的是保證所有的數(shù)字現(xiàn)勘記錄從開(kāi)始記錄到呈遞法庭的整個(gè)過(guò)程中,記錄的內(nèi)容、記錄的人、記錄地點(diǎn)、記錄時(shí)間等數(shù)字化信息是完整的并保持不變的。
現(xiàn)有的現(xiàn)場(chǎng)勘查設(shè)備是專(zhuān)用設(shè)備,是基于A(yíng)ndroid平臺(tái)的智能終端,設(shè)備包含如下組件:高清攝像頭、全指向麥克風(fēng)、指紋識(shí)別模塊、安全存儲(chǔ)區(qū)域、定位模塊(北斗+GPS)、藍(lán)牙模塊、Wi-Fi模塊、5G通訊模塊[6]。每臺(tái)現(xiàn)勘設(shè)備和一名現(xiàn)勘人員綁定,使用指紋識(shí)別模塊進(jìn)行身份綁定[7],人員身份認(rèn)證在線(xiàn)下完成;安全存儲(chǔ)區(qū)域是設(shè)備專(zhuān)用的存儲(chǔ)設(shè)備,只有通過(guò)指紋驗(yàn)證才可以被訪(fǎng)問(wèn),用于存儲(chǔ)終端的數(shù)字證書(shū);攝像頭和麥克風(fēng)用于采集現(xiàn)場(chǎng)照片、視頻和音頻;定位模塊收集現(xiàn)場(chǎng)記錄的地理位置信息;Wi-Fi模塊可用于輔助定位以及與后臺(tái)服務(wù)器傳輸數(shù)據(jù);藍(lán)牙模塊用于終端與服務(wù)器交換認(rèn)證數(shù)據(jù);5G通訊模塊用于連接授時(shí)服務(wù)器。
定義1T是一個(gè)可信化模型,T=(EN ,A ,DR,TR,TOP),其中EN是模型中的實(shí)體,EN=S,C,S為服務(wù)器,C={C1,C2,…Ci}為現(xiàn)勘終端設(shè)備集合;A為模型中的密碼算法集合;DR是所有數(shù)字現(xiàn)勘記錄集合,DR={dri|dri∈{數(shù)字照片,數(shù)字筆錄,視頻,音頻}};TOP是可信化操作。
圖1描述了該數(shù)據(jù)可信化模型結(jié)構(gòu),其中DT是日期時(shí)間;LO是C的當(dāng)前地理位置信息;CER是S頒發(fā)給C的數(shù)字證書(shū);TR是可信化處理后的現(xiàn)勘記錄集合,即TR=TOP(DR)。
圖1 數(shù)字現(xiàn)勘記錄可信化模型結(jié)構(gòu)圖
通過(guò)線(xiàn)下身份認(rèn)證將現(xiàn)勘終端綁定人員后就可以進(jìn)行注冊(cè)過(guò)程,目的是獲取服務(wù)器的公鑰證書(shū)并申請(qǐng)自己的數(shù)字證書(shū),注冊(cè)過(guò)程如圖2所示。服務(wù)器S的公鑰和私鑰分別記作PKs和SKs,Keyi是用于保護(hù)終端私鑰的隨機(jī)數(shù)串,E/D分別是一種對(duì)稱(chēng)密碼算法的加密算法和解密算法,H是一種散列函數(shù)算法,Sign是一種簽名算法。
圖2 終端注冊(cè)流程圖
終端注冊(cè)步驟如下:
(1) Ci向S發(fā)送注冊(cè)請(qǐng)求,包括終端持有人的基本信息(姓名、性別、部門(mén)、聯(lián)系方式、級(jí)別……),并附帶隨機(jī)數(shù)串Keyi;
(2) S為Ci生成密鑰對(duì)SKci和PKci并生成證書(shū);
(3) S將SKci使用Ci的Keyi加密后附帶S的簽名發(fā)回給Ci;
(4) Ci解開(kāi)SKci,并使用PKs驗(yàn)證消息的有效性后將SKci存入終端的安全存儲(chǔ)區(qū)。
可信化操作TOP在終端Ci上完成,接受來(lái)自終端采集的數(shù)字化記錄作為輸入,并結(jié)合終端設(shè)備采集數(shù)據(jù)時(shí)的地點(diǎn)、時(shí)間和采集人身份對(duì)原始記錄進(jìn)行可信化處理,使得處理后的現(xiàn)勘記錄數(shù)據(jù)可防篡改及不可否認(rèn)(見(jiàn)圖3)。
圖3 可信化操作TOP流程圖
終端Ci采集到的現(xiàn)勘記錄數(shù)據(jù)記作drn(n=1,2,…),該數(shù)據(jù)可以是文字、圖片、音頻、視頻;終端Ci采集記錄drn時(shí)的實(shí)時(shí)地理位置信息記作LOn;終端Ci采集記錄drn時(shí)從授時(shí)服務(wù)器得到的時(shí)間戳記作dtn;“+”表示數(shù)據(jù)的連接;Sign是一種簽名算法,H是一種散列函數(shù)算法。
可信化操作步驟如下:
(1) Ci采集到現(xiàn)勘記錄drn;
(2) Ci獲取此時(shí)的地理位置信息LOn;
(3) Ci向授時(shí)服務(wù)器獲得此時(shí)的時(shí)間戳dtn,并簽名得到Timestampn:Sign(SKci,dtn) ;
(4)Ci執(zhí)行操作:drn+LOn+Timestampn+Sign(SKci,H(drn)+LOn+dtn),計(jì)算結(jié)果記作trn,trn即為drn的可信化結(jié)果;
(5) TR是所有tr的集合,即TR={tr1,tr2,…,trn}。
該可信記錄中除了數(shù)據(jù)現(xiàn)勘數(shù)據(jù)本身外,添加了采集地、采集時(shí)間,并使用終端私鑰對(duì)記錄簽名,保存了該記錄的采集記錄人。該記錄的可信度表現(xiàn)在防篡改和不可否認(rèn)性,因?yàn)榻K端是專(zhuān)人專(zhuān)用,數(shù)字簽名保證了數(shù)據(jù)采自于哪一臺(tái)終端,終端持有人無(wú)法否認(rèn),此外,若現(xiàn)勘記錄被篡改,通過(guò)驗(yàn)證過(guò)程就會(huì)被發(fā)現(xiàn)出來(lái)。
假設(shè)可信記錄是由終端Ci采集和生成的,驗(yàn)證工作由圖2的服務(wù)器S完成,圖4描述了一個(gè)可信現(xiàn)勘記錄trn被驗(yàn)證的全過(guò)程:
圖4 數(shù)據(jù)可信驗(yàn)證流程圖
(1) 可信記錄trn會(huì)被拆成兩個(gè)部分O和V,其中O:trn:(drn+LOn+Timestampn),V:Sign(SKci,H(drn)+LOn+dtn) ;
(2) 對(duì)trn的時(shí)間戳Timestampn使用PKci進(jìn)行簽名驗(yàn)證,如果合法(Valid)則進(jìn)入第(3)步,否則“驗(yàn)證失敗(Failure)”。
(3) 對(duì)V使用PKci進(jìn)行簽名驗(yàn)證,如果不合法(Invalid)則“驗(yàn)證失敗(Failure)”,否則“驗(yàn)證成功(Success)”。
在討論現(xiàn)勘電子記錄的可信性之前,我們作如下假設(shè):
(1) 勘查人員是可信的;
(2) 服務(wù)器及其安裝的操作系統(tǒng)是可信的;
(3) 勘查人員的勘查終端設(shè)備及其安裝的操作系統(tǒng)是可信的。
那么,通過(guò)可信服務(wù)器頒發(fā)的終端證書(shū)也是可信的,可信終端和勘查人員是一一對(duì)應(yīng),終端的安全措施由勘查人員負(fù)責(zé),在實(shí)際工作中,終端被盜用采集現(xiàn)場(chǎng)數(shù)據(jù)的可能性很低,該部分安全性靠規(guī)章制度保證。
如圖5所示,通過(guò)3.3節(jié)的可信化操作,可以將現(xiàn)場(chǎng)電子記錄的采集時(shí)間、空間和人員進(jìn)行可信化處理,保證電子記錄的可信性,整個(gè)現(xiàn)場(chǎng)電子記錄的可信鏈條構(gòu)建完畢。
圖5 現(xiàn)場(chǎng)電子記錄可信鏈
在引言中我們提到模型可信化協(xié)議的目的是保證現(xiàn)勘記錄的制作時(shí)間、制作地點(diǎn)和制作人員的客觀(guān)性及準(zhǔn)確性,同時(shí)保證該記錄從制作的時(shí)間開(kāi)始到最終都是完整的和不變的,本節(jié)從防篡改和抗抵賴(lài)兩個(gè)方面闡述可信化協(xié)議的安全性。
(1) 防篡改(Tamper resistance)。現(xiàn)場(chǎng)電子記錄的篡改包括對(duì)記錄本身、記錄時(shí)間、記錄地點(diǎn)、記錄人員等數(shù)據(jù)的篡改,該協(xié)議可以提供防止上述篡改的機(jī)制[8][9]。設(shè)tr′為篡改后的可信記錄,參考圖4流程分別討論不同篡改場(chǎng)景下協(xié)議的安全性。
a.對(duì)記錄本身和記錄地點(diǎn)的篡改。
tr′≠tr是因?yàn)?dr′≠dr,LO′≠LO)
∵dr′≠dr或LO′≠LO
∴V′≠V,則Validate(PKci,V′)=Invalid
因此該篡改場(chǎng)景協(xié)議驗(yàn)證結(jié)果是失敗(Failure)。
b.對(duì)記錄時(shí)間的篡改。
tr′≠tr是因?yàn)?dt′≠dt)
∵Timestamp′≠Timestamp
∴Validate(PKci,Timestamp′)Z=Invalid
因此該篡改場(chǎng)景協(xié)議驗(yàn)證結(jié)果是失敗(Failure)。
c.對(duì)于記錄人員的篡改。即記錄終端被盜用,在4.1節(jié)已經(jīng)說(shuō)明該情形由規(guī)章制度保證。
因此,該可信化協(xié)議滿(mǎn)足防篡改的需求,在驗(yàn)證過(guò)程中可以發(fā)現(xiàn)篡改行為。
(2) 抗抵賴(lài)(Non-Repudiation)??沟仲?lài)特性旨在生成、收集、維護(hù)、利用和驗(yàn)證有關(guān)已聲稱(chēng)的事件或動(dòng)作的證據(jù),以解決關(guān)于此事件或動(dòng)作的已發(fā)生或未發(fā)生的爭(zhēng)議[10-11]。在現(xiàn)場(chǎng)勘查過(guò)程,需要抗抵賴(lài)保護(hù)的對(duì)象是現(xiàn)勘電子記錄,本文模型可以提供通用的抗抵賴(lài)機(jī)制,確保電子記錄的合法性。
由4.1節(jié)可知,因?yàn)榻K端的數(shù)字證書(shū)是由可信服務(wù)器頒發(fā),終端設(shè)備和終端設(shè)備通過(guò)指紋或人臉生物識(shí)別特征和勘查人員一對(duì)一綁定,因此除非終端被授權(quán)冒用因素外,PKc和SKc是無(wú)法被替換的。那對(duì)于一個(gè)給定的可信記錄tr,分離出來(lái)的V部分(圖4)一定是使用操作員的SKc進(jìn)行的數(shù)字簽名,因此如果Validate(PKc,V)=valid,那么該tr一定是私鑰為SKc所對(duì)應(yīng)的操作員所制作。
在該協(xié)議下,由該終端采集和生成的可信現(xiàn)場(chǎng)電子記錄就視同由綁定人員的操作,具備抗抵賴(lài)能力,同時(shí)省去了費(fèi)時(shí)費(fèi)力的人工簽名過(guò)程。
為保證犯罪現(xiàn)場(chǎng)勘查中采集的電子記錄的可信性,本文提出了一個(gè)可信化模型,可以構(gòu)建現(xiàn)場(chǎng)電子記錄的可信鏈條,完成對(duì)電子記錄的可信處理,通過(guò)驗(yàn)證過(guò)程可以實(shí)現(xiàn)電子記錄的防篡改和抗抵賴(lài)性,同時(shí)為提高了現(xiàn)場(chǎng)勘查的工作效率,減少出錯(cuò)機(jī)率,對(duì)司法實(shí)踐提供了有益方案。