时间取证完整版

时间取证研究报告及书中案例分析

一、时间取证重要性

伴随互联网技术发展，数字化生活于司法领域导入相应数字形态的诉讼证据，《中华人民共和国电子签名法》的颁布实施，确立了数据电文的法律效力，规定了不得因其以电子形式存在而否认其证据效力。

但是数据电文（电子数据）存在的内容和时间易被人为篡改、无痕性、易变性、开放性等特点、严重影响到其作为证据的法律效力。

综合众多现实案例中出现的情形，电子证据保全措施现存体系的不足之处在于“电子证据的有效固定”，“有效”不仅指向以司法取证人员从证据源头复制、扣押并存储的行为之有效性，更着意于该行为在事实状态下公开、公平、公正权威性，即某种不可逆的客观存在性。在国家强制权威性的基础上增强司法程序的公正与效率，取证权威的客观实在性。因此，仅仅司法身份在电子证据取证中的出现不足以充分地满足“有效固定”的应有需求。换言之，司法取证行为之有效性有待客观性的补强。

因此对特定主体（法官）在特定时间（固化时间）取得特定证据（被固化确定的电子

证据内容）之间的固定状态的确定至关重要。

因此，业界应用了固化时间戳系统。通过结合了可信时间戳与数字签名技术的人民法院TSA电子证据固化系统，解决了什么人在什么时间固化了一个什么样的电子数据（电子文件），即解决了固化电子数据时间的权威性、电子数据状态的固定性、固化电子数据主体身份的不可否认性，不但使得司法机构固化证据获得了由内容至形式不可篡改的完整性，而且可信时间戳的可信时间来源于国家权威法定时间部门-国家授时中心，并由其监控保障，是权威可

信的，避免了当事人对于证据无谓的争议与怀疑，强化了司法机构电子证据固化的严肃性与公信力。系统仅仅保存因数字签名而产生的数字签名文件的HASH值，在整个运转过程中，作为时间戳服务中心本身无法接触司法机构固化电子证据的实体内容，从保护当事人商业秘密、隐私以及版权等诸多方面提供了更妥善的稳定保障。

二、主要应用领域

时间取证主要应用于保护商业机密、知识产权、个人隐私等。

三、时间的可信程度

（1）如果修改时间等于建立时间，那么文件是原始文件，既没有被修改也没有被剪切。（2）如果修改时间早于建立时间，则文件被复制或者移动过。

（3）如果在硬盘上批量的文件具有很近的访问时间，这些文件极有可能被同一工具软件扫描过，如杀毒软件。如果在一个文件夹中的一些图像和视频文件有很近的访问时间，并且没有其他的图像和视频文件具有相似的访问时间，则这些图像和视频文件极有可能被同一个图像和视频预览工具访问或者打开过，例如用资源管理器以缩略图的方式查看。

（4）在一个文件夹中，如果一些文件的修改时间等于创建时间，并且有很近的修改时间或创建时间，呢么这些文件有可能是从网上批量下载的。

（5）文件拷贝的时候，文件创建时间为拷贝的时间，文件修改时间与源文件一致。

（6）文件下载的时候，文件创建时间为下载时间，文件修改时间为下载结束的时间。注意：

使用IE下载时是先下载到临时目录再拷贝。

（7）压缩文件解压时，通常情况（WINRAR.WINZIP)下文件的创建时间为解压时间，文件修改时间与压缩前的文件一致。

四、对已获取的电子物证进行可信时间戳验证

工作流程如下

(1)指定电子证据Hash值

(2)提交证据指纹到电子物证取证系统的时间戳服务器请求验证证据有效性

(3)电子物证取证系统通过HAsH值调取证据数据库中的证据

(4)验证电子物证签名和时间戳签名

(5)返回电子证据有效性检查结果文件内容是否被篡改加盖时间戳时间信息是否一致

标准时间校验

电子物证取证系统本身的系统应通过第三方公共时间戳服务机构的时间服务器校准由国家授时中心授予国家标准时间并对取证时间进行基于国家标准时间的实时校验