基于时间属性的电子邮件真实性鉴定研究*
2014-03-26汪振林张程绪
汪振林,张程绪
(重庆邮电大学法学院,重庆400065)
基于时间属性的电子邮件真实性鉴定研究*
汪振林,张程绪
(重庆邮电大学法学院,重庆400065)
社会的发展和技术的进步使得电子邮件被用作证据采纳运用成为可能,但这种可能首要解决的问题是电子邮件的真实性鉴定。现有电子邮件真实性鉴定方法均有不足之处,而把电子邮件的时间属性作为切入点来分析和判断电子邮件真实性的鉴定方法原理易懂,操作简便,容易实现电子邮件真实性鉴定目的。基于时间属性的电子邮件真实性鉴定方法包括时间信息的解析和时间属性逻辑关系的判断。如果判断解析的时间出现逻辑关系矛盾,则可以认定电子邮件遭到篡改,不满足作为证据的真实性条件。
电子邮件;真实性鉴定;时间属性;邮件头
随着互联网的发展,中国已经一跃成为网民最多的国家。截至2012年年底,中国互联网用户达到5.64亿,互联网普及率高达42.1%[1]。作为互联网通信方式的一种,“电子邮件是网络用户进行信息交流的常用手段之一”[2]。和传统通信方式相比,电子邮件的优点在于方便快捷、成本低廉和内容丰富多彩。邮件通信不仅传递文字信息,还传递声音、图像或者视频等信息,另外,电子邮件也可以发送附件,这使计算机之间可以便捷地传递各种重要文件。在商务通信往来中,采用电子邮件通信,不仅方便快捷,还能降低通信成本,提高交易速度。不过,在产生纠纷、需要使用电子邮件作为证据证明相关事实的场合,由于电子邮件的易伪造性、易修改性和依附性,法庭难以径直认定其真实性,除非当事人自认,否则就需要委托电子数据鉴定机构对电子邮件的真实性进行鉴定。
一、现有电子邮件真实性鉴定方法
对于电子邮件真实性的鉴定,目前主要采用以下几种方法。
1.分析电子邮件伪造方法途径和电子邮件发送环境的方法[3]。该方法是较早出现的电子邮件真实性鉴定方法,是一种开放式列举分析方法。它主要分析电子邮件的工作原理、电子邮件系统的组成和伪造电子邮件的可能方法和形式。不过,在技术不断发展和进步的今天,电子邮件服务器不断更新换代,电子邮件伪造方法途径层出不穷,这种列举式方法很难满足电子邮件真实性分析的需要。另外,这种分析方法在具体的案件中也没有给鉴定人员提出可操作性方案,仅仅停留在理论分析层面。
2.分析电子邮件邮件头的方法[4]。邮件头是电子邮件的重要组成部分,其包含了电子邮件发送过程相关的重要信息。这种方法注重分析邮件头中的时间信息、发送路径信息等,通过对这些信息的分析,达到电子邮件真实性鉴定的目的。该方法思路清晰,不足之处在于片面强调电子邮件头信息的重要性,忽略了其他邮件组成部分的信息。电子邮件中和邮件相关的重要信息还可能存在于邮件正文和邮件文件存储系统的属性信息中,而这部分信息并没有被重视。另外,这种方法同样没有提供能够指导实务操作的方案。
3.综合分析电子邮件的方法[5]。该方法综合分析电子邮件头、邮件正文、邮件客户端、邮件发送系统等。这种方法从理论上全面分析了电子邮件工作的基本原理,对真实性鉴定起着很大的指导作用。不足之处在于该方法分析面太广,导致深度方面有所欠缺,在一定程度上影响了电子邮件真实性鉴定的准确性。
综上所述,由于已有的鉴定方法均存在不同程度的缺陷,不能彻底解决电子邮件的真实性鉴定问题,因此需要寻找和确定一种新的电子邮件真实性鉴定方法。
众所周知,在电子邮件信息中,时间信息占据了重要地位,电子邮件系统设计者也充分考虑到时间因素的重要性,在电子邮件的发送和接收过程中,邮件系统会在电子邮件文件中嵌入大量时间属性信息,因而,当电子邮件遭到伪造之后,很容易在正常的时间逻辑关系上表现出前后不一致或者矛盾的现象。为此,笔者认为可以确立一种基于时间属性的电子邮件真实性鉴定方法。这种鉴定方法主要包含电子邮件时间信息的解析和时间属性逻辑关系判断,如果判断时间属性逻辑关系出现矛盾,则可以认定电子邮件遭到篡改,不满足作为证据的真实性条件。
不过,采用伪造或者篡改得到的电子邮件不一定都表现出时间逻辑关系的矛盾,因此,虽然在电子邮件时间属性表现出矛盾时,可以采用基于时间属性的电子邮件真实性鉴定方法判断出电子邮件是不真实的,但时间信息不表现出逻辑关系的矛盾并不必然得出“电子邮件是真实的”这个结论。所以,当邮件时间属性逻辑关系不矛盾时,要判断邮件的真实性,就要采用其他方法或者从其他切入点着手分析电子邮件的真实性。即基于时间属性的电子邮件真实性鉴定方法只能“去伪”,不能“存真”。但与其他电子邮件真实性鉴定方法相比,本方法原理易懂,操作步骤简单,应是电子邮件真实性鉴定的首选。以下就该方法的内容,即电子邮件时间信息的解析和时间属性逻辑关系判断逐一进行讨论,并通过实例就运用该方法的具体程序作一说明。
二、电子邮件时间信息解析
基于时间属性的电子邮件鉴定方法主要包含电子邮件时间信息的解析和时间属性逻辑关系判断两方面的内容,在此先就电子邮件时间信息解析进行讨论。
电子邮件主要由邮件头、正文和附件组成。邮件头信息保存邮件各种属性信息,通过适当设置电子邮件客户端软件可以查看。邮件正文通常包含邮件发送的文字信息、图片等内容,它和邮件附件一起,是能够被客户端软件正常查看和识别的信息。时间属性信息是电子邮件的重要信息,它记录了电子邮件的发送过程、邮件文件生成时间等信息。电子邮件的时间属性信息保存比较分散,在电子邮件头、磁盘文件系统的文件时间属性、邮件附件属性等位置都能找到该信息,充分解析这些时间信息是鉴定电子邮件真实性的关键。
(一)Message ID时间信息解析
Message ID是电子邮件的“指纹”,由数字和符号组成,保存在邮件头信息里,具有全球唯一性,即在全球不会找到两封Massage ID相同的电子邮件。Message ID由发送方邮件服务器生成,具体格式会因电子邮件客户端软件的不同而有所不同。所有电子邮件头信息都能找到Message ID,但并非所有客户端软件生成的Message ID都包含有时间信息。生成的Message ID包含时间信息的客户端软件主要有Outlook Express、Foxmail、Windows Live,以下将对其逐一进行说明。
1.Outlook Express的Message ID中的时间信息
Outlook Express的Message ID格式为:[random]{4}[hex Windows File Time/Date]{8}MYM[hex Windows File Time/time]{8}MYM[hw-hash]{8}@[hostname]。其中,[hex Windows FileTime/Date]表示8位16进制数值的邮件发送日期,[hex Windows File Time/time]表示8位16进制数值的邮件发送时间。在版本6.00.2900.5512之后的客户端生成的Message ID中不再包含时间信息。
例如:Outlook Express生成的Message ID为:00061405071cMYM0a352a80MYMc92c030b@smallmin,这表示该电子邮件发送时间为:2005年7月28日10时53分42秒。
2.Foxmail的Message ID中的时间信息
Foxmail的Message ID格式为:[Datetime]{21}@[hostdomain]。其中,[Datetime]表示21位的日期时间。
例如:Foxmail生成的Message ID为:Message-id:201105261552312350836@sjtu.edu.cn,这表示该电子邮件发送时间为:2011年5月26日15时52分31秒。
3.Windows Live的Message ID的时间信息
Windows Live的Message ID格式为:[Windows File Time&Date]{14}[random]{12}@[hostname]。其中,[Windows File Time&Date]{14}表示14位的日期时间。
例如:Windows Live生成的Message ID为:20120516234308.802465300A3@webmail.sinamail.sin.com.cn,这表示该电子邮件发送时间为:2012年5月16日23时43分8秒。
(二)Date时间信息解析
Date时间属性是指保存在电子邮件头信息里的邮件发送时间。相比Massage ID,其格式较为简单。如:Date:Sun,20 May 2012 08:19:44+0800,该Date时间表示电子邮件发送时间为2012年5月20日8时19分44秒,发送地点时区为东8区。
(三)Boundary时间信息解析
Boundary是电子邮件内部信息分界标记。邮件头中的Boundary属性用来分隔邮件纯文本和超文本正文,邮件正文中的Boundary属性用来分隔邮件主体、内嵌资源(一般为超文本正文的图片)以及邮件附件[6]。Boundary属性在邮件头会出现一次,在邮件正文会出现多次。虽然并非所有邮件客户端生成的Boundary都能解析出时间信息,但大多数国内网络邮箱客户端生成的Boundary中都包含时间信息。以126邮箱为例,Boundary的格式为:----=_part_[random]{6}_[random2]{8}.[UnixTime]{13}。其中,UnixTime是从1970-01-01 00:00:00格林尼治标准时间到Date时间的毫秒数。
Received信息在邮件头信息里表示邮件的发送路径列表,即从发送者到接收者之间邮件经过邮件服务器的路径顺序表。Received信息排列在邮件头的起始位置,从开始位置起,第一项记录是邮件经过的最后经过服务器信息,最后一项记录是邮件的起始经过服务器信息。Received信息的一般格式为:Received:from邮件服务器域名[邮件服务器ip地址]+邮件服务器类型+邮件经过该服务器时间+其他时间信息。例如:Received:from r175-229.sinamail.sina.com.cn(unknown[60.28.175.229])bymx16(Coremail)with SMTP id QsCowED5DUtw+rJPGm72BA--.942S2;Wed,16 May 2012 08:53:04+0800(CST),这里表示电子邮件在16 May 2012 08:53:04+0800时间经过r175-229.sinamail.sina.com.cn(unknown[60.28.175.229])服务器。
(五)邮件文件和邮件附件的时间信息解析
任何电子数据的存储介质所采用的文件系统都必然设计管理文件属性信息的功能,文件属性信息里就包含了时间信息。文件系统可以简单理解为计算机或者其他电子设备在存储介质里的文件保存方法,一般在我们格式化存储介质的时候产生。文件系统储存的文件属性信息包括文件大小、文件的时间属性、文件的类型等信息,其中,文件时间属性包含文件创建时间、修改时间、访问时间等,文件类型包括文件是否只读、隐藏、是否为系统文件等。文件系统会将文件属性信息和文件内容分开存储,文件系统不同,时间属性的保存位置也不一样。如早些年计算机硬盘和其他电子设备存储介质较多使用的Fat32文件系统时间属性保存在该文件系统数据区的目录项里,Windows7系统所采用的NTFS文件系统的文件时间属性保存在主文件分配表的10H属性里。邮件客户端软件接收、保存电子邮件之后,会在计算机硬盘里写入电子邮件文件,同时将时间属性信息写入文件系统相应的位置。电子邮件的时间属性信息获取相对比较容易,和其他文件操作一样,在Windows操作系统下,找到文件“右击”,选择属性,便能查看到电子邮件的时间属性。如果想进一步对比大量电子邮件的时间属性,可以用专业的计算机取证分析软件如X-ways Forensic和Encase先进行电子邮件过滤,然后再分别列出电子邮件的时间属性进行分析对比。
另一个可以提取时间信息的文件是电子邮件里添加的邮件附件。附件文件通常是计算机硬盘里保存的文件,是通过计算机操作或者其他电子设备生成的,和其他电子数据文件的时间属性一样,这就必然在文件属性里包含文件时间属性信息,如文件创建时间、修改时间、访问时间等,电子邮件的发送也将这些信息一同发送给邮件的接收者。附件文件的时间属性相比其他时间信息较为隐蔽,不容易被察觉和重视,也往往被取证人员或者鉴定人员所忽略,而获取该信息也要通过专业的软件。在实践中鉴定人员通常采用Intella或者Nuix软件来查看邮件附件文件的时间属性,操作很简便。
(六)时间信息解析的工具和步骤
电子邮件分析有专业的分析软件,比如Intella和Nuix Forensics,它们都可以在加载电子邮件文件之后,通过查看邮件头信息,直观方便地查找出邮件头信息里的时间属性信息。电子邮件文件储存在硬盘的二进制数据直接转化为ASSIC码数据之后,文件的起始位置就是电子邮件头信息,如Received、Date和Message ID等信息,这些数据或者时间信息的获取,简单的二进制代码查看软件就能做到,如Winhex软件就能查看。专业的电子邮件分析软件的不同之处在于将这些数据以一种更加直观的方式呈现给使用者,同时挖掘深层次的数据,比如解析电子邮件的内容、分析电子邮件附件文件的内容和文件属性信息,专业的邮件分析软件的操作也较为简便。Intella软件的电子邮件分析步骤是加载电子邮件文件之后,双击邮件文件,点击邮件头就能看到邮件头信息;点击附件,双击附件文件就能看到附件文件和该文件的属性信息。X-ways Forensic软件在过滤出电子邮件文件之后,在电子邮件查阅窗口便可以查看邮件头的各种数据,比如Message ID、Date等信息。
三、时间属性逻辑关系判断
一封没有经过篡改或者伪造的电子邮件发送和接收必然要满足时间结构上的逻辑关系,并遵循时间先后逻辑顺序关系,这是电子邮件发送必须要遵守的客观规律,电子邮件时间结构的这种关系主要表现在时间统一和时间的先后顺序方面。电子邮件在遭到篡改或者伪造之后通常会表现出时间逻辑结构方面的矛盾,即时间的不统一或者时间先后顺序的错乱。经过篡改或者伪造的电子邮件时间逻辑结构矛盾情况的出现与电子邮件时间信息的提取位置有关,不同位置提取的时间信息在矛盾表现上也不一致。
(一)时间信息的统一性分析
一些电子邮件的Message ID和Boundary信息能够解析出该电子邮件的发送时间,在这类电子邮件头的邮件信息里,Date信息、Message ID和Boundary信息是在电子邮件发送过程中同时生成的,其内部解析出的时间信息应当具备统一性,即三个时间值要完全一致。另外,在电子邮件经过第一个服务器时,Received From信息里添加了第一条记录,也就是邮件头信息中的最后一条记录,该记录的时间信息也是邮件的发送时间,故和Date时间信息应该具备统一性。现实中考虑到邮件数据传递设备的延时效果,该时间信息和Date时间信息相比可能会有出入,但是不会太大。电子邮件时间属性统一性分析通过对比解析出的时间信息,根据时间信息的统一关系,可确认时间信息是否遭到篡改,如发现时间信息遭到篡改,便可以判断出该电子邮件不具有真实性。
(二)时间先后顺序分析
时间先后顺序是电子邮件时间分析涉及时间点最多的逻辑关系。电子邮件发送过程中,各个包含时间信息的数据生成的时间先后不一样,这就导致这些时间表现为先后顺序,这种时间先后顺序的不同会因时间提取点的不同而不同。第一,电子邮件的发送时间必然在先,接收在后。电子邮件在发送的过程中时间信息要满足先后顺序,这部分的分析可以检查电子邮件发送接收时间信息的先后顺序。第二,Received最后一条记录为电子邮件经过的第一个服务器,这条记录记录的时间信息最早,依次稍微延时,直到最后一条记录,也就是第一条时间记录最晚。Received信息生成于电子邮件发送传输过程中,电子邮件在网络中以光速传播,考虑到实际电子设备的延时效果,电子邮件依次经过的服务器时间也会有差距和延时,但是时间不会延迟太久,所以表现出时间的先后顺序。第三,发送端邮件文件的生成时间在电子邮件接收时间之前,电子邮件接收端邮件文件生成时间在电子邮件发送之后。电子邮件完成发送之后,客户端软件就会在本地计算机保存电子邮件文件,电子邮件接收之后才能再生成电子邮件文件,因此,解析出的邮件文件生成时间必然是发送端邮件文件的生成时间在电子邮件接收时间之前,电子邮件接收端邮件文件生成时间在电子邮件发送之后,这是电子邮件发送接收的逻辑规律。第四,电子邮件附件文件的创建时间在发送时间之前。邮件的附件文件一定是计算机或者其他电子设备创建完成的电子数据,否则不能添加为附件文件并发送给邮件接收人,文件建立的活动在发送之前,故电子邮件的建立时间一定在电子邮件发送时间之前。
电子邮件的时间先后顺序分析方法是电子邮件时间逻辑关系分析方法中最重要的分析方法,这是由电子邮件活动过程所遵循的逻辑顺序决定的。通过解析电子邮件的时间,并进行各种逻辑关系论证,便能准确排除已经被污染的电子邮件证据。
四、程序说明
下文将通过司法鉴定实务中的一个真实案例来说明基于时间属性的电子邮件真实性鉴定方法的具体程序。
在××民事诉讼中,被告向法庭提交了若干封与原告往来作为证据的电子邮件,原告对其中主题为“货款”和“催收”的两封电子邮件提出异议。现法院送检原告方提交的用于收发电子邮件的计算机的硬盘,委托A司法鉴定中心对其中有争议的两封电子邮件的真实性进行司法鉴定①该案例系笔者所在单位主管的A司法鉴定中心2012年接受委托的鉴定案件。接受委托后,鉴定人员运用基于时间属性的电子邮件真实性鉴定方法进行鉴定,得出的鉴定意见提交法庭经过质证后为法庭所采信。。现将该案鉴定程序的主要内容说明如下。
(一)证据保全
A司法鉴定中心工作人员依照鉴定程序首先记录硬盘的相关信息,在送检方和工作人员的见证之下拆封硬盘接口封条,用硬盘复制机对整个硬盘二进制数据进行克隆制作硬盘镜像,同时计算检材硬盘和硬盘镜像的哈希值。在确认两者一致后,检材硬盘送交保管,硬盘镜像用于鉴定,即后期所有鉴定工作均在硬盘镜像上进行。证据保全的作用在于获得可供鉴定使用的复制件,避免在证据源盘上进行操作可能发生的毁坏或污染电子数据的风险。
(二)电子邮件检验分析
将硬盘镜像通过只读设备连接鉴定用计算机,用文件分析软件分析硬盘文件,过滤出有争议的电子邮件文件,同时计算电子邮件文件的哈希值,最后采用专业电子邮件分析软件分析有争议的两封电子邮件。电子邮件分析主要是提取电子邮件内容、邮件头信息、邮件文件属性信息、邮件附件内容和附件属性信息,分析两封电子邮件相关信息,判断电子邮件是否伪造或篡改。检验分析过程应使用专业的取证分析工具,并遵守相应的鉴定技术规范。具体分析过程及结果如下。
1.主题为“货款”的电子邮件的检验分析。邮件头中Data、Message ID以及Received中的时间均为2012年3月17日,首先使用分析软件查看邮件的文件属性,显示“创建时间”也为2012年3月17日,表明此封邮件是在2012年3月17日生成。使用分析软件查看邮件的文件属性,显示“修改时间”为2012年3月21日,这表明此邮件于2012年3月21日被修改。其次查看邮件时间和附件时间属性,使用分析软件查看邮件附件“协信公司声明.doc”,显示其创建时间为2012年3月21日,邮件附件应早于邮件或与邮件同时创建,附件的创建时间与邮件的创建时间存在明显的矛盾。综上,通过对邮件头、文件时间属性及附件的时间属性的分析,可以得出鉴定意见,即该邮件应经过伪造、篡改。
2.主题为“催收”的电子邮件的检验分析。邮件头中的Message ID与Date同时生成,故从Message ID中提取的时间应与从Date中提取的时间一致,Received中提取的时间也应与Date中提取的时间一致或略微延后。通过分别提取邮件中邮件头的Message ID、Date及Received的时间信息,发现三个时间存在较大差异,综上,可以得出鉴定意见:该邮件应经过伪造、篡改。
(三)鉴定意见书制作提交与存档
A司法鉴定中心工作人员在完成以上检验分析步骤之后制作了司法鉴定意见书,鉴定意见为:“1.主题为‘货款’的邮件,经过伪造、篡改;2.主题为‘催收’的邮件,经过伪造、篡改。”并将其与检材、附件光盘一起提交法院,同时在鉴定中心存档一份。制作鉴定意见书应符合《司法鉴定文书规范》的要求,便于对电子邮件证据的质证和认定。存档司法鉴定意见书的目的是便于进行业务总结和方便外部监督。
五、结 语
基于时间属性的电子邮件真实性鉴定,关键在于解析电子邮件在发送过程中生成的时间信息,判断这些时间所遵循的逻辑关系是否成立,以鉴定电子邮件的真伪、认定电子邮件证据真实性。电子数据作为新的证据类型已为诉讼法所规定[7],随着计算机网络的进一步普及,电子数据在电子商务案件、电子政务案件、网络侵权和网络犯罪案件中将会得到越来越广泛的运用,作为电子数据之一的电子邮件由于其易伪造性、易修改性和依附性,在诉讼中往往需要进行真实性鉴定。由于基于时间属性电子邮件真实性鉴定方法的可靠性和简易性,其在电子邮件真实性鉴定中将会起到不可替代的作用。
[1] 工业和信息化部电信管理局许廉先生致辞[EB/OL].(2013-03-28)[2013-10-02].http://tech.china.com/news/net/domestic/11066127/20130328/17751876.html.
[2] 廖根为.论电子邮件证据证明力[J].安徽师范大学学报:人文社会科学版,2010(3):304-308.
[3] 廖根为.电子邮件真伪鉴定初探[J].犯罪研究,2009(3):42-48.
[4] 郭弘,金波.利用邮件头分析电子邮件的真伪[J].中国司法鉴定,2010(4):63-68.
[5] 李岩,施少培,杨旭,等.电子邮件真实性鉴定方法探索[J].中国司法鉴定,2012(4):94-99.
[6] 聂小尘,邱卫东,李岩,等.基于多属性的电子邮件鉴定研究[J].信息安全与通信保密,2012(2):76-77,80.
[7] 汪振林.电子数据原件问题研究[J].重庆邮电大学学报:社会科学版,2012(5):33-37.
�
时间信息解析
Time Attribute-based Identification of the Authenticity of the E-mail
WANG Zhenlin,ZHANG Chengxu
(College of Law,Chongqing University of Posts and Telecommunications,Chongqing 400065,China)
The development of society and technologymakes the adoption of e-mail to be used as the evidence possible,but itmay be the most pressing issue to identify the authenticity of e-mail.Existing e-mail authenticity identification methods have shortcomings,but themethod taking the time attribute of the e-mail as an entry point to analyze and judge the authenticity of the e-mail is easy to understand,operate and easy to implement e-mail authenticity identification purposes.This time attribute-based identification of the authenticity of the e-mailmethod includes the time attribute information extraction and time attribute logic relationship judgment.If the time attribute has logical relationship conflicts,you can be sure that the e-mail has been tampered with,and it can not satisfy the authenticity conditions as evidence.
e-mail;authenticity identification;time attribute;e-mail head
TP393.098
A
1673-8268(2014)02-0036-06
(编辑:刘仲秋)
10.3969/j.issn.1673-8268.2014.02.007
2013-11-05
2013-12-10
教育部人文社会科学研究青年基金项目:刑事电子证据规则研究(13YJC820109)
汪振林(1965-),男,安徽安庆人,副教授,法学博士,主要从事诉讼法学、证据法学研究。