私の管轄区域でのいくつかの裁判例により、裁判所が任命した専門家が文書の作成日を決定するのをよく目にします。ソフトウェアによる方法でこれを行うことは本当に可能なのでしょうか? 文書が作成される前に偽の日付が使用されていた場合、作成日をどうやって証明できるのでしょうか?
この部分はスーパーユーザーに属さないことは承知していますが、とにかく、ハードウェアによる方法論が機能するかどうかも気になりました (精度は日/月/年など)。
答え1
ファイルのメタデータ (作成日、最終変更日など) は、一般的にファイル システムの問題であるため、さまざまなソフトウェア ツールを使用して変更できます。実際、一部のファイル システムでは作成日を追跡しません (たとえば、Linux の ext3 は、実際には inode の変更時間である ctime を追跡します)。追跡されるメタデータもファイル システムによって異なります。一部のファイル システムでは、最終アクセス時間、最終変更日などを追跡できます。
この「作成時刻」(または最終変更日時、最終アクセス日時など) を変更する容易さはファイル システムによって異なる場合がありますが、一般に、これらのタイムスタンプは 100% 信頼できるものではありません。
法廷では、一方の当事者は、ユーザーが特定の能力を持っていること、他のファイルの時刻が一致していることなどから最終更新時刻は適切であると主張し、もう一方の当事者は、ファイルの時刻は偽装できると指摘しようとするだろうと想像します。タイムスタンプの不一致を示す「決定的な証拠」が見つからなければ (たとえば、同じ日に作成された 2 つのファイルの日付が大きく異なる、またはファイルのコピーが想定される作成日より前に電子メールで送られたなど)、どちらの側が裁判官や陪審員を説得して何が起こった可能性があるのかはわかりません。
変更を追跡するためのハードウェア手法については知りません。
答え2
免責事項: 私は法律の専門家ではありません
法医学の第一のルールは、N 番目まで調べればすべての測定値が疑わしいということなので、発見事項を受け入れる合理性のレベルを常に確立する必要があります。日付を変更することは可能ですが、それを実行するにはかなり高度なスキルを持ったユーザーが必要であり、それを実行するにはほぼ確実にシステムに物理的にアクセスする必要があります。
コンピュータがいくつかの属性について最善の推測を行わなければならない状況は数多くあります。たとえば、SAMBA ファイル サーバーからワークステーションにファイルをコピーする場合、ファイルの作成日は、最初に作成された時間ではなく、ファイルを貼り付けた時間になります。私の場合、正しい変更時間が維持されますが、常にそうであるとは限りません。
ジャーナリング ファイル システムでは、ファイル メタデータが変更または偽造されたという証拠があるかもしれませんが、それはファイル システムが変更を制御していたことを意味しますが、これはありそうにありません。日付情報に一致しないファイル データのコピーを探すには、バックアップの内容、およびページ ファイルと hiberfill.sys を常に確認する必要があります。
長期的には、容疑者が非常に熟練した技術者や攻撃者であるか、何らかの形でそれらと関係がある場合、日付を疑う必要があります。容疑者が Windows の再構築方法をほとんど知らず、Linux が何であるかを知らない場合、外部のエージェントが関与していない限り、日付はおそらく正しいでしょう。
答え3
コンピュータを所有している人、またはコンピュータに物理的にアクセスできる人は、誰でも好きなようにコンピュータを操作できます。ファイルの作成日を偽造することも含まれます。
専門家がそのような日付を確実に特定できる唯一の方法は、文書またはそのコピーが信頼できる第三者によって管理されている別の場所に保管されている場合です。
たとえば、クラウドのどこかに保存して、そのクラウド プロバイダーのバックアップを使用して確認します。または、日付 X に誰かにメールで送信し、受信者は日付 X 以前に作成されたことを知っている場合があります。
しかし、コンピューターにアクセスできる人 (リモートまたは物理的に) は誰でも、その文書の作成日を変更することができます。そのスキルがないかもしれませんが、それはどの裁判所も認めないものです。 (「しかし裁判長。私は銃の仕組みを知りません。したがって、彼を撃つことはできません」と同様です)。