На сегодняшний день создание криминалистического образа и работа с ним, а не с самой хранящей в себе цифровые следы системой – это «стандарт отрасли». Отступление от него допускается только в очень редких, исключительных случаях.

Когда копирование завершено, важно убедиться, что копия не отличается от оригинала. Для этого рассчитываются и сравниваются значения криптографической хэш-функции. Если значения хэш-функции оригинала и копии совпадают, то содержимое копии является полностью идентичным оригиналу.

Хэш-функция – специально созданный математический алгоритм, преобразующий по определенным правилам заданный массив входных данных произвольной длины в выходную битовую строку установленной длины. Преобразование, производимое хеш-функцией, называется хешированием, а полученные данный – хеш-суммой, контрольной суммой или ключом.

Существует большое количество видов и подвидов алгоритмов хэширования – MD5, SHA256, Стрибог и так далее. Главное, чтобы применялся только апробированный инструментарий, а процесс тщательно документировался исполнителем.

А теперь давайте поговорим про «источники цифровых следов»: что и где может быть найдено, а также в каких ситуациях это пригодится.

Электронные документы

В Законе «Об обязательном экземпляре документов»11 сказано, что документ – это «материальный носитель с зафиксированной на нем в любой форме информацией в виде текста, звукозаписи, изображения и (или) их сочетания, который имеет реквизиты, позволяющие его идентифицировать, и предназначен для передачи во времени и в пространстве в целях общественного использования и хранения».

А электронный документ – это документ, информация которого представлена в электронной форме12. Или «документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах»13, если обратиться к другому источнику.

Принято разделять электронные документы на те, что были изначально созданы в электронном виде (и в бумаге их никогда и не существовало) и те, что создавались бумажными, а потом были «оцифрованы» (электронный образ документа). Знание такого различия имеет значение для установления и подтверждения свойств электронного документа (его аутентичности, достоверности, целостности и пригодности для использования), а также для соблюдения требований к разным видам электронных документов.

А с точки зрения форензики – также и для понимания природы формирования цифровых следов. Тут смысл в следующем: если был подделан изначально созданный в электронном виде документ, установить это поможет именно цифровая криминалистика и компьютерно-техническая экспертиза.

А вот с электронным образом документа ситуация иная. Если это скан-копия, в которую при помощи графического редактора были внесена изменения – дата или текст поправлены, подпись или печать дорисованы – методы форензики помогут это обнаружить. Но если все «корректировки» были проделаны еще с бумажным документом, который уже потом был отсканирован, то тут, к сожалению,