Jak ověřit, kdy byla fotografie pořízena (a odhalit zfalšované datum)

Rychlá odpověď: Chcete-li ověřit datum fotografie, otevřete ji v bezplatném EXIF prohlížeči a porovnejte tři časová razítka, která EXIF zaznamenává: DateTimeOriginal (kdy se spustila uzávěrka), CreateDate, nazývané také DateTimeDigitized (kdy byl soubor poprvé zapsán), a ModifyDate (kdy byl soubor naposledy uložen). U skutečného čerstvého pořízení jsou všechna tři téměř identická. Pokud se neshodují podezřelým způsobem, nebo pokud DateTimeOriginal chybí, zatímco ModifyDate je nedávný, datum mohlo být změněno. GPS čas, pořadí souborů v sekvenci a content credentials přidávají jistotu. Použijte EXIF prohlížeč ke čtení časových razítek a náš nástroj Photo Forensics k hlubšímu zkoumání.

Když na datu fotografie záleží kvůli pojistnému nároku, právnímu sporu, termínu záruky nebo argumentu "kdy se toto poškození stalo", nemůžete jen důvěřovat datu, které soubor uvádí. EXIF data lze pomocí bezplatných nástrojů upravit během několika sekund, takže datum samo o sobě není důkazem. Tento průvodce je o legitimním ověření: jak číst časová razítka, která fotografie nese, jak vypadá normální vzor versus zmanipulovaný vzor a jak datum porovnat se signály, které se hůře falšují. Je koncipován výhradně pro detekci, nikoli pro změnu čehokoli.

Tři EXIF časová razítka

EXIF ukládá tři samostatná datová pole a vztah mezi nimi je tou nejužitečnější věcí, kterou můžete přečíst.

• DateTimeOriginal má zaznamenat okamžik, kdy se spustila uzávěrka. To je datum "kdy bylo toto pořízeno".
• CreateDate (EXIF tag DateTimeDigitized) zaznamenává, kdy byl obraz poprvé digitalizován nebo zapsán do souboru. U digitálního fotoaparátu je to stejný okamžik jako DateTimeOriginal.
• ModifyDate zaznamenává, kdy byl soubor naposledy uložen. Jakékoli opětovné uložení, úprava nebo export jej aktualizuje.

Normální vzor. Fotografie pořízená telefonem nebo fotoaparátem a nikdy neupravená má DateTimeOriginal, CreateDate a ModifyDate všechny během sekundy nebo dvou od sebe. Tato těsná shoda je to, jak vypadá nedotčené pořízení.

Podezřelé vzory. Sledujte tyto:

• DateTimeOriginal chybí, ModifyDate nedávný. Pokud datum uzávěrky chybí, ale soubor byl nedávno uložen, původní data o pořízení mohla být odstraněna nebo mohl být soubor vygenerován či znovu exportován spíše než pořízen.
• ModifyDate dřívější než DateTimeOriginal. Soubor nemůže být logicky uložen dříve, než byl pořízen. To obvykle znamená, že jedno z polí bylo ručně upraveno.
• Kulaté nebo identické falešně vypadající hodnoty. Data nastavená přesně na půlnoc nebo všechna pole vynucená na stejný libovolný den mohou naznačovat ruční úpravu.
• Software tag, který jmenuje editor. Pokud DateTimeOriginal vypadá čistě, ale pole Software uvádí "Adobe Photoshop" nebo nástroj na metadata, data prošla softwarem, který je mohl přepsat.

Přečtěte si všechna tři v našem EXIF prohlížeči. Pro pozadí těchto polí viz jak zjistit, kdy byla fotografie pořízena.

Křížové kontroly nad rámec EXIF data

Protože EXIF data lze upravovat, nejsilnější ověření je porovnává se signály, které příležitostný padělatel pravděpodobně nesladí.

GPS časové razítko. Když byly zapnuté Polohové služby, fotoaparát také zapsal GPS blok, který obsahuje vlastní UTC datum a čas převzatý ze satelitního času. Porovnejte GPS datum s DateTimeOriginal. Měla by se shodovat (s ohledem na posun časového pásma). Pokud EXIF říká jeden den a vložený GPS čas říká jiný, jedno z nich bylo změněno a GPS čas je ten, který se hůře falšuje.

Poloha slunce a stíny. Délka a směr stínů kódují denní dobu a roční období pro dané místo. Pokud fotografie tvrdí, že je zimní odpoledne, ale ukazuje krátké stíny shora konzistentní s letním polednem, tvrzené datum je nekonzistentní se scénou. To je kontrola zdravého rozumu, nikoli přesné hodiny, ale zachytí data, která jsou divoce nesprávná.

Okolní fotografie v sekvenci. Fotoaparáty a telefony přiřazují názvy a čísla souborů v pořadí (IMG_0412, IMG_0413). Pokud dotyčná fotografie nese datum, které porušuje monotónní pořadí snímků kolem ní, nebo se nachází ve složce, jejíž sousedé jsou od ní všichni měsíce vzdáleni, datum stojí za zpochybnění.

Data souborového systému. Časová razítka vytvoření a úpravy souboru v operačním systému jsou slabá (resetují se při kopírování a stahování), ale datum souborového systému, které předchází tvrzenému DateTimeOriginal, je rozpor, který si zaslouží druhý pohled.

Proč je vypálené časové razítko těžší zfalšovat

EXIF žije v hlavičce souboru, odděleně od pixelů, což je přesně důvod, proč je snadné jej přepsat. Časové razítko vypálené do pixelů v okamžiku pořízení je jiná věc. Aby je někdo změnil, musí upravit samotný obraz: přemalovat staré číslice a vykreslit nové, které odpovídají písmu, osvětlení a kompresi originálu. To zanechá ten druh stop, který je pokryt v článku jak poznat, že fotografie byla upravena, a pečlivý pohled pomocí Error Level Analysis v nástroji Photo Forensics může často záplatu odhalit.

To je důvod, proč pro fotografie, jejichž datum může být později zpochybněno, je nejobhajitelnějším přístupem pořídit je s datem vyraženým na obraz při uzávěrce. Můžete přidat časové razítko k fotografii v okamžiku, kdy ji pořizujete, takže datum žije v pixelech i v EXIF dohromady. Více o tom, jak s nimi zacházejí soudy a likvidátoři, najdete v článku jsou fotografie s časovým razítkem právním důkazem.

Content credentials

C2PA Content Credentials přidávají kryptografickou vrstvu na vrch toho všeho. Rostoucí počet fotoaparátů, včetně nedávných modelů iPhone, dokáže připojit podepsaný capture credential, který zaznamenává, kdy a jakým zařízením byl obraz pořízen. Protože manifest je podepsaný, změna zaznamenaného data poruší podpis. Vložte soubor do contentcredentials.org/verify nebo si přečtěte jak zkontrolovat content credentials (C2PA), abyste zjistili, zda je credential přítomen a neporušen. Když je, je to nejsilnější dostupný důkaz data.

Upřímné limity

Žádná zde uvedená metoda není zárukou. EXIF data lze upravit během sekund, takže čistě vypadající sada časových razítek dokazuje pouze to, že se nikdo neobtěžoval je rozházet, nikoli to, že datum je pravdivé. GPS čas může chybět, pokud byla Poloha vypnutá. Content credentials jsou dobrovolné a mnoho platforem je při nahrání odstraňuje, takže jejich absence nic nedokazuje. Opětovný export přes aplikaci pro zasílání zpráv může potichu normalizovat všechna tři EXIF data a vymazat právě ty nesoulady, které jste hledali. Spolehlivým přístupem je kombinovat signály: přečíst tři časová razítka, porovnat GPS a sekvenci fotografií, hledat stopy úprav a vyhledat původní soubor a jeho content credentials od zdroje. Berte jediný podezřelý signál jako důvod k vyšetřování, nikoli jako verdikt, a u jakékoli fotografie, jejíž datum možná budete muset později prokázat, vyražte datum při pořízení, aby byl důkaz zapečený od začátku.