Sådan verificerer du, hvornår et billede blev taget (og afslører en forfalsket dato)

Hurtigt svar: For at verificere et billedes dato, åbn det i en gratis EXIF-viewer og sammenlign de tre tidsstempler, EXIF registrerer: DateTimeOriginal (da lukkeren udløste), CreateDate, også kaldet DateTimeDigitized (da filen først blev skrevet), og ModifyDate (sidste gang den blev gemt). På en ægte frisk optagelse er alle tre næsten identiske. Hvis de er uenige på en mistænkelig måde, eller hvis DateTimeOriginal mangler, mens ModifyDate er nylig, kan datoen være blevet ændret. GPS-tid, filrækkefølge i en sekvens og content credentials tilføjer sikkerhed. Brug EXIF-vieweren til at læse tidsstemplerne og vores Photo Forensics-værktøj til at grave dybere.

Når et billedes dato betyder noget for et forsikringskrav, en juridisk tvist, en garantideadline eller et "hvornår skete denne skade"-skænderi, kan du ikke bare stole på den dato, filen hævder. EXIF-datoer kan redigeres på sekunder med gratis værktøjer, så en dato alene er ikke bevis. Denne guide handler om legitim verifikation: hvordan man læser de tidsstempler, et billede bærer, hvordan et normalt mønster ser ud i forhold til et manipuleret mønster, og hvordan man krydstjekker datoen mod signaler, der er sværere at forfalske. Den er udelukkende formuleret med henblik på detektion, ikke på at ændre noget.

De tre EXIF-tidsstempler

EXIF gemmer tre separate datofelter, og forholdet mellem dem er den enkeltvis mest nyttige ting, du kan læse.

• DateTimeOriginal er beregnet til at registrere det øjeblik, lukkeren udløste. Dette er "hvornår blev dette taget"-datoen.
• CreateDate (EXIF-tagget DateTimeDigitized) registrerer, hvornår billedet først blev digitaliseret eller skrevet til en fil. På et digitalkamera er dette det samme øjeblik som DateTimeOriginal.
• ModifyDate registrerer sidste gang, filen blev gemt. Ethvert nyt gem, redigering eller eksport opdaterer det.

Det normale mønster. Et billede taget på en telefon eller et kamera og aldrig redigeret har DateTimeOriginal, CreateDate og ModifyDate alle inden for et sekund eller to af hinanden. Den tætte overensstemmelse er, hvad en urørt optagelse ser ud som.

Mistænkelige mønstre. Vær opmærksom på disse:

• DateTimeOriginal mangler, ModifyDate er nylig. Hvis lukkerdatoen er væk, men filen blev gemt for nylig, kan de oprindelige optagedata være blevet fjernet, eller filen kan være blevet genereret eller eksporteret igen frem for optaget.
• ModifyDate tidligere end DateTimeOriginal. En fil kan logisk set ikke gemmes, før den blev taget. Dette betyder som regel, at et af felterne blev redigeret manuelt.
• Runde eller identiske falsk-udseende værdier. Datoer sat til præcis midnat, eller alle felter tvunget til den samme vilkårlige dag, kan indikere en manuel redigering.
• Et Software-tag, der nævner et redigeringsprogram. Hvis DateTimeOriginal ser ren ud, men Software-feltet siger "Adobe Photoshop" eller et metadataværktøj, passerede datoerne gennem software, der kunne have omskrevet dem.

Læs alle tre i vores EXIF-viewer. For baggrund om felterne, se hvordan man ser, hvornår et billede blev taget.

Krydstjek ud over EXIF-datoen

Fordi EXIF-datoer kan redigeres, sammenligner den stærkeste verifikation dem mod signaler, som en tilfældig forfalsker sandsynligvis ikke vil få til at stemme.

GPS-tidsstempel. Når Lokalitetstjenester var slået til, skriver kameraet også en GPS-blok, der inkluderer sin egen UTC-dato og -tid, taget fra satellittid. Sammenlign GPS-datoen med DateTimeOriginal. De bør matche (når der tages højde for tidszoneforskydning). Hvis EXIF siger én dag og den indlejrede GPS-tid siger en anden, blev en af dem ændret, og GPS-tid er den sværeste at forfalske.

Solens position og skygger. Skyggernes længde og retning koder tidspunktet på dagen og årstiden for et givet sted. Hvis et billede hævder at være en vintereftermiddag, men viser korte skygger lige nedad, der svarer til sommermiddag, er den påståede dato inkonsistent med scenen. Dette er en fornuftskontrol, ikke et præcist ur, men det fanger datoer, der er voldsomt forkerte.

Omkringliggende billeder i en sekvens. Kameraer og telefoner tildeler filnavne og -numre i rækkefølge (IMG_0412, IMG_0413). Hvis det pågældende billede bærer en dato, der bryder den monotone rækkefølge af billederne omkring det, eller sidder i en mappe, hvis naboer alle er måneder fra det, er datoen værd at sætte spørgsmålstegn ved.

Filsystemdatoer. Operativsystemets oprettelses- og ændringstidsstempler på filen er svage (de nulstilles ved kopiering og download), men en filsystemdato, der ligger før den påståede DateTimeOriginal, er en modsætning, der fortjener et nærmere kig.

Hvorfor et indbrændt tidsstempel er sværere at forfalske

EXIF lever i filhovedet, adskilt fra pixlerne, hvilket er præcis grunden til, at det er let at omskrive. Et tidsstempel brændt ind i pixlerne i optageøjeblikket er en anden sag. For at ændre det skal nogen redigere selve billedet: male de gamle cifre væk og gengive nye, der matcher skrifttypen, belysningen og komprimeringen af originalen. Det efterlader den slags spor, der er dækket i hvordan man ser, om et billede er blevet redigeret, og et omhyggeligt kig med Error Level Analysis i Photo Forensics-værktøjet kan ofte afsløre lappen.

Derfor er den mest forsvarlige tilgang, for billeder hvor datoen senere kan blive anfægtet, at optage med datoen stemplet på billedet ved lukkeren. Du kan tilføje et tidsstempel til et billede i det øjeblik, du tager det, så datoen lever i pixlerne og i EXIF samtidig. For mere om, hvordan domstole og taksatorer behandler disse, se er tidsstempelbilleder lovligt bevis.

Content credentials

C2PA Content Credentials tilføjer et kryptografisk lag oven på alt dette. Et voksende antal kameraer, herunder nyere iPhone-modeller, kan vedhæfte en signeret optagecredential, der registrerer, hvornår og med hvilken enhed billedet blev lavet. Fordi manifestet er signeret, bryder en ændring af den registrerede dato signaturen. Slip filen ind i contentcredentials.org/verify eller læs hvordan man tjekker content credentials (C2PA) for at se, om en credential er til stede og intakt. Når den er det, er det det stærkeste datobevis, der findes.

Ærlige begrænsninger

Ingen metode her er en garanti. EXIF-datoer kan redigeres på sekunder, så et rent-udseende sæt tidsstempler beviser kun, at ingen gad få dem til at være uenige, ikke at datoen er sand. GPS-tid kan være fraværende, hvis Lokalitet var slået fra. Content credentials er valgfrie og fjernes af mange platforme ved upload, så deres fravær beviser intet. En eksport igen gennem en beskedapp kan stilfærdigt normalisere alle tre EXIF-datoer og slette netop de uoverensstemmelser, du ledte efter. Den pålidelige tilgang er at kombinere signaler: læs de tre tidsstempler, krydstjek GPS og billedrækkefølgen, kig efter redigeringsspor, og opsøg originalfilen og dens content credentials fra kilden. Behandl et enkelt mistænkeligt signal som en grund til at undersøge, ikke en dom, og for ethvert billede, hvis dato du måske senere skal bevise, så stempl datoen ved optagelsen, så beviset er bagt ind fra starten.