چطور تأیید کنیم یک عکس کی گرفته شده (و تاریخ جعلی را تشخیص دهیم)

پاسخ کوتاه: برای تأیید تاریخ یک عکس، آن را در یک EXIF viewer رایگان باز کنید و سه برچسب زمانی را که EXIF ثبت می‌کند مقایسه کنید: DateTimeOriginal (زمانی که شاتر شلیک شد)، CreateDate که DateTimeDigitized هم نامیده می‌شود (زمانی که فایل برای اولین بار نوشته شد)، و ModifyDate (آخرین باری که ذخیره شد). روی یک عکس تازه واقعی هر سه تقریباً یکسان هستند. اگر به شکلی مشکوک با هم همخوانی نداشته باشند، یا اگر DateTimeOriginal گم باشد در حالی که ModifyDate اخیر است، ممکن است تاریخ تغییر کرده باشد. زمان GPS، ترتیب فایل در یک توالی و content credentials اطمینان بیشتری می‌افزایند. از EXIF viewer برای خواندن برچسب‌های زمانی و از ابزار Photo Forensics ما برای کاوش عمیق‌تر استفاده کنید.

وقتی تاریخ یک عکس برای یک ادعای بیمه، یک اختلاف حقوقی، یک مهلت گارانتی، یا یک بحث "این خسارت کی رخ داد" اهمیت دارد، نمی‌توانید فقط به تاریخی که فایل ادعا می‌کند اعتماد کنید. تاریخ‌های EXIF در عرض چند ثانیه با ابزارهای رایگان قابل ویرایش هستند، پس یک تاریخ به‌تنهایی شاهد نیست. این راهنما درباره تأیید مشروع است: چطور برچسب‌های زمانی را که یک عکس حمل می‌کند بخوانیم، یک الگوی عادی در مقابل یک الگوی دستکاری‌شده چه شکلی است، و چطور تاریخ را با سیگنال‌هایی که جعلشان دشوارتر است مقابله کنیم. این کاملاً برای تشخیص قاب‌بندی شده است، نه برای تغییر چیزی.

سه برچسب زمانی EXIF

EXIF سه فیلد تاریخ جداگانه ذخیره می‌کند، و رابطه بین آن‌ها مفیدترین چیزی است که می‌توانید بخوانید.

• DateTimeOriginal برای ثبت لحظه‌ای که شاتر شلیک شد در نظر گرفته شده است. این تاریخ "این کی گرفته شد" است.
• CreateDate (برچسب EXIF با نام DateTimeDigitized) ثبت می‌کند که تصویر برای اولین بار کی دیجیتالی یا در یک فایل نوشته شد. روی یک دوربین دیجیتال این همان لحظه DateTimeOriginal است.
• ModifyDate آخرین باری را که فایل ذخیره شد ثبت می‌کند. هر دوباره ذخیره، ویرایش یا خروجی آن را به‌روز می‌کند.

الگوی عادی. عکسی که با یک گوشی یا دوربین گرفته شده و هرگز ویرایش نشده، DateTimeOriginal، CreateDate و ModifyDate همگی در فاصله یک یا دو ثانیه‌ای از یکدیگر دارد. آن همخوانی نزدیک همان چیزی است که یک عکس دست‌نخورده شبیه آن است.

الگوهای مشکوک. مراقب این‌ها باشید:

• DateTimeOriginal گم، ModifyDate اخیر. اگر تاریخ شاتر رفته اما فایل اخیراً ذخیره شده، داده اصلی گرفتن ممکن است پاک شده باشد یا فایل به‌جای گرفته شدن تولید یا دوباره خروجی گرفته شده باشد.
• ModifyDate زودتر از DateTimeOriginal. یک فایل منطقاً نمی‌تواند پیش از گرفته شدن ذخیره شود. این معمولاً به این معناست که یکی از فیلدها به‌صورت دستی ویرایش شده است.
• مقادیر گرد یا یکسان با ظاهر جعلی. تاریخ‌هایی که دقیقاً روی نیمه‌شب تنظیم شده‌اند، یا همه فیلدها به یک روز دلخواه یکسان وادار شده‌اند، می‌توانند نشان‌دهنده یک ویرایش دستی باشند.
• یک برچسب Software که نام یک ویرایشگر را دارد. اگر DateTimeOriginal تمیز به نظر برسد اما فیلد Software "Adobe Photoshop" یا یک ابزار متادیتا را بخواند، تاریخ‌ها از نرم‌افزاری گذشته‌اند که می‌توانست آن‌ها را بازنویسی کند.

هر سه را در EXIF viewer ما بخوانید. برای پیش‌زمینه درباره فیلدها، چطور ببینیم یک عکس کی گرفته شده است را ببینید.

مقابله‌های فراتر از تاریخ EXIF

چون تاریخ‌های EXIF قابل ویرایش هستند، قوی‌ترین تأیید آن‌ها را با سیگنال‌هایی مقایسه می‌کند که یک جاعل عادی بعید است آن‌ها را همسو کند.

برچسب زمانی GPS. وقتی Location Services روشن بود، دوربین یک بلوک GPS هم می‌نویسد که شامل تاریخ و زمان UTC خودش است که از زمان ماهواره گرفته شده. تاریخ GPS را با DateTimeOriginal مقایسه کنید. باید مطابقت داشته باشند (با در نظر گرفتن اختلاف منطقه زمانی). اگر EXIF یک روز و زمان GPS تعبیه‌شده روز دیگری بگوید، یکی از آن‌ها تغییر کرده است، و زمان GPS سخت‌تر برای جعل است.

موقعیت خورشید و سایه‌ها. طول و جهت سایه‌ها زمان روز و فصل را برای یک موقعیت مشخص رمزگذاری می‌کنند. اگر عکسی ادعا کند یک بعدازظهر زمستانی است اما سایه‌های کوتاه بالای سر سازگار با ظهر تابستانی نشان دهد، تاریخ ادعاشده با صحنه ناسازگار است. این یک بررسی صحت است، نه یک ساعت دقیق، اما تاریخ‌هایی را که به‌شدت اشتباه‌اند می‌گیرد.

عکس‌های اطراف در یک توالی. دوربین‌ها و گوشی‌ها به نام‌های فایل و شماره‌ها به‌ترتیب اختصاص می‌دهند (IMG_0412، IMG_0413). اگر عکس مورد نظر تاریخی حمل کند که ترتیب یکنواخت کادرهای اطرافش را می‌شکند، یا در پوشه‌ای قرار گیرد که همسایه‌هایش همگی ماه‌ها با آن فاصله دارند، تاریخ ارزش پرسش دارد.

تاریخ‌های سیستم فایل. برچسب‌های زمانی ساخت و اصلاح سیستم‌عامل روی فایل ضعیف هستند (هنگام کپی و دانلود بازنشانی می‌شوند)، اما یک تاریخ سیستم فایل که پیش از DateTimeOriginal ادعاشده است یک تناقض است که سزاوار یک نگاه دوباره است.

چرا یک برچسب زمانی حک‌شده سخت‌تر برای جعل است

EXIF در سرآیند فایل زندگی می‌کند، جدا از پیکسل‌ها، که دقیقاً همان دلیلی است که بازنویسی‌اش آسان است. یک برچسب زمانی که در لحظه گرفتن در پیکسل‌ها حک شده موضوع دیگری است. برای تغییر آن، کسی باید خود تصویر را ویرایش کند: ارقام قدیمی را نقاشی کند و ارقام جدیدی رندر کند که با فونت، نورپردازی و فشرده‌سازی نسخه اصلی مطابقت داشته باشند. این همان نوع ردهایی را که در چطور تشخیص دهیم یک عکس ویرایش شده است پوشش داده شده باقی می‌گذارد، و یک نگاه دقیق با Error Level Analysis در ابزار Photo Forensics اغلب می‌تواند آن وصله را آشکار کند.

به همین دلیل، برای عکس‌هایی که تاریخشان ممکن است بعداً به چالش کشیده شود، قابل دفاع‌ترین رویکرد گرفتن عکس با تاریخ مهرشده روی تصویر در لحظه شاتر است. می‌توانید یک برچسب زمانی به یک عکس اضافه کنید در همان لحظه‌ای که آن را می‌گیرید، تا تاریخ در پیکسل‌ها و در EXIF با هم زندگی کند. برای اطلاعات بیشتر درباره اینکه دادگاه‌ها و کارشناسان چطور با این‌ها رفتار می‌کنند، آیا عکس‌های برچسب زمانی شاهد قانونی هستند را ببینید.

content credentials

C2PA Content Credentials یک لایه رمزنگاری‌شده روی همه این‌ها می‌افزایند. تعداد رو به رشدی از دوربین‌ها، از جمله مدل‌های اخیر iPhone، می‌توانند یک credential گرفتن امضاشده پیوست کنند که ثبت می‌کند تصویر کی و با چه دستگاهی ساخته شده است. چون مانیفست امضا شده، تغییر تاریخ ثبت‌شده امضا را می‌شکند. فایل را در contentcredentials.org/verify رها کنید یا چطور content credentials (C2PA) را بررسی کنیم را بخوانید تا ببینید آیا یک credential موجود و دست‌نخورده است. وقتی باشد، قوی‌ترین شاهد تاریخی موجود است.

محدودیت‌های صادقانه

هیچ روشی اینجا تضمین نیست. تاریخ‌های EXIF در عرض چند ثانیه قابل ویرایش هستند، پس یک مجموعه برچسب زمانی با ظاهر تمیز فقط ثابت می‌کند که کسی زحمت به‌هم‌ریختن آن‌ها را به خود نداده، نه اینکه تاریخ درست است. زمان GPS می‌تواند غایب باشد اگر Location خاموش بوده. content credentials انتخابی هستند و توسط بسیاری از پلتفرم‌ها هنگام بارگذاری پاک می‌شوند، پس غیابشان چیزی را ثابت نمی‌کند. یک دوباره خروجی از طریق یک اپلیکیشن پیام‌رسان می‌تواند بی‌سروصدا هر سه تاریخ EXIF را عادی کند و همان ناهمخوانی‌هایی را که به دنبالشان بودید پاک کند. رویکرد قابل‌اعتماد ترکیب سیگنال‌هاست: سه برچسب زمانی را بخوانید، با GPS و توالی عکس مقابله کنید، به دنبال ردهای ویرایش بگردید، و فایل اصلی و content credentials آن را از منبع بخواهید. یک سیگنال مشکوک واحد را دلیلی برای بررسی در نظر بگیرید، نه یک حکم، و برای هر عکسی که ممکن است نیاز داشته باشید تاریخش را بعداً ثابت کنید، تاریخ را در لحظه گرفتن مهر کنید تا شاهد از همان آغاز در آن پخته شده باشد.