Miten varmistat, milloin valokuva on otettu (ja tunnistat väärennetyn päivämäärän)

Lyhyt vastaus: Varmistaaksesi valokuvan päivämäärän avaa se ilmaisessa EXIF-katselussa ja vertaa kolmea aikaleimaa, jotka EXIF tallentaa: DateTimeOriginal (milloin suljin laukesi), CreateDate, jota kutsutaan myös nimellä DateTimeDigitized (milloin tiedosto kirjoitettiin ensimmäisen kerran) ja ModifyDate (viimeisin tallennusajankohta). Aidossa tuoreessa kuvassa kaikki kolme ovat lähes identtiset. Jos ne ovat ristiriidassa epäilyttävällä tavalla, tai jos DateTimeOriginal puuttuu mutta ModifyDate on tuore, päivämäärää on saatettu muuttaa. GPS-aika, tiedostojen järjestys sarjassa ja content credentials -tiedot lisäävät varmuutta. Käytä EXIF-katselua lukeaksesi aikaleimat ja Photo Forensics -työkaluamme syvällisempään tutkimukseen.

Kun valokuvan päivämäärällä on merkitystä vakuutuskorvaushakemuksessa, oikeudellisessa kiistassa, takuun määräajassa tai "milloin tämä vahinko tapahtui" -väittelyssä, et voi vain luottaa päivämäärään, jota tiedosto väittää. EXIF-päivämäärät ovat muokattavissa sekunneissa ilmaisilla työkaluilla, joten päivämäärä yksinään ei ole todiste. Tämä opas käsittelee laillista varmistamista: miten lukea aikaleimat, jotka valokuva kantaa, miltä normaali kaava verrattuna peukaloituun kaavaan näyttää ja miten verrata päivämäärää signaaleihin, joita on vaikeampi väärentää. Se on suunnattu tiukasti havaitsemiseen, ei minkään muuttamiseen.

Kolme EXIF-aikaleimaa

EXIF tallentaa kolme erillistä päivämääräkenttää, ja niiden välinen suhde on yksittäin hyödyllisin asia, jonka voit lukea.

• DateTimeOriginal on tarkoitettu tallentamaan hetki, jolloin suljin laukesi. Tämä on "milloin tämä otettiin" -päivämäärä.
• CreateDate (EXIF-tunniste DateTimeDigitized) tallentaa, milloin kuva ensin digitoitiin tai kirjoitettiin tiedostoon. Digitaalikamerassa tämä on sama hetki kuin DateTimeOriginal.
• ModifyDate tallentaa, milloin tiedosto viimeksi tallennettiin. Mikä tahansa uudelleen tallennus, muokkaus tai vienti päivittää sen.

Normaali kaava. Puhelimella tai kameralla otettu ja koskaan muokkaamaton valokuva sisältää DateTimeOriginal-, CreateDate- ja ModifyDate-arvot kaikki sekunnin tai parin sisällä toisistaan. Tämä tiivis yhtäpitävyys on sitä, miltä koskematon kuva näyttää.

Epäilyttävät kaavat. Varo näitä:

• DateTimeOriginal puuttuu, ModifyDate tuore. Jos sulkimen päivämäärä on poissa mutta tiedosto on tallennettu hiljattain, alkuperäiset kuvaustiedot on saatettu poistaa, tai tiedosto on saatettu luoda tai viedä uudelleen kuvaamisen sijaan.
• ModifyDate aikaisempi kuin DateTimeOriginal. Tiedostoa ei voi loogisesti tallentaa ennen kuin se otettiin. Tämä tarkoittaa yleensä, että jotakin kentistä on muokattu käsin.
• Pyöreät tai identtiset väärennetyltä näyttävät arvot. Tarkalleen keskiyöhön asetetut päivämäärät, tai kaikki kentät pakotettuna samaan mielivaltaiseen päivään, voivat viitata käsin tehtyyn muokkaukseen.
• Software-tunniste, joka nimeää editorin. Jos DateTimeOriginal näyttää puhtaalta mutta Software-kentässä lukee "Adobe Photoshop" tai jokin metatietotyökalu, päivämäärät kulkivat ohjelmiston läpi, joka olisi voinut kirjoittaa ne uudelleen.

Lue kaikki kolme EXIF-katselussamme. Taustatietoa kentistä löydät kohdasta miten näet, milloin valokuva on otettu.

Ristiintarkistukset EXIF-päivämäärän lisäksi

Koska EXIF-päivämäärät ovat muokattavissa, vahvin varmistus vertaa niitä signaaleihin, joita satunnainen väärentäjä ei todennäköisesti saa yhtenäisiksi.

GPS-aikaleima. Kun sijaintipalvelut olivat päällä, kamera kirjoittaa myös GPS-lohkon, joka sisältää oman UTC-päivämääränsä ja -aikansa satelliittiajasta otettuna. Vertaa GPS-päivämäärää DateTimeOriginal-arvoon. Niiden pitäisi täsmätä (aikavyöhyke-eron huomioon ottaen). Jos EXIF sanoo yhtä päivää ja upotettu GPS-aika toista, jompaakumpaa muutettiin, ja GPS-aika on niistä vaikeampi väärentää.

Auringon asema ja varjot. Varjojen pituus ja suunta koodaavat vuorokaudenajan ja vuodenajan tietyssä sijainnissa. Jos valokuva väittää olevansa talvinen iltapäivä mutta näyttää lyhyitä, suoraan ylhäältä tulevia varjoja, jotka sopivat kesäpäivän keskipäivään, väitetty päivämäärä on ristiriidassa kohtauksen kanssa. Tämä on järkevyystarkistus, ei tarkka kello, mutta se nappaa päivämäärät, jotka ovat täysin väärin.

Ympäröivät kuvat sarjassa. Kamerat ja puhelimet antavat tiedostonimet ja -numerot järjestyksessä (IMG_0412, IMG_0413). Jos kyseessä oleva valokuva kantaa päivämäärää, joka rikkoo sitä ympäröivien kuvien yksitoikkoisen järjestyksen, tai sijaitsee kansiossa, jonka naapurit ovat kaikki kuukausien päässä siitä, päivämäärä on kyseenalaistamisen arvoinen.

Tiedostojärjestelmän päivämäärät. Käyttöjärjestelmän tiedostolle antamat luonti- ja muokkausaikaleimat ovat heikkoja (ne nollautuvat kopioinnissa ja latauksessa), mutta tiedostojärjestelmän päivämäärä, joka edeltää väitettyä DateTimeOriginal-arvoa, on ristiriita, joka ansaitsee toisen katseen.

Miksi kuvaan poltettu aikaleima on vaikeampi väärentää

EXIF sijaitsee tiedoston ylätunnisteessa, erillään pikseleistä, mikä on juuri syy siihen, miksi se on helppo kirjoittaa uudelleen. Kuvaushetkellä pikseleihin poltettu aikaleima on eri asia. Sen muuttamiseksi jonkun on muokattava itse kuvaa: maalattava vanhat numerot pois ja renderöitävä uudet, jotka vastaavat alkuperäisen fonttia, valaistusta ja pakkausta. Se jättää sellaisia jälkiä, joita käsitellään kohdassa miten tunnistat, onko valokuvaa muokattu, ja huolellinen tarkastelu Error Level Analysis -menetelmällä Photo Forensics -työkalussa voi usein paljastaa paikkauksen.

Tämä on syy siihen, että valokuvissa, joiden päivämäärä saatetaan myöhemmin kyseenalaistaa, puolustettavin lähestymistapa on kuvata päivämäärä leimattuna kuvaan sulkimen laukeamishetkellä. Voit lisätä aikaleiman valokuvaan sillä hetkellä, kun otat sen, jolloin päivämäärä elää pikseleissä ja EXIF-tiedoissa yhdessä. Lisätietoa siitä, miten tuomioistuimet ja korvauskäsittelijät suhtautuvat näihin, löydät kohdasta ovatko aikaleimakuvat laillinen todiste.

Content credentials -tiedot

C2PA Content Credentials -tiedot lisäävät kryptografisen kerroksen kaiken tämän päälle. Kasvava määrä kameroita, mukaan lukien uudet iPhone-mallit, voi liittää allekirjoitetun kuvauscredentialin, joka tallentaa, milloin ja millä laitteella kuva on tehty. Koska manifesti on allekirjoitettu, tallennetun päivämäärän muuttaminen rikkoo allekirjoituksen. Pudota tiedosto osoitteeseen contentcredentials.org/verify tai lue miten tarkistat content credentials -tiedot (C2PA) nähdäksesi, onko credential läsnä ja ehjä. Kun se on, se on vahvin saatavilla oleva päivämäärätodiste.

Rehelliset rajat

Mikään tässä esitelty menetelmä ei ole takuu. EXIF-päivämäärät voidaan muokata sekunneissa, joten puhtaalta näyttävä aikaleimajoukko todistaa vain, ettei kukaan vaivautunut tekemään niistä ristiriitaisia, ei sitä, että päivämäärä on tosi. GPS-aika voi puuttua, jos sijainti oli pois päältä. Content credentials -tiedot ovat vapaaehtoisia, ja monet alustat poistavat ne latauksen yhteydessä, joten niiden puuttuminen ei todista mitään. Uudelleenvienti viestisovelluksen läpi voi hiljaa normalisoida kaikki kolme EXIF-päivämäärää ja pyyhkiä juuri ne ristiriidat, joita etsit. Luotettava lähestymistapa on yhdistää signaalit: lue kolme aikaleimaa, ristiintarkista GPS ja kuvasarja, etsi muokkauksen jälkiä ja hanki alkuperäinen tiedosto ja sen content credentials -tiedot lähteeltä. Käsittele yksittäistä epäilyttävää signaalia syynä tutkia, ei tuomiona, ja jokaisesta valokuvasta, jonka päivämäärän saatat myöhemmin joutua todistamaan, leimaa päivämäärä kuvaushetkellä, jotta todiste on sisäänrakennettuna alusta alkaen.