Hogyan igazold, mikor készült egy fotó (és hogyan szúrj ki egy hamisított dátumot)

Rövid válasz: Egy fotó dátumának igazolásához nyisd meg egy ingyenes EXIF-megtekintőben, és vesd össze a három időbélyeget, amelyet az EXIF rögzít: DateTimeOriginal (mikor sült el a zár), CreateDate, más néven DateTimeDigitized (mikor írták meg először a fájlt), és ModifyDate (mikor mentették utoljára). Egy valódi, friss felvételen mindhárom szinte azonos. Ha gyanús módon nem egyeznek, vagy ha a DateTimeOriginal hiányzik, miközben a ModifyDate friss, akkor a dátumot módosíthatták. A GPS-idő, a fájlsorrend egy sorozatban és a content credentials növelik a bizonyosságot. Használd az EXIF-megtekintőt az időbélyegek olvasásához, Fotó-forenzikai eszközünket pedig a mélyebb vizsgálathoz.

Amikor egy fotó dátuma számít egy biztosítási igénynél, egy jogi vitánál, egy garanciális határidőnél vagy egy "mikor történt ez a kár" érvelésnél, nem bízhatsz egyszerűen abban a dátumban, amelyet a fájl állít. Az EXIF-dátumok másodpercek alatt szerkeszthetők ingyenes eszközökkel, így egy dátum önmagában nem bizonyíték. Ez az útmutató a legitim igazolásról szól: hogyan olvasd el az időbélyegeket, amelyeket egy fotó hordoz, hogyan néz ki egy normál mintázat egy manipulálttal szemben, és hogyan vesd össze a dátumot olyan jelekkel, amelyeket nehezebb hamisítani. Szigorúan a felismerés keretében íródott, nem pedig bármi módosítására.

A három EXIF-időbélyeg

Az EXIF három különálló dátummezőt tárol, és a köztük lévő összefüggés az egyetlen leghasznosabb dolog, amit kiolvashatsz.

• DateTimeOriginal azt a pillanatot hivatott rögzíteni, amikor a zár elsült. Ez a "mikor készült ez" dátum.
• CreateDate (az EXIF DateTimeDigitized címkéje) azt rögzíti, mikor digitalizálták vagy írták először fájlba a képet. Egy digitális kamerán ez ugyanaz a pillanat, mint a DateTimeOriginal.
• ModifyDate azt rögzíti, mikor mentették utoljára a fájlt. Bármilyen újramentés, szerkesztés vagy export frissíti.

A normál mintázat. Egy telefonon vagy kamerán készült, soha nem szerkesztett fotónak a DateTimeOriginal, CreateDate és ModifyDate értéke egy-két másodpercen belül van egymástól. Ez a szoros egyezés az, ahogy egy érintetlen felvétel kinéz.

Gyanús mintázatok. Figyeld ezeket:

• Hiányzó DateTimeOriginal, friss ModifyDate. Ha a zár dátuma eltűnt, de a fájlt nemrég mentették, akkor az eredeti rögzítési adatokat letörölhették, vagy a fájlt rögzítés helyett generálták vagy újraexportálták.
• A ModifyDate korábbi, mint a DateTimeOriginal. Egy fájlt logikailag nem lehet az elkészülte előtt menteni. Ez általában azt jelenti, hogy az egyik mezőt kézzel szerkesztették.
• Kerek vagy azonos, hamisnak tűnő értékek. A pontosan éjfélre állított dátumok, vagy az összes mező ugyanarra a tetszőleges napra kényszerítve manuális szerkesztésre utalhatnak.
• Egy Software címke, amely egy szerkesztőt nevez meg. Ha a DateTimeOriginal tisztának tűnik, de a Software mezőben "Adobe Photoshop" vagy egy metaadat-eszköz olvasható, akkor a dátumok átmentek egy szoftveren, amely átírhatta őket.

Olvasd el mindhármat EXIF-megtekintőnkben. A mezők hátteréről lásd: hogyan láthatod, mikor készült egy fotó.

Keresztellenőrzések az EXIF-dátumon túl

Mivel az EXIF-dátumok szerkeszthetők, a legerősebb igazolás olyan jelekkel veti össze őket, amelyeket egy alkalmi hamisító valószínűleg nem fog összehangolni.

GPS-időbélyeg. Amikor a Helymeghatározási szolgáltatások be voltak kapcsolva, a kamera egy GPS-blokkot is ír, amely tartalmazza a saját UTC-dátumát és idejét, a műholdas időből véve. Vesd össze a GPS-dátumot a DateTimeOriginal-lel. Egyezniük kell (az időzóna-eltolódást figyelembe véve). Ha az EXIF egy napot mond, a beágyazott GPS-idő pedig egy másikat, akkor az egyiket megváltoztatták, és a GPS-időt nehezebb meghamisítani.

Napállás és árnyékok. Az árnyékok hossza és iránya kódolja a napszakot és az évszakot egy adott helyen. Ha egy fotó azt állítja, hogy egy téli délután, de rövid, fejünk feletti árnyékokat mutat, amelyek a nyári délhez illenek, akkor az állított dátum nem egyezik a jelenettel. Ez egy józansági ellenőrzés, nem precíz óra, de elkapja a vadul rossz dátumokat.

Környező fotók egy sorozatban. A kamerák és telefonok sorrendben adnak fájlneveket és számokat (IMG_0412, IMG_0413). Ha a kérdéses fotó olyan dátumot hordoz, amely megtöri a körülötte lévő képkockák monoton sorrendjét, vagy egy olyan mappában ül, amelynek szomszédai mind hónapokra vannak tőle, akkor a dátum megkérdőjelezésre érdemes.

Fájlrendszer-dátumok. Az operációs rendszer létrehozási és módosítási időbélyegei a fájlon gyengék (másolásnál és letöltésnél visszaállnak), de egy fájlrendszer-dátum, amely megelőzi az állított DateTimeOriginal-t, olyan ellentmondás, amely egy második pillantást érdemel.

Miért nehezebb hamisítani egy beégetett időbélyeget

Az EXIF a fájl fejlécében él, a pixelektől elkülönülve, és pontosan ezért könnyű átírni. Egy időbélyeg, amelyet a rögzítés pillanatában beégetnek a pixelekbe, más kérdés. Megváltoztatásához valakinek magát a képet kell szerkesztenie: kifesteni a régi számjegyeket, és újakat renderelni, amelyek illeszkednek az eredeti betűtípusához, megvilágításához és tömörítéséhez. Ez azokat a nyomokat hagyja maga után, amelyeket a hogyan állapítható meg, hogy egy fotót szerkesztettek című cikk tárgyal, és egy gondos vizsgálat az Error Level Analysis-szel a Fotó-forenzikai eszközben gyakran felfedheti a foltot.

Ezért, azoknál a fotóknál, amelyek dátumát később megtámadhatják, a legvédhetőbb megközelítés úgy rögzíteni, hogy a dátum a zár elsütésekor a képre legyen bélyegezve. Hozzáadhatsz egy időbélyeget egy fotóhoz abban a pillanatban, amikor elkészíted, így a dátum a pixelekben és az EXIF-ben együtt él. Arról, hogy a bíróságok és a kárszakértők hogyan kezelik ezeket, lásd: bizonyíték-e jogilag az időbélyeges fotó.

Content credentials

A C2PA Content Credentials egy kriptográfiai réteget adnak mindezek tetejére. Egyre több kamera, beleértve a legújabb iPhone modelleket is, képes egy aláírt rögzítési credentialt csatolni, amely rögzíti, mikor és milyen eszközzel készült a kép. Mivel a manifeszt aláírt, a rögzített dátum módosítása megtöri az aláírást. Dobd be a fájlt a contentcredentials.org/verify oldalra, vagy olvasd el a hogyan ellenőrizd a content credentialst (C2PA) című cikket, hogy megnézd, jelen van-e egy credential, és ép-e. Amikor jelen van, ez a legerősebb elérhető dátumbizonyíték.

Őszinte korlátok

Itt egyetlen módszer sem garancia. Az EXIF-dátumok másodpercek alatt szerkeszthetők, így egy tisztának tűnő időbélyegkészlet csak azt bizonyítja, hogy senki sem fáradozott azzal, hogy eltérővé tegye őket, nem pedig azt, hogy a dátum igaz. A GPS-idő hiányozhat, ha a Helymeghatározás ki volt kapcsolva. A content credentials önkéntesek, és sok platform letörli őket feltöltéskor, így a hiányuk semmit sem bizonyít. Egy újraexport egy üzenetküldő alkalmazáson keresztül csendben normalizálhatja mind a három EXIF-dátumot, és eltörölheti épp azokat az eltéréseket, amelyeket kerestél. A megbízható megközelítés az, hogy kombinálod a jeleket: olvasd el a három időbélyeget, vesd össze a GPS-t és a fotósorrendet, keresd a szerkesztési nyomokat, és kérd be az eredeti fájlt és a content credentialsát a forrástól. Egyetlen gyanús jelet kezelj vizsgálati okként, ne ítéletként, és bármely fotónál, amelynek dátumát később bizonyítanod kell, bélyegezd rá a dátumot a rögzítéskor, hogy a bizonyíték az elejétől fogva be legyen sütve.