Hvordan verifisere når et bilde ble tatt (og avsløre en forfalsket dato)

Kort svar: For å verifisere et bildes dato, åpne det i en gratis EXIF-viser og sammenlign de tre tidsstemplene EXIF registrerer: DateTimeOriginal (når lukkeren utløste), CreateDate, også kalt DateTimeDigitized (når filen først ble skrevet), og ModifyDate (siste gang den ble lagret). På et ekte ferskt opptak er alle tre nesten identiske. Hvis de avviker på en mistenkelig måte, eller hvis DateTimeOriginal mangler mens ModifyDate er nylig, kan datoen ha blitt endret. GPS-tid, filrekkefølge i en sekvens og content credentials gir mer trygghet. Bruk EXIF-viseren til å lese tidsstemplene og vårt Photo Forensics-verktøy til å grave dypere.

Når et bildes dato betyr noe for et forsikringskrav, en juridisk tvist, en garantifrist eller en "når skjedde denne skaden"-diskusjon, kan du ikke bare stole på datoen filen hevder. EXIF-datoer kan redigeres på sekunder med gratis verktøy, så en dato alene er ikke bevis. Denne guiden handler om legitim verifisering: hvordan lese tidsstemplene et bilde bærer, hvordan et normalt mønster ser ut sammenlignet med et manipulert, og hvordan du kryssjekker datoen mot signaler som er vanskeligere å forfalske. Den er strengt rettet mot oppdagelse, ikke mot å endre noe som helst.

De tre EXIF-tidsstemplene

EXIF lagrer tre separate datofelt, og forholdet mellom dem er den enkeltnyttigste tingen du kan lese.

• DateTimeOriginal er ment å registrere øyeblikket lukkeren utløste. Dette er "når ble dette tatt"-datoen.
• CreateDate (EXIF-taggen DateTimeDigitized) registrerer når bildet først ble digitalisert eller skrevet til en fil. På et digitalkamera er dette det samme øyeblikket som DateTimeOriginal.
• ModifyDate registrerer siste gang filen ble lagret. Enhver ny lagring, redigering eller eksport oppdaterer den.

Det normale mønsteret. Et bilde tatt på en telefon eller et kamera og aldri redigert har DateTimeOriginal, CreateDate og ModifyDate alle innenfor ett eller to sekunder av hverandre. Den tette overensstemmelsen er hvordan et urørt opptak ser ut.

Mistenkelige mønstre. Vær oppmerksom på disse:

• DateTimeOriginal mangler, ModifyDate nylig. Hvis opptaksdatoen er borte, men filen ble lagret nylig, kan de opprinnelige opptaksdataene ha blitt strippet, eller filen kan ha blitt generert eller eksportert på nytt snarere enn tatt.
• ModifyDate tidligere enn DateTimeOriginal. En fil kan logisk sett ikke lagres før den ble tatt. Dette betyr vanligvis at et av feltene ble redigert for hånd.
• Runde eller identiske, falske verdier. Datoer satt til nøyaktig midnatt, eller alle felt tvunget til samme vilkårlige dag, kan tyde på en manuell redigering.
• En Software-tagg som navngir et redigeringsprogram. Hvis DateTimeOriginal ser ren ut, men Software-feltet leser "Adobe Photoshop" eller et metadataverktøy, gikk datoene gjennom programvare som kunne ha skrevet dem om.

Les alle tre i vår EXIF-viser. For bakgrunn om feltene, se hvordan se når et bilde ble tatt.

Kryssjekker utover EXIF-datoen

Fordi EXIF-datoer kan redigeres, sammenligner den sterkeste verifiseringen dem mot signaler som en tilfeldig forfalsker neppe klarer å få til å stemme overens.

GPS-tidsstempel. Når Stedstjenester var på, skriver kameraet også en GPS-blokk som inneholder sin egen UTC-dato og -klokkeslett, hentet fra satellittid. Sammenlign GPS-datoen med DateTimeOriginal. De skal stemme overens (med rom for tidssoneforskjell). Hvis EXIF sier én dag og den innebygde GPS-tiden sier en annen, ble en av dem endret, og GPS-tid er den vanskeligste å forfalske.

Solens posisjon og skygger. Lengden og retningen på skygger koder klokkeslettet og årstiden for et gitt sted. Hvis et bilde hevder å være en vintermiddag, men viser korte skygger rett ovenfra som er forenlige med sommermidday, er den påståtte datoen inkonsekvent med scenen. Dette er en fornuftssjekk, ikke en presis klokke, men den fanger datoer som er vilt feil.

Bilder rundt i en sekvens. Kameraer og telefoner tildeler filnavn og -numre i rekkefølge (IMG_0412, IMG_0413). Hvis bildet det gjelder bærer en dato som bryter den monotone rekkefølgen til bildene rundt det, eller ligger i en mappe der naboene alle er måneder unna det, er datoen verdt å stille spørsmål ved.

Filsystemdatoer. Operativsystemets opprettet- og endret-tidsstempler på filen er svake (de tilbakestilles ved kopiering og nedlasting), men en filsystemdato som ligger før den påståtte DateTimeOriginal er en motsetning som fortjener et nytt blikk.

Hvorfor et innbrent tidsstempel er vanskeligere å forfalske

EXIF lever i filhodet, atskilt fra pikslene, og det er nettopp derfor det er lett å skrive om. Et tidsstempel brent inn i pikslene i opptaksøyeblikket er en annen sak. For å endre det, må noen redigere selve bildet: male ut de gamle sifrene og gjengi nye som matcher fonten, lyssettingen og kompresjonen til originalen. Det etterlater den typen spor som dekkes i hvordan vite om et bilde er redigert, og et nøye blikk med Error Level Analysis i Photo Forensics-verktøyet kan ofte avsløre flikken.

Det er derfor, for bilder der datoen kan bli utfordret senere, den mest forsvarbare tilnærmingen er å ta bildet med datoen stemplet på bildet ved lukkeren. Du kan legge til et tidsstempel på et bilde i det øyeblikket du tar det, slik at datoen lever i pikslene og i EXIF sammen. For mer om hvordan domstoler og takstmenn behandler disse, se er tidsstemplede bilder lovlig bevis.

Content credentials

C2PA Content Credentials legger et kryptografisk lag oppå alt dette. Et økende antall kameraer, inkludert nyere iPhone-modeller, kan feste en signert opptakscredential som registrerer når og med hvilken enhet bildet ble laget. Fordi manifestet er signert, ødelegger det å endre den registrerte datoen signaturen. Legg filen inn i contentcredentials.org/verify eller les hvordan sjekke content credentials (C2PA) for å se om en credential er til stede og intakt. Når den er det, er den det sterkeste datobeviset som finnes.

Ærlige begrensninger

Ingen metode her er en garanti. EXIF-datoer kan redigeres på sekunder, så et rent sett med tidsstempler beviser bare at ingen brydde seg med å få dem til å avvike, ikke at datoen er sann. GPS-tid kan mangle hvis Sted var av. Content credentials er frivillige og fjernes av mange plattformer ved opplasting, så fraværet beviser ingenting. En ny eksport gjennom en meldingsapp kan stille og rolig normalisere alle tre EXIF-datoer og slette nettopp de avvikene du lette etter. Den pålitelige tilnærmingen er å kombinere signaler: les de tre tidsstemplene, kryssjekk GPS og bilderekkefølgen, se etter redigeringsspor, og oppsøk originalfilen og dens content credentials fra kilden. Behandle et enkelt mistenkelig signal som en grunn til å undersøke, ikke en dom, og for ethvert bilde hvis dato du kan trenge å bevise senere, stemple datoen ved opptak slik at beviset er bakt inn fra starten.