Cách xác minh một bức ảnh được chụp khi nào (và phát hiện ngày giả)

Trả lời nhanh: Để xác minh ngày của một bức ảnh, hãy mở nó trong một trình xem EXIF miễn phí và so sánh ba dấu thời gian mà EXIF ghi lại: DateTimeOriginal (khi màn trập bấm), CreateDate, còn gọi là DateTimeDigitized (khi tập tin được ghi lần đầu), và ModifyDate (lần cuối cùng nó được lưu). Trên một bức ảnh chụp mới thật sự, cả ba gần như giống hệt nhau. Nếu chúng không khớp theo một cách đáng ngờ, hoặc nếu DateTimeOriginal bị thiếu trong khi ModifyDate gần đây, ngày có thể đã bị thay đổi. Thời gian GPS, thứ tự tập tin trong một chuỗi, và content credentials thêm độ tin cậy. Dùng trình xem EXIF để đọc các dấu thời gian và công cụ Photo Forensics của chúng tôi để đào sâu hơn.

Khi ngày của một bức ảnh quan trọng cho một yêu cầu bồi thường bảo hiểm, một tranh chấp pháp lý, một thời hạn bảo hành, hay một lập luận "hư hỏng này xảy ra khi nào", bạn không thể chỉ tin vào ngày mà tập tin tuyên bố. Ngày EXIF có thể chỉnh sửa trong vài giây bằng các công cụ miễn phí, nên một ngày đơn lẻ không phải là bằng chứng. Hướng dẫn này nói về việc xác minh hợp pháp: cách đọc các dấu thời gian mà một bức ảnh mang theo, một mẫu hình bình thường so với một mẫu hình bị giả mạo trông như thế nào, và cách đối chiếu ngày với các tín hiệu khó làm giả hơn. Nó được trình bày nghiêm ngặt cho mục đích phát hiện, không phải để thay đổi bất cứ thứ gì.

Ba dấu thời gian EXIF

EXIF lưu trữ ba trường ngày riêng biệt, và mối quan hệ giữa chúng là thứ hữu ích nhất bạn có thể đọc được.

• DateTimeOriginal nhằm ghi lại khoảnh khắc màn trập bấm. Đây là ngày "thứ này được chụp khi nào".
• CreateDate (thẻ EXIF DateTimeDigitized) ghi lại khi hình ảnh được số hóa hoặc ghi vào tập tin lần đầu. Trên một máy ảnh số đây là cùng khoảnh khắc với DateTimeOriginal.
• ModifyDate ghi lại lần cuối cùng tập tin được lưu. Bất kỳ lần lưu lại, chỉnh sửa, hay xuất nào đều cập nhật nó.

Mẫu hình bình thường. Một bức ảnh chụp trên điện thoại hoặc máy ảnh và chưa bao giờ được chỉnh sửa có DateTimeOriginal, CreateDate, và ModifyDate đều nằm trong vòng một hai giây của nhau. Sự khớp chặt chẽ đó là dáng vẻ của một bức ảnh chụp chưa chạm tới.

Các mẫu hình đáng ngờ. Hãy để ý những điều này:

• DateTimeOriginal bị thiếu, ModifyDate gần đây. Nếu ngày màn trập biến mất nhưng tập tin được lưu gần đây, dữ liệu chụp gốc có thể đã bị xóa hoặc tập tin có thể đã được tạo ra hoặc xuất lại thay vì được chụp.
• ModifyDate sớm hơn DateTimeOriginal. Một tập tin về mặt logic không thể được lưu trước khi nó được chụp. Điều này thường có nghĩa là một trong các trường đã được chỉnh sửa bằng tay.
• Các giá trị tròn hoặc giống hệt trông giả tạo. Ngày được đặt đúng vào nửa đêm, hoặc tất cả các trường bị ép về cùng một ngày tùy ý, có thể chỉ ra một lần chỉnh sửa thủ công.
• Một thẻ Software nêu tên một trình chỉnh sửa. Nếu DateTimeOriginal trông sạch sẽ nhưng trường Software ghi "Adobe Photoshop" hoặc một công cụ metadata, các ngày đã đi qua phần mềm có thể đã ghi lại chúng.

Đọc cả ba trong trình xem EXIF của chúng tôi. Để hiểu nền tảng về các trường này, hãy xem cách xem một bức ảnh được chụp khi nào.

Các phép đối chiếu ngoài ngày EXIF

Bởi vì ngày EXIF có thể chỉnh sửa, sự xác minh mạnh nhất so sánh chúng với các tín hiệu mà một kẻ làm giả tùy tiện khó có thể căn chỉnh.

Dấu thời gian GPS. Khi Dịch vụ Định vị được bật, máy ảnh cũng ghi một khối GPS bao gồm ngày và giờ UTC riêng của nó, lấy từ thời gian vệ tinh. So sánh ngày GPS với DateTimeOriginal. Chúng nên khớp (cho phép độ lệch múi giờ). Nếu EXIF nói một ngày và thời gian GPS nhúng nói một ngày khác, một trong số chúng đã bị thay đổi, và thời gian GPS là thứ khó giả mạo hơn.

Vị trí mặt trời và bóng đổ. Chiều dài và hướng của bóng đổ mã hóa thời điểm trong ngày và mùa cho một vị trí cụ thể. Nếu một bức ảnh tuyên bố là một buổi chiều mùa đông nhưng cho thấy các bóng đổ ngắn trên đầu phù hợp với buổi trưa mùa hè, ngày được tuyên bố không nhất quán với cảnh. Đây là một phép kiểm tra hợp lý, không phải một chiếc đồng hồ chính xác, nhưng nó bắt được những ngày sai một cách rõ ràng.

Các bức ảnh xung quanh trong một chuỗi. Máy ảnh và điện thoại gán tên và số tập tin theo thứ tự (IMG_0412, IMG_0413). Nếu bức ảnh đang xét mang một ngày phá vỡ thứ tự đơn điệu của các khung hình xung quanh nó, hoặc nằm trong một thư mục mà các tập tin lân cận đều cách nó hàng tháng, ngày đó đáng để nghi ngờ.

Ngày của hệ thống tập tin. Các dấu thời gian tạo và sửa đổi của hệ điều hành trên tập tin là yếu (chúng đặt lại khi sao chép và tải xuống), nhưng một ngày hệ thống tập tin có trước ngày DateTimeOriginal được tuyên bố là một mâu thuẫn đáng để nhìn lại lần hai.

Tại sao một dấu thời gian khắc lên ảnh khó làm giả hơn

EXIF nằm trong phần đầu của tập tin, tách biệt với các điểm ảnh, đó chính xác là lý do tại sao nó dễ ghi lại. Một dấu thời gian được khắc vào các điểm ảnh tại khoảnh khắc chụp lại là một vấn đề khác. Để thay đổi nó, ai đó phải chỉnh sửa chính hình ảnh: tô đi các chữ số cũ và dựng lên các chữ số mới khớp với phông chữ, ánh sáng, và cách nén của bản gốc. Điều đó để lại loại dấu vết được nêu trong cách nhận biết một bức ảnh đã bị chỉnh sửa, và một cái nhìn cẩn thận với Error Level Analysis trong công cụ Photo Forensics thường có thể tiết lộ phần vá.

Đây là lý do tại sao, đối với những bức ảnh mà ngày có thể bị thách thức sau này, cách tiếp cận dễ bảo vệ nhất là chụp với ngày được đóng dấu lên hình ảnh ngay tại màn trập. Bạn có thể thêm một dấu thời gian vào một bức ảnh tại khoảnh khắc bạn chụp nó, để ngày tồn tại trong các điểm ảnh và trong EXIF cùng nhau. Để biết thêm về cách tòa án và người thẩm định xử lý những thứ này, hãy xem ảnh có dấu thời gian có phải là bằng chứng pháp lý không.

Content credentials

C2PA Content Credentials thêm một lớp mã hóa lên trên tất cả những điều này. Ngày càng nhiều máy ảnh, bao gồm các mẫu iPhone gần đây, có thể đính kèm một credential chụp đã ký ghi lại khi nào và bằng thiết bị gì hình ảnh được tạo ra. Bởi vì manifest được ký, việc thay đổi ngày được ghi lại sẽ phá vỡ chữ ký. Thả tập tin vào contentcredentials.org/verify hoặc đọc cách kiểm tra content credentials (C2PA) để xem liệu một credential có mặt và còn nguyên vẹn không. Khi nó có, nó là bằng chứng về ngày mạnh nhất sẵn có.

Các giới hạn trung thực

Không phương pháp nào ở đây là một sự bảo đảm. Ngày EXIF có thể chỉnh sửa trong vài giây, nên một bộ dấu thời gian trông sạch sẽ chỉ chứng minh rằng không ai bận tâm làm cho chúng không khớp, chứ không phải rằng ngày là thật. Thời gian GPS có thể vắng mặt nếu Định vị đã tắt. Content credentials là tùy chọn và bị nhiều nền tảng xóa khi tải lên, nên sự vắng mặt của chúng không chứng minh điều gì. Một lần xuất lại qua một ứng dụng nhắn tin có thể lặng lẽ chuẩn hóa cả ba ngày EXIF và xóa đi chính những sự không khớp mà bạn đang tìm kiếm. Cách tiếp cận đáng tin cậy là kết hợp các tín hiệu: đọc ba dấu thời gian, đối chiếu GPS và chuỗi ảnh, tìm các dấu vết chỉnh sửa, và tìm tập tin gốc cùng content credentials của nó từ nguồn. Hãy coi một tín hiệu đáng ngờ đơn lẻ là một lý do để điều tra, chứ không phải một phán quyết, và đối với bất kỳ bức ảnh nào mà bạn có thể cần chứng minh ngày sau này, hãy đóng dấu ngày tại lúc chụp để bằng chứng được nướng sẵn ngay từ đầu.