Comments 15
Это очень интересный ход в рамках борьбы с фейками.
Еще пару лет назад я думал, не сделалил ли разработку подобной штуки темой диплома - если можно пробить имя, место и дату по фото, не значит ли это, что события и правду были в реальности?
Давно такое используют и даже взломали такую подпись.
Очередной жертвой Склярова стал алгоритм аутентификации подлинности фотографий Canon Original Data Security в цифровых камерах Canon. При помощи комплекта инструментов OSK-E3 (специальный софт и смарт-карта) можно было надёжно проверять оригинальность фотографий, считывая цифровую подпись Original Decision Data (ODD), которая записывалась в блок EXIF файлов JPG и содержала зашифрованную информацию о дате и координатах съёмки.
Вот интересная идея, кстати, для пет проекта. Я люблю фотографировать, например, можно теоретически сделать нечто подобное для своих фотографий?
Имеет смысл только если:
1) есть база открытых ключей для всех камер, чтобы нельзя было сгенерить свой и подписать изображение им.
2) закрытый ключ хранится в чем-то типа TPM, а не в прошивке, откуда его рано или поздно сдампят.
А ещё можно просто взять и сфоткать чужую фотку и выдать за свою ))) и дампить не надо )
3) существует процедура отзыва и перегенерации этого ключа плюс обновление прошивки так, чтобы закрыть возможные дыры: дырявый протокол подписи, дырявый софт, прочие дырявые компоненты, без замены тушки (или хотя бы с бесплатной заменой тушки самим производителем)
4) такая процедура во всяком случае не делает сделанные ранее снимки orphaned, то есть, эти снимки всё еще можно привязать к конкретно этому аппарату (пусть даже появляется "двойник" аппарата, обладатель которого воспользовался уязвимостями, претендующий на авторство оригинальных снимков)
5) ба, да что это я, это ж лучше сразу лить снимки куда-нибудь на хостинг производителя под своим личным аккаунтом и надеяться, что там не "произойдёт технический сбой" и, более того, представитель производителя представит свои заверения в суд любой юрисдикции, в какой бы мне ни пришлось доказывать своё авторство или, наоборот, доказывать фальсификацию моего авторства
Идея правильная, дипфейки уже с нами. Разумеется, закрытые ключи должны быть в TPM, а открытые - выкладываться в какой-нибудь публичный блокчейн.
Вопрос, как доверять значению времени и координат, показанному камерой? NTP или сигнал GPS можно обмануть, и раз - у кого-то в руках подписанная достоверная фотография, дающая 100% алиби на момент преступления.
дающая 100% алиби на момент преступления.
Кому дающая? Камере? Потому, где гарантии, что камеру держал в руках именно этот человек?
Единственное, что подтверждается подписью - снимок сделан этой камерой (при соблюдении условий, которыми дополнили выше в каментах).
Можно использовать блокчейн для приблизительной проверки времени - в EXIF фотографии записывается хэш последнего найденного блока ฺBitcoin, затем хэш фотографии отправляется в составе транзакции и включается в следующий блок. С достаточно приемлемой точностью это позволит убедиться, что фотография была сделана в определенном диапазоне времени. Для удостоверения координат нужно попросить Маска, чтобы он в спутники старлинк добавил такую функцию. Фотоаппарат инициирует связь с ближайшим спутником, спутник пингует фотоаппарат, замеряет время прохождения сигнала, чтобы предотвратить атаку ретрансляции в другую геопозицию, потом этот же спутник может добавить координаты со своей подписью в EXIF и отправить хэш фото в блокчейн. Получается немного дорого и медленно, но зато достоверно.
Камера Leica M11-P добавляет криптографическую подпись к каждой фотографии