¿Por qué es imposible verificar si un archivo se ha modificado desde la creación?

Creo que querrás más una respuesta filosófica que una técnica, dado lo que estás rechazando.

Un archivo es solo una colección discreta de bits. La relevancia y el significado están superpuestos en esos bits por un humano, pero en última instancia, son solo bits. ¿Cómo sería posible determinar si los bits que tiene están en la misma secuencia en algún estado anterior desconocido? Respuesta: guardar ese estado de manera que se pueda confiar para usarlo como un medio de comparación.

Es por eso que TLS / SSL usa CA de terceros para verificar los certificados, y por qué es útil firmar digitalmente los archivos. Proporcionan un medio confiable de tener un estado para comparar. No es perfecto, pero es muy efectivo si se realiza correctamente.

Imagina que estás en una isla desierta y te entrego una copia de la constitución de los EE. UU., afirmando que es una copia exacta (sin cambiar las palabras) Sin nada con lo que compararlo, no tienes forma de verificarlo, ¿verdad?

Como dice @schroeder, un archivo digital (y sus metadatos) es solo una colección de bits. ¿Cómo determinas si los bits que tienes frente a ti están en la misma secuencia que cuando fueron escritos por primera vez? Bueno, necesitas alguna versión "básica" del documento para comparar. Hay muchas herramientas criptográficas que proporcionarán esta línea de base: hashes , MACs , firmas digitales , y finalmente servidores de timestamping en realidad puede ser lo más cercano a lo que estás buscando.

  

Marca de tiempo de confianza es el proceso de realizar un seguimiento seguro de la creación y modificación del tiempo de un documento

Pero en última instancia, a menos que la copia original del archivo se haya enviado a algún tipo de cifrado en el momento de su creación, se encuentra en el escenario de una isla desierta sin una referencia para la comparación.

Puede valer la pena señalar que prácticamente todas las fotos se cambian durante o después de la captura. Como anécdota divertida (bueno, no muy divertida), lo mismo puede ocurrir de una manera totalmente obvia cuando escaneando documentos .

Prácticamente todas las fotos (excepto cuando se guardan datos RAW, que son, fuera de la fotografía profesional, muy inusuales) se someten a una manipulación bastante complicada que involucra filtros de convolución y curvas de ajuste (y, posiblemente, otras cosas, como mezclar varias capturas en uno, posiblemente con diferentes exposiciones, compensación de movimiento, etc.).

Además, la gran mayoría de las fotos (no "prácticamente todas", pero en realidad la mayoría) están comprimidas con JPEG, lo cual es un cambio tanto técnico como de hecho (técnicamente en la medida en que es una representación diferente, y de hecho porque las señales descomprimidas no son 100% idéntico). Hubo una discusión acerca de si los JPEG son o no admisibles como evidencia legal (debido a que no es la foto original) aquí hace unos 10-12 años. En realidad nunca supe lo que salió de esa discusión ...

Además, los metadatos, incluidos los datos de tiempo y ubicación, se guardan con los datos de la imagen, que a veces se agregan hasta 30-60 segundos después de que la foto se tomó y se guardó en el disco (por ejemplo, en la clase TZ de Panasonic En las cámaras en las que el sensor GPS es bastante lento, esto ocurre casi con regularidad).

Dicho esto, a menudo es posible mostrar que una fotografía editada se editó . Esto se debe a que el proceso de edición generalmente no es perfecto con una gran ampliación (tanto en resolución como en intensidad), y por lo general puede mostrar artefactos que no coinciden con los artefactos de compresión normales, o diferencias en gradientes en comparación con ubicaciones cercanas.

Sin embargo, eso está resultando positivo mientras que probar que una foto no fue manipulada resultaría negativo que por definición no es posible con absoluta certeza (ausencia de la evidencia no es evidencia de ausencia).

Un certificado digital puede ayudar un poco, pero es tan bueno como la confianza que se deposita en el certificado y el firmante. Después de todo, podría utilizar un certificado de confianza y firmar una foto completamente falsa.
Junto con su testimonio (o el testimonio de otra persona de buena reputación), esto suele ser lo suficientemente bueno , pero, por supuesto, no es, y nunca puede ser, 100% seguro.

Porque estás intentando demostrar que es negativo: es decir, que el archivo no existía antes del tiempo X y que después del tiempo X no se cambió el archivo.

No hay nada que impida que los bits de un archivo que se ordenen de una manera particular antes, después o durante cualquier período de tiempo particular que no sea el medio físico disponible no existían. Esto incluye el archivo "contenidos" y cualquier metadato asociado.

Por lo tanto, nadie puede demostrar que usted (o alguien que conoce si es demasiado joven) no montó a mano la última película de los Vengadores en una Mac nueva en 1996. Si presenta un archivo de la película en la que aparece el meta los datos dicen que se creó en 1996, no podemos descartarlos en función de la disposición de los bits que componen el archivo y sus metadatos; solo porque podría haber falsificado no significa que lo hizo. OTOH, tu capacidad para falsificar el archivo no es una prueba de que no no lo hiciste .

Si desea ganar una demanda de derechos de autor, necesitará algo más para demostrar que no la falsificó: otra persona que jurará haberla visto en 1996, una copia de la misma que puede probar. desde 1996 y al que no ha podido acceder posteriormente.

Finalmente, tenga en cuenta que de cualquier manera, no está hablando de prueba en el sentido de una prueba matemática, eso no existe y no puede existir. Puedes decir que es extremadamente improbable, puedes decir que no se ha presentado evidencia de que sucedió, pero no puedes demostrar que no pudo haber ocurrido.