¿Por qué es imposible verificar si un archivo se ha modificado desde la creación?

12

Por lo que entiendo, es imposible verificar si un archivo ha sido modificado desde su creación. Específicamente, me preguntaba si era posible verificar si una foto se modificó desde su captura. Sin embargo, de acuerdo con la pregunta " ¿Cómo detectar si se han cambiado los metadatos de una foto? " no es:

  

Lamentablemente es imposible probar cuándo una imagen (o cualquier archivo para eso)   materia) se originó. Es posible (si el autor quiere) probar.   que un archivo existía antes de un tiempo dado firmando el archivo de una   servidor de sellado de tiempo de terceros (a través del cual el tercero prueba   que el archivo existía en el momento de la firma) pero dicha información   no es posible automáticamente y se puede eliminar fácilmente.

     

También soy un tipo de seguridad de TI y no hay ninguna forma segura de   probar la fecha de creación de cualquier archivo si el usuario controla el sistema   Estoy creando el archivo con la tecnología actual que conozco. El mejor   La apuesta sería un dispositivo con un reloj bloqueado que tendría una clave oculta.   Almacenar que el usuario no debería tener acceso y crear una firma.   basado en esto para que no pudieran falsificar su propia firma, pero   Dado que la clave todavía debe residir en el dispositivo, todavía es factible   Es posible que alguien la rompa ya que toda la información necesaria está en   su posesión, incluso si es difícil de alcanzar.

Siento que esta explicación es algo similar a la razón por la cual el DRM no funciona (no se le puede dar la cerradura y la llave a una persona), pero aún no tengo una explicación clara. También creo que esto es diferente a cómo funciona TLS / SSL . En el caso mencionado anteriormente, confía en que una fuente le proporcione archivos sin ninguna información sobre cuántas veces se modificaron los archivos.

    
pregunta Seanny123 24.11.2017 - 16:42
fuente

4 respuestas

35

Creo que querrás más una respuesta filosófica que una técnica, dado lo que estás rechazando.

Un archivo es solo una colección discreta de bits. La relevancia y el significado están superpuestos en esos bits por un humano, pero en última instancia, son solo bits. ¿Cómo sería posible determinar si los bits que tiene están en la misma secuencia en algún estado anterior desconocido? Respuesta: guardar ese estado de manera que se pueda confiar para usarlo como un medio de comparación.

Es por eso que TLS / SSL usa CA de terceros para verificar los certificados, y por qué es útil firmar digitalmente los archivos. Proporcionan un medio confiable de tener un estado para comparar. No es perfecto, pero es muy efectivo si se realiza correctamente.

    
respondido por el schroeder 24.11.2017 - 17:00
fuente
21

Imagina que estás en una isla desierta y te entrego una copia de la constitución de los EE. UU., afirmando que es una copia exacta (sin cambiar las palabras) Sin nada con lo que compararlo, no tienes forma de verificarlo, ¿verdad?

Como dice @schroeder, un archivo digital (y sus metadatos) es solo una colección de bits. ¿Cómo determinas si los bits que tienes frente a ti están en la misma secuencia que cuando fueron escritos por primera vez? Bueno, necesitas alguna versión "básica" del documento para comparar. Hay muchas herramientas criptográficas que proporcionarán esta línea de base: hashes , MACs , firmas digitales , y finalmente servidores de timestamping en realidad puede ser lo más cercano a lo que estás buscando.

  

Marca de tiempo de confianza es el proceso de realizar un seguimiento seguro de la creación y modificación del tiempo de un documento

Pero en última instancia, a menos que la copia original del archivo se haya enviado a algún tipo de cifrado en el momento de su creación, se encuentra en el escenario de una isla desierta sin una referencia para la comparación.

    
respondido por el Mike Ounsworth 24.11.2017 - 18:36
fuente
1

Puede valer la pena señalar que prácticamente todas las fotos se cambian durante o después de la captura. Como anécdota divertida (bueno, no muy divertida), lo mismo puede ocurrir de una manera totalmente obvia cuando escaneando documentos .

Prácticamente todas las fotos (excepto cuando se guardan datos RAW, que son, fuera de la fotografía profesional, muy inusuales) se someten a una manipulación bastante complicada que involucra filtros de convolución y curvas de ajuste (y, posiblemente, otras cosas, como mezclar varias capturas en uno, posiblemente con diferentes exposiciones, compensación de movimiento, etc.).

Además, la gran mayoría de las fotos (no "prácticamente todas", pero en realidad la mayoría) están comprimidas con JPEG, lo cual es un cambio tanto técnico como de hecho (técnicamente en la medida en que es una representación diferente, y de hecho porque las señales descomprimidas no son 100% idéntico). Hubo una discusión acerca de si los JPEG son o no admisibles como evidencia legal (debido a que no es la foto original) aquí hace unos 10-12 años. En realidad nunca supe lo que salió de esa discusión ...

Además, los metadatos, incluidos los datos de tiempo y ubicación, se guardan con los datos de la imagen, que a veces se agregan hasta 30-60 segundos después de que la foto se tomó y se guardó en el disco (por ejemplo, en la clase TZ de Panasonic En las cámaras en las que el sensor GPS es bastante lento, esto ocurre casi con regularidad).

Dicho esto, a menudo es posible mostrar que una fotografía editada se editó . Esto se debe a que el proceso de edición generalmente no es perfecto con una gran ampliación (tanto en resolución como en intensidad), y por lo general puede mostrar artefactos que no coinciden con los artefactos de compresión normales, o diferencias en gradientes en comparación con ubicaciones cercanas.

Sin embargo, eso está resultando positivo mientras que probar que una foto no fue manipulada resultaría negativo que por definición no es posible con absoluta certeza (ausencia de la evidencia no es evidencia de ausencia).

Un certificado digital puede ayudar un poco, pero es tan bueno como la confianza que se deposita en el certificado y el firmante. Después de todo, podría utilizar un certificado de confianza y firmar una foto completamente falsa.
Junto con su testimonio (o el testimonio de otra persona de buena reputación), esto suele ser lo suficientemente bueno , pero, por supuesto, no es, y nunca puede ser, 100% seguro.

    
respondido por el Damon 25.11.2017 - 17:18
fuente
1

Porque estás intentando demostrar que es negativo: es decir, que el archivo no existía antes del tiempo X y que después del tiempo X no se cambió el archivo.

No hay nada que impida que los bits de un archivo que se ordenen de una manera particular antes, después o durante cualquier período de tiempo particular que no sea el medio físico disponible no existían. Esto incluye el archivo "contenidos" y cualquier metadato asociado.

Por lo tanto, nadie puede demostrar que usted (o alguien que conoce si es demasiado joven) no montó a mano la última película de los Vengadores en una Mac nueva en 1996. Si presenta un archivo de la película en la que aparece el meta los datos dicen que se creó en 1996, no podemos descartarlos en función de la disposición de los bits que componen el archivo y sus metadatos; solo porque podría haber falsificado no significa que lo hizo. OTOH, tu capacidad para falsificar el archivo no es una prueba de que no no lo hiciste .

Si desea ganar una demanda de derechos de autor, necesitará algo más para demostrar que no la falsificó: otra persona que jurará haberla visto en 1996, una copia de la misma que puede probar. desde 1996 y al que no ha podido acceder posteriormente.

Finalmente, tenga en cuenta que de cualquier manera, no está hablando de prueba en el sentido de una prueba matemática, eso no existe y no puede existir. Puedes decir que es extremadamente improbable, puedes decir que no se ha presentado evidencia de que sucedió, pero no puedes demostrar que no pudo haber ocurrido.

    
respondido por el jmoreno 25.11.2017 - 06:23
fuente

Lea otras preguntas en las etiquetas