Domanda:
Come dimostrare che una foto è stata scattata prima di una certa data?
nadia
2016-12-30 21:55:10 UTC
view on stackexchange narkive permalink

Devo dimostrare che tutte le mie foto sono state scattate prima di una certa data. Caricarli su Picassa, Flickr o un servizio simile è un buon modo per ottenere tale marcatura temporale?

Non sono sicuro che questa sia una domanda di sicurezza: chiedi a una terza parte di contrassegnare i file con la data e l'ora, come suggerito
Al contrario, provare che una foto è stata scattata * dopo * una certa data è abbastanza semplice: includi la prima pagina del giornale di quel giorno nella fotografia.
@Polynomial: E il photoshopping?
Allo stato attuale, questa domanda è troppo vaga.A chi devi dimostrarlo, perché e quali sono i loro standard per la prova?A seconda delle risposte a quelle, questa potrebbe non essere nemmeno una domanda tecnologica.
@wb9688 Si noti che ha detto "la foto è più recente del giornale".Se puoi sederti oggi e fare photoshop una foto contenente la prima pagina del giornale di giovedì prossimo, sarò a dir poco impressionato.... chiederei anche di vedere la pagina con i punteggi NFL;)
@wb9688 Cosa ha detto Mike.Dovresti conoscere il titolo di carta del giorno successivo per falsificarlo.Molte società di servizi (gas, acqua, elettricità) lo accettano come prova della prima data sulle letture dei contatori inviate dagli utenti.
Secondo @JustinLardinois:, una cosa è se chiedi informazioni sulla prova crittografica e un'altra se chiedi una prova legale che intendi utilizzare in tribunale.Il secondo può essere più facile o più complicato a seconda delle circostanze.
Invia a te stesso in una busta e non aprirlo mai.Una volta che devi dimostrare di aver scattato la foto prima di una data, mostra loro la data sul timbro postale.
Se hai solo bisogno del timestamp di quando è stato caricato, penso che tu non abbia altra scelta che chiedere loro di fornirtelo se ce l'hanno
Li caricerei da qualche parte e poi lo salverei in archive.org e spero che nessuno dimostri che i timestamp di archive.org possono essere manomessi.
Una soluzione non tecnica sarebbe quella di fornire una copia fisica a un'autorità fidata, come un avvocato che poi protocola l'azione, o fare una copia attendibile con un timestamp, o semplicemente timestamp dell'originale da un'entità fidata.Le circostanze in cui questo tipo di prova si trova nella tua giurisdizione possono variare.Non sono sicuro che alcune delle soluzioni tecniche qui siano o siano già state accettate davanti ai tribunali.Entità fidata qui significa qualcuno che è speciale in termini legislativi ed è fidato dal governo per non mentire.Questo è il più delle volte una specie di funzionario governativo.
Caricalo su un sito di condivisione di foto
Nove risposte:
#1
+49
Mike Ounsworth
2016-12-30 22:08:15 UTC
view on stackexchange narkive permalink

In generale, il problema del Secure Timestamping è in realtà un argomento complesso senza un'unica risposta corretta. Ci sono due approcci generali: 1) una "Timestamping Authority" fidata conserva i log di quando sono accadute cose e tutti ci credono perché è letteralmente il loro lavoro. 2) Usare la crittografia in qualche modo. In generale gli approcci crittografici non funzionano molto bene e possono solo provare che la foto A è stata registrata prima della foto B, ma non l'ora esatta.

Ci sono molte aziende sul mercato che offrono servizi di marcatura temporale basati su uno di questi due approcci. Quanto vuoi fidarti di loro dipende dalla trasparenza dell'azienda con le loro pratiche e dalle leggi locali applicabili.

Quindi, per la tua situazione: sembra che qualcuno ti stia chiedendo di farlo (forse per motivi legali?). Dovresti scoprire il livello di fiducia di cui hanno bisogno nell'autorità di marcatura temporale. Quello che hai pensato è usare Picassa o Flickr come un'autorità di timestamp di fiducia. A seconda di cosa ti serve il timestamp, potrebbe essere ok. Ad esempio, se è il tuo amico a vincere una scommessa, probabilmente il tempo di caricamento su Picassa o Flickr va bene. Se questo è per dimostrare la proprietà di proprietà immobiliari multimiliardarie, allora potresti voler coinvolgere un notaio.

Fondamentalmente, poniti questa domanda: è il valore in dollari che puoi guadagnare o perdere maggiore di quanto costerebbe hackerare o corrompere Picassa facendogli cambiare un timestamp? Se no, allora stai bene. Se sì, allora hai bisogno di un servizio di timestamp più ufficiale.

Ho fatto questa + copia in Wayback Machine
Un'altra nota è che puoi aggiungere più autorità di timestamp in modi diversi, in modo tale che mentre l'hackeraggio di uno di essi potrebbe essere possibile, probabilmente non lo è l'hacking di tutti loro.Ad esempio, se carichi sia su Picassa che su Flickr, poi pubblichi un MAC dell'immagine su Twitter, Facebook e Google+, a patto che tu possa abbinare l'hash della foto (cioè che cose come i dati exif o la codifica donnon cambia), quindi il consenso tra molte entità può essere un valore aggiunto a buon mercato.La domanda quindi è: cosa succede se non sono d'accordo;chi vince?
Questa domanda potrebbe effettivamente essere più adatta per uno scambio di stack legale ... potresti chiedere a un notaio di testimoniare l'esistenza di tali file e degli hash corrispondenti.
#2
+34
André Borie
2016-12-31 00:13:38 UTC
view on stackexchange narkive permalink

Puoi usare la blockchain Bitcoin (o simile) per questo.

Crea un file con entrambi i tuoi file originali (in caso di testo può essere in linea, altrimenti usa un contenitore come un archivio ZIP) così come un messaggio che indica chi sei e che hai una copia del file. Prendi lo SHA1 del file / contenitore risultante e usalo come indirizzo Bitcoin a cui inviare alcune monete. Questo memorizzerà permanentemente l'hash nella blockchain con un timestamp preciso fino a poche ore.

Questo è anonimo e non rivela nulla sul file, ma quando arriva il momento puoi semplicemente rivelare l'hashed così come l'hash e chiunque può verificare il timestamp in modo indipendente.

Ci sono servizi facili da usare per quello che potresti voler controllare, anche se non ho usato personalmente e non posso garantire per loro.

Nota che non puoi usare il risultato di una funzione hash direttamente come indirizzo bitcoin, poiché [contengono informazioni sul rilevamento degli errori] (https://rosettacode.org/wiki/Bitcoin/address_validation).Dovrai [creare la transazione manualmente] (https://bitcoin.stackexchange.com/questions/31972/how-to-add-additional-information-to-transaction/31976).Questo non è banale e la verifica è tecnicamente molto complessa (cioè: non fattibile dal 99,9% degli esseri umani)
@goncalopp se assumiamo che verrà utilizzato solo in casi estremi (ad esempio in un tribunale), non penso che la complessità della verifica del timestamp sia un problema.Inoltre, nulla ti impedisce di includere il codice stesso che verificherà la transazione nel file con timestamp stesso.
Questa è stata risposta in un'altra domanda, dove è stato detto che il governo canadese ha pubblicato un hash e un titolo per il loro primo regolamento Bitcoin, registrato sulla blockchain.
@goncalopp Il tuo link dice che l'indirizzo contiene un hash RIPEMD-160.L'utilizzo di SHA1 al posto di RIPEMD-160 non dovrebbe essere rilevabile da chiunque non abbia il file originale poiché entrambi sono hash crittografici con un'uscita a 160 bit.Devi solo usare l'algoritmo corretto per formattare quei 160 bit come indirizzo bitcoin.
@goncalopp fortunatamente c'è un servizio per fare tutto questo per te: https://proofofexistence.com/about
#3
+17
goncalopp
2016-12-31 00:31:05 UTC
view on stackexchange narkive permalink

Sì, se la persona a cui vuoi dimostrare che si fida del servizio non cambia i timestamp .

Questa è un'ottima domanda, a cui è stata posta una risposta, in varie forme, almeno dai tempi di Galileo:

I primi astronomi usavano gli anagrammi [...] per rivendicare nuove scoperte prima che i loro risultati fossero pronti per la pubblicazione. Galileo usò smaismrmilmepoetaleumibunenugttauiras per Altissimum planetam tergeminum observavi ("Ho osservato che il pianeta più lontano ha una forma tripla") per scoprire gli anelli di Saturno.

Oggigiorno, questo processo è di solito si chiama marca temporale attendibile e di solito funziona con uno schema di impegno, molto simile all'anagramma di Galileo. Sui media digitali (testo, immagini, video), l'impegno è solitamente il risultato dell'applicazione di una funzione hash all'originale.

Mentre il processo di derivazione di un impegno è molto un problema risolto, è solo una parte del processo. Spesso, la parte difficile è sapere a chi vuoi dimostrare il timestamp .

Ad esempio, supponiamo che tu voglia dimostrare a una persona P che hai scattato una foto alle volte T . Se lo sai in anticipo, è banale : basta ricavare un impegno C al momento T e inviarlo a P direttamente.

Tuttavia, se impari chi è la persona solo dopo aver scattato la foto, è molto più difficile, perché devi sapere, in anticipo, chi (o cosa) la persona si fida senza sapere chi è è”.

Se non hai assolutamente idea chi è P , un buon compromesso è inviare il proprio impegno a entità di cui molte persone si fidano


Ora mettiamo tutto ciò che noi ' ho imparato a esercitarti!

Passaggio 1: ottieni un impegno

  • 1.1 - Scegli una funzione hash crittografica. SHA-512 è tanto popolare e sicuro quanto lo è nel 2016.

  • 1.2 - Ottieni software per il tuo computer che ti permette di calcolare l'hash. Quick Hash GUI è open source e funziona su Windows, Mac e Linux. Se sei un utente della riga di comando, puoi semplicemente digitare sha512sum.

  • 1.3 - Calcola l'hash del file, e salva sia l'hash che una copia del file. Tieni presente che molti strumenti per la visualizzazione delle immagini possono danneggiare il file, apportando la modifica dell'hash . Lo stesso vale per il testo (non semplice) e, in misura minore, per il video.

  • 1.4 - Dovrai conservare la copia originale fino a quando non farai la prova. È più facile a dirsi che a farsi: consulta questo articolo

Passaggio 2: distribuzione dell'impegno

Se vuoi essere il più sicuro possibile, scegli un approccio a fucile:

  • Invialo tramite un servizio di posta affidabile (dove non puoi modificare i tuoi messaggi dopo averli inviati).
  • Pubblica su un blog rispettabile o un servizio di forum (che non consente la modifica silenziosa dei post)
  • Pubblica su una blockchain, come Bitcoin, se sospetti che P sarà tecnicamente in grado di leggerlo (o se desideri convincere qualcuno di cui si fida a farlo)
  • Chiedi a notaio

Ovviamente, se non ti interessa la riservatezza della foto stessa, puoi inviare la foto al posto dell'impegno - usa un affidabile servizio di hosting di foto, come hai detto.

#4
+2
ISGuy
2016-12-31 01:59:28 UTC
view on stackexchange narkive permalink

Invia le foto tramite e-mail a Gmail e a un altro fornitore di servizi di posta utilizzando il tuo telefono cellulare. L'indirizzo IP del tuo telefono cellulare e il timestamp incorporati nelle e-mail dovrebbero essere sufficienti come prova.

#5
+1
Federico Poloni
2016-12-31 19:47:42 UTC
view on stackexchange narkive permalink

Dalle altre risposte: hai bisogno di un'autorità di marcatura temporale. Qualunque cosa tu decida di utilizzare, tieni presente che il primo requisito è che deve sopravvivere fino al momento in cui devi dimostrare la tua richiesta. Se estraggono un Geocities e scompaiono, sei sfortunato.

Da questo punto di vista, considererei Bitcoin la soluzione a lungo termine più affidabile. Anche se dovesse scomparire, ci sono buone probabilità che la blockchain sia disponibile per il download da qualche parte.

#6
+1
joojaa
2017-01-01 16:14:41 UTC
view on stackexchange narkive permalink

L'approccio standard per farlo nell'era pre digitale era quello di spedire una copia sigillata dell'immagine a te stesso. L'ufficio postale ora funziona come un'autorità di timestamp per te. È un modo abbastanza economico per farlo ed è stato un metodo spesso utilizzato per affermare il copyright invece di un registro del copyright. Come bonus è stato dimostrato che questo funziona in tribunale molte volte e probabilmente rimarrà tale per un bel po 'ancora. *

Ora un'autorità di timestamp digitale probabilmente farebbe più o meno lo stesso per i file digitali e avere un frontend più conveniente. Ma nulla ti impedisce di sigillare una scheda di memoria in una capsula fisica sigillata e ottenere un segno di terze parti che autentica la data del sigillo, come nell'esempio dell'ufficio postale.

* va bene se il tribunale lo apre in questo caso viene documentato in modo permanente.

#7
+1
Daniel Frużyński
2017-01-01 20:33:57 UTC
view on stackexchange narkive permalink

Dovresti essere in grado di utilizzare la tua banca come fornitore di timestamp affidabile. Crea un archivio con tutti i tuoi file e calcola l'hash per esso. Quindi invia del denaro da un account a un altro e utilizza l'hash calcolato come descrizione per questo trasferimento di denaro. In questo modo avrai questo hash stampato sul tuo estratto conto. Dovresti anche essere in grado di ottenere un estratto conto solo con questo singolo trasferimento, in modo da poterlo presentare a qualcuno senza rivelare altre attività sul tuo account.

Aggiornamento: il trasferimento e la contabilità potrebbero richiedere alcuni giorni extra, quindi prendi questo in considerazione (gioco di parole).

#8
  0
Verian
2017-01-01 17:29:36 UTC
view on stackexchange narkive permalink

Oltre a tutti gli approcci high-tech suggeriti sopra, vorrei aggiungerne uno molto low-tech ma affidabile: assicurati che qualcosa che può essere accuratamente datato sia nella foto stessa. Il migliore per questo scopo è il giornale di quel giorno, in formato fisico o elettronico (es. Visualizzato su un tablet). Puoi persino ingrandire e visualizzare un singolo titolo, ma assicurati che sia qualcosa che non può essere previsto in anticipo per fugare ogni dubbio. I necrologi sono buoni, le storie sul Mardi Gras no.

Ovviamente, questo dimostra solo che la foto è stata scattata prima e non dopo la data in questione, ma sembra che si adatti ai tuoi scopi.

E se la foto è di una fattura o di un contratto?Ci vuoi includere un giornale?
Questa risposta solo (più o meno) prova che il documento esisteva * dopo * la pubblicazione del giornale, ma la domanda riguarda la prova dell'esistenza * prima * di un certo tempo.(Dico "più o meno" perché in realtà Photoshop ha reso questo tipo di prove inaffidabili.)
#9
-2
Rápli András
2016-12-31 02:07:09 UTC
view on stackexchange narkive permalink

Crea un repository git su github (anche se puoi risalire ai commit, non ti consentirà di risalire ai push in alcun modo), carica le immagini o i loro hash se non vuoi ancora condividerli. Chiunque può vedere esattamente quando i commit sono stati inviati da quel punto.

  echo 1 >timeouch time --date = "1999-01-01 10:10:10" git add -Agit commit - m "prepararsi per l'apocalisse" --date = "1999-12-30 08:40:21" git push origin master --force  

7 minutes ago

Questo semplicemente non è vero.GitHub * deve * accettare i timestamp nei commit da repository esterni e non può impedire a un proprietario di repository di eseguire un push forzato.Git offre garanzie crittografiche, ma anche i commit firmati non offrono le garanzie di timestamp che sembri pensare che siano.
La maggior parte dei commit su GitHub è datata poiché le persone lavorano da repository locali e quindi spingono a telecomandi come GitHub, garantendo che i commit siano vecchi di almeno pochi secondi e generalmente più lunghi se si eseguono molti commit locali e si sincronizzano con i telecomandi meno frequentemente.
@CodeGnome Intendevo date push, non date commit.Questa è roba specifica per GitHub, non so se altri fanno lo stesso.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...