Obawy związane z ryzykiem związanym z modyfikacją obrazów
W ostatnich latach w badaniach regularnie pojawiają się obawy dotyczące zagrożeń związanych z manipulacją zdjęciami, zwłaszcza w kontekście rozwoju narzędzi do edycji obrazów opartych na sztucznej inteligencji, które potrafią modyfikować istniejące obrazy, zamiast tworzyć je od zera.
W większości proponowane systemy wykrywania tego typu treści można podzielić na dwa rodzaje. Pierwszy to znakowanie wodne – metoda zapasowa wbudowana w system weryfikacji autentyczności obrazów, promowany przez Koalicję na rzecz Provenance i Autentyczności Treści (C2PA).
Znakowanie wodne a kompresja JPEG
Te "ukryte sygnały" muszą być odporne na automatyczne procesy ponownego kodowania i optymalizacji, które często występują, gdy obraz jest udostępniany w mediach społecznościowych lub przesyłany między różnymi platformami. Jednak często nie są one odporne na stratną kompresję JPEG, która wciąż dominuje w internecie – szacuje się, że format JPEG jest używany w około 74,5% wszystkich zdjęć na stronach internetowych.
Wykrywanie manipulacji bez znaków wodnych
Drugie podejście polega na tworzeniu obrazów, które same ujawniają ślady modyfikacji. Pierwszy raz zaproponowano to w pracy naukowej z 2013 roku pt. Image Integrity Authentication Scheme Based On Fixed Point Theory. Zamiast polegać na znakach wodnych, metoda ta wykorzystuje matematyczną transformację zwaną Gaussian Convolution and Deconvolution (GCD), która wprowadza obrazy w stabilny stan, który ulega zniszczeniu w przypadku modyfikacji.
Można to porównać do naprawy delikatnej koronkowej tkaniny – nawet przy największej precyzji, miejsce naprawy zawsze będzie widoczne.
Gdy ta transformacja jest wielokrotnie stosowana do obrazu w skali szarości, stopniowo prowadzi go do stanu, w którym kolejne przekształcenia nie powodują już żadnych zmian. Ten stabilny stan nazywa się punktem stałym. Punkty stałe są rzadkie i bardzo wrażliwe na zmiany – nawet niewielka modyfikacja obrazu w punkcie stałym niemal na pewno zniszczy jego stabilność, co ułatwia wykrycie manipulacji.
Niestety, podobnie jak w przypadku innych podobnych metod, artefakty związane z kompresją JPEG mogą zakłócać działanie tego systemu.
Kompresja JPEG jako narzędzie zabezpieczające
A gdyby tak wykorzystać artefakty kompresji JPEG jako podstawę wykrywania modyfikacji? W takim przypadku nie byłoby potrzeby stosowania dodatkowych systemów, ponieważ sam mechanizm, który zwykle utrudnia działanie znaków wodnych, stałby się podstawą wykrywania manipulacji.
Kompresja JPEG jako podstawa bezpieczeństwa
Taki system został zaproponowany w nowej pracy naukowej dwóch badaczy z Uniwersytetu w Buffalo. Artykuł zatytułowany Tamper-Evident Image Using JPEG Fixed Points rozwija koncepcję z 2013 roku, formalizując jej zasady i wykorzystując kompresję JPEG jako sposób na tworzenie obrazów "samodzielnie uwierzytelniających się".
Autorzy wyjaśniają:
"Badania pokazują, że obraz przestaje się zmieniać po wielokrotnej kompresji i dekompresji JPEG. Innymi słowy, jeśli pojedynczy cykl kompresji i dekompresji JPEG uznamy za transformację obrazu, to transformacja ta ma punkty stałe – obrazy, które nie ulegają zmianie po jej zastosowaniu."
Zamiast wprowadzać zewnętrzne transformacje, nowa praca traktuje proces JPEG jako system dynamiczny. W tym modelu każdy cykl kompresji i dekompresji przybliża obraz do punktu stałego. Autorzy udowadniają, że po skończonej liczbie iteracji każdy obraz osiąga stan, w którym dalsza kompresja nie powoduje już zmian.
Badacze podkreślają dwie główne zalety tej metody:
- Nie wymaga zewnętrznego przechowywania danych weryfikacyjnych ani ukrytych znaków wodnych – sam obraz jest dowodem swojej autentyczności.
- Ponieważ JPEG jest powszechnie używanym formatem, metoda jest odporna na operacje związane z tym standardem.
Testy i wyniki
Aby potwierdzić działanie metody, autorzy przeprowadzili testy na milionzie losowo wygenerowanych fragmentów obrazów w skali szarości. Obserwowali, jak wielokrotna kompresja i dekompresja prowadzi do punktów stałych, mierząc zmiany między kolejnymi iteracjami.
Następnie przetestowali metodę pod kątem wykrywania czterech rodzajów ataków:
- Szum typu "sól i pieprz"
- Operacje "kopiuj-wklej"
- Wstawianie fragmentów z innych obrazów
- Podwójna kompresja JPEG z inną tabelą kwantyzacji
W każdym przypadku modyfikacje zostały wykryte poprzez porównanie obrazu po ponownej kompresji z jego stanem początkowym.
Ograniczenia i przyszłe zastosowania
Metoda działa z standardowymi przeglądarkami i edytorami JPEG, jednak autorzy zauważają, że ponowna kompresja z innymi ustawieniami jakości może unieważnić punkt stały, co wymaga ostrożności w praktycznych zastosowaniach.
Choć system nie zastąpi pełnych systemów sprawdzania pochodzenia treści, takich jak C2PA, może stanowić ich uzupełnienie, oferując dodatkową warstwę zabezpieczeń nawet w przypadku utraty metadanych.
Podsumowanie
Metoda punktów stałych JPEG oferuje prostą i samowystarczalną alternatywę dla tradycyjnych systemów uwierzytelniania. Zamiast polegać na metadanych czy znakach wodnych, wykorzystuje przewidywalne zachowanie procesu kompresji do weryfikacji integralności obrazu.
W ten sposób kompresja JPEG, która zwykle prowadzi do utraty jakości, staje się narzędziem do sprawdzania autentyczności. To innowacyjne podejście może oznaczać zmianę w kierunku metod bezpieczeństwa wykorzystujących wewnętrzne właściwości samych mediów, zamiast nakładania dodatkowych warstw zabezpieczeń.
Co ważne, metoda ta nie wymaga znaczących zmian w istniejących procesach przetwarzania obrazów, co zwiększa jej potencjał wdrożeniowy.
Opublikowano po raz pierwszy 25 kwietnia 2025 roku