slashCAM Forum

Gerade mal eine Woche in Umlauf und schon hat es ein User geschafft das C2PA-Zertifikat der Z6III relativ wertlos zu machen *g*

Einfach weil es die Kamera einem erlaubt im Multi-Exposure Modus mehrere Aufnahmen auf der Speicherkarte miteinander zu verschmelzen. So kann man z.B. auch Aufnahmen die mit einer anderen Kamera gemacht sind, mit einer Aufnahme der Kamera verschmelzen. Nikon hat dazu auch schon Stellung genommen:

Notice of Temporary Suspension of the Nikon Authenticity Service

We have confirmed that an issue has been identified in the Nikon Authenticity Service. In response to this confirmation, the service has been temporarily suspended while we work diligently to resolve the issue. We will provide an update as soon as the corrective measures are complete.

We sincerely apologize for any inconvenience this may have caused.

Hier noch der Link zum Post auf der Rumors Seite.

https://nikonrumors.com/2025/09/03/majo ... eader.aspx

VG

Der Sinn ist ja eigentlich nur zu zertifizieren, daß ein Bild mit einer bestimmten Kamera gemacht wurde. Für Journalisten kann das wichtig sein, aber den Großteil der Nutzer juckt das eigentlich eh nicht.

https://c2pa.org

Und so wie Hacker immer wieder Sicherheitslücken finden, wird es irgendwann auch findige Leute geben, die C2PA-Zertifikate fälschen können. Es muss ja nur einen Anreiz dafür geben.

VG

pillepalle hat geschrieben: ↑Fr 05 Sep, 2025 22:30 Der Sinn ist ja eigentlich nur zu zertifizieren, daß ein Bild mit einer bestimmten Kamera gemacht wurde.

Nee, der Sinn ist zu zertifizieren, dass ein Bild entweder nicht bearbeitet wurde, oder falls es bearbeitet wurde, mit welchen Mitteln und in welchen Schritten. Wenn dann ein Smartphone-Foto (mit all der computational photography dahinter) als "unbearbeitet" durchgeht, ist dieses Zertifizierungssystem für die Tonne.

Das Beispiel bzw. der Hack der Nikon-Doppelbelichtungsfunktion entspricht eigentlich einer klassischen Software-Sicherheitslücke, bei der code injection gemacht wird.

Diese Zertifikate werden die Sicherheits-/Authentizitätsprobleme von Fotos genauso wenig lösen wie die (ja schon seit Ewigkeiten üblichen) Digitalzertifikate für Computersoftware.

cantsin hat geschrieben: ↑Fr 05 Sep, 2025 23:53 Wenn dann ein Smartphone-Foto (mit all der computational photography dahinter) als "unbearbeitet" durchgeht, ist dieses Zertifizierungssystem für die Tonne.

Im Prinzip gebe ich dir schon Recht, aber bei einem Smartphone weiß man ja was es an einem Bild verschlimmbessert. Das ist ja nicht völlig unbekannt und ließe sich mit Vergleichsaufnahmen unprozessierter Aufnahmen leicht herausfinden. Wenn man es wirklich genau wissen wollte.

Es scheint jedenfalls ein großes Bedürfnis nach der Authentizität von Bildern zu geben, auch wenn das mit C2PA nicht wirklich gelingt.

VG

Nikon hatte seine spiegellose Vollformatkamera Nikon Z6 III erst vor etwas über einer Woche im Zuge der neuen Firmware 2.0 um eine Unterstützung des Nikon Authenticity S...

Hier geht es zur Newsmeldung auf den slashCAM Magazin-Seiten:
Nikon deaktiviert Authenticity Service für Z6 III

pillepalle hat geschrieben: ↑Fr 05 Sep, 2025 20:43Einfach weil es die Kamera einem erlaubt im Multi-Exposure Modus mehrere Aufnahmen auf der Speicherkarte miteinander zu verschmelzen.

Was streng genommen ein Resultat hervorbringt, das manipuliert wurde. Es ist nicht mehr einfach nur "ein Foto". Es konnte nur durch Verschmelzen (Manipulation) entstehen.

Alleine mit einer Doppelbelichtung kann ich das Geschehen "faken" und im fertigen Foto etwas zeigen, was ohne eine solche Manipulation nicht möglich gewesen wäre.

Deshalb wundert es mich, dass Nikon so schnell zurückrudert, denn beim aufgenommenen Einzelbild funktioniert das "Wasserzeichen" ja anscheinend wie es soll? Würde doch für Pressefotografen (die i.d.R. weder mit Doppelbelichtung, Stacking, oder Ähnlichem arbeiten) völlig ausreichen?

Sollen sie das Zertifikat einfach nur jedem Einzelfoto, das mit der Kamera gemacht wurde, verpassen und bei jeglichem nachträglichen Processing eben nicht...

Heise hat gerade einen guten Artikel darüber herausgebracht, warum das C2PA-Problem bei der Z6iii nicht nur einen Einzelfall betrifft, sondern ein grundsätzliches Problem des gesamten C2PA-Technologiedesigns ist:

Denn wie auch andere digitale Sicherheitsmechanismen basiert C2PA auf Zertifikaten. [...]

Und ein globaler Rückruf dieser Zertifikate ist wohl bei C2PA nicht vorgesehen. Ebenso, dass die Kamera selbst darauf hinweist, dass ihr Zertifikat vielleicht ungültig oder veraltet ist. Das ist, neben Nikons eigenem Problem, das, was die ganze Allianz für C2PA, eben die CAI, lösen muss.

https://www.heise.de/news/Die-Lehren-au ... 72872.html

Au backe. Welche Vollpfosten arbeiten denn bitte bei Adobe, die das designt haben? (Denn das Problem ist ja von den SSL-Zertifikaten für Websites/https gut bekannt, und da auch schon seit Beginn anno toback in den Früh-1990er Jahren gelöst...) Darum lehne ich mich mal aus dem Fenster und behaupte: C2PA ist eine Totgeburt...

Dazu noch mehr aus dem Artikel, das wirklich absurd klingt:

Darum wiegt Nikons Firmware-Bug auch ziemlich schwer, wenn es um das System CAI an sich geht: Wenn die Vertrauenskette schon im allerersten Glied massive Schwächen hat, ist es völlig egal, wie stabil der Rest ist. [...] Dass das System unausgereift ist, wurde dadurch nämlich deutlich sichtbar. Darauf weist auch Michael J. Hußmann bei Docma hin: "Man hat nur eine einzige Chance, die Entstehung eines Bildes durch eine Aufnahme mit einer bestimmten Kamera fälschungssicher zu dokumentieren, nämlich während der Speicherung der Bilddatei in der Kamera." Und das ist der Punkt: Der Anfang der Kette.

Und genau das ist bei C2PA nicht gewährleistet. Unglaublich.


(Sowieso sollte man, genau wie bei Internet-Standards, solche Technologien nie als geschlossen-proprietäre Firmentechnologien entwickeln, sondern als voll dokumentierte/publizierte und durch Gremien wie IEEE standardisierte Protokolle, die durch offene peer reviews gegangen sind. Das ist der Standard für praktisch sämtliche Krypto-Technologie.)