https://www.asiaregister.com/zh/news/zhen-shi-zhao-pian-yu-ren-gong-zhi-neng-sheng-cheng-de-yi-shu-xin-biao-zhun-C2PA-shi-yong-PKI-lai-xian-shi-tu-xiang-de-li-shi-2661.htm
在網上辨別真假變得越來越困難。Adobe、微軟、索尼、DigiCert 和數十家其他行業領導者推出的一項新技術標準旨在解決這一問題。
我們生活在這樣一個時代:公衆不再覺得他們可以相信他們在新聞或網上看到、聽到或讀到的內容。老實說,他們爲什麼要這麼做?我們每天都會聽到有關“假新聞”的言論,並看到人工智能 (AI) 工具被用來製作深度虛假視頻、照片和其他媒體,以造成傷害或推動議程。例如,美國前總統被捕或外國領導人說出他們從未說過的話的虛假視頻和圖像。
人們需要一種方法來消除噪音;作爲消費者有辦法區分真假媒體。這就是內容來源和真實性聯盟 (C2PA) 發揮作用的地方。該規範使用公鑰基礎設施 (PKI),通過提供任何人都可以查看的防篡改記錄,消除了數字文件身份驗證和驗證過程中的猜測。
感興趣嗎?我們將深入瞭解 C2PA 是什麼、它是如何工作的,以及爲什麼它會改變企業和消費者處理內容創建和媒體驗證的方式。
讓我們來討論一下。
什麼是 C2PA?本開放技術規範概述
內容來源和真實性聯盟 (C2PA) 是一項開放標準,旨在幫助用戶識別數字文件(例如圖像、錄音或視頻)的創建者或內容以及其編輯方式。目標是使用戶能夠更輕鬆地將真實照片或視頻與人工智能生成的圖像和數字藝術區分開來。
該聯盟於 2021 年 2 月成立,由 50 多家行業領導者組成,包括 Adobe、微軟、索尼、DigiCert 和美國唱片工業協會 (RIAA)。C2PA 與 Project Origin 和內容真實性計劃 (CAI) 密切相關,是 Adobe 領導的一項計劃,爲 C2PA 創建開放工具(我們將在稍後討論)。它還在宣傳和教育開放行業標準(現已發佈 1.3 版)方面發揮着關鍵作用。
簡而言之,C2PA 允許“世界各地的內容創建者和編輯者創建防篡改媒體”,以便互聯網用戶可以看到“誰創建或更改了數字內容以及如何更改”。換句話說:如果你在社交媒體上看到教皇穿着蓬鬆外套的照片,你將能夠快速檢查照片是否來自相機或人工智能藝術生成器。
那麼,C2PA 是爲誰創建的?這一開放標準旨在被從軟件創建者和設備製造商到監管機構和政府機構的所有人採用,以造福企業和消費者。目標是爲數字媒體文件創建透明度和真實性。
C2PA 具有內置的保護措施(包括基於 PKI 的數字簽名),以確保作者身份或來源信息準確且無法僞造或篡改。這是通過在媒體文件中包含數字媒體“來源聲明”(即斷言)來完成的,然後使用基於加密的憑證進行簽名並密封在清單中。斷言是信任信號,可告知內容的起源以及對其進行的更改。
如何定義“數字來源”
數字來源是一種引用照片、視頻或音頻記錄歷史信息的奇特方式。數字來源記錄包括以下信息:
- 創建媒體文件的時間和地點(使用 GPS 數據),
- 誰創造了它,
- 他們如何創建它(例如,使用特定品牌的相機),
- 對其進行了哪些更改(例如,對圖像的顏色配置文件進行了更改),
- 這些更改是如何進行的(例如,使用 Photoshop)以及
- 當這些改變發生時。
目標是通過提供文件來源的歷史記錄以及對其所做的任何更改來幫助保護數字媒體的完整性。此信息包含在每個資產包含的經過數字簽名和密封的 C2PA 清單中。當作者將關鍵信息綁定到其媒體文件時,該數據將無限期地與內容一起保留。
DigiCert 首席執行官 Amit Sinha 最近在 LinkedIn 帖子中表達了他對這一舉措的興奮:
“假設您用手機拍照。相機、位置、時間等信息都記錄在清單中,最重要的是,由設備進行數字簽名。一旦簽署,不可更改。隨後,您編輯照片。應用的過濾器和所做的編輯被捕獲在另一個由編輯軟件進行數字簽名的清單中。如果該圖像由您當地的電視臺使用,則任何更改(例如應用的壓縮或添加的字幕)都會包含在另一個簽名的清單中。
關鍵是所有這些清單都以防篡改的方式加密地綁定到圖像。當用戶看到圖像時,他們可以輕鬆驗證其來源。”
爲什麼需要 C2PA 開放標準
想知道爲什麼這一切都是必要的?互聯網擁有令人難以置信的信息、資源和工具財富。它讓我們觸手可及的世界信息。但引用一位著名蜘蛛超級英雄的叔叔的話來說,“能力越大,責任越大。” 就生成式人工智能的力量及其在視頻和圖像創作中的日益增長的使用而言尤其如此。
當然,並非所有受操縱的媒體都涉及人工智能的使用;有人也可以使用圖像編輯軟件來執行這些任務。但這樣做往往是一項緩慢而費力的任務。人工智能加快了這一過程,而且往往做得更好。
生成式人工智能技術正在以驚人的速度發展,讓消費者很難辨別真假。雖然其中一些“假貨”是出於中立或幽默的意圖而創建的,但其他一些則有更多的惡意目的,包括:
- 傳播錯誤信息和虛假信息
- 推動政治或社會議程
- 對公司和個人進行社會工程攻擊
- 未經真人許可,利用真人肖像製作詐騙性色情材料
- 執行其他進一步削弱數字信任的惡意功能
如果您正在給您的狗拍照,則可能不需要此媒體驗證過程。然而,如果您要記錄重要事件,例如拍攝內亂的照片、記錄與戰爭相關的事件或創建其他重要的社會記錄,它就發揮着至關重要的作用。
C2PA 實際效果如何
好的,有很多需要考慮的內容。在我們繼續瞭解更多技術信息之前,讓我們考慮一個示例,說明支持 C2PA 的圖像如何使用 CAI 的驗證工具顯示出處信息。在下面的示例中,您將看到有關圖像創建者、他們使用的工具以及對其進行了哪些更改的概述信息:
現在,讓我們看一下內容的“成分”,看看創建圖像的過程:
在左側的“內容成分”窗口中,您可以選擇查看原始文件,以及文件的多次迭代,這些迭代詳細說明了圖片的更改方式。這使您可以看到文件是如何被操作的,圖像創建者從幾張單獨的照片中獲取元素並將它們組合起來創建您在上面看到的令人驚歎的(假)圖像。其中,一個人被移除,天空被改變,顏色被修改,月亮被以幾乎看起來像太陽的方式插入。
如何使用 Adobe 的內容憑證(測試版)展示編輯內容
現在,讓我們採取另一種方法。以下是您在 Photoshop 中啓用 Adobe Content Credentials 並對圖像進行編輯時的外觀。(注:這張照片是在我的智能手機上拍攝的,該智能手機未啓用 C2PA。)
如果我使用支持 C2PA 的設備來拍照,出處記錄將包含有關我用於捕獲圖像的設備以及照片拍攝地點的信息。但是,該信息不可用,因爲我使用了非 C2PA 設備。但正如您在上面的屏幕截圖中看到的,Photoshop 確實顯示了:
- 我在曲線、飽和度和色彩平衡方面對圖像進行了編輯。
- 編輯是由我進行並導出的(“Content US”)
- 編輯是使用 Adobe Photoshop 版本 24.7.0 進行的
- Adobe 內容憑證由 Adobe Inc. 記錄。
如果我選擇連接帳戶(使用內容憑據(測試版)彈出窗口),我可以將內容與其他帳戶連接,包括 Behance、Instagram 和 Twitter(現在稱爲 X)。
現在我們知道了 C2PA 是什麼以及它的用途,現在是時候探索所有這些如何協同工作以使媒體驗證和信任成爲可能。
C2PA 標準如何運作
之前,我們提到該標準使用公鑰基礎設施使該文件驗證過程對於消費者和軟件來說成爲現實。(PKI 是我們用來保護互聯網上的數據和驗證設備的技術、流程和策略的底層框架。)基本上,C2PA 使用加密算法、內容憑證(使用 X.509 數字證書和公私密鑰對),以及用於驗證媒體文件的來源和更改的信任列表。
讓我們考慮一個關於拍攝照片的簡單示例。當您使用 C2PA 拍照時,會自動記錄有關圖像的某些基本信息(即出處數據)。這將創建一個提供基本文件數據的記錄,包括:
- 拍攝圖像的日期和時間,
- 攝影師的名字,
- 位置信息(即拍攝圖像的位置)
- 圖像是如何創建的
以下是這個多層流程如何工作的基本概述:
現在,讓我們仔細看看幕後發生的事情。
- 用戶使用支持 C2PA 的設備拍照,該設備會自動將出處聲明添加到媒體文件中。
- 應用加密哈希函數,然後創建者使用其基於證書的簽名憑據對生成的哈希值進行數字簽名。然後將其與圖像綁定在一起並密封在文件清單中 - 理想情況下,帶有時間戳來證明圖像是在簽名證書的有效期內發佈的。
- 當編輯者或其他用戶使用支持 C2PA 的軟件對圖像進行更改時,他們的更改會記錄在一組新的斷言中。然後,該數據在附加到舊清單的新清單中進行數字簽名,並將其綁定到圖像並密封。
對文件或其記錄所做的任何更改,無論多小,都將改變其加密哈希值,使其不再與原始值匹配。這會通知用戶文件已在某個時刻發生更改,併爲他們提供了查看這些更改的方法。
PKI 如何在技術標準中發揮作用
C2PA 依賴於我們在 Hashed Out 中經常討論的加密算法、數字證書、簽名和密鑰。根據 CAI 的規定,要獲取或修改可用於創建和簽署清單的簽名內容憑據,您必須首先從受信任的第三方證書頒發機構 (CA) 購買 X.509 數字證書。該證書必須至少包含一個擴展密鑰使用 (EKU) 字段,該字段指定該證書可用於文檔簽名和 / 或電子郵件保護。如果沒有它,證書將無法與開源 C2PA 工具一起使用(稍後將詳細介紹這些工具)。
內容真實性倡議建議使用組織驗證 (OV) 或擴展驗證 (EV) 證書,以便您的內容憑據顯示組織的經過驗證的名稱。
爲了建立信任,技術規範確實就加密算法、密鑰類型和密鑰大小提出了某些建議:
- 用於保護數據完整性的 SHA-256 加密哈希算法,以及
- 用於生成簽名者憑證的加密密鑰對:
- 橢圓曲線加密 (ECC) 生成的密鑰對(使用 P-256、P-384 或 P-521 橢圓曲線),或
- 2048 位 mod Rivest-Shamir-Adleman (RSA) 密鑰對
然而,爲了使這些密鑰發揮作用,他們必須遵循行業的網絡安全和密鑰管理最佳實踐來確保它們的安全。這意味着使用硬件安全模塊 (HSM)、密鑰庫或其他密鑰管理系統來保證它們的安全。否則,密鑰可能會被泄露並可能被用於邪惡目的。