Самоаутентифицируемые изображения через простую сжатие JPEG

Обеспокоенность по поводу рисков, связанных с фальсифицированными изображениями, регулярно появляется в исследованиях за последние несколько лет, особенно в свете нового всплеска AI-основанных фреймворков редактирования изображений, способных изменять существующие изображения, а не создавать их с нуля.

Большинство предложенных систем обнаружения, связанных с этим типом контента, делятся на две категории: первая – водяные знаки – запасной подход, встроенный в.framework аутентичности изображений, сейчас продвигаемый Коалицией по происхождению и аутентичности контента (C2PA).

Процедура водяных знаков C2PA является запасным вариантом, если содержимое изображения отделяется от его оригинального и текущего манифеста. Source: https://www.imatag.com/blog/enhancing-content-integrity-c2pa-invisible-watermarking

Эти ‘секретные сигналы’ должны быть последовательно устойчивыми к автоматическим процедурам перекодирования/оптимизации, которые часто происходят, когда изображение проходит через социальные сети и порталы – но они часто не устойчивы к типу потери, применяемой при сжатии JPEG (и несмотря на конкуренцию с претендентами, такими как webp, формат JPEG все еще используется для примерно 74,5% всех изображений на веб-сайтах).

Второй подход заключается в том, чтобы сделать изображения устойчивыми к фальсификации, как было впервые предложено в статье 2013 года Схема аутентификации целостности изображения на основе теории фиксированных точек. Вместо того, чтобы полагаться на водяные знаки или цифровые подписи, этот метод использовал математическое преобразование, называемое Гауссовской сверткой и обратной сверткой (GCD), для того, чтобы привести изображения к стабильному состоянию, которое будет разрушено, если оно будет изменено.

Из статьи ‘Схема аутентификации целостности изображения на основе теории фиксированных точек’: результаты локализации фальсификации с использованием изображения с фиксированной точкой и коэффициентом сигнал/шум 59,7802 дБ. Белые прямоугольники указывают на области, подвергшиеся атакам. Панель А (слева) отображает примененные изменения, включая локализованный шум, фильтрацию и атаки на основе копирования. Панель Б (справа) показывает соответствующий выход обнаружения, выделяя области, подвергшиеся фальсификации, выявленные процессом аутентификации. Source: https://arxiv.org/pdf/1308.0679

Эта концепция, возможно, наиболее легко понимается в контексте ремонта хрупкой кружевной ткани: независимо от того, насколько тонко выполнено заплатка, отремонтированная секция неизбежно будет различима.

Такое преобразование, когда оно применяется повторно к изображению в оттенках серого, постепенно приводит его к состоянию, в котором применение преобразования снова не производит никаких изменений.

Эта стабильная версия изображения называется фиксированной точкой. Фиксированные точки редки и высоко чувствительны к изменениям – любое небольшое изменение фиксированной точки изображения почти наверняка разрушит его фиксированный статус, что делает его легко обнаруживаемым.

Как обычно с такими подходами, артефакты сжатия JPEG могут угрожать целостности схемы:

Слева мы видим водяной знак, примененный к лицу иконического изображения ‘Ленна’ (Лена), который четко виден при нормальном сжатии. Справа, при сжатии JPEG на 90%, мы видим, что различие между воспринимаемым водяным знаком и ростом шума JPEG уменьшается. После нескольких сохранений или при самых высоких настройках сжатия большинство схем водяных знаков сталкиваются с проблемами артефактов сжатия JPEG. Source: https://arxiv.org/pdf/2106.14150

Что если, вместо этого, артефакты сжатия JPEG могли бы быть использованы как основной способ получения фиксированной точки? В таком случае не было бы необходимости во внешних системах, поскольку тот же механизм, который обычно вызывает проблемы для водяных знаков и обнаружения фальсификации, вместо этого образует основу для рамки обнаружения фальсификации.

Сжатие JPEG в качестве базовой линии безопасности

Такая система предложена в новой статье двух исследователей из Университета Буффало при Государственном университете Нью-Йорка. Названная Изображение, обнаруживающее фальсификацию, с использованием фиксированных точек JPEG, новая работа основана на работе 2013 года и связанных с ней работах, официально сформулировав свои основные принципы впервые, а также изобретательно используя сжатие JPEG само по себе как метод потенциального получения ‘самоаутентифицирующего’ изображения.

Авторы расширяют:

‘Исследование показывает, что изображение не меняется после нескольких раундов одного и того же процесса сжатия и распаковки JPEG.

‘Иными словами, если один цикл сжатия и распаковки JPEG считается преобразованием изображения, называемым преобразованием JPEG, то это преобразование обладает свойством наличия фиксированных точек, т.е. изображений, которые остаются неизменными, когда преобразование JPEG применяется.’

Из новой статьи, иллюстрация сходимости фиксированных точек JPEG. В верхнем ряду мы видим пример изображения, подвергающегося повторному сжатию JPEG, с каждым итерационным показом количества и местоположения измененных пикселей; в нижнем ряду расстояние L2 между последовательными итерациями строится для разных настроек качества сжатия. Иронично, что нет лучшего разрешения этого изображения. Source: https://arxiv.org/pdf/2504.17594

Вместо введения внешних преобразований или водяных знаков новая статья определяет процесс JPEG как динамическую систему. В этой модели каждый цикл сжатия и распаковки перемещает изображение к фиксированной точке. Авторы доказывают, что после конечного числа итераций любое изображение либо достигает, либо приближается к состоянию, в котором дальнейшее сжатие не произведет изменений.

Исследователи заявляют*:

‘Любые изменения изображения будут вызывать отклонения от фиксированных точек JPEG, которые могут быть обнаружены как изменения в блоках JPEG после одного раунда сжатия и распаковки…

‘Предлагаемые изображения, обнаруживающие фальсификацию, на основе фиксированных точек JPEG, имеют два преимущества. Во-первых, изображения, обнаруживающие фальсификацию, устраняют необходимость во внешнем хранении проверяемых особенностей, как это требуется схемами, или внедрении скрытых следов, как в методах водяных знаков изображений. Само изображение служит доказательством своей аутентичности, что делает схему внутренне самоочевидной.

‘Во-вторых, поскольку JPEG является широко используемым форматом и часто последним шагом в обработке изображений, предлагаемый метод устойчив к операциям JPEG. Это контрастирует с оригинальным подходом, который может потерять целостность из-за JPEG.’

Ключевое прозрение статьи заключается в том, что сходимость JPEG не является просто побочным продуктом его конструкции, но математически неизбежным результатом его операций. Дискретное косинусное преобразование, квантование, округление и обрезание вместе образуют преобразование, которое (при определенных условиях) приводит к предсказуемому набору фиксированных точек.

Схема процесса сжатия/распаковки JPEG, сформулированная для новой работы.

В отличие от водяных знаков, этот метод не требует внедренного сигнала. Единственная ссылка – это собственная последовательность изображения при дальнейшем сжатии. Если пересжатие не производит изменений, изображение считается аутентичным. Если оно производит изменения, фальсификация указывается отклонением.

Тесты

Авторы проверили это поведение, используя один миллион случайно сгенерированных патчей размером 8×8 пикселей изображения в оттенках серого. Применяя повторное сжатие и распаковку JPEG к этим синтетическим патчам, они наблюдали, что сходимость к фиксированной точке происходит в конечном числе шагов. Этот процесс контролировался путем измерения расстояния L2 между последовательными итерациями, с уменьшением различий до тех пор, пока патчи не стабилизировались.

Разница L2 между последовательными итерациями для одного миллиона патчей 8×8, измеренная при различных качествах сжатия JPEG. Каждый процесс начинается с одного сжатого патча JPEG и отслеживает уменьшение разницы при повторном сжатии.

Для оценки обнаружения фальсификации авторы сконструировали изображения, обнаруживающие фальсификацию, и применили четыре типа атак: соль и перец шум; копирование и перемещение операций; вставка из внешних источников; и двойное сжатие JPEG с использованием другой таблицы квантования.

Пример изображений с фиксированными точками RGB с обнаружением и локализацией фальсификации, включая четыре метода нарушений, использованные авторами. В нижнем ряду мы видим, что каждый стиль нарушения выдает себя относительно сгенерированного изображения с фиксированной точкой.

После фальсификации изображения были пересжаты с использованием исходной матрицы квантования. Отклонения от фиксированной точки были обнаружены путем выявления блоков изображения, которые показали ненулевые различия после пересжатия, что позволило обнаружить и локализовать области, подвергшиеся фальсификации.

Поскольку метод основан полностью на стандартных операциях JPEG, изображения с фиксированными точками работают нормально с обычными просмотрщиками и редакторами JPEG; но авторы отмечают, что если изображение пересжимается при другом уровне качества, оно может потерять свой статус фиксированной точки, что может нарушить аутентификацию и требует осторожного обращения в реальном использовании.

Хотя это не просто инструмент для анализа выхода JPEG, он также не добавляет много сложности. В принципе, его можно включить в существующие рабочие процессы с минимальными затратами или нарушениями.

Статья признает, что изощренный противник может попытаться создать враждебные изменения, сохраняющие статус фиксированной точки; но исследователи утверждают, что такие усилия, вероятно, введут видимые артефакты, подрывая атаку.

Хотя авторы не утверждают, что фиксированные точки JPEG могут заменить более широкие системы происхождения, такие как C2PA, они предлагают, что методы фиксированных точек могут дополнить внешние рамки метаданных, предлагая дополнительный слой доказательств фальсификации, который сохраняется даже при удалении или потере метаданных.

Заключение

Подход фиксированных точек JPEG предлагает простую и самодостаточную альтернативу традиционным системам аутентификации, не требующую внедренных метаданных, водяных знаков или внешних ссылок, и вместо этого получающую аутентичность直接 из предсказуемого поведения процесса сжатия.

Таким образом, метод восстанавливает сжатие JPEG – частый источник деградации данных – как механизм проверки целостности. В этом отношении новая статья является одним из самых инновационных и изобретательных подходов к проблеме, с которыми я столкнулся за последние несколько лет.

Новая работа указывает на сдвиг от слоистых добавок для безопасности к подходам, которые используют встроенные характеристики носителя. По мере того, как методы фальсификации становятся более сложными, методы, которые проверяют внутреннюю структуру изображения, могут начать иметь большее значение.

Кроме того, многие альтернативные системы, предложенные для решения этой проблемы, вводят значительное трение, требуя изменений в давно установленных рабочих процессах обработки изображений – некоторые из которых работают надежно в течение лет или даже десятилетий и которые потребуют гораздо более сильного обоснования для переделки.

* Мое преобразование INLINE-цитат авторов в гиперссылки.

Опубликовано впервые в пятницу, 25 апреля 2025