通过简单的 JPEG 压缩实现图像的自我认证

过去几年的研究经常提到对篡改图像带来的风险的担忧，尤其是在人工智能 图像编辑框架 能够修改现有图像，而不是直接创建它们。

目前提出的针对此类内容的检测系统大多分为两类：第一类是 水印 - 一个 后备方法 内置于内容来源和真实性联盟 (C2PA) 正在推广的图像真实性框架中。

如果图像内容与其原始和持续的出处“清单”分离，则 C2PA 水印程序是一种后备。 资料来源：https://www.imatag.com/blog/enhancing-content-integrity-c2pa-invisible-watermarking

这些“秘密信号”必须对图像在社交网络、门户网站和平台之间传输时经常发生的自动重新编码/优化程序具有鲁棒性——但它们通常无法抵御通过 JPEG压缩 （尽管面临着来自如下竞争对手的竞争： 网页，JPEG 格式仍用于估计 74.5% 的网站图片).

第二种方法是使图像防篡改，因为最初 建议 在2013年的论文中 基于不动点理论的图像完整性认证方案。该方法不依赖水印或数字签名，而是使用一种称为 高斯卷积和反卷积 （GCD）将图像推向稳定状态，如果改变则稳定状态会被破坏。

摘自论文《基于不动点理论的图像完整性认证方案》：使用峰值信噪比 (PSNR) 为 59.7802 dB 的不动点图像进行篡改定位的结果。白色矩形表示受到攻击的区域。面板 A（左）显示应用的修改，包括局部噪声、滤波和基于复制的攻击。面板 B（右）显示相应的检测输出，突出显示了认证过程识别出的篡改区域。 来源：https://arxiv.org/pdf/1308.0679

在修补精致蕾丝布的背景下，这个概念可能最容易理解：无论修补花丝的工艺多么精细，修补的部分必然是可辨别的。

这种变换，当反复应用于灰度图像时，逐渐将其推向再次应用变换的状态 不再产生变化.

这个稳定版本的图像被称为 固定点固定点很少见，而且对变化非常敏感——对固定点图像的任何小修改几乎肯定会破坏其 固定 状态，从而很容易检测到篡改。

As 这种方法很常见，JPEG 压缩产生的伪影可能会威胁该方案的完整性：

左侧图片中，我们看到标志性的“Lenna”（Lena）图像上添加了水印，在正常压缩下清晰可见。右侧图片中，在 90% 的 JPEG 压缩率下，我们可以看到感知到的水印与 JPEG 噪声的增长之间的区别正在减小。在多次重新保存或使用最高压缩设置后，大多数水印方​​案都会出现 JPEG 压缩伪影的问题。 来源：https://arxiv.org/pdf/2106.14150

如果 JPEG 压缩伪影实际上可以作为获取固定点的核心手段，情况会怎样？在这种情况下，就不需要额外的附加系统了，因为通常会给水印和篡改检测带来麻烦的机制，反而会成为篡改检测框架本身的基础。

JPEG 压缩作为安全基准

该系统是在 新文 来自纽约州立大学布法罗分校的两位研究人员。题为 使用 JPEG 固定点的防篡改图像，新产品以 2013 年的作品和相关作品为基础，首次正式制定其核心原则，并巧妙地利用 JPEG 压缩本身作为一种潜在生成“自我认证”图像的方法。

作者进一步解释道：

“研究表明，经过几轮相同的 JPEG 压缩和解压缩过程后，图像不会发生变化。

“换句话说，如果将 JPEG 压缩和解压缩的单个循环视为图像的转换，称为 JPEG 变换，那么这种变换表现出具有固定点的属性，即在应用 JPEG 变换时图像保持不变。”

这篇新论文展示了 JPEG 定点收敛的示意图。上行展示了一张经过重复 JPEG 压缩的示例图像，每次迭代都显示了变化像素的数量和位置；下行则绘制了不同压缩质量设置下连续迭代之间的像素级 L2 距离。讽刺的是，目前还没有比这张图片更好的分辨率。 来源：https://arxiv.org/pdf/2504.17594

新论文没有引入外部变换或水印，而是将 JPEG 处理过程本身定义为一个动态系统。在这个模型中，每次压缩和解压缩循环都会使图像向一个固定点移动。作者证明，经过有限次迭代后，任何图像都会达到或接近一个状态，进一步压缩不会产生任何变化。

研究人员指出*：

“对图像的任何改变都会导致与 JPEG 定点的偏差，经过一轮 JPEG 压缩和解压缩后，可以检测到 JPEG 块的变化……

“基于 JPEG 固定点的防篡改图像有两个优点。首先，防篡改图像无需像图像指纹识别那样对外部存储可验证特征进行存储。”方案]，或者像图像水印方法一样嵌入隐藏痕迹。图像本身作为其真实性的证明，使得该方案本质上是不言而喻的。

其次，由于 JPEG 是一种广泛使用的格式，并且通常是图像处理流程的最后一步，因此所提出的方法对 JPEG 操作具有较高的弹性。这与原始的 [的途径]可能会因 JPEG 而丢失完整性痕迹。'

这篇论文的核心观点是，JPEG 收敛不仅仅是其设计的副产品，更是其运算在数学上的必然结果。离散余弦变换、量化、舍入和截断共同构成一个变换，该变换（在适当的条件下）会产生一组可预测的不动点。

为新工作制定的 JPEG 压缩/解压缩过程的方案。

与水印不同，此方法需要 无嵌入信号唯一的参考是图像在进一步压缩下的自身一致性。如果重新压缩后没有变化，则推定图像真实。如果发生变化，则偏差表明存在篡改。

检测

作者使用一百万个随机生成的 8x8 八位灰度图像数据块验证了这一行为。通过对这些合成图像块进行反复的 JPEG 压缩和解压缩，他们观察到在有限的步骤内收敛到一个固定点。通过测量像素级的 L2距离 在连续迭代之间，差异逐渐减小，直到补丁稳定下来。

在不同 JPEG 压缩质量下测量的一百万个 2×8 图像块的连续迭代之间的 L8 差异。每个过程都从单个 JPEG 压缩图像块开始，并跟踪重复压缩过程中差异的减少情况。

为了评估篡改检测，作者构建了防篡改 JPEG 图像并应用了四种类型的攻击： 盐和胡椒 噪音; 复制移动 操作； 来自外部来源的剪接;和 双 JPEG 压缩 使用不同的量化表。

带有篡改检测和定位功能的定点 RGB 图像示例，包含作者使用的四种扰动方法。在底部一行中，我们可以看到，相对于生成的定点图像，每种扰动方式都各有不同。

篡改后，使用原始文件重新压缩图像 量化 矩阵。通过识别重新压缩后表现出非零差异的图像块来检测与固定点的偏差，从而实现对篡改区域的检测和定位。

由于该方法完全基于标准 JPEG 操作，因此定点图像可以很好地与常规 JPEG 查看器和编辑器配合使用；但作者指出，如果以不同的质量级别重新压缩图像，它可能会失去其定点状态，这可能会破坏身份验证，并且需要在实际使用中小心处理。

虽然这不仅仅是一个分析 JPEG 输出的工具，但它也不会增加太多复杂性。原则上，它可以以最小的成本或干扰融入现有的工作流程。

论文承认，老练的对手可能会试图制造对抗性变化来保持固定点状态；但研究人员认为，这种努力可能会引入可见的伪影，从而破坏攻击。

虽然作者并不声称定点 JPEG 可以取代 C2PA 等更广泛的出处系统，但他们认为定点方法可以通过提供额外的篡改证据层来补充外部元数据框架，即使元数据被剥离或丢失，该证据层仍然存在。

结语

JPEG 定点方法为传统的身份验证系统提供了一种简单且独立的替代方案，不需要嵌入元数据、水印或外部参考文件，而是直接从压缩过程的可预测行为中获取真实性。

通过这种方式，该方法重新利用了 JPEG 压缩（一个常见的数据质量下降的根源）作为完整性验证机制。就这一点而言，这篇新论文是我过去几年遇到的最具创新性和创造性的解决这个问题的方法之一。

这项新研究表明，安全措施正从分层附加组件转向利用介质本身的内在特性。随着篡改方法日益复杂，测试图像自身内部结构的技术可能将变得更加重要。

此外，许多为解决这一问题而提出的替代系统都引入了巨大的摩擦，因为它们需要改变长期建立的图像处理工作流程——其中一些工作流程已经可靠地运行了数年甚至数十年，需要更有力的理由进行重新调整。

* 我将作者的内嵌引用转换为超链接。

首次发布于 25 年 2025 月 XNUMX 日星期五