通过简单的JPEG压缩实现自认证图像

过去几年中，人们对篡改图像的风险的担忧一直在研究中不断出现，特别是在人工智能基础的图像编辑框架的新浪潮中，这些框架能够修改现有的图像，而不是直接创建图像。

大多数针对此类内容的提出的检测系统都属于两大类：第一类是水印技术——一种备用方法，内置于图像真实性框架中，目前由内容来源和真实性联盟（C2PA）推广。

C2PA水印过程是一种备用方案，如果图像内容与其原始和正在进行的清单分离。来源：https://www.imatag.com/blog/enhancing-content-integrity-c2pa-invisible-watermarking

这些“秘密信号”必须随后对自动重新编码/优化过程具有鲁棒性，这些过程经常发生在图像通过社交网络和跨门户和平台传输时——但它们通常不具有对通过JPEG压缩（以及尽管有竞争对手，如webp，但JPEG格式仍用于估计74.5％的所有网站图像）应用的有损重新编码的鲁棒性。

第二种方法是使图像具有防篡改性，如最初在2013年论文《基于固定点理论的图像完整性认证方案》中提出的。与依赖水印或数字签名不同，这种方法使用了一种称为高斯卷积和反卷积（GCD）的数学变换，将图像推向一个稳定状态，如果修改将会破坏。

来自论文“基于固定点理论的图像完整性认证方案”的篡改定位结果，使用PSNR为59.7802 dB的固定点图像。白色矩形表示受到攻击的区域。面板A（左）显示应用的修改，包括局部噪声、滤波和基于复制的攻击。面板B（右）显示对应的检测输出，突出显示认证过程中识别的篡改区域。来源：https://arxiv.org/pdf/1308.0679

这种概念可能最容易在修复精致蕾丝布的背景下理解：无论使用多么精细的工艺来修补花边，修复部分最终将是可区分的。

这种变换，当反复应用于灰度图像时，逐渐将其推向一个状态，在这种状态下，再次应用变换不会产生任何进一步的变化。

这种图像的稳定版本称为固定点。固定点很少见，对变化非常敏感——对固定点图像进行任何小的修改几乎肯定会破坏其固定状态，使其容易检测到篡改。

与这种方法一样，JPEG压缩的伪影可能会威胁方案的完整性：

左边，我们看到在标志性的“Lenna”（Lena）图像的脸上应用了水印，在正常压缩下清晰可见。右边，使用90％的JPEG压缩，我们可以看到感知水印和JPEG噪声增长之间的区别正在降低。经过多次重新保存或在最高压缩设置下，大多数水印方案都面临JPEG压缩伪影的问题。来源：https://arxiv.org/pdf/2106.14150

如果JPEG压缩伪影可以用作获得固定点的主要手段呢？在这种情况下，就不需要额外的外部系统，因为通常引起麻烦的水印和防篡改检测机制将成为防篡改框架本身的基础。

JPEG压缩作为安全基线

来自纽约州立大学布法罗分校的两位研究人员提出的新论文中提出了这样的系统。论文题为《使用JPEG固定点的防篡改图像》，该论文在2013年的工作和相关工作的基础上，首次正式制定了其核心原则，并巧妙地利用JPEG压缩本身作为一种可能产生“自认证”图像的方法。

作者解释：

‘研究表明，图像在经过多轮相同的JPEG压缩和解压缩过程后保持不变。 ‘

‘换句话说，如果将单个JPEG压缩和解压缩循环视为图像的变换，称为JPEG变换，则该变换具有固定点的性质，即在应用JPEG变换时保持不变的图像。 ‘

来自新论文的JPEG固定点收敛示例。在顶行中，我们看到一个示例图像经过重复的JPEG压缩，每次迭代显示更改的像素数量和位置；在底行中，绘制了不同压缩质量设置下连续迭代之间的像素级L2距离。讽刺的是，这个图像没有更好的分辨率可用。来源：https://arxiv.org/pdf/2504.17594

与水印不同，该方法不需要嵌入信号。唯一的参考是图像在进一步压缩下的自身一致性。如果重新压缩不会产生任何变化，则假定图像是真实的。如果它会产生变化，则表明篡改，偏差表明篡改。

测试

作者使用一百万个随机生成的8×8块的8位灰度图像数据来验证这种行为。通过对这些合成块应用重复的JPEG压缩和解压缩，他们观察到固定点的收敛发生在有限的步骤内。该过程通过测量连续迭代之间的像素级L2距离来监测，差异减小，直到块稳定。

一百万个8×8块在不同JPEG压缩质量下连续迭代之间的L2差异。每个过程从单个JPEG压缩块开始，跟踪压缩过程中差异的减少。

为了评估篡改检测，作者构建了防篡改JPEG图像，并应用了四种类型的攻击：盐和胡椒噪声；复制移动操作；从外部来源拼接；以及使用不同量化表的双重JPEG压缩。

固定点RGB图像的示例，包括检测和定位篡改，包括作者使用的四种破坏方法。在底行中，我们可以看到每种扰动风格都相对于生成的固定点图像而暴露出来。

篡改后，图像使用原始量化矩阵重新压缩。通过识别图像块在重新压缩后显示非零差异来检测偏离固定点，实现了篡改区域的检测和定位。

由于该方法基于标准JPEG操作，固定点图像可以与常规JPEG查看器和编辑器正常工作；但是，作者指出，如果图像以不同的质量级别重新压缩，它可能会失去固定点状态，这可能会破坏认证，并需要在实际使用中谨慎处理。

虽然这不是仅仅用于分析JPEG输出的工具，但它也不会增加太多复杂性。原则上，它可以以最小的成本或干扰插入现有的工作流程。

该论文承认，一个复杂的对手可能会尝试制作保留固定点状态的对抗性修改；但是，研究人员认为，这样的努力可能会引入可见的伪影，破坏攻击。

虽然作者不声称固定点JPEG可以替换更广泛的来源系统，例如C2PA，但他们建议固定点方法可以通过提供一种额外的篡改证据来补充外部元数据框架，这种证据即使在元数据被剥离或丢失时也会持续存在。

结论

JPEG固定点方法提供了一种简单且自成体系的替代方案，用于传统的认证系统，不需要嵌入的元数据、水印或外部参考文件，而是直接从压缩过程的可预测行为中推导出真实性。

在这种方式下，该方法重新利用JPEG压缩——一种频繁的数据降级来源——作为一种完整性验证机制。从这个角度来看，该新论文是我过去几年中遇到的最具创新性和发明性的方法之一。

该新工作表明，人们正在从分层添加的安全措施转向利用媒体本身的内置特性。随着篡改方法变得更加复杂，测试图像内部结构的技术可能会变得更加重要。

此外，许多旨在解决这个问题的替代系统都需要对长期以来可靠运行的图像处理工作流程进行重大更改——有些工作流程已经运行了几年甚至几十年，并且需要更有力的理由来重新工具化。

* 我将作者的内联引用转换为超链接。

首次发布于2025年4月25日星期五