Nikon stoppt vorübergehend seinen Authentifizierungs-Service für die Z6 III nach Entdeckung einer Sicherheitslücke in der Content Credentials Funktion.
Mehrfachbelichtung als Einfallstor
Nikon hat seinen Authenticity Service für die Z6 III vorübergehend eingestellt, nachdem eine Schwachstelle in der C2PA Content Credentials Funktion entdeckt wurde. Der japanische Kamerahersteller bestätigte am 5. September, dass “ein Problem mit dem Nikon Authenticity Service identifiziert wurde” und der Dienst pausiert wird, bis eine Lösung gefunden ist.
Die Sicherheitslücke wurde vom DPReview-Forumsmitglied Horshack aufgedeckt. Er nutzte die Mehrfachbelichtungs-Funktion der Z6III, die normalerweise mehrere Aufnahmen zu einem Bild kombiniert. Diese Funktion erlaubt es, ein bereits vorhandenes RAW-Bild von der Speicherkarte als erste Belichtung zu verwenden, eigentlich gedacht für kreative Doppelbelichtungen mit derselben Kamera.
Horshack entdeckte jedoch, dass die Kamera auch RAW-Dateien von anderen Z6-III-Kameras akzeptiert, selbst wenn diese nicht C2PA-fähig sind. In seinem Beweis erstellte er zunächst mit einer nicht-authentifizierungsfähigen Z6III ein Bild mit dem Text “Hacked by Horshack”. Anschließend übertrug er die Speicherkarte in eine C2PA-aktivierte Z6 III, wählte das fremde RAW-Bild als erste Belichtung aus und machte eine Schwarzaufnahme mit Objektivdeckel.
Das Ergebnis: Die Kamera kombinierte das fremde Bild mit der leeren Schwarzaufnahme und signierte das Resultat mit gültigen C2PA-Credentials, obwohl sie das eigentliche Motiv nie selbst aufgenommen hatte.
Content Credentials basieren auf dem C2PA-Standard (Coalition for Content Provenance and Authenticity) und sollen die Herkunft digitaler Inhalte nachweisbar machen. Die Technologie listet auf, wie und womit ein Bild entstanden ist. Nikon führte diese Funktion mit dem Firmware-Update 2.0 für die Z6 III erst vor Kurzem ein.
Branchenweite Herausforderung
Nikon ist nicht der einzige Hersteller, der auf C2PA setzt. Die aktuelle Schwachstelle zeigt jedoch, dass technisch korrekte Kryptografie allein nicht ausreicht – die Implementierung des Branchenstandards muss alle Kamerafunktionen berücksichtigen und erfordert dadurch erhebliche Individualisierungsarbeit
Nikon verspricht eine Lösung “sobald die Korrekturmaßnahmen abgeschlossen sind” – vermutlich durch Deaktivierung der Mehrfachbelichtung bei aktivierten Credentials oder bessere Dokumentation der verwendeten Quellbilder.
Bereits Anfang 2024 hatte Nikon angekündigt, zusätzlich zum branchenweiten C2PA-Standard eine eigene digitale Wasserzeichen-Technologie zu entwickeln. In Zusammenarbeit mit der Nachrichtenagentur AFP sollte diese Lösung auch dann funktionieren, wenn C2PA-Metadaten versehentlich gelöscht werden.
via: DPReview
Diese ganze C2PA Mist ist reine Geldmacherei, von den Leuten die diesen unsinnigen Standard ins Leben gerufen haben. Braucht kein Mensch und wird außer ein paar wenigen Pressefotografen niemand wirklich nutzen. Jeglicher Softwareschutz wurde schon immer irgendwann ausgehebelt, das kennen wir doch schon von der DVD.
Wollte gerade schreiben “Ist doch sowieso nur Geldschneiderei” aber das war schon jemand vor mir da.
😢 Pressefotografen sind auch Menschen – “braucht kein Mensch, und wird außer ein paar wenigen Pressefotografen niemand wirklich nutzen.” widerspricht sich somit bisserl … aber ich habe natürlich verstanden was Du meinst und ich bin da auch bisserl gespalten, ob es wirklich das hält was es verspricht…
Und klar, “es braucht” im Hobbybereich nur der, der Originaldateien im Internet frei verfügbar macht (blöd), Wettbewerbsfotografie betreibt und extrem hohe Qualität erzeugt, welche ggf. ein Dritter unrechtmäßig verwenden könnte.
J.Friedrich, bei der Wettbewerbsfotografie läuft das anders. Die Vorschaubilder sind von geringer Qualität, und wenn man die Endrunde erreicht, muss man die RAW-Dateien und oft auch noch ein JPEG in voller Grösse einreichen. Das geschieht aber meistens mittels WeTransfer direkt ab Rechner, nicht über die Kamera, und das ist so sicher oder unsicher wie ein Mail-Programm