Nikon stoppt vorübergehend seinen Authentifizierungs-Service für die Z6 III nach Entdeckung einer Sicherheitslücke in der Content Credentials Funktion.
Nikon hat seinen Authenticity Service für die Z6 III vorübergehend eingestellt, nachdem eine Schwachstelle in der C2PA Content Credentials Funktion entdeckt wurde. Der japanische Kamerahersteller bestätigte am 5. September, dass “ein Problem mit dem Nikon Authenticity Service identifiziert wurde” und der Dienst pausiert wird, bis eine Lösung gefunden ist.
Die Sicherheitslücke wurde vom DPReview-Forumsmitglied Horshack aufgedeckt. Er nutzte die Mehrfachbelichtungs-Funktion der Z6III, die normalerweise mehrere Aufnahmen zu einem Bild kombiniert. Diese Funktion erlaubt es, ein bereits vorhandenes RAW-Bild von der Speicherkarte als erste Belichtung zu verwenden, eigentlich gedacht für kreative Doppelbelichtungen mit derselben Kamera.
Horshack entdeckte jedoch, dass die Kamera auch RAW-Dateien von anderen Z6-III-Kameras akzeptiert, selbst wenn diese nicht C2PA-fähig sind. In seinem Beweis erstellte er zunächst mit einer nicht-authentifizierungsfähigen Z6III ein Bild mit dem Text “Hacked by Horshack”. Anschließend übertrug er die Speicherkarte in eine C2PA-aktivierte Z6 III, wählte das fremde RAW-Bild als erste Belichtung aus und machte eine Schwarzaufnahme mit Objektivdeckel.
Das Ergebnis: Die Kamera kombinierte das fremde Bild mit der leeren Schwarzaufnahme und signierte das Resultat mit gültigen C2PA-Credentials, obwohl sie das eigentliche Motiv nie selbst aufgenommen hatte.
Content Credentials basieren auf dem C2PA-Standard (Coalition for Content Provenance and Authenticity) und sollen die Herkunft digitaler Inhalte nachweisbar machen. Die Technologie listet auf, wie und womit ein Bild entstanden ist. Nikon führte diese Funktion mit dem Firmware-Update 2.0 für die Z6 III erst vor Kurzem ein.
Nikon ist nicht der einzige Hersteller, der auf C2PA setzt. Die aktuelle Schwachstelle zeigt jedoch, dass technisch korrekte Kryptografie allein nicht ausreicht – die Implementierung des Branchenstandards muss alle Kamerafunktionen berücksichtigen und erfordert dadurch erhebliche Individualisierungsarbeit
Nikon verspricht eine Lösung “sobald die Korrekturmaßnahmen abgeschlossen sind” – vermutlich durch Deaktivierung der Mehrfachbelichtung bei aktivierten Credentials oder bessere Dokumentation der verwendeten Quellbilder.
Bereits Anfang 2024 hatte Nikon angekündigt, zusätzlich zum branchenweiten C2PA-Standard eine eigene digitale Wasserzeichen-Technologie zu entwickeln. In Zusammenarbeit mit der Nachrichtenagentur AFP sollte diese Lösung auch dann funktionieren, wenn C2PA-Metadaten versehentlich gelöscht werden.
via: DPReview