Technische Leitfäden

Foto auf C2PA Content Credentials testen: Schritt für Schritt

Testen Sie jedes Foto im Browser auf C2PA Content Credentials, laden Sie ein garantiert gültiges C2PA-Testbild herunter und prüfen Sie, ob ein Validator das richtige Ergebnis meldet, auch in den Fehlerfällen.

ByLumethic Team
7 min Lesezeit
Share

Ein Foto auf C2PA zu testen dauert etwa fünf Sekunden und braucht nichts außer einem Browser. Länger dauert es zu wissen, wie das Ergebnis aussehen sollte: Die offiziellen C2PA-Testdateien sind nackte Verzeichnislisten ohne jede Erklärung, und die meisten Online-Checker zeigen ein Manifest an, ohne zu sagen, ob das Angezeigte korrekt ist. Dieser Leitfaden behandelt beide Richtungen des Problems: ein vorhandenes Foto testen, und ein Tool gegen ein Foto testen, dessen richtige Antwort bekannt ist.

Was es heißt, ein Foto auf C2PA zu testen

C2PA Content Credentials sind ein Block kryptografisch signierter Metadaten, der in einer Bilddatei mitreist und festhält, woher sie stammt und was mit ihr geschehen ist. Wenn der Standard neu für Sie ist, beginnen Sie mit unserem C2PA-Leitfaden; die Kurzfassung: Eine Kamera, ein Editor oder ein KI-Generator schreibt ein Manifest in die Datei und signiert es, und jeder kann dieses Manifest später auslesen und bestätigen, dass sich die Datei seitdem nicht verändert hat.

Ein Foto zu testen bedeutet deshalb drei Prüfungen: ob die Datei überhaupt ein Manifest enthält, ob die Signatur noch intakt ist, die Bilddaten also dem signierten Zustand entsprechen, und was das Manifest über Signaturgeber, beteiligte Software und den Einsatz generativer KI aussagt.

Foto im Browser testen

Der schnellste Weg ist ein Browser-Tester. Mit unserem kostenlosen Tool können Sie ein Foto auf C2PA testen, indem Sie die Datei einfach auf die Seite ziehen. Es führt die offizielle C2PA-Bibliothek als WebAssembly direkt in Ihrem Browser aus, das Foto wird also nie hochgeladen, und es funktioniert mit JPEG, PNG, WebP, AVIF, HEIC, TIFF, SVG sowie den RAW-Formaten DNG und ARW.

Drei Schritte:

  1. Ziehen Sie das Foto in den Tester. Die Analyse läuft lokal und dauert einen Moment.
  2. Lesen Sie das Ergebnis. Der Bericht nennt den Signaturgeber, listet jede erfasste Bearbeitung auf, markiert KI-Beteiligung und sagt, ob die Signatur noch zur Datei passt.
  3. Wird nichts gefunden, ist auch das ein Ergebnis, und zwar das mit Abstand häufigste. Die meisten Fotos trugen nie Credentials, und Plattformen wie Instagram oder WhatsApp entfernen sie beim erneuten Komprimieren.

Adobes Content-Credentials-Verify-Seite führt dieselbe Prüfung serverseitig durch und gleicht den Signaturgeber zusätzlich mit einer Vertrauensliste ab. Bei hohem Einsatz ist es eine gute Gewohnheit, beide laufen zu lassen.

Die vier Ergebnisse und ihre Bedeutung

Jeder C2PA-Test endet in einem von vier Ergebnissen.

Signiert und intakt, keine Bearbeitungen erfasst. Die Datei trägt gültige Credentials und ist seit der Signierung unverändert. Das belegt ihre Historie, nicht, dass die Szene echt war. Ein signiertes Foto eines Bildschirms mit einem KI-Bild ist trotzdem gültig signiert.

Signiert, aber nach der Aufnahme bearbeitet. Die Credentials sind intakt, die Historie zeigt Bearbeitungen. Die Signatur hält fest, dass bearbeitet wurde, nicht, ob die Bearbeitung ehrlich war.

Generative KI beteiligt. Das Manifest selbst deklariert KI-Erzeugung oder KI-Bearbeitung. Eine gültige Signatur macht ein KI-Bild nicht echt; sie macht seine Herkunft transparent.

Validierung fehlgeschlagen. Die Datei enthält C2PA-Daten, entspricht aber nicht mehr dem signierten Zustand, sie wurde nachträglich verändert. Behandeln Sie jede Angabe in diesem Manifest mit Vorsicht.

Ein C2PA-Testbild besorgen

Um einen Validator, ein Plugin oder schlicht das eigene Verständnis zu testen, brauchen Sie Dateien, deren richtige Antwort im Voraus bekannt ist.

Die schnellste Option: Unsere Inspektor-Seite bietet ein C2PA-Testbild mit intakter Signatur und erfasster Bearbeitungshistorie zum Download, zusammen mit einer Tabelle, die genau angibt, was eine korrekte Implementierung dafür melden muss: Signaturgeber, Bestandteil, Aktionen, Fazit. Herunterladen, durch ein beliebiges Tool laufen lassen, vergleichen.

Für breitere Abdeckung pflegt die C2PA-Organisation die offiziellen Public Test Files, ein nach Format und Datum organisiertes Korpus, das sowohl konforme Dateien als auch absichtliche Fehlerfälle enthält. Es ist die Referenzsammlung, gegen die Validatoren getestet werden; ihr einziger Nachteil ist, dass die Seite zu keiner Datei sagt, welches Ergebnis sie liefern sollte, genau deshalb lohnt sich ein dokumentiertes Set daneben.

Und wenn Sie eine eigene Testdatei möchten: Jedes aus Photoshop oder Lightroom mit aktivierten Content Credentials exportierte Foto wird zu einer, ebenso jedes von Adobe Firefly oder DALL·E erzeugte Bild, denn beide betten C2PA automatisch ein.

Validator oder Pipeline testen

Wer C2PA-Unterstützung baut oder integriert, kommt mit Stichproben im Browser nicht weit. Das Open-Source-CLI c2patool der Content Authenticity Initiative liest und schreibt Manifeste headless und ist damit der natürliche Prüfstand: das Test-Set einspeisen, die JSON-Ausgabe gegen die Erwartungen diffen, in die CI einbauen.

Zwei Testprinzipien zählen mehr als die Werkzeugwahl. Erstens: Testen Sie die Negativfälle. Ein Validator, der nur gültige Dateien gesehen hat, ist nicht getestet; ändern Sie ein paar Bild-Bytes einer signierten Datei ohne erneute Signierung und prüfen Sie, ob Ihre Pipeline einen Hash-Fehler meldet statt eines Erfolgs. Zweitens: Setzen Sie „Signatur gültig" nicht mit „vertrauenswürdiger Signaturgeber" gleich. Testdateien sind typischerweise mit dem C2PA-Testzertifikat signiert, das korrekte Tools kryptografisch akzeptieren, aber nicht als vertrauenswürdige Identität darstellen sollten. Nach einer Signierlücke sperrte Nikon sämtliche Zertifikate seines Authentizitätsprogramms, wir berichten über den Fall in Warum eine Kamerasignatur kein Beweis ist.

Sie fragen sich, ob Ihre eigene Kamera signierte Testdateien erzeugen kann? Unser C2PA-Kameracheck listet jedes Modell, das es kann.

Was ein C2PA-Test nicht zeigen kann

Ein C2PA-Test beantwortet eine Frage: Hat sich diese Datei seit der Signierung verändert, und was behauptet ihre signierte Historie? Er kann nicht sagen, ob ein unsigniertes Foto echt ist, ob erfasste Bearbeitungen ehrlich waren oder ob die Szene vor dem Objektiv authentisch war.

Genau wegen dieser Lücke haben wir eine Verifizierung gebaut, die nicht von Signierung bei der Aufnahme abhängt. Die Lumethic-Verifizierung vergleicht ein Foto forensisch mit seinem RAW-Original, unter anderem Sensor-Authentizität, strukturelle Ähnlichkeit und Recapture-Erkennung in acht Prüfungen. So kann jeder Fotograf Echtheit nachweisen, mit oder ohne C2PA-fähige Kamera. Beide Ansätze ergänzen sich: C2PA transportiert die Herkunft, die Forensik belegt sie.

Häufig gestellte Fragen

Wie teste ich, ob ein Foto C2PA enthält? Ziehen Sie es in einen Browser-Tester wie unseren C2PA-Inspektor. Er liest das eingebettete Manifest, prüft die Signatur und meldet Signaturgeber, Bearbeitungshistorie und KI-Beteiligung, ohne die Datei hochzuladen.

Wo kann ich ein C2PA-Testbild herunterladen? Auf unserer Inspektor-Seite, die das erwartete Ergebnis für ihr Testbild dokumentiert, oder in den offiziellen C2PA Public Test Files für ein vollständiges Korpus in vielen Formaten.

Mein Foto zeigt keine Credentials. Beweist der Test, dass es gefälscht ist? Nein. Die meisten Bilder hatten nie Credentials, und soziale Plattformen entfernen sie. Ihr Fehlen ist kein Beleg für Manipulation, es ist der Normalzustand von Bildern im Netz.

Kann ein Foto den C2PA-Test bestehen und trotzdem irreführend sein? Ja. Eine gültige Signatur bestätigt die Unversehrtheit seit der Signierung, mehr nicht. Ein KI-Bild mit ehrlichen Credentials besteht den Test; ein signiertes Foto eines Bildschirms ebenfalls. Lesen Sie den Inhalt des Manifests, nicht nur den grünen Haken.

Related Reading

#C2PA#Content Credentials#Testen#Herkunftsnachweis#Verifikation