Re: [A-DX] Music Wave Radio

Roger Thauer via groups.io
Montag, 18. August 2025, 08:32 Uhr

Am 12.08.2025 um 15:02 schrieb Andreas Schmid via groups.io:
> Hallo in die Liste,
> bekam eben von Evgeniy Shaden von Music Wave Radio (3940) eine Antwort 
> mit angehängter E-QSL.
> Hab mich aber nicht getraut, diesen Anhang zu öffnen.
> Wie kann ich feststellen, ob der Anhang (eQSL 22.png 2,5 MB) sauber ist?
> Bekam noch jemand aus der Liste eine Antwort? 

https://www.dropbox.com/scl/fi/ajt8nci37zwwmynu129oe/eQSL-22.png?rlkey=pigntkv3oiela886jtmh5qsht&dl=0

General
Complete name                            : C:\Users\roger\Downloads\eQSL 
22.png
Format                                   : PNG
Format/Info                              : Portable Network Graphic
File size                                : 2.54 MiB
C2PA_Present                             : Yes

Image #1
Format                                   : PNG
Format/Info                              : Portable Network Graphic
Compression                              : Deflate
Format settings                          : Linear
Width                                    : 2 876 pixels
Height                                   : 1 808 pixels
Display aspect ratio                     : 16:10
Color space                              : RGBA
Bit depth                                : 8 bits
Compression mode                         : Lossless
Stream size                              : 2.44 MiB (96%)
Gamma                                    : 0.455

Image #2
Title                                    : 
urn:c2pa:fd4e4146-330f-46c6-aeae-a2e90eaab020 / 
c2pa.thumbnail.ingredient.jpeg
Format                                   : JPEG
Muxing mode                              : C2PA
Width                                    : 500 pixels
Height                                   : 500 pixels
Color space                              : YUV
Chroma subsampling                       : 4:4:4
Bit depth                                : 8 bits
Compression mode                         : Lossy
Stream size                              : 70.4 KiB (3%)




Hier eine Analyse des  PNG headers Deiner QSL mit ChatGPT-5  -  
offensichtlich enthält sie C2PA Daten.

ChatGPT-5:

Sehr gut – du hast hier einen PNG-Header + zusätzliche Metadatenblöcke 
reinkopiert.
Ich erkläre dir, was das bedeutet:

1. PNG-Signatur
‰PNG


→ Klassische PNG-Signatur (89 50 4E 47 0D 0A 1A 0A), die jede gültige 
PNG-Datei einleitet.

2. IHDR-Chunk
IHDR  <   ...
IHDR = "Image Header" (Pflichtblock).
Enthält Bildbreite, Höhe, Bit-Tiefe, Farbraum.
08 06 bedeutet 8 Bit pro Kanal, Truecolor + Alpha (RGBA).

3. sRGB / gAMA / pHYs
sRGB → zeigt an, dass das Bild einen sRGB-Farbraum nutzt.
gAMA → Gammakorrektur (hier 0.45455 ≈ Standard für sRGB).
pHYs → Pixel pro Meter (DPI-Info, hier etwa 3780 Pixel/m = 96 DPI).


4. C2PA (Content Authenticity Initiative Metadaten)

Das Interessanteste an deinem PNG ist der Teil mit c2pa / jumbf / cbOR.
Das ist ein Authentizitäts-Manifest, das z. B. von Truepic oder OpenAI 
hinzugefügt wurde, um die Herkunft des Bildes nachzuweisen.

Dort stehen Dinge wie:
SoftwareAgent: „OpenAI API“, „ChatGPT“
digitalSourceType: 
http://cv.iptc.org/newscodes/digitalsourcetype/trainedAlgorithmicMedia
→ Bedeutet: Bild stammt aus einem KI-generierten Prozess.
claim_generator_info: ChatGPT, org.cai.c2pa_rsf0.51.1
Signatur: Ein kryptografischer Block, mit Zertifikaten signiert (Truepic 
Lens, WebClaimSigningCA).
Hashwerte (SHA-256) → dienen zur Verifikation der Bildintegrität.
Das Ganze ist ein C2PA Manifest (Coalition for Content Provenance and 
Authenticity), also ein digitaler Herkunftsnachweis, dass das Bild mit 
ChatGPT/OpenAI API erzeugt oder bearbeitet wurde.


✅ Zusammenfassung:
Dein PNG enthält neben den Standard-PNG-Blöcken (IHDR, sRGB, gAMA, pHYs) 
auch ein eingebettetes C2PA-Manifestsystem, das beweist, dass das Bild 
mit OpenAI/ChatGPT erstellt wurde.
Das ist eine Art digitale Signatur + Herkunftsnachweis zur Bekämpfung 
von Deepfakes und für Transparenz.

👉 Soll ich dir den kompletten C2PA-Block Schritt für Schritt decodieren 
(z. B. wer signiert hat, welche Hashes drin sind, welche Assertions)?

ChatGPT:

Super 👍 Dann zerlegen wir den C2PA-Block Schritt für Schritt.
Das, was du im PNG-Header gepostet hast, ist ein C2PA Manifest Store, 
eingebettet in spezielle c2pa-Chunks.

🔎 Struktur im Überblick

jumbf – "JPEG Universal Metadata Box Format" → Container für Metadaten.
c2pa.claim.v2 – die eigentliche Behauptung („claim“), wer/was das Bild 
erstellt hat.
c2pa.actions.v2 – Aktionen, die mit dem Bild gemacht wurden (z. B. 
Erstellung, Konvertierung).
c2pa.hash.data – kryptografische Hashes, um die Bilddaten abzusichern.
c2pa.signature – die digitale Signatur (mit Zertifikaten).

📌 1. Claim (c2pa.claim.v2)
Aus deinem Header:
c2pa.claim.v2
instanceID: xmp:iid:5d8fb7f1-25f2-44e6-b11b-1001bae5351e
claim_generator_info:
    name: ChatGPT
    org: org.cai.c2pa_rsf0.51.1

➡️ Bedeutet:
Dieses Bild wurde durch ChatGPT (OpenAI) erstellt/umgewandelt.
Jede Erzeugung bekommt eine eindeutige Instance-ID (UUID).

📌 2. Actions (c2pa.actions.v2)
c2pa.actions.v2
action: c2pa.created
softwareAgent: GPT-4o
digitalSourceType: 
http://cv.iptc.org/newscodes/digitalsourcetype/trainedAlgorithmicMedia

➡️ Bedeutet:
Die Hauptaktion ist "created" → Bild wurde neu erzeugt.
SoftwareAgent: GPT-4o → Modell von OpenAI.
digitalSourceType: trainedAlgorithmicMedia → Bild stammt aus einem 
KI-generierten Prozess.

📌 3. Hashes (c2pa.hash.data)
sha256: ÖTÍîµÛ0Yæ=]ä0J\ÓZÔ‡'ÏG€¼a†r&c...

➡️ Das ist ein SHA-256-Hash des Bildinhalts.
Damit kann jeder prüfen, ob das Bild unverändert ist – schon ein 
einziges Pixel, das verändert wird, bricht diese Kette.

📌 4. Signatur (c2pa.signature)
Hier steckt ein X.509 Zertifikat, u. a. mit:
Issuer: Truepic
Certificate: WebClaimSigningCA → Lens → RootCA
Subject: ChatGPT / OpenAI


➡️ Bedeutet:
Das Manifest wurde von Truepic Lens (Partner der C2PA) signiert.
Die Zertifikatskette geht bis zu einer anerkannten RootCA.
Damit lässt sich beweisen, dass die Metadaten echt sind (nicht 
nachträglich gefälscht).

✅ Zusammenfassung

Dein PNG enthält ein komplettes C2PA-Manifest, das folgendes aussagt:
Erzeuger: ChatGPT (über die OpenAI API, Modell GPT-4o).
Aktion: Bild wurde erstellt, nicht nur bearbeitet.
Quelle: KI-generiert (trainedAlgorithmicMedia).
Integrität: Gesichert durch einen SHA-256-Hash.
Authentizität: Bestätigt durch ein digitales Zertifikat (Truepic / 
WebClaimSigningCA).

👉 Damit kannst du jederzeit mit einem C2PA-Verifizierungs-Tool (z. B. 
Content Credentials contentcredentials.org) prüfen, ob das Bild 
unverändert und echt ist.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Diese eQSL sind damit fälschungssicher....

C2PA steht für Coalition for Content Provenance and Authenticity 
(Koalition für Inhaltsherkunft und -authentizität).

Es handelt sich um einen offenen Standard, den große Unternehmen wie 
Adobe, Microsoft, Intel, BBC, Sony und andere entwickelt haben. Ziel ist 
es, digitale Inhalte (Bilder, Audio, Video, Texte) mit 
fälschungssicheren Metadaten zu versehen, sodass man ihre Herkunft und 
Bearbeitungsschritte nachvollziehen kann.

🔑 Die Kernideen von C2PA:
Wer hat den Inhalt erstellt? (Urheber, Organisation, Gerät oder Software)
Wie wurde er bearbeitet? (eine überprüfbare „Bearbeitungskette“)
Ist der Inhalt echt oder manipuliert? (durch kryptografische Signaturen 
gesichert)
Die Informationen werden direkt in die Datei eingebettet und 
kryptografisch signiert, sodass sie nicht unbemerkt verändert werden 
können. Nutzer*innen können diese sogenannten Content Credentials 
einsehen, um Vertrauen in die Echtheit von Medien aufzubauen.

👉 Kurz gesagt: C2PA sind wie „Nährwertangaben für digitale Medien“, die 
Transparenz über Ursprung und Bearbeitung schaffen.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Die "Gefährlichkeit" einer Datei hängt auch IMMER davon ab, mit welchem 
Programm man diese öffnet.
Selbst "harmloses txt" - mit dem falschen Programm geöffnet, kann 
gefährlich sein, wenn der Text einen Code enthält.


roger