Verräterische Spuren in Ausdrucken und Scans
Es gibt mannigfaltige Möglichkeiten, aus Ausdrucken Informationen zu gewinnen, die dazu führen können, den Hersteller, das Gerät und die Person die für diesen Druck bzw. diese Kopie verantwortlich ist, zu identifizieren. Nachfolgend gehen wir auf die meisten uns bekannten Möglichkeiten ein.
Machine Identification Codes
Obwohl es seit 2004 bekannt ist, handelt es sich doch um etwas, das nur wenige Personen im Kopf haben, wenn sie etwas drucken. Ein Machine Identification Code (MIC) wird auch als yellow dots, tracking dots, secret dots, Farbdruckermarkierung, colour tracking dots oder printer steganography bezeichnet und meint ein Verfahren, das winzige, für das bloße Auge nicht sichtbare, gelbe Punkte auf Ausdrucken hinzufügt. Diese gelben Punkte bilden ein Muster (davon gibt es verschiedene Formen) 5, in denen Informationen wie z. B. die Seriennummer des Gerät und ein Zeitstempel (Druckdatum und -uhrzeit) codiert gespeichert sind. Dieses Muster ist über die gesamte Seite verteilt. Für die Umsetzung ist die Firmware der Geräte verantwortlich. Im Jahr 2004 erhielt die Canon Deutschland GmbH dafür den BigBrotherAward in der Kategorie Technik.6
Die codierten Informationen werden mitunter verwendet, um Personen zu identifizieren, die für Ausdrucke verantwortlich sind. Das führte u. a. bereits zu Identifizierung einer Whistleblowerin der NSA (DEEN) und von Mitarbeiter(n) des Berliner Staatsschutzes, die Drohbriefe mit polizeiinternen Informationen an 42 Personen versendet haben.
Die Electronic Frontier Foundation (EFF), welche sich umfangreich mit Druckern und deren Trackingmethoden befasst hat, traf im Jahr 2017 folgende Einschätzung [frei übersetzt]:
Zur Erinnerung: Es scheint wahrscheinlich, dass alle neueren handelsüblichen Farblaserdrucker irgendeine Art von forensischen Tracking-Codes drucken, wobei nicht unbedingt gelbe Punkte verwendet werden. Dies gilt unabhängig davon ob diese Codes mit bloßen Auge sichtbar sind oder nicht und ob die Druckermodelle hier aufgeführt sind oder nicht. Dies gilt auch für die Drucker, die hier als nicht mit yellow dots arbeitend aufgeführt sind.
Wozu diese Verfahren dienen, ist offensichtlich – der Identifizierung von Geräten und Personen –, doch womit wird all das begründet? Dazu ein Exkurs in die Welt der Banknoten.
Counterfeit Deterrence Systems
Die Central Bank Counterfeit Deterrence Group (CBCDG), eine Arbeitsgruppe von inzwischen 32 Zentralbanken, schrieb bereits im März 2004 auf ihrer Homepage:
Die CBCDG hat das so genannte Counterfeit Deterrence System (CDS) entwickelt, um zu verhindern, dass PCs und Geräte bzw. Software zur digitalen Bildbearbeitung zur Fälschung von Banknoten verwendet werden. Das System wurde von Hardware- und Softwareherstellern freiwillig implementiert und verhindert, dass mittels PCs oder Geräten zur digitalen Bildbearbeitung das Bild einer geschützten Banknote erfasst oder reproduziert wird. Diese Technologie ist jedoch nicht in der Lage, den Nutzer eines PCs oder von Geräten zur digitalen Bildbearbeitung ausfindig zu machen.
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat im Jahr 2019 den Hersteller Canon angefragt (Vorsicht: Yellow Dots! Versteckte Informationen in Farbkopien) und fasst die Antwort zusammen:
[Canon] beruft sich auf die globale Zusammenarbeit zur Bekämpfung von Falschgeld zwischen den Strafverfolgungsbehörden und der Drucker-Industrie, die auf Veranlassung von Europol und Interpol entstanden ist (vgl. [8]) sowie auf die freiwillige Verpflichtung der Drucker-Industrie, das System zur Fälschungsprävention zu implementieren. Nähere Informationen konnte der Hersteller aufgrund einer Verschwiegenheitserklärung nicht geben.
EURion-Konstellation
Bei Experimenten hat Markus Kuhn die EURion-Konstellation auf Euro-Banknoten entdeckt und im Jahr 2002 veröffentlicht. Das Muster findet sich auch auf den Banknoten anderer Länder. Es soll im Zusammenspiel mit unterstützender Soft- und Firmware von Hard- und Softwareherstellern das Scannen, Bearbeiten und Drucken von Banknoten verhindern. Weitere Untersuchungen von Steven J. Murdoch und Ben Laurie zeigen, dass die EURion-Konstellation nicht das einzige Merkmal ist, an dem Geldscheine erkannt werden.
Sowohl unsere eigenen Untersuchungen als auch die des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein bestätigen dies. Wird ein Teil der EURion-Konstellation, welcher sich bei neuen Euro-Scheinen zwischen den Ziffern befindet, vom Gerät identifiziert, lässt es beim Drucken entweder Bereiche aus oder verändert das Gesamtbild etwa durch Schwärzungen oder Streifen. Wir haben dies mit der Vorderseite von Euro-Banknoten von 5 bis 50 Euro ausprobiert und dabei festgestellt, dass beim Abdecken eines Teils der EURion-Konstellation die Identifizierung fehlschlägt und keine weiteren Stellen verändert werden.
Digitale Wasserzeichen von Digimarc
Neben der EURion-Konstellation benennt ein Artikel in der Datenschleuder Nr. 86 aus dem Jahr 2005 das digitale Wasserzeichen von Digimarc, welches schon kurz zuvor auf dem 21C3 von Steven J. Murdoch und Ben Laurie in ihrem Vortrag The Convergence of Anti-Counterfeiting and Computer Security erwähnt wurde. Das Patent WO1999053428A1 der Digimarc Corporation beschreibt Grundlagen davon.
Wer mehr über Euro-Banknoten im Allgemeinen erfahren möchte, wird bei Wikipedia fündig.
MICs: Eigene Untersuchungen
Zurück zum Machine Identification Code. Um zu überprüfen, ob ein Farblaserdrucker Machine Identification Codes auf Ausdrucken hinterlässt, gibt es verschiedene Verfahren. Wir haben uns bei unseren Untersuchungen am Vorgehen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) in der zweiten Version ihrer Ausarbeitung Vorsicht: Yellow Dots! orientiert.
Zu den Faktoren, die das Ergebnis verfälschen könnten, gehört ein zu geringer Füllstand der gelben Tonerkartusche. Hier sei angemerkt, dass bei manchen Geräten auch ein Druck in Schwarzweiß nicht mehr möglich ist, sobald eine Farbe leer ist. Falls der Ausdruck eingescannt wird, kann auch eine zu geringe Auflösung des Scans das Untersuchungsergebnis beeinträchtigen.
Für sämtliche nachfolgenden Untersuchungen haben wir, sofern nicht anders benannt, Ausdrucke unseres Canon imageRUNNER ADVANCE c5235i in DIN A4 mit den Farbprofilen Farbe und Schwarz verwendet. Für einen aussagekräftigen Vergleich haben wir ein Blatt Papier vor und nach dem Druck auf die gleiche Weise untersucht. Zuvor haben wir eine Seite des Blattes markiert, um sicherzustellen, dass wir vor und nach dem Druck die gleiche Seite betrachten.
Untersuchung mit dem Mikroskop
Wir haben zunächst unbedruckte Blätter genommen, eine Stelle markiert und diese vor und nach dem Druck mit einem Taschenmikroskop (Vergrößerung 60 bis 120) untersucht. Damit konnten wir die Ergebnisse des ULD bei uns bestätigen. Auf Ausdrucken, die mit dem Profil Farbe gedruckt wurden, haben wir mehrere winzige gelbe Punkte festgestellt. Bei Ausdrucken, die mit dem Farbprofil Schwarz erstellt wurden, waren diese nicht vorhanden.
Untersuchung mit Schwarzlicht
Im Gegensatz zu dem Ergebnis des ULD konnten wir unter Schwarzlicht mit bloßem Auge keine gelben Punkte sichtbar machen. Zu besseren Veranschaulichung nachfolgend ein Foto der vergrößerten und mit Schwarzlicht angestrahlten Aufnahme der Untersuchung des ULD.
Untersuchung am Computer
Um die Ausdrucke am Computer untersuchen zu können, empfiehlt sich die Arbeit mit gescannten Dokumenten. Dabei ist zu beachten, das dies am besten in einer hohen Auflösung (z. B. 1200x1200 dpi) und in einem verlustfreien Format geschieht.
Wir haben ein zuvor unbedrucktes weißes DIN-A4-Blatt vor und nach dem Bedrucken mit einem Canon CanoScan LiDE 210 mit 300, 600, 1200 und 2400 dpi eingescannt und als PNG-Datei gespeichert. Als Software diente uns dabei GNOME simple-scan.
Bearbeitung mit GIMP
Wir haben mit GIMP (GNU Image Manipulation Program) diese Schritte ausgeführt:
gescannte Datei auswählen und in GIMP öffnen
Fenster > Andockbare Dialoge > Farben: die Farben Rot und Grün abwählen
Farben > Invertieren
Farben > Sättigung: erhöhen (mehrfach möglich)
ggf. weitere Anpassungen z. B. über die Farbkurven
Farben > Komponenten > Mono Mixer: Blaukanal hervorheben, z. B. mit den Werten 0, 0, 1
Ein vereinfachter Workflow, der hier jedoch nicht zur Anwendung kam, kann wie folgt aussehen:
Farben > Sättigung: zwei Mal ausführen mit dem Wert 10
Farben > Komponenten > Mono Mixer: Blaukanal hervorheben, z. B. mit den Werten 0, 0, 1
Farben > Invertieren
Je höher die Auflösung (300, 600, 1200, 2400 dpi), desto besser lässt sich das Muster erkennen und untersuchen:
Wir haben Ausdrucke vom Computer und vom USB-Stick sowie Kopien mit einer Auflösung von 600x600 dpi gescannt und in GIMP bearbeitet, um sie auf Machine Identification Codes zu untersuchen. In den Druckmodi Einzelfarbe und Zwei Farben haben wir nur einen Teil der verfügbaren Farben untersucht.
Kategorie Modus Modus-Einstellung MIC
Druck von PC Schwarzweiß - kein MIC festgestellt
Druck von PC Farbe - MIC festgestellt
Druck von USB Auto (Farbe/Schwarz) - MIC festgestellt
Druck von USB Schwarz - kein MIC festgestellt
Kopie Auto (Farbe/Schwarz) - MIC festgestellt
Kopie Einzelfarbe gelb MIC festgestellt
Kopie Einzelfarbe grün MIC festgestellt
Kopie Einzelfarbe rot MIC festgestellt
Kopie Schwarz - kein MIC festgestellt
Kopie Vollfarbe - MIC festgestellt
Kopie Zwei Farben schwarz & rot MIC festgestellt
Ausdrucke und Kopien, die ohne Farben, sondern nur mit Schwarz erfolgen, erhalten in unseren Untersuchungen an unserem Gerät somit keinen sichtbaren Machine Identification Code.
Alle festgestellten Muster sind sogenannte skewed small patterns, welches Peter Buck in seiner Arbeit “Reverse Engineering the Machine Identification Code” beschrieben hat und das ebenfalls an der Duke University untersucht wurde.
Wir können die Ergebnisse dieser Arbeiten bestätigen: Wir finden ein Muster aus 18 Punkten vor, die unserer Einschätzung nach in einem Raster von 16x32 angeordnet sind, wahrscheinlich die Seriennummer unseres Gerätes (JWF11162) repräsentieren und sich über die gesamte Seite wiederholen. Das Muster ändert sich nicht mit der Zeit, dem Datum oder dem Inhalt des gedruckten Dokuments. Es hat die Form eines um etwa 30 Grad geneigten Parallelogramms. Die Ausrichtung, Start und Ende könnten jedoch auch anders als hier abgebildet sein. Das folgende Bild zeigt vier Wiederholungen des Musters, die wir unterschiedlich eingefärbt haben.
MICs in freier Wildbahn
Um festzustellen, wie häufig MICs “in der freien Wildbahn” anzutreffen sind, haben wir 100 Dokumente von 100 verschiedenen Unternehmen, Vereinen und Behörden untersucht, die wir unabhängig von dieser Untersuchung erhalten hatten. Das älteste Dokument kommt aus dem Jahr 2013, die meisten sind aus dem Zeitraum 2020-2022. Wir haben die Dokumente zufällig ausgewählt und jeweils meist das erste Blatt mittels Scan und Bearbeitung mit GIMP, wie oben beschrieben, und mit dem Mikroskop bei 120 facher Vergrößerung untersucht.
Tabvelle:
Die Drucke und Kopien stammen von uns unbekannten Laser- und Tintenstrahldruckern und waren schwarz-weiß und in Farbe. Die Stichprobe umfasste weißes Papier, nicht gebleichtes Recyclingpapier und vorgedrucktes Briefpapier. Ob im letzten Fall der Machine Identification Code beim Erstellen des Vordrucks oder beim Druck auf das Briefpapier erstellt wurde, haben wir nicht näher untersucht, sodass auch hier das Ergebnis nur MIC festgestellt oder kein MIC festgestellt lautet.
Bei vier Dokumenten konnten wir mit dem Mikroskop zwar gelbe Punkte auf dem Papier feststellen, doch da sich jeweils auf der gesamten Seite farbige Punkte in CMYK-Farben befanden, konnten wir nicht eindeutig ein Muster identifizieren und haben es als unsicher (CMYK-Dots) gewertet.
Insgesamt wurde bei 16 von 100 Dokumenten ein Machine Identification Code erkannt, davon bei 14 von 16 farbigen Dokumenten.
Deda Toolkit
Einen interessanten Ansatz verfolgt das Deda Toolkit, welches an der TU Dresden entwickelt wurde. Es soll dabei helfen, Tracking-Dots zu erkennen, und bietet die Möglichkeit der Anonymisierung, indem erkannte Muster entfernt oder neue hinzugefügt werden können. Über das Verfahren berichteten u. a. Netzpolitik.org und der Deutschlandfunk.
Wir haben das Deda Toolkit auf Debian-basierten Systemen getestet.
sudo apt update sudo apt install python3-pip pip3 install —user deda
deda_gui
python3 /home/user/.local/bin/deda_gui
Die deda_gui hat das Muster, welches mit der Bearbeitung in GIMP sichtbar wurde, bei unseren Tests nicht erkannt. Wir haben mehrere im PNG-Format gespeicherte Scans mit 300, 600 und 1200 dpi getestet und erhielten nur die Meldung No tracking dot pattern detected. For best results try a 300 dpi scan and a lossless file format.
deda_extract_yd
python3 /home/user/.local/bin/deda_extract_yd filepath —debug
Bei unseren Tests in der Kommandozeile mit den gleichen Eingabedateien erkannte deda_extract_yd bei einer Datei mit 300 dpi Auflösung ein Trackingmuster (Detected tracking dot pattern (-1, -1, 0.283334, 0.006667)), bei höheren Auflösungen jedoch nicht mehr. Stattdessen erhielten wir die Fehlermeldung AttributeError: ‘YellowDotsXposer’ object has no attribute ‘dots’.
Um nach MICs zu suchen, erscheint uns daher die manuelle Methode mit GIMP derzeit zuverlässiger. Auch die Anonymisierungsmethode von deda scheint nur bei manchen Mustern zu funktionieren. In Test mit unserem Canon-Gerät gab es trotz der erfolgreichen Meldung Document anonymized and saved in der deda_gui und der Speicherung einer anon.png keine Veränderung zum Original, der MIC war nach wie vor erkennbar. Wie uns Stephan Escher mitgeteilt hat, gab es für die Analyse der von Canon verwendeten Muster bislang nicht genügend Material. Zudem seien Muster von Canon-Geräten schwerer zu detektieren als die anderer Hersteller.
gefunden auf: https://tumulte.org/2022/11/articles/verr%C3%A4terische-spuren-in-ausdrucken-und-scans/
