Glossario campi forensi

A cosa serve questa pagina

Quando ExistBefore estrae i metadati da un file, il risultato è una lista di campi tecnici: dateTimeOriginal, producer, exifByteOrder, e così via. Questo glossario spiega, in linguaggio chiaro, cosa ciascun campo rivela a un analista forense — e quali combinazioni sono segnali di integrità che meritano un approfondimento.

Versione del catalogo: existbefore-rationale-v2. Ogni voce ha un'ancora stabile (#field-nome) in modo che i tooltip dell'app, il piè di pagina del PDF e gli strumenti esterni possano farvi deep-link. La parità con il catalogo canonico dei metadati (existbefore-metadiff-v1) è verificata in fase di build.

L'assenza di una segnalazione non è prova di autenticità. Questi campi documentano evidenze; non emettono verdetti.

Informazioni di base sul file

Dimensione del file sizeBytes: Dimensione totale del file in byte come osservata dal browser. Si confronta con il contenuto dichiarato (numero di pagine, dimensioni, durata) per individuare file troncati o aggiunti; una dimensione che diverge dalle revisioni precedenti dello stesso documento logico segnala una ricodifica o una deriva del contenuto.
Tipo MIME mimeType: Tipo Internet (Internet media type) dichiarato per il file (ad esempio image/jpeg, application/pdf). Usato insieme all'header grezzo (primi 64 byte) per individuare attacchi di MIME spoofing (vedi F19), in cui un file ostile dichiara un tipo mentre i suoi byte ne corrispondono a un altro.

Acquisizione e dispositivo

Data e ora dello scatto dateTimeOriginal: Momento esatto in cui il firmware della fotocamera ha registrato la foto. Le fotocamere lo scrivono una sola volta, allo scatto, e gli editor di solito lo preservano. Una discrepanza con i timestamp del file system o con le date XMP/IPTC è un forte segnale forense.
Timestamp di digitalizzazione EXIF dateTimeDigitized: Momento in cui la sorgente analogica (pellicola, scanner) è stata convertita in digitale o, per gli scatti nativamente digitali, momento in cui il firmware della fotocamera ha finalizzato l'immagine. Per le fotocamere digitali coincide solitamente con dateTimeOriginal; una forte divergenza è un segnale netto di manipolazione successiva allo scatto.
Timestamp file EXIF dateTime: Ultimo timestamp di modifica scritto nell'header EXIF (spesso da un editor al momento del salvataggio). Distinto da dateTimeOriginal, che registra il momento dello scatto. Un timestamp file più recente del timestamp di scatto è normale per i file modificati; il caso opposto è logicamente impossibile (vedi F03).
Produttore della fotocamera make: Produttore dichiarato dal firmware della fotocamera. Combinato con il modello e con l'ordine dei byte EXIF, identifica il dispositivo. Un produttore in disaccordo con l'ordine dei byte EXIF che scrive normalmente (vedi F21) suggerisce che il blocco EXIF sia stato ricodificato o che il campo sia stato falsificato.
Modello della fotocamera model: Modello dichiarato dal firmware della fotocamera. Si confronta con il produttore e con i valori predefiniti noti del dispositivo; utile nell'analisi della catena di custodia quando si confrontano più foto che dovrebbero provenire dallo stesso dispositivo.
Ultima applicazione che ha scritto software: Applicazione che ha scritto il blocco EXIF. I nomi del firmware della fotocamera (ad esempio "Apple iOS 17.5") indicano uno scatto non modificato; i nomi degli editor di immagini (Photoshop, Lightroom, GIMP, Affinity) indicano un'opera derivata. Un disaccordo con lo strumento creatore XMP segnala una catena di custodia multi-strumento.
Strumento creatore XMP xmpCreatorTool: Applicazione che ha scritto il blocco XMP. Solitamente l'editor che ha salvato per ultimo il file. Indipendente dal campo software EXIF; il loro confronto rivela se un singolo strumento o una catena di strumenti ha toccato il file (vedi F20).
Ordine dei byte EXIF exifByteOrder: I blocchi EXIF sono marcati come little-endian (Intel, II) o big-endian (Motorola, MM). Ogni produttore di fotocamere ha un ordine nativo stabile. Un disaccordo tra l'ordine dei byte e il produttore dichiarato (vedi F21) è coerente con una ricodifica a valle o con un campo Make falsificato.
Flag di orientamento EXIF orientation: Indica come l'immagine debba essere ruotata o specchiata per la visualizzazione, scritto dalla fotocamera in base al sensore di gravità al momento dello scatto. Più cosmetico che forense, ma un valore in disaccordo con l'orientamento visibile può indicare un file ricodificato i cui pixel sono stati ruotati senza aggiornare il flag.
Stato del flash EXIF flash: Indica se il flash della fotocamera è scattato e in quale modalità (auto, forzato, soppresso, riduzione occhi rossi). Combinato con i parametri di esposizione, documenta le condizioni di luce; un flag "flash scattato" su una scena esterna ben illuminata è inusuale ma non di per sé indicativo di manomissione.
Modalità bilanciamento del bianco EXIF whiteBalance: Impostazione di bilanciamento del bianco automatica o manuale al momento dello scatto. Parametro di scatto utile per la completezza forense; serve quando si confrontano più foto della stessa presunta sessione per confermare la coerenza della configurazione della fotocamera.
Modalità di esposizione EXIF exposureMode: Impostazione di esposizione automatica o manuale al momento dello scatto. Parametro di scatto utile per la completezza forense; combinato con ISO, apertura e tempo di posa, caratterizza la configurazione della fotocamera al momento dello scatto.
Sensibilità ISO EXIF iso: Sensibilità del sensore al momento dello scatto (ad esempio 100, 800, 6400). Parametro di scatto; si confronta con tempo di posa e apertura per validarne la coerenza. Gli editor che rimuovono e riscrivono il blocco EXIF a volte perdono questo valore.
Numero f EXIF (apertura) fNumber: Apertura dell'obiettivo al momento dello scatto (ad esempio f/2.8, f/8). Parametro di scatto registrato dalla fotocamera; utile nell'analisi della catena di custodia quando si confrontano foto che dovrebbero provenire dallo stesso obiettivo o dalla stessa sessione.
Tempo di esposizione EXIF (otturatore) exposureTime: Tempo di posa al momento dello scatto (ad esempio 1/250 s). Parametro di scatto registrato dalla fotocamera; combinato con numero f, ISO e lunghezza focale costituisce il triangolo dell'esposizione visibile nei controlli incrociati immagine–EXIF.
Lunghezza focale EXIF focalLength: Lunghezza focale dell'obiettivo al momento dello scatto, in millimetri rispetto al formato nativo del sensore. Utile per verificare l'obiettivo usato; un cambio improvviso fra fotogrammi consecutivi di una singola sessione è inusuale ma non di per sé un segnale di manomissione.
Modello obiettivo EXIF lensModel: Identificatore dell'obiettivo dichiarato dal produttore (ad esempio "EF24-70mm f/2.8L II USM"). Si confronta con la lunghezza focale e l'intervallo di apertura; un obiettivo che non esiste o che è incompatibile con il corpo macchina dichiarato è un forte segnale di manomissione.
Spazio colore EXIF colorSpace: Profilo colore assegnato dalla fotocamera o dall'editor (sRGB, Adobe RGB, ProPhoto). Forensicamente informativo; uno spazio colore inatteso (ad esempio ProPhoto su uno scatto da smartphone) è coerente con un round-trip in un editor desktop.
Data scatto IPTC iptcDateCreated: Data di scatto memorizzata nel blocco IPTC IIM, spesso usata da agenzie fotografiche e redazioni. Una discrepanza con DateTimeOriginal EXIF oltre le 24 ore (vedi F01) suggerisce una modifica manuale o una riscrittura parziale dei metadati.
Data creazione XMP xmpCreateDate: Data di creazione memorizzata nel blocco Adobe XMP. Una discrepanza con DateTimeOriginal EXIF oltre le 24 ore (vedi F02) è un segnale di ricodifica o manomissione.
Cronologia modifiche XMP xmpHistory: Catena di azioni di editing registrate dagli strumenti compatibili con Adobe. Utile segnale di provenienza — la sua presenza non è di per sé un indicatore di manomissione, ma documenta cosa è stato fatto al file e quando.

Metadati editoriali (IPTC)

Titolo IPTC iptcTitle: Titolo breve scritto nel blocco IPTC IIM, spesso aggiunto da agenzie fotografiche e flussi di lavoro editoriali. Un disaccordo con il titolo XMP (vedi F20) segnala una catena di custodia multi-strumento in cui ogni tool ha scritto nel proprio blocco di metadati.
Didascalia IPTC iptcCaption: Didascalia in forma estesa dal blocco IPTC IIM, tipica dei flussi di lavoro di redazione e degli archivi fotografici. La sua presenza indica un'immagine curata o pubblicata anziché uno scatto grezzo.
Parole chiave IPTC iptcKeywords: Tag di parole chiave dal blocco IPTC IIM, usati dai sistemi di gestione di asset digitali per ricerca e categorizzazione. La loro presenza segnala un flusso di lavoro editoriale gestito; l'assenza è normale per gli scatti originali da fotocamera.
Autore IPTC (by-line) iptcAuthor: Credito al fotografo o all'autore dal blocco IPTC IIM (campo "by-line"). Si confronta con il creatore XMP e con l'autore EXIF; un disaccordo segnala una catena di custodia multi-strumento o una riesportazione delegata.
Avviso di copyright IPTC iptcCopyright: Stringa di copyright scritta nel blocco IPTC IIM, spesso aggiunta in fase di esportazione editoriale. Indipendente dal copyright XMP; i due dovrebbero solitamente coincidere e una divergenza può indicare una riscrittura parziale dei blocchi di metadati.
Linea di credito IPTC iptcCredit: Linea di credito (ad esempio "Foto: Reuters / Joe Smith") dal blocco IPTC IIM. Segnale di provenienza editoriale; utile nei flussi di fact-checking quando si verifica la fonte dichiarata di un'immagine.
Sorgente IPTC iptcSource: Identificatore della sorgente o agenzia originale dal blocco IPTC IIM (distinto dalla linea di credito). Segnale di provenienza editoriale; un disaccordo con la linea di credito è inusuale e merita di essere annotato.
Città IPTC iptcCity: Città dello scatto dal blocco IPTC IIM, tipicamente aggiunta nel post-processing editoriale. Segnale di posizione sensibile dal punto di vista privacy; si confronta con le coordinate GPS e una divergenza è un forte indicatore di editing dei metadati.
Regione/provincia IPTC iptcState: Stato o provincia dello scatto dal blocco IPTC IIM. Segnale di posizione sensibile dal punto di vista privacy; combinato con città e nazione fornisce una rivendicazione geografica grossolana che dovrebbe essere coerente con il GPS quando entrambi sono presenti.
Nazione IPTC iptcCountry: Nazione dello scatto dal blocco IPTC IIM, tipicamente come codice ISO a 2 lettere o nome esteso. Segnale di posizione sensibile dal punto di vista privacy; si confronta con le coordinate GPS per validare il contesto geografico dichiarato.

Metadati XMP

Creatore XMP xmpCreator: Credito al fotografo o all'autore dal blocco XMP (Dublin Core dc:creator). Indipendente dall'autore IPTC e dall'artist EXIF; i tre coincidono solitamente su uno scatto originale e possono legittimamente divergere su un file modificato con strumenti diversi.
Data di modifica XMP xmpModifyDate: Ultimo timestamp di modifica dal blocco XMP. Distinto da xmpCreateDate e dal dateTime EXIF; un disaccordo con la data di modifica del file system può indicare che il file è stato modificato a livello di metadati senza riscriverne i byte.
Valutazione XMP (1–5 stelle) xmpRating: Valutazione utente da 1 a 5 stelle (o -1 per scartato) dal blocco XMP. Indica che il file è passato attraverso un flusso di lavoro di gestione di asset digitali; cosmetica più che forense, ma la sua presenza esclude uno scatto grezzo da fotocamera.
Etichetta colore XMP xmpLabel: Etichetta colore assegnata dall'utente (ad esempio "Rosso", "Verde") dal blocco XMP. Usata da Lightroom e simili strumenti DAM per segnalare lo stato del flusso di lavoro. Indica che il file è passato attraverso un flusso di questo tipo.

Posizione

Coordinate GPS gps: Latitudine e longitudine incorporate nel blocco GPS EXIF. Dati di posizione ad alta fedeltà — valutate se pubblicare il file con queste informazioni ancora incorporate (l'opzione "Includi GPS" le rimuove dal certificato; vedi F15).
Data GPS gpsDateStamp: Data UTC con precisione al giorno associata al fix GPS. Quando è in disaccordo con DateTimeOriginal EXIF oltre le 24 ore (vedi F17), il GPS può essere stato iniettato dopo lo scatto o la data EXIF può essere stata riscritta in isolamento.

Documenti PDF

Numero di pagine pages: Numero di pagine del documento. Utile come controllo di integrità di base: un numero di pagine che diverge da quanto atteso può indicare un file sostituito.
Versione PDF pdfVersion: Versione della specifica PDF dichiarata nell'header del file (ad esempio "1.4", "1.7", "2.0"). Utile per la compatibilità del lettore; una versione in disaccordo con l'output atteso del producer può indicare un nuovo salvataggio attraverso una toolchain non predefinita.
Producer PDF producer: Libreria che ha scritto i byte del PDF. Distinta dal creator (l'applicazione che ha originato il contenuto). Esempi: "Adobe PDF Library 17.0", "Skia/PDF m120". Cambi improvvisi tra revisioni dello stesso documento indicano un nuovo salvataggio attraverso una toolchain diversa.
Creator PDF creator: Applicazione che ha originato il contenuto del PDF. Esempi: "Microsoft Word", "LibreOffice", "Pages". Un creator in disaccordo con il producer è normale (Word genera, poi Acrobat risalva), ma vale la pena annotarlo nell'analisi della catena di custodia.
Autore PDF author: Autore del documento dal dizionario Info del PDF. Auto-dichiarato e banalmente modificabile; utile come indizio sulla catena di custodia ma mai come prova di autorialità. Spesso lasciato come "Unknown" o come username di sistema della macchina che ha esportato il PDF.
Titolo PDF title: Titolo del documento dal dizionario Info del PDF. Spesso prende il nome del file di partenza; un titolo vuoto o di sistema è normale, mentre un titolo personalizzato indica che l'autore lo ha impostato attivamente in fase di esportazione.
Oggetto PDF subject: Oggetto del documento dal dizionario Info del PDF (un breve riassunto del contenuto). Raramente popolato; la sua presenza indica che l'autore ha attivamente usato le proprietà del documento in fase di esportazione.
Parole chiave PDF keywords: Elenco di parole chiave separate da virgola dal dizionario Info del PDF. I certificati ExistBefore memorizzano qui anche dati strutturati leggibili dalla macchina ("existbefore-pdf-meta-vN"); la loro assenza in un PDF reale è normale.
Data creazione PDF creationDate: Timestamp che il creator del documento ha scritto nel dizionario Info del PDF. Non firmato; banalmente retrodatabile. Utile solo come ancora auto-dichiarata — combinare con il timestamp dell'attestazione ExistBefore per evidenza temporale affidabile.
Data modifica PDF modificationDate: Timestamp dell'ultimo salvataggio. Quando precede la data di creazione (vedi F03), i metadati sono logicamente impossibili e sono stati falsificati o resettati.
Cifratura PDF encryption: Indica che il PDF è protetto da una password, da un permesso di proprietario o da uno schema DRM. Segnale puramente informativo; i PDF cifrati possono comunque presentare tutte le anomalie forensi dei PDF non cifrati.
Visualizzazione web rapida PDF (linearized) linearized: I PDF linearized sono riorganizzati in modo che la prima pagina possa essere visualizzata prima del download dell'intero file. Comune nei PDF serviti via web; l'assenza è normale per i PDF prodotti da suite Office.
JavaScript incorporato nel PDF javascript: Indica se il PDF contiene JavaScript attivo (form, animazioni, comportamenti dinamici). Segnale di sicurezza e di autorialità: i documenti statici raramente necessitano di JavaScript e la sua presenza (vedi F07) richiede ispezione in un lettore sandboxato.
File incorporati nel PDF embeddedFiles: Indica se il PDF trasporta altri file al suo interno (allegati, dati sorgente). Comune nei documenti tecnici che includono il loro foglio di calcolo sorgente; la loro presenza (vedi F09) richiede ispezione perché gli allegati possono contenere eseguibili o dati sensibili.
Campi di modulo PDF formFields: Indica se il PDF include campi modulo interattivi AcroForm o XFA. Segnala un documento di tipo modulo o template anziché un report statico; cosmetico più che forense, ma utile per verificare il tipo del documento.
Annotazioni PDF annotations: Indica se il PDF contiene annotazioni (note adesive, evidenziazioni, inchiostro, commenti). Segnala che il file è passato attraverso un flusso di annotazione o revisione dopo la creazione; cosmetico più che forense ma utile contesto di catena di custodia.
Aggiornamenti incrementali PDF incrementalUpdates: Indica se il PDF contiene uno o più aggiornamenti incrementali (revisioni accodate ai byte originali). La loro presenza (vedi F08) significa che il file è stato modificato dopo la creazione iniziale e che la revisione precedente è recuperabile dallo stream di byte.

Media (audio e video)

Durata media duration: Durata totale di riproduzione del file media (audio o video) in secondi. Utile come controllo di integrità di base: una durata in disaccordo con la lunghezza attesa del contenuto può indicare un file troncato o esteso.
Codec media codec: Schema di compressione usato dal file media (ad esempio H.264, H.265, AAC, Opus). Utile quando si verifica la toolchain che ha prodotto il file; un codec inusuale per il dispositivo dichiarato è coerente con un passaggio di ricodifica.
Codec video videoCodec: Schema di compressione del flusso video (ad esempio H.264 / AVC, H.265 / HEVC, AV1, VP9). Indipendente dal codec audio; cambi improvvisi tra segmenti di un singolo file sorgente sono coerenti con una catena di ricodifica.
Codec audio audioCodec: Schema di compressione del flusso audio (ad esempio AAC, Opus, MP3, FLAC). Indipendente dal codec video; utile quando si valida che un file audio-video sia uscito dalla toolchain attesa.
Frame rate video framerate: Fotogrammi al secondo del flusso video (ad esempio 24, 25, 29.97, 60). Parametro di scatto registrato al momento della codifica; si confronta con il dispositivo dichiarato per validare che il frame rate sia uno di quelli supportati nativamente dal dispositivo.
Bitrate media bitrate: Bitrate medio del flusso media in bit al secondo. Utile come indicatore di qualità o compressione; un bitrate in disaccordo con il preset del codec dichiarato può indicare un passaggio di ricodifica che ha modificato l'envelope di qualità.
Rotazione video rotation: Flag di rotazione di visualizzazione per il flusso video (0°, 90°, 180°, 270°). Scritto dal dispositivo in base al suo orientamento al momento dello scatto. Un valore in disaccordo con l'orientamento visibile può indicare una ricodifica che ha ruotato i pixel senza aggiornare il flag.
Artista audio artist: Tag artista dai metadati del file audio (ID3, Vorbis comment, atom MP4). Auto-dichiarato; utile come indizio sulla catena di custodia ma mai come prova di autorialità.
Album audio album: Tag album dai metadati del file audio. Auto-dichiarato; combinato con anno e numero di traccia, caratterizza la pubblicazione sorgente del file audio.
Anno audio year: Tag anno di pubblicazione dai metadati del file audio. Auto-dichiarato e banalmente modificabile; un disaccordo con il timestamp di modifica può indicare che i metadati sono stati impostati a posteriori.
Avviso di copyright audio copyright: Stringa di copyright dai metadati del file audio. Auto-dichiarata; utile nell'analisi della catena di custodia quando si valida l'editore dichiarato.
Commento audio comment: Campo commento in formato libero dai metadati del file audio. Spesso usato dagli encoder per dichiararsi (ad esempio "Lavf58.76.100"); utile come fingerprint della toolchain.
Frequenza di campionamento audio sampleRate: Frequenza di campionamento del flusso audio in Hertz (ad esempio 44100, 48000). Parametro di scatto; una frequenza inusuale per il formato dichiarato è coerente con un passaggio di ricampionamento nella catena di codifica.
Numero di canali audio channels: Numero di canali audio (1 = mono, 2 = stereo, 6 = 5.1 surround). Parametro di scatto; utile quando si valida che il layout dei canali corrisponda alla configurazione di registrazione sorgente attesa.
Genere audio genre: Tag di genere dai metadati del file audio. Auto-dichiarato e cosmetico; utile come indizio sulla catena di custodia ma mai forensicamente autorevole.
Numero traccia audio trackNumber: Numero della traccia all'interno dell'album, dai metadati del file audio. Auto-dichiarato; combinato con album e anno caratterizza la pubblicazione sorgente.
Encoder audio encoder: Software che ha codificato il file audio (ad esempio "LAME 3.100", "libfdk_aac"). Fingerprint della toolchain; utile quando si valida che l'encoder corrisponda al flusso di produzione atteso.

Documenti Office

Numero revisione Office revision: Numero di volte in cui il documento è stato salvato. Revisione 1 con migliaia di parole (vedi F12) è inusuale per contenuto creato attivamente ed è coerente con un incolla da altra fonte.
Tempo totale di editing Office totalTime: Minuti cumulativi in cui il documento è stato aperto in modalità di editing. Zero minuti con contenuto sostanziale (vedi F11) è coerente con un incolla da fonte esterna o con contenuto plagiato.
Numero parole Office words: Numero di parole tracciato dalla suite Office. Si confronta con il tempo totale di editing e il numero di revisione per valutare se l'impronta di editing sia coerente con il prodotto di lavoro apparente.
Numero paragrafi Office paragraphs: Numero di paragrafi tracciati dalla suite Office. Si confronta con il numero di parole, il tempo totale di editing e il numero di revisione per valutare se l'impronta di editing sia coerente con il prodotto di lavoro apparente.
Office — ultimo modificatore lastModifiedBy: Username dell'account che ha salvato per ultimo il documento, registrato dalla suite Office. Segnale di identità sensibile dal punto di vista privacy; utile nell'analisi della catena di custodia per determinare se l'editor corrisponde all'autore dichiarato.
Office — azienda company: Nome dell'organizzazione configurato sulla macchina di editing, incorporato dalla suite Office al momento del salvataggio. Indizio sulla catena di custodia; il valore può rivelare l'affiliazione dell'editor anche quando il contenuto visibile è anonimizzato.
Office — responsabile manager: Nome del responsabile configurato sulla macchina di editing, incorporato da alcune suite Office nelle proprietà del documento. Raramente popolato; quando presente è un indizio sulla catena di custodia.
Office — data di creazione created: Timestamp registrato dalla suite Office quando il documento è stato creato per la prima volta. Auto-dichiarato; banalmente retrodatabile cambiando l'orologio di sistema. Combinare con il timestamp dell'attestazione ExistBefore per evidenza temporale affidabile.
Office — data di modifica modified: Timestamp dell'ultimo salvataggio nella suite Office. Quando precede la data di creazione (vedi F03), i metadati sono logicamente impossibili e sono stati falsificati o resettati.
Office — nome applicazione application: Nome e versione della suite Office che ha scritto il file (ad esempio "Microsoft Office Word", "LibreOffice/7.6"). Fingerprint della toolchain; utile quando si verifica che il file sia coerente con il flusso di editing dichiarato.
Office — template template: Percorso del template su cui è basato il documento (ad esempio "Normal.dotm"). Spesso lasciato come predefinito; un percorso template personalizzato può rivelare il layout del filesystem dell'editor e l'affiliazione.
Office — stato del contenuto contentStatus: Stato del documento dichiarato dall'autore (ad esempio "Bozza", "Definitivo", "In revisione"). Auto-dichiarato; utile come indizio sul flusso di lavoro ma mai forensicamente autorevole.

C2PA Content Credentials

Validazione C2PA Content Credentials c2paValidation: Risultato della validazione del manifest C2PA Content Credentials incorporato. "Valid" significa che la catena crittografica risulta corretta per questo file. Qualsiasi altro esito (vedi F06) è un segnale negativo più forte rispetto all'assenza totale del manifest.
C2PA — claim generator c2paClaimGenerator: Software che ha prodotto il manifest C2PA Content Credentials (ad esempio "Adobe Photoshop 25.1", "Leica M11-P firmware 2.0"). Fingerprint della toolchain autenticato dalla firma del manifest quando la validazione ha successo.
C2PA — titolo c2paTitle: Titolo dichiarato all'interno del manifest C2PA Content Credentials (distinto dagli altri campi titolo del file). Autenticato dalla firma del manifest quando la validazione ha successo.
C2PA — autore c2paAuthor: Autore o creatore dichiarato all'interno del manifest C2PA Content Credentials. Autenticato dalla firma del manifest quando la validazione ha successo; uno dei segnali di autorialità più forti disponibili per i media digitali.
C2PA — avviso di copyright c2paCopyright: Stringa di copyright dichiarata all'interno del manifest C2PA Content Credentials. Autenticata dalla firma del manifest quando la validazione ha successo; indipendente dai campi copyright EXIF / IPTC / XMP.
C2PA — log delle azioni c2paActions: Elenco delle azioni di editing registrate all'interno del manifest C2PA Content Credentials (ad esempio "c2pa.created", "c2pa.color_adjusted"). Segnale di provenienza autenticato dalla firma del manifest quando la validazione ha successo.
C2PA — emittente del firmatario c2paSignerIssuer: Emittente del certificato X.509 che ha firmato il manifest C2PA Content Credentials. Identifica l'ancora di fiducia per la catena C2PA; utile quando si verifica che il firmatario del file sia nella trust list attesa.
C2PA — data della firma c2paSignatureTime: Timestamp in cui il manifest C2PA Content Credentials è stato firmato. Autenticato dalla firma del manifest quando la validazione ha successo; fornisce evidenza temporale crittograficamente ancorata indipendente dalle date EXIF/XMP/file system.

Forense universale

Header del file (primi 64 byte) rawHeader: Primi 64 byte del file, codificati in esadecimale. Usati per verificare che i byte corrispondano alla firma magic-bytes del tipo MIME dichiarato (vedi F19). Universale fra i tipi di file — estratto al limite del dispatcher indipendentemente dal MIME.

Come le segnalazioni citano le voci del glossario

Le regole Forensic Integrity Findings (F01–F21) — descritte nella guida tecnica — fanno riferimento alle voci del glossario per nome. Ad esempio, F21 ("disaccordo dell'ordine dei byte del dispositivo") cita make ed exifByteOrder. Usate queste ancore quando condividete analisi con collaboratori o nella corrispondenza legale.

Versione inglese: forensic field glossary (EN). Vedere anche: come funziona, panoramica tecnica, FAQ.