安全模块常见问题
存证到底有什么用?能帮我"注册版权"吗?
不能。存证不是版权登记,版权在作品完成时自动产生,不需要注册。
存证的作用是固定时间和文件状态。当你的创作时间或作品完整性被质疑时,存证包能提供密码学层面的证明:"我在 X 时间点之前已经拥有这份完全一致的文件"。
它更像是一份"出生证明",而不是"身份证"。
直接发到社交平台,不是已经有时间记录了吗?
社交平台的时间戳可以被伪造、篡改或擦除,不能作为独立证据使用。
1. 占位编辑攻击
大多数平台(微博、Twitter/X、Pixiv、ArtStation 等)允许编辑已发布的内容,且编辑后发布时间不会回溯。
这意味着攻击者可以:
- 在 2023 年发布一张空白占位图
- 在 2025 年盗用你的作品
- 编辑旧帖子,将占位图替换为你的作品
- 平台显示发布时间仍为 2023 年
对你而言,对方展示了一个"三年前就发布了"的链接,但你无法从外部分辨这是原始发布还是后期编辑替换的。
2. 编辑标记可被隐藏或忽略
部分平台(如 Twitter/X)会在编辑后显示"已编辑"标签,但:
- 标签在截图中可以被裁剪掉
- 不是所有平台都显示编辑历史(微博无公开编辑记录)
- 第三方存档服务(如 Wayback Machine)抓取时通常不保留编辑历史
3. 平台不是你的公证处
| 风险 | 说明 |
|---|---|
| 删帖 | 平台可以随时删除内容,你的"时间证明"直接消失 |
| 封号 | 账号被封后,所有历史发布记录对外不可见 |
| 图片转码 | 平台会自动压缩、改格式、去元数据,导致文件哈希改变 |
| 服务器时间可调 | 平台内部时钟错误、时区混乱、甚至人为调整,都不受你控制 |
| 服务终止 | 平台倒闭(如 Google+、Tumblr 部分区域),记录随之消失 |
4. 账号归属无法证明
- 账号可以买卖、转让、共享
- 账号可以被盗用后发布内容
- 一个身份证可以注册多个账号
"这个账号在 2023 年发了这张图" ≠ "这个账号的实名人在 2023 年原创了这张图"。
存证有什么不同?
| 维度 | 平台发布 | Nephele 数字存证 |
|---|---|---|
| 时间来源 | 平台服务器时钟(单方控制) | 第三方 TSA(RFC 3161,独立机构) |
| 防编辑伪造 | ❌ 编辑后时间不变 | ✅ 哈希绑定原始文件,不可替换 |
| 防删除 | ❌ 平台删帖即消失 | ✅ 存证包在本地,不依赖平台 |
| 完整性 | ❌ 平台压缩/转码破坏文件 | ✅ SHA-256 哈希链,任何字节改动都会破坏验证 |
| 独立性 | ❌ 依赖单一商业实体 | ✅ 多家 TSA 机构背书,与内容平台完全无关 |
注意
平台发布记录最多只能作为辅助证据(证明你在这个平台上有活跃账号),不能作为创作时间和文件完整性的独立证明。存证的价值恰恰在于它与任何平台解耦。
如果小偷先拿了我的作品去存证,他就能证明画是他的吗?
不能,但他可能制造混乱。最终要看谁的时间戳更早 + 谁的证据链更完整。
存证不验证作者身份
Nephele 的存证只记录:"某人在 X 时间点持有某文件的 Y 哈希"。它不验证这个人是不是创作者,也不验证他是不是从别人那里拷贝来的文件。
理论上,任何人都可以拿任何文件去做存证。
为什么小偷的先存证通常站不住脚
1. 时间先后是硬指标
如果你的存证时间戳是 2023-06-01,小偷的是 2024-03-15,那么小偷的存证反而证明他在你之后才获得该文件。时间戳一旦签发,日期无法回溯或伪造(TSA 使用自己的私钥签名,你无法生成过去时间的有效 TSA 令牌)。
2. 源文件是决定性的
小偷通常只有你的成品图(PNG/JPG),而原创作者拥有:
- PSD / CSP / SAI / KRA / Procreate 源文件(含图层、笔迹、撤销历史)
- 过程稿、草图、线稿
- 创作过程录屏或截图
- 更早的存证包(含以上全部)
Nephele 的"完整存证"模式会自动检测源文件并升级报告,明确标注"创作者能提供原始工程文件"。小偷做不到这一点。
3. 交叉证据链
除存证外,你还可以提供:
- 社交媒体的历史发布记录(即使平台时间不可靠,多个平台的交叉记录仍有参考价值)
- 接稿平台的交易记录
- 与客户/编辑的通信记录
- 作品被收录的画集、展览、比赛投稿记录
最坏情况:小偷真的比你早存证怎么办?
如果小偷在你存证之前就拿到了你的源文件(例如你曾把源文件发给过对方,或设备被入侵),并且做了完整存证,这确实是一个棘手的场景。但即便如此:
- 如果你能证明源文件是在你的设备上创作的(如 Photoshop 历史记录、iPad 创作时间线、云服务同步日志),这仍然比单纯的存证更有说服力。
- 如果你能证明对方接触过你的源文件(如邮件发送记录、网盘分享记录),可以直接指向侵权或泄密。
- 存证 + 源文件 + 创作环境证据的组合,远大于单一的存证包。
提示
存证不是"谁存了就是谁的"。它是一份密码学时间锚点,必须放在完整的证据链中才能发挥最大效力。对原创者来说,越早存证越好——不是因为有存证就能赢,而是没有存证会让你在纠纷中极其被动。
存证后修改了文件,还能验证通过吗?
不能。
验证时必须提供存证时的原始文件。任何修改——包括重新导出、改尺寸、加水印、调整压缩质量——都会导致 SHA-256 哈希值改变,验证失败。
这也是为什么要建议源文件和成品一起存证。如果成品需要重新导出,源文件仍然在包内可供验证。
本地时间戳和 TSA 时间戳有多大区别?
| 类型 | 证明力 | 使用场景 |
|---|---|---|
| RFC 3161 TSA | 高,第三方权威机构背书 | 正式维权、商稿交付、参赛投稿 |
| 本地时间戳 | 低,仅证明你的电脑在这个时间有这个文件 | 网络故障时的临时备份 |
如果存证时看到 proof.json 而非 proof.tsa,建议在恢复网络后重新存证一次。本地时间戳不能证明"互联网上的这个页面在这个时间存在",只能作为应急备份。
维权取证的截图只有浏览器首屏,法院会认可吗?
截图只是证据包的一部分。完整的 .nep 证据包同时包含:
- 页面源码(证明内容确实来自该 URL)
- TLS 证书(证明连接的是真实服务器)
- 网络流量日志 HAR(证明图片确实从该域名加载)
- RFC 3161 时间戳(证明取证时间)
如果页面内容很长(如瀑布流),首屏截图确实无法覆盖全部侵权内容,但HTML 源码会完整保存全部内容。对于正式诉讼,建议必要时补充公证处公证。
存证包需要密码保护吗?
看场景:
- 需要分享或上传云盘:建议设置 AES-256 密码保护,防止第三方直接解压查看你的原始作品。
- 仅本地备份:可以不设密码,方便随时验证。
注意:密码丢失后无法恢复包内文件。
存证文件(.nep)丢了怎么办?
很致命,但不算完全无法补救:
- 如果你有
.nep包内的manifest.json或 PDF 报告(单独保存了),里面记录了根哈希和文件清单。 - 但如果你连原始文件也丢了,存证本身就失去了意义——验证必须依赖存证时的原始文件。
建议将 .nep 文件和原始作品分开存放(如本地 NAS + 云盘),形成冗余备份。
存证和取证要配合使用吗?
是的。最佳实践是:
- 作品完成当天 —— 做数字存证,固定原创时间和文件状态。
- 发现侵权后 —— 立即做维权取证,固定侵权页面状态。
- 需要起诉时 —— 将两者打包成证据链(原作存证 + 侵权取证 + 相似性比对报告)。
单独使用其中一项,证明力都会打折扣。