Im Nachgang zur Xerox-Saga und meinem 31C3-Vortrag überarbeitet das Bundesamt für Sicherheit in der Informationstechnik seine Richtlinie zum „Ersetzenden Scannen“ (= Rechtssicheres Scannen von Dokumenten unter Vernichtung der Originale). Vorab ist gestern einer der Kernpunkte der Überarbeitung auf der RESISCAN-Webseite des BSI erschienen. Ich zitiere:

Bei der Umsetzung der TR-RESISCAN ist hinsichtlich der Auswahl geeigneter Kompressionsverfahren folgende Regelung zu beachten:

• Beim Scannen MUSS auf die Auswahl geeigneter Bildkompressionsverfahren geachtet werden.
• Als grundsätzlich geeignet werden sowohl verlustfreie als auch verlustbehaftete Verfahren angesehen.
• Verfahren, die zur Bildkompression die sog. „Pattern Matching & Substitution“ - Vorgehensweise nutzen, DÜRFEN NICHT eingesetzt werden. Auch das verwandte „Soft Pattern Matching“ DARF NICHT eingesetzt werden.

[…] Diese Regelung ist ab sofort (16.03.2015) gültig und wird mit dem nächsten Release in die Technische Richtlinie BSI TR-03138 aufgenommen.

Pattern Matching & Substitution ist die Standardvorgehensweise bei lossy JBIG2, und Soft Pattern Matching die bei lossless JBIG2 (Infos hier oder in den Veröffentlichungen von Paul Howard et al.¹⁾). Es werden also sowohl die verlustfreie, als auch die verlustbehaftete Variante des verbreiteten JBIG2-Formats „verboten“. Im JBIG2-Standard heißt das ganze „Symbol Matching“.

Den ein oder anderen Leser mag es überraschen, dass auch Seiten, die mit lossless JBIG2 komprimiert wurden, nun plötzlich nicht mehr rechtssicher sein sollen. Immerhin ist es doch schon etwas wert, wenn mittels lossless JBIG2 sichergestellt ist, dass sich die Bilddaten nicht verändern. Die Krux liegt hier in der rechtlichen Praxis:

Weiter lesen...

Die folgenden Informationen sind auch in den Originalartikel eingepflegt, damit ihr alles auf einen Blick habt.

Der Gedanke einer zu hart eingestellten Bildkompression und der Wiederverwendung einzelner Bild-Patches scheint so falsch nicht gewesen zu sein. Aus mehreren Zuschriften geht die Mutmaßung hervor, dass in den Geräten für PDF-Scans die JBIG2-Kompression für Bilddaten zum Einsatz kommt. Diese erzeugen ein Wörterbuch an ähnlichen Bild-Kacheln (Patches), die dann nach Bedarf mehrfach verwendet werden, solange der dadurch produzierte Fehler nicht zu groß wird. Ich finde das sehr plausibel.

Das würde auch erklären, warum der Fehler primär auftritt, wenn man Text am Rande der lesbaren Auflösung scannt. Dann liegt man größenmäßig in der Nähe der verwendeten Patches, und ganze Buchstabenblöcke werden sauber ausgeschnitten und vertauscht, so wie oben. Statische Strukturen wie Linien um die Buchstaben sind dann sogar hilfreich, und so kommen dann auch so sauber ausgetauschte Quadratmeterzahlen zustande.

Es sieht nun so aus, als wäre JBIG2 im vorliegenden Fall vom Hersteller zu radikal eingestellt, bzw. eine zu große Patchgröße gewählt. Eine Patchgröße zu wählen, in der ganze, lesbare Zeichen unterbringbar sind, wäre extrem fahrlässig. Es würde auch ein Licht darauf werfen, wie die Geräte getestet worden sind – denn gerade der Einfall, bei Einsatz eines solchen Kompressionsverfahrens schlecht aufgelöste Zeichen auf Abweichungen zu testen, drängt sich eigentlich geradezu auf. Man darf also gespannt sein, wann Xerox sich äußert – auf jeden Fall danke erstmal, dass ihr die Sache so verbreitet, ich finde das sehr nützlich. Macht weiter so! Und ich freue mich in jedem Fall über weitere, hilfreiche Zuschriften.

Update: Kommt grad per Mail rein – Danke, Boris!