Öffentlicher Verifier

Prüfen Sie es selbst.

Sie müssen uns nicht glauben. Adjudon signiert Provenance-Manifeste kryptografisch nach dem C2PA-Standard (Content Credentials). Fügen Sie ein Manifest ein und prüfen Sie hier, ob die Signatur gültig, widerrufen oder ungültig ist.

Ohne Login, ohne Konto. Ihre Eingabe wird nicht gespeichert.

Beleg prüfen

Fügen Sie ein C2PA-Provenance-Manifest als JSON ein oder geben Sie eine Manifest-ID an. Der Verifier prüft die Signatur und gibt eines von vier Ergebnissen zurück. Ohne Anmeldung.

Ohne Login, ohne Konto. Ihre Eingabe wird nicht gespeichert. Das Tool prüft ausschließlich C2PA-Provenance-Manifeste, keine internen Trace-IDs.

Audit-Bundles offline prüfen (Datei-Vollständigkeit gegen das Manifest) folgt mit dem quelloffenen Verifier. Heute prüft dieses Tool C2PA-Manifeste.

Was die vier Ergebnisse bedeuten

Der Verifier gibt genau einen dieser vier Zustände zurück.

Gültig
Die kryptografische Signatur stimmt, das Manifest liegt unverändert vor.
Widerrufen
Die Signatur ist gültig, aber das Manifest wurde zurückgezogen.
Ungültig
Die Signaturprüfung schlägt fehl. Behandeln Sie die Herkunft als unbestätigt.
Unbekannt
Kein passendes Manifest gefunden oder nicht prüfbar. Bewusst nicht weiter aufgeschlüsselt, damit sich keine IDs durchprobieren lassen.
Noch nicht aktiv · in Entwicklung

Hash-Ketten-Integrität, Witness-Bestätigung über ein Transparenzlog und qualifizierte Zeitstempel (eIDAS) sind vorbereitet. Diese Prüfungen erscheinen erst, wenn der Tessera-Knoten live ist und der D-Trust-Vertrag steht. Vorher behaupten wir sie nicht.

Wie die Prüfung funktioniert

Adjudon protokolliert jede Entscheidung in einer Hash-Kette: Jeder Eintrag enthält den SHA-256-Hash des vorherigen, vorwärts verkettet. Ein nachträglich geänderter Eintrag bricht die Kette ab diesem Punkt, sichtbar bei der Nachrechnung.

Provenance-Manifeste signiert Adjudon mit ECDSA P-256 (ES256) über das nach RFC 8785 kanonisierte Claim. Der Verifier rekonstruiert dieses Claim und prüft die Signatur. Dieselbe Rechnung können Sie mit fremdem Code wiederholen.

Mehr zur Methodik (in Aufbau): Hash-Kette, Audit-Trail.

Was dieses Ergebnis bedeutet, und was nicht

Ein gültiges Ergebnis bestätigt die Signatur eines Provenance-Manifests. Es bestätigt nicht den Inhalt der KI-Entscheidung selbst. Ein Manifest kann technisch einwandfrei signiert sein und trotzdem eine fragwürdige Entscheidung dokumentieren.

Die Integrität der org-internen Hash-Kette prüfen Sie hier nicht. Diese Daten gehören jeweils einer Organisation und verlassen sie nicht. Die Kettenprüfung läuft im Produkt, mit Login, nicht öffentlich.

Audit-grade heißt bei uns: kryptografisch verkettet und deterministisch nachrechenbar. Eine nachträgliche Änderung bricht die Folge und wird bei der Prüfung sichtbar. Es heißt nicht gerichtsfest. Die Bewertung nach § 371a Abs. 3 ZPO ist Sache eines anwaltlichen Gutachtens, bei Hogan Lovells beauftragt, noch nicht erteilt. Solange das offen ist, formulieren wir keine Garantie.

Mit fremdem Code prüfen

Am besten prüfen Sie mit Code, den nicht wir geschrieben haben. Der quelloffene Offline-Verifier liegt unter Apache-2.0 offen, Sie können ihn lesen. Voll funktionsfähig ist er noch nicht: heute ein Scaffold, die kryptografische Prüfung kommt.

Im Produkt steht eingeloggten Nutzern dafür ein Verify-Endpunkt zur Verfügung; darüber lässt sich die org-interne Hash-Kette selbst nachrechnen. Die öffentliche, offline durchführbare Prüfung folgt mit dem Verifier und dem Transparenzlog.

Hintergrund (in Aufbau): Replay-Verifier, Sigstore-Evidenz.