Criminal investigations often involve images that can provide important clues or serve as evidence in court. To validate the authenticity of an image and identify its source, a broad range of image forensic tools has been developed. For recent years, the most powerful of these tools have been based on machine learning. However, concerns about the reliability, security, and opacity of machine learning raise the question of whether such tools can be used in criminal investigations.

This thesis explores the practical applicability of machine learning in image forensics mainly from a technical but also from legal perspective. From a technical perspective, a major challenge behind machine learning tools is their sensitivity to training-test mismatches. To mitigate this issue, we propose the use of Bayesian detectors. While traditional detectors faced with unfamiliar inputs tend to fail silently, Bayesian detectors communicate the uncertainty in their prediction to the forensic analyst. Based on this predictive uncertainty, the forensic analyst can quantify how much to trust in the prediction. We demonstrate the benefits of Bayesian detectors using three popular forensic tasks. First, we study Bayesian linear regression for estimating the scale factor from rescaled images. Bayesian linear regression achieves comparable performance to other methods, and the predictive uncertainty additionally enables detecting images with unknown scale factors and unseen post-processing. Second, we study Bayesian logistic regression for the task of detecting JPEG double compression. The detector achieves high classification accuracy for known JPEG settings. Simultaneously, the predictive uncertainty exposes several pathological failure cases including training-test mismatches in quantization tables and in the JPEG encoder implementation. Third, we study Gaussian processes for the task of camera model identification. Many previous methods assume that an image under analysis originates from a given set of known camera models, but in practice a photo can also come from an unknown camera model. To avoid misclassifications, Gaussian processes provide a rejection mechanism through their probabilistic predictions. We demonstrate that a Gaussian process classifier achieves high classification accuracy for known cameras and provides reliable uncertainty estimates for unknown cameras.

Another issue from a technical perspective is the vulnerability of machine learning to adversarial attacks. To harden forensic detectors against evasion attacks, previous work proposed to combine multiple classifiers to the one-and-a-half-class~(1.5C) classifier. To study its security in the white-box scenario, we propose a novel attack that requires only little image distortion. Our security analysis reveals three subtle pitfalls that undermine the security of the 1.5C classifier. We demonstrate that replacing the final component of the 1.5C classifier overcomes these pitfalls and achieves greater robustness.

From a legal perspective, the recently proposed Artificial Intelligence Act classifies the use of machine learning in law enforcement as high risk. Machine learning tools for high-risk applications are permitted but must meet mandatory requirements. We summarize these requirements and discuss their alignment with recent research on the two forensic applications of license plate recognition and deep fake detection. Our discussion highlights the key challenges and directions for future work towards legal compliance with the Artificial Intelligence Act.

Bei strafrechtlichen Ermittlungen kommen häufig Bilder vor, die wichtige Hinweise liefern oder vor Gericht als Beweismittel dienen können. Um die Authentizität eines Bildes zu überprüfen und dessen Quelle zu identifizieren, wurde ein breites Spektrum an forensischen Werkzeugen für Bilder entwickelt. Seit einigen Jahren basieren die leistungsfähigsten dieser Werkzeuge auf maschinellem Lernen. Allerdings werfen Bedenken hinsichtlich der Zuverlässigkeit, der Sicherheit und der Undurchsichtigkeit von maschinellen Lernmethoden die Frage auf, ob solche Werkzeuge bei strafrechtlichen Ermittlungen eingesetzt werden können.

In dieser Arbeit wird die praktische Anwendbarkeit der lernbasierten Bildforensik hauptsächlich aus technischer, aber auch aus rechtlicher Sicht untersucht. Aus technischer Sicht besteht eine der größten Herausforderungen bei maschinellen Lernmethoden in ihrer Fehleranfälligkeit, wenn die Testbilder von den Trainingsdaten abweichen. Um dieses Problem anzugehen, schlagen wir die Verwendung von Bayesschen Detektoren vor. Während traditionelle Detektoren bei unbekannten Eingaben dazu neigen, stillschweigend zu versagen, teilen Bayessche Detektoren dem forensischen Analysten ihre Vorhersageunsicherheit mit. Mithilfe der Vorhersageunsicherheit kann der Analyst abschätzen, inwieweit man der Vorhersage vertrauen kann. Wir demonstrieren die Vorteile von Bayesschen Detektoren anhand von drei beliebten forensischen Aufgaben. Zunächst untersuchen wir Bayessche lineare Regression zur Schätzung des Skalierungsfaktors von skalierten Bildern. Die Bayessche lineare Regression erreicht eine vergleichbare Genauigkeit wie andere Methoden, wobei die Vorhersageunsicherheit zusätzlich die Erkennung von Bildern mit unbekannten Skalierungsfaktoren und unbekannter Nachbearbeitung ermöglicht. Zweitens untersuchen wir Bayessche logistische Regression zur Erkennung von JPEG-Doppelkompression. Der Detektor erreicht eine hohe Genauigkeit für bekannte JPEG-Einstellungen. Gleichzeitig deckt die Vorhersageunsicherheit mehrere pathologische Fehlerfälle auf, einschließlich Abweichungen zwischen Trainings- und Testdaten in deren Quantisierungstabellen und in der JPEG-Implementierung. Drittens untersuchen wir Gaußprozesse für die Aufgabe der Kameramodellidentifikation. Viele bisherige Methoden gehen davon aus, dass ein zu analysierendes Bild aus einer Menge von bekannten Kameramodelle stammt, aber in der Praxis kann ein Foto auch von einem unbekannten Kameramodell aufgenommen worden sein. Um Fehlklassifizierungen zu vermeiden, bieten Gaußprozesse durch ihre probabilistischen Vorhersagen einen Ablehnungsmechanismus. Wir zeigen, dass ein Klassifikator basierend auf Gaußprozessen eine hohe Klassifizierungsgenauigkeit für bekannte Kameramodelle erreicht und zuverlässige Unsicherheitsschätzungen für unbekannte Kameramodelle liefert.

Ein zweites Problem aus technischer Sicht ist die Anfälligkeit des maschinellen Lernens gegenüber Angriffen. Um forensische Detektoren widerstandsfähiger gegen Umgehungsangriffe zu machen, kombinierte eine Vorarbeit mehrere Klassifikatoren zum sogenannten Eineinhalb-Klassen-Klassifikator (1.5C-Klassifikator). Um dessen Sicherheit im Fall eines allwissenden Angreifers zu untersuchen, schlagen wir einen neuartigen Angriff vor, der nur geringe Bildveränderungen erfordert. Unsere Sicherheitsanalyse zeigt drei subtile Fallstricke auf, welche die Sicherheit des 1.5C-Klassifikators untergraben. Wir zeigen, dass das Ersetzen der letzten Komponente des 1.5C-Klassifikators diese Fallstricke überwindet und größere Robustheit erreicht.

Aus rechtlicher Sicht stuft das kürzlich vorgeschlagene Gesetz über künstliche Intelligenz~(KI) den Einsatz von maschinellem Lernen in der Strafverfolgung als hochriskant ein. Auf maschinellem Lernen basierende Methoden dürfen in Hochrisikoanwendungen eingesetzt werden, müssen dafür aber verbindliche Anforderungen erfüllen. Wir fassen diese Anforderungen zusammen und erörtern ihre Übereinstimmung mit jüngsten Forschungsarbeiten zu zwei forensischen Anwendungen, nämlich die Erkennung von Nummernschildern und die Erkennung von Deepfakes. Unsere Diskussion zeigt die wichtigsten Herausforderungen und Richtungen auf für künftige Forschungsarbeiten zur Erfüllung der Anforderungen aus dem KI-Gesetz.