Supponiamo di voler proteggere un documento contro la manipolazione e la falsificazione. Pertanto, codifichiamo alcune informazioni sensibili del documento e le memorizziamo in un codice QR inserito nel documento.
Possiamo essere sicuri che un utente malintenzionato non sia in grado di modificare e modificare i dati memorizzati nel codice QR? E se è possibile modificarlo, quanto è difficile per un attaccante farlo? In altre parole, quanto è sicuro un codice QR?
... how secure is a QR-code?
I dati in un codice QR sono protetti contro i danni accidentali avendo qualche correzione degli errori ma non sono protetti da manipolazioni intenzionali. Inoltre, un utente malintenzionato potrebbe sostituire completamente il codice QR nel documento con uno diverso.
I codici QR non sono normalmente protetti dalla manipolazione. Ma:
Potresti includere una firma digitale nei dati in modo che chiunque possa verificare se il codice QR è stato creato da te e ha non è stato modificato. Quindi l'unica cosa che un intruso può fare è sostituire il codice QR con un altro codice QR che hai creato.
Un approccio di questo tipo generalmente funziona in questo modo:
Non so se esiste un software standard o buono esistente per le firme digitali nei codici QR.
Un codice QR o un codice a barre sono solo dati scritti in un formato non alfabetico. Non offre più sicurezza di quanto potresti ottenere scrivendo gli stessi dati nel testo normale.
I codici QR non forniscono alcuna protezione contro le modifiche intenzionali.
La protezione dei documenti può essere affrontata in vari modi a seconda delle tue intenzioni. La verifica del contenuto può essere effettuata allegando una firma digitale, ma deve esserci una verifica esterna (fuori banda) della chiave pubblica per impedire semplicemente la sostituzione della chiave di firma con la chiave di firma di qualcun altro. Questo è comune nei download di codice in cui la firma del codice (documento) è disponibile tramite un sito Web o altro controllo fuori banda.
Filigrane nascoste o altre tecniche steganografiche possono aiutare a convalidare un documento, ma dipende dal fatto di non essere rilevato in contrasto con una firma crittografica rigorosa. Esistono molti approcci e la loro efficacia dipende dalla distribuzione e dall'uso. Ad esempio, micro spaziatura personalizzata di parole o lettere selezionate. Rotazioni del grafico a torta non standard. Spazi aggiuntivi in posizioni selezionate di un documento digitale. Piccoli punti gialli su carta bianca di un documento stampato. Molti altri, ma una firma digitale è il gold standard.
I codici a barre sono facili da manipolare. Dopo tutto, sono solo una codifica per un numero. Alcuni hanno ridondanza, alcuni hanno checksum, altri non hanno alcuna protezione.
Potresti apprezzare queste note di un discorso sui codici a barre: Jemandem einen Strich auf die Rechnung machen (titolo tedesco , ma diapositive in inglese).
L'oratore si è divertito molto manipolando diversi tipi di codici a barre e spiega le cose basilari su come funzionano, come funziona la manipolazione e quali sistemi erano vulnerabili e quali hanno una protezione sufficiente contro chi fa scherzi con i codici a barre.
Un codice QR e codici a barre non sono altro che informazioni leggibili dalla macchina. Solo perché un essere umano non può leggerlo facilmente non significa che sia un tipo di sicurezza.
I codici a barre non sono messi su cose per sicurezza, ma per facilità d'uso. Il motivo per cui i codici QR (e altri simili) esistono è perché puoi inserire più dati al suo interno. Alla fine, i dati sono dati e fintanto che i dati stessi non sono sicuri, nemmeno la rappresentazione.
Se intendi "modificare il codice a barre stampato e il codice QR", è piuttosto difficile perché il codice a barre di solito smette di funzionare se modificato e il codice QR ha una sorta di "correzione degli errori" e quindi sopravvive con piccole manomissioni. È praticamente impossibile modificare un codice QR in un altro arbitrario.
Ma è troppo stupido per modificare uno esistente. Puoi stampare alcuni adesivi di un QR / bar malizioso e incollarlo direttamente sul tuo obiettivo. Ci sono già diversi casi in cui un ladro "ruba" i soldi dai negozi sostituendo (facendo aderire un adesivo) il loro "codice QR destinatario" che le persone scansionano per pagare denaro. Ad esempio, qui 'sa notizie vere sono accadute qualche tempo fa.