it-swarm.com.de

Wie widerstandsfähig sind Barcodes und QR-Codes gegen Versuche, gespeicherte Daten zu ändern?

Angenommen, wir möchten ein Dokument vor Manipulationen und Fälschungen schützen. Daher codieren wir einige vertrauliche Informationen des Dokuments und speichern sie in einem in das Dokument eingefügten QR-Code.

Können wir sicher sein, dass ein Angreifer die im QR-Code gespeicherten Daten nicht ändern und modifizieren kann? Und wenn es möglich ist, es zu ändern, wie schwierig ist es für einen Angreifer, dies zu tun? Mit anderen Worten, wie sicher ist ein QR-Code?

45
Questioner

... wie sicher ist ein QR-Code?

Daten in einem QR-Code sind durch einige Fehlerkorrekturen gegen versehentliche Beschädigung geschützt, aber sie sind nicht gegen absichtliche Manipulationen geschützt. Außerdem kann ein Angreifer den QR-Code im Dokument vollständig durch einen anderen ersetzen.

112
Steffen Ullrich

QR-Codes sind normalerweise nicht gegen Manipulationen geschützt. Aber:

Sie können ein digitale Signatur in die Daten aufnehmen, damit jeder überprüfen kann, ob der QR-Code von Ihnen erstellt wurde und nicht geändert wurde. Dann kann ein Angreifer nur noch den QR-Code durch einen anderen von Ihnen erstellten QR-Code ersetzen.

Ein solcher Ansatz funktioniert normalerweise folgendermaßen:

  • Auf einem sicheren Server wird ein Schlüsselpaar (öffentlicher Schlüssel und privater Schlüssel) generiert. Der öffentliche Schlüssel kann sicher veröffentlicht werden. Der private Schlüssel verlässt niemals den Server.
  • Wenn ein QR-Code erstellt werden muss, berechnet der Server die digitale Signatur aus den Informationen und dem privaten Schlüssel. Die Informationen werden zusammen mit der digitalen Signatur in einen QR-Code eingegeben.
  • Man erstellt eine App zum Scannen von QR-Codes. Der öffentliche Schlüssel ist in der App enthalten. Ein Algorithmus, der den öffentlichen Schlüssel, die Informationen und die digitale Signatur als Eingabe verwendet, kann prüfen, ob die Daten in einem QR-Code manipuliert wurden oder nicht.

Ich weiß nicht, ob es eine Standard- oder gute Software für digitale Signaturen in QR-Codes gibt.

60
Paul

Ein QR-Code oder Barcode sind nur Daten, die in einem nicht alphabetischen Format geschrieben wurden. Es bietet nicht mehr Sicherheit, als Sie erhalten würden, wenn Sie dieselben Daten in normalen Text schreiben.

45
David Richerby

QR-Codes bieten keinen Schutz vor absichtlichen Änderungen.

Der Schutz von Dokumenten kann je nach Ihrer Absicht auf verschiedene Arten erfolgen. Die Überprüfung des Inhalts kann durch Anhängen einer digitalen Signatur erfolgen. Es muss jedoch eine externe Überprüfung (außerhalb des Bandes) Ihres öffentlichen Schlüssels erfolgen, um zu verhindern, dass der Signaturschlüssel einfach durch den Signaturschlüssel einer anderen Person ersetzt wird. Dies ist bei Code-Downloads üblich, bei denen die Signatur des Codes (Dokuments) über eine Website oder eine andere Out-of-Band-Prüfung verfügbar ist.

Versteckte Wasserzeichen oder andere steganografische Techniken können bei der Validierung eines Dokuments hilfreich sein. Dies hängt jedoch davon ab, dass es nicht erkannt wird, im Gegensatz zu einer strengen kryptografischen Signatur. Es gibt viele Ansätze und ihre Wirksamkeit hängt von der Verteilung und Verwendung ab. Zum Beispiel ein benutzerdefinierter Mikroabstand ausgewählter Wörter oder Buchstaben. Nicht standardmäßige Kreisdiagrammrotationen. Zusätzliche Leerzeichen an ausgewählten Stellen eines digitalen Dokuments. Winzige gelbe Punkte auf weißem Papier eines gedruckten Dokuments. Viele andere, aber eine digitale Signatur ist der Goldstandard.

8
user10216038

Barcodes sind leicht zu manipulieren. Immerhin sind sie nur eine Kodierung für eine Zahl. Einige haben Redundanz, einige haben Prüfsummen, einige haben überhaupt keinen Schutz.

Diese Notizen könnten Ihnen aus einem Vortrag über Barcodes gefallen: Jemandem einen Strich auf die Rechnung machen (deutscher Titel, aber englische Folien).

Der Redner hatte viel Spaß beim Manipulieren verschiedener Arten von Barcodes und erklärte die grundlegendsten Dinge, wie sie funktionieren, wie die Manipulation funktioniert und welche Systeme anfällig sind und welche ausreichend Schutz gegen Personen bieten, die mit den Barcodes herumspielen.

3
allo

Ein QR-Code und Barcodes sind nichts anderes als maschinenlesbare Informationen. Nur weil ein Mensch nicht leicht lesen kann, heißt das nicht, dass es irgendeine Art von Sicherheit ist.

Barcodes werden nicht aus Sicherheitsgründen, sondern aus Gründen der Benutzerfreundlichkeit angebracht. Der Grund, warum QR-Codes (und ähnliche) existieren, ist, dass Sie mehr Daten darin ablegen können. Am Ende sind Daten Daten und solange die Daten selbst nicht sicher sind, ist auch die Darstellung nicht sicher.

2
John Keates

Wenn Sie "Ändern des gedruckten Barcodes und des QR-Codes" meinen, ist dies ziemlich schwierig, da der Barcode normalerweise nicht mehr funktioniert, wenn er geändert wird, und der QR-Code eine Art "Fehlerkorrektur" aufweist und daher durch kleine Manipulationen überlebt. Es ist praktisch unmöglich, einen QR-Code in einen anderen beliebigen Code umzuwandeln.

Aber es ist einfach zu dumm, ein vorhandenes zu ändern. Sie können einige Aufkleber eines böswilligen QR/Balkens drucken und direkt über Ihr Ziel kleben. Es gibt bereits mehrere Fälle, in denen ein Dieb Geld aus Geschäften "stiehlt", indem er seinen "Empfänger-QR-Code" ersetzt (mit einem Aufkleber versehen), den die Leute scannen, um Geld zu bezahlen. Zum Beispiel hier ist eine echte Neuigkeit, die vor einiger Zeit passiert ist.

1
iBug