Supongamos que queremos proteger un documento contra la manipulación y la falsificación. Por lo tanto, codificamos cierta información confidencial del documento y la almacenamos en un código QR insertado en el documento.
¿Podemos estar seguros de que un atacante no puede cambiar y modificar los datos almacenados en el código QR? Y si es posible modificarlo, ¿qué tan difícil es para un atacante hacerlo? En otras palabras, ¿qué tan seguro es un código QR?
... ¿qué tan seguro es un código QR?
Los datos en un código QR están protegidos contra daños accidentales al tener corrección de errores pero no están protegidos contra la manipulación deliberada. Además, un atacante podría reemplazar completamente el código QR en el documento con otro diferente.
Los códigos QR normalmente no están protegidos contra manipulación. Pero:
Puede incluir una firma digital en los datos para que cualquier persona pueda verificar si el código QR está hecho por usted y tiene no ha sido modificado. Entonces, lo único que puede hacer un atacante es reemplazar el código QR por otro código QR que hayas creado.
Este tipo de enfoque normalmente funcionará así:
No sé si existe algún software estándar o bueno para firmas digitales en los códigos QR.
Un código QR o código de barras son solo datos escritos en un formato no alfabético. No ofrece más seguridad de la que obtendría al escribir los mismos datos en texto normal.
Los códigos QR no proporcionan protección contra modificaciones intencionales.
La protección de documentos se puede abordar de varias maneras según su intención. La verificación del contenido se puede realizar adjuntando una firma digital, pero tiene que haber una verificación externa (fuera de banda) de su clave pública para evitar simplemente reemplazar la clave de firma con la clave de firma de otra persona. Esto es común en las descargas de código donde la firma del código (documento) está disponible a través de un sitio web u otro control fuera de banda.
Las marcas de agua ocultas u otras técnicas esteganográficas pueden ayudar a validar un documento, pero depende de que no se detecte en lugar de una firma criptográfica rigurosa. Hay muchos enfoques y su efectividad depende de la distribución y el uso. Por ejemplo, micro espaciado personalizado de palabras o letras seleccionadas. Rotaciones de gráficos circulares no estándar. Espacios extra en ubicaciones seleccionadas de un documento digital. Diminutos puntos amarillos sobre papel blanco de un documento impreso. Muchos otros, pero una firma digital es el estándar de oro.
Los códigos de barras son fáciles de manipular. Después de todo, son solo una codificación para un número. Algunos tienen redundancia, otros tienen sumas de comprobación, otros no tienen ninguna protección.
Puede que te gusten estas notas de una charla sobre códigos de barras: Jemandem einen Strich auf die Rechnung machen (título alemán , pero diapositivas en inglés).
El orador se divirtió mucho al manipular diferentes tipos de códigos de barras y explica las cosas más básicas cómo funcionan, cómo funciona la manipulación y qué sistemas eran vulnerables y cuáles tenían suficiente protección contra las personas que se metían con los códigos de barras.
Un código QR y códigos de barras no son más que información legible por máquina. El hecho de que un humano no pueda leerlo fácilmente no significa que sea un tipo de seguridad.
Los códigos de barras no se ponen en cosas por seguridad, sino por facilidad de uso. La razón por la que existen los códigos QR (y otros similares) es porque puedes poner más datos en ellos. Al final, los datos son datos y mientras los datos en sí no sean seguros, tampoco lo es la representación.
Si te refieres a "modificar el código de barras impreso y el código QR", entonces es bastante difícil porque el código de barras generalmente deja de funcionar si se modifica, y el código QR tiene algún tipo de "corrección de errores" y, por lo tanto, sobrevive a través de pequeñas manipulaciones. Es prácticamente imposible modificar un código QR en otro arbitrario.
Pero es demasiado tonto modificar uno existente. Puede imprimir algunas pegatinas de un QR / barra malintencionado y pegarlo directamente sobre su objetivo. Ya hay varios casos en los que un ladrón "roba" dinero de las tiendas al reemplazar (pegando una etiqueta adhesiva sobre) su "código QR del destinatario" que la gente escanea para pagar. Por ejemplo, here 'sa Las noticias reales sucedieron hace algún tiempo.