Frage:
Wie widerstandsfähig sind Barcodes und QR-Codes gegen Versuche, gespeicherte Daten zu ändern?
Questioner
2018-09-23 20:40:47 UTC
view on stackexchange narkive permalink

Angenommen, wir möchten ein Dokument vor Manipulationen und Fälschungen schützen. Daher codieren wir einige vertrauliche Informationen des Dokuments und speichern sie in einem in das Dokument eingefügten QR-Code.

Können wir sicher sein, dass ein Angreifer die im QR gespeicherten Daten nicht ändern und modifizieren kann? -Code? Und wenn es möglich ist, es zu ändern, wie schwierig ist es für einen Angreifer, dies zu tun? Mit anderen Worten, wie sicher ist ein QR-Code?

UPC ist geringfügig vor versehentlicher oder vorsätzlicher Korruption geschützt.Die erste und zweite Hälfte des Strichcodes haben die in der Codierung invertierte Bedeutung von Schwarz / Weiß.Und die letzte Ziffer ist eine Prüfsumme, die aus den restlichen Ziffern im Code berechnet wird.Dies schützt jedoch nicht davor, dass jemand einen Aufkleber über den Barcode eines Produkts klebt.
Um den @nbering's-Punkt wiederzugeben, wird das vollständige Ersetzen des Barcodes häufig von Ladendieben im Supermarkt durchgeführt, indem ein Barcode verwendet wird, der zu einem Artikel mit geringerem Geldwert gehört, und in der Hoffnung, dass der Kassierer die Preis- / Beschreibungsinformationen nicht überprüft.Das Vorhandensein eines Barcodes, eines QR-Codes oder anderer "Validierungs" -Daten ist wertlos, es sei denn, Sie überprüfen die Daten tatsächlich und vollständig.
Dies wird auch häufig von Ladenbesitzern durchgeführt, wenn ein erhaltener Barcode anders ist oder im Widerspruch zu ihrem Inventarsystem steht.Macht es noch einfacher auszunutzen.Ich erinnere mich an einen Fall, in dem ein Teenager iPod-Barcodes für einen Artikel im Wert von 299,99 USD durch ein iPod-Zubehör für 29,99 USD ersetzte.Er würde dann eine junge Kassiererin auswählen und mit ihr flirten, während sie den Verkauf anrief, damit sie die Diskrepanz nicht bemerkte.Klassisches Social Engineering gemischt mit einem technischen Exploit.
Es ist möglicherweise sinnvoller, eine neue Frage zu stellen, wie Sie die Manipulation und Fälschung von Dokumenten verhindern können, als eine tangentiale Frage zu einer Idee zu stellen, die Sie dazu benötigen.Geben Sie an, warum, wie motiviert Sie dazu sind und was Sie unter Dokumenten verstehen. Ich habe Ideen, wie ich es mit physischen Dokumenten machen würde, aber ich bin mir ziemlich sicher, dass der Saft den Druck nicht wert ist.
Sieben antworten:
Steffen Ullrich
2018-09-23 20:54:21 UTC
view on stackexchange narkive permalink

... wie sicher ist ein QR-Code?

Daten in einem QR-Code sind durch eine Fehlerkorrektur vor versehentlichem Schaden geschützt a> aber sie sind nicht vor absichtlicher Manipulation geschützt. Außerdem kann ein Angreifer den QR-Code im Dokument vollständig durch einen anderen ersetzen.

Genau.Um sensible Daten in einem Dokument zu schützen, müssen wir die spezifischen Risiken durch geeignete Minderungsmaßnahmen angehen.Ein 2d (oder 1d) Barcode ist nur eine Datencodierung in einem Format, das für die Erkennung und Analyse digitaler Sensoren besser geeignet ist.Wenn wir uns auf einen QR-Code verlassen, um vertrauliche Daten zu verbergen, verwenden wir Dunkelheit, um unsere Daten zu schützen.Dunkelheit gilt nur als eine von vielen Techniken in einer Strategie zur Risikominderung - an sich ist Dunkelheit meist wertlos.Schützen Sie Daten vor offenkundiger böswilliger Manipulation. Sie müssen einen Hash / eine Prüfsumme / eine digitale Signatur berücksichtigen.
Ich frage mich, ob es jemals jemandem gelungen ist, QR-Codes auf öffentlichen Werbetafeln zu zerstören, indem er einige Pixel mit schwarzen und weißen Markierungen geändert hat, sodass der Code weiterhin gültig ist, aber auf eine andere Website verweist.
@Philipp: Warum sollte ein vorhandener Code schmerzhaft geändert werden, wenn Sie ihn nur vollständig ersetzen können?/ 2080841 / Rise-QR-Code-Betrug-China-Puts-Online-Zahlungssicherheit): * "... Durch Ersetzen des ursprünglichen QR-Codes zum Entsperren des Fahrrads durch einen gefälschten konnten sie Benutzer betrügenihr Geld auf ihre eigenen Bankkonten zu überweisen .... "*.
Paul
2018-09-24 02:14:12 UTC
view on stackexchange narkive permalink

QR-Codes sind normalerweise nicht gegen Manipulationen geschützt. Aber:

Sie könnten eine digitale Signatur in die Daten aufnehmen, damit jeder überprüfen kann, ob der QR-Code von Ihnen erstellt wurde und nicht geändert wurde. Dann kann ein Angreifer den QR-Code nur durch einen anderen von Ihnen erstellten QR-Code ersetzen.

Ein solcher Ansatz funktioniert normalerweise folgendermaßen:

  • Auf einem sicheren Server wird ein Schlüsselpaar (öffentlicher Schlüssel und privater Schlüssel) generiert. Der öffentliche Schlüssel kann sicher veröffentlicht werden. Der private Schlüssel verlässt den Server nie.
  • Wenn ein QR-Code erstellt werden muss, berechnet der Server die digitale Signatur aus den Informationen und dem privaten Schlüssel. Die Informationen werden zusammen mit der digitalen Signatur in einen QR-Code eingefügt.
  • Man erstellt eine App zum Scannen von QR-Codes. Der öffentliche Schlüssel ist in der App enthalten. Ein Algorithmus, der den öffentlichen Schlüssel, die Informationen und die digitale Signatur als Eingabe verwendet, kann prüfen, ob die Daten in einem QR-Code manipuliert wurden oder nicht.

Ich weiß nicht, ob dies der Fall ist ist eine Standard- oder gute vorhandene Software für digitale Signaturen in QR-Codes.

Ein QR-Code, der die digitale Signatur des enthaltenen Dokuments codiert, ist möglicherweise möglich, es gibt jedoch keine offiziellen Standards.(Sie müssen sicherstellen, dass die QR-Signatur das gesamte Dokument mit Ausnahme des QR-Codes selbst schützt, um ein Henne-Ei-Problem zu vermeiden. Dies erfordert eine klare Definition dessen, was genau geschützt ist.)
@MSalters, Ich habe diese Antwort (und Frage) gelesen, da der QR-Code nur sich selbst schützt, nicht den Inhalt des restlichen Dokuments.Der Rest des Dokuments wird vermutlich gedruckt und nicht elektronisch, sodass es nicht durch Prüfsummen, Unterschriften oder ähnliches geschützt wird.
Ich denke, die Idee wäre wahrscheinlich, einige Informationen wie "Version xy, veröffentlicht in zzzz" mit dem Schlüssel zu kodieren, damit jemand die Versionstabelle im Dokument mit der Version abgleichen kann, die den Versionsverlauf enthält.Dies funktioniert jedoch nicht mit einem einfachen privaten Schlüssel, da Sie den Schlüssel problemlos vom Server mit Ihrem eigenen Schlüssel wechseln können. Sie müssten zwei Datenabschnitte in QRCode eingeben: ein Zertifikat (wie SSL), das Sie mit einem vergleichen könnenvertrauenswürdige Wurzel und die verschlüsselten Daten.Und dafür müssten Sie eine kleine spezifische Anwendung schreiben.
Die einzige Möglichkeit, einen QR sinnvoll zu authentifizieren, wäre, wenn man wissen würde, * ohne auf irgendetwas im Code selbst verweisen zu müssen *, wer ihn ausgestellt haben soll, oder wenn nur eine kleine Anzahl von Entitäten * alle* von denen vertrauenswürdig sind, dürfen "authentifizierte" Codes ausgeben.Beides ist für die meisten QR-Nutzungsszenarien nicht praktikabel.
David Richerby
2018-09-24 22:11:32 UTC
view on stackexchange narkive permalink

Ein QR-Code oder Barcode sind nur Daten, die in einem nicht alphabetischen Format geschrieben wurden. Es bietet nicht mehr Sicherheit, als Sie erhalten würden, wenn Sie dieselben Daten in normalen Text schreiben.

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (https://chat.stackexchange.com/rooms/83622/discussion-on-answer-by-david-richerby-how-resistant-are-barcodes-and-qr-codes-ein).
user10216038
2018-09-24 03:41:27 UTC
view on stackexchange narkive permalink

QR-Codes bieten keinen Schutz vor absichtlichen Änderungen.

Der Dokumentenschutz kann je nach Ihrer Absicht auf verschiedene Arten erfolgen. Die Überprüfung des Inhalts kann durch Anhängen einer digitalen Signatur erfolgen. Es muss jedoch eine externe (außerhalb des Bandes) Überprüfung Ihres öffentlichen Schlüssels erfolgen, um zu verhindern, dass der Signaturschlüssel einfach durch den Signaturschlüssel einer anderen Person ersetzt wird. Dies ist bei Code-Downloads üblich, bei denen die Signatur des Codes (Dokuments) über eine Website oder eine andere Out-of-Band-Prüfung verfügbar ist.

Versteckte Wasserzeichen oder andere steganografische Techniken können bei der Validierung eines Dokuments hilfreich sein, hängen jedoch davon ab im Gegensatz zu einer strengen kryptografischen Signatur nicht erkannt werden. Es gibt viele Ansätze und ihre Wirksamkeit hängt von der Verteilung und Verwendung ab. Zum Beispiel ein benutzerdefinierter Mikroabstand ausgewählter Wörter oder Buchstaben. Nicht standardmäßige Kreisdiagrammrotationen. Zusätzliche Leerzeichen an ausgewählten Stellen eines digitalen Dokuments. Winzige gelbe Punkte auf weißem Papier eines gedruckten Dokuments. Viele andere, aber eine digitale Signatur ist der Goldstandard.

"> QR-Codes bieten keinen Schutz vor absichtlichen Änderungen." Nicht ganz richtig.Der QR-Code ist redundant, sodass Sie ihn bis zu einem gewissen Grad manipulieren können, ohne dass sich der Wert ändert.
@RJFalconer Fairer Punkt, aber es scheint klar zu sein, dass die Antwort "keinen Schutz vor absichtlichen Änderungen durch jemanden bedeutet, der weiß, wie man einen QR-Code schreibt".Schließlich könnte man argumentieren, dass Englisch auch eine Menge Redudnancy hat, so dass Sie damit bis zu einem kleinen Betrag manipulieren können und es den Wert nicht wesentlich verändert.
allo
2018-09-25 14:50:20 UTC
view on stackexchange narkive permalink

Barcodes sind leicht zu manipulieren. Immerhin sind sie nur eine Kodierung für eine Zahl. Einige haben Redundanz, einige haben Prüfsummen, einige haben überhaupt keinen Schutz.

Diese Notizen aus einem Vortrag über Barcodes könnten Ihnen gefallen: Jemandem einen Strich auf die Rechnung machen , aber englische Folien).

Der Sprecher hatte viel Spaß beim Manipulieren verschiedener Arten von Barcodes und erklärte die grundlegendsten Dinge, wie sie funktionieren, wie die Manipulation funktioniert und welche Systeme anfällig waren und welche genug hatten Schutz vor Personen, die mit den Barcodes herumspielen.

John Keates
2018-09-26 01:42:39 UTC
view on stackexchange narkive permalink

Ein QR-Code und Barcodes sind nichts anderes als maschinenlesbare Informationen. Nur weil ein Mensch nicht leicht lesen kann, bedeutet dies nicht, dass es sich um irgendeine Art von Sicherheit handelt.

Barcodes werden nicht aus Sicherheitsgründen, sondern aus Gründen der Benutzerfreundlichkeit angebracht. Der Grund, warum QR-Codes (und ähnliche) existieren, ist, dass Sie mehr Daten darin ablegen können. Am Ende sind Daten Daten und solange die Daten selbst nicht sicher sind, ist auch die Darstellung nicht.

iBug
2018-09-27 16:54:52 UTC
view on stackexchange narkive permalink

Wenn Sie "Ändern des gedruckten Barcodes und des QR-Codes" meinen, ist dies ziemlich schwierig, da der Barcode normalerweise nicht mehr funktioniert, wenn er geändert wird, und der QR-Code eine Art "Fehlerkorrektur" aufweist und daher durch kleine Manipulationen überlebt. Es ist praktisch unmöglich, einen QR-Code in einen anderen beliebigen zu ändern.

Aber es ist einfach zu dumm, einen vorhandenen zu ändern. Sie können einige Aufkleber eines böswilligen QR / Balkens drucken und direkt über Ihr Ziel kleben. Es gibt bereits mehrere Fälle, in denen ein Dieb Geld aus Geschäften "stiehlt", indem er seinen "Empfänger-QR-Code" ersetzt (mit einem Aufkleber versehen), den die Leute scannen, um Geld zu bezahlen. Zum Beispiel ist hier eine echte Neuigkeit, die vor einiger Zeit passiert ist.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...