Question:
Quelle est la résistance des codes-barres et des codes QR aux tentatives de modification des données stockées?
Questioner
2018-09-23 20:40:47 UTC
view on stackexchange narkive permalink

Supposons que nous voulions protéger un document contre toute manipulation et contrefaçon. Nous encodons donc certaines informations sensibles du document et les stockons dans un QR-code inséré dans le document.

Peut-on être sûr qu'un attaquant n'est pas en mesure de changer et de modifier les données stockées dans le QR -code? Et s'il est possible de le modifier, dans quelle mesure est-il difficile pour un attaquant de le faire? En d'autres termes, quel est le degré de sécurité d'un code QR?

UPC a une protection mineure contre la corruption accidentelle ou intentionnelle intégrée.La première et la seconde moitié du code à barres ont la signification de noir / blanc inversé dans le codage.Et le dernier chiffre est une somme de contrôle calculée à partir du reste des chiffres du code.Cependant, cela ne protège en rien une personne qui met un autocollant sur le code-barres d'un produit.
Pour faire écho au point d'@nbering's, le remplacement complet du code-barres est quelque chose de communément fait par les voleurs à l'étalage dans le supermarché, en utilisant un code-barres appartenant à un article de moindre valeur monétaire et en espérant que le caissier ne regarde pas les informations de prix / description._Avoir_ un code-barres, un code QR ou toute autre sorte d'autres données de «validation» ne vaut rien à moins que vous ne vérifiiez réellement et complètement les données.
Cela est également souvent fait par les commerçants lorsqu'un code-barres tel que reçu est différent ou en conflit avec leur système d'inventaire.Le rend encore plus facile à exploiter.Je me souviens d'un cas où un adolescent remplaçait les codes-barres iPod pour un article de 299,99 $ par un accessoire iPod pour 29,99 $.Il choisissait ensuite une jeune caissière et flirterait avec elle pendant qu’elle sonnait à la vente pour qu’elle ne remarque pas la différence.Ingénierie sociale classique mélangée à un exploit technique.
Il peut être plus utile de poser une nouvelle question sur la manière d'empêcher la manipulation et la contrefaçon de documents, plutôt que de poser une question tangentielle sur une idée que vous avez eu à faire.Incluez pourquoi, dans quelle mesure vous êtes motivé pour le faire et ce que vous entendez par documents.Tbh, j'ai des idées sur la façon dont je le ferais sur des documents physiques, mais je suis presque sûr que le jus ne vaut pas la peine.
Sept réponses:
Steffen Ullrich
2018-09-23 20:54:21 UTC
view on stackexchange narkive permalink

... dans quelle mesure un code QR est-il sécurisé?

Les données d'un code QR sont en quelque sorte protégées contre les dommages accidentels en ayant une correction d'erreur mais ils ne sont pas protégés contre une manipulation délibérée. De plus, un attaquant peut remplacer complètement le code QR du document par un autre.

Exactement.Pour protéger les données sensibles dans un document, nous devons traiter les risques spécifiques en appliquant les mesures d'atténuation appropriées.Un code-barres 2D (ou 1d) est juste un encodage de données dans un format qui est meilleur pour la reconnaissance et l'analyse des capteurs numériques.Si nous nous appuyons sur un code QR pour `` masquer les données sensibles '', nous utilisons l'obscurité pour protéger nos données.L'obscurité n'est valable que comme l'une des nombreuses techniques d'une stratégie de réduction des risques - en elle-même, l'obscurité est généralement sans valeur.Protégez les données contre les manipulations malveillantes manifestes, il faut envisager un hachage / une somme de contrôle / une signature numérique.
Je me demande si quelqu'un a déjà réussi à vandaliser les codes QR sur les panneaux d'affichage publics en changeant quelques pixels avec des marqueurs noir et blanc afin que le code soit toujours valide mais pointe vers un site Web différent existant.
@Philipp: pourquoi changer douloureusement un code existant si vous pouvez simplement le remplacer complètement: [Les escroqueries par code QR augmentent en Chine, mettant la sécurité du paiement électronique à l'honneur] (https://www.scmp.com/business/china-business/article/ 2080841 / rise-qr-code-scams-china-met-online-payment-security): * "... En remplaçant le code QR original utilisé pour déverrouiller le vélo par un faux, ils ont pu tromper les utilisateursen transférant leur argent sur leurs propres comptes bancaires .... "*.
Paul
2018-09-24 02:14:12 UTC
view on stackexchange narkive permalink

Les codes QR ne sont normalement pas protégés contre la manipulation. Mais:

Vous pouvez inclure une signature numérique dans les données afin que tout le monde puisse vérifier si le code QR a été créé par vous et n'a pas été modifié. Ensuite, la seule chose qu'un attaquant peut faire est de remplacer le code QR par un autre code QR que vous avez créé.

Une telle approche fonctionnera généralement comme ceci:

  • Sur un site sécurisé serveur, une paire de clés (clé publique et clé privée) est générée. La clé publique peut être publiée en toute sécurité. La clé privée ne quitte jamais le serveur.
  • Lorsqu'un code QR doit être créé, le serveur calcule la signature numérique à partir des informations et de la clé privée. Les informations ainsi que la signature numérique sont placées dans un code QR.
  • On crée une application pour scanner les codes QR. La clé publique est incluse dans l'application. Un algorithme qui prend la clé publique, les informations et la signature numérique comme entrée peut vérifier si les données d'un code QR ont été falsifiées.

Je ne sais pas si c'est le cas. est un logiciel existant standard ou de bonne qualité pour les signatures numériques dans les codes QR.

Un code QR qui encode la signature numérique du document contenant peut être possible, mais il n'y a pas de normes officielles le faisant.(Vous devez vous assurer que la signature QR protège l'ensemble du document, à l'exception du code QR lui-même, pour éviter un problème de poule et d'œuf. Cela nécessite une définition claire de ce qui est protégé exactement.)
@MSalters, J'ai lu cette réponse (et question) comme le code QR se protégeant seulement lui-même, pas le contenu du reste du document.Le reste du document serait vraisemblablement imprimé et non électronique, donc il ne sera pas protégé par des sommes de contrôle ou des signatures ou quoi que ce soit d'autre.
Je suppose que l'idée serait probablement de mettre des informations comme "version xy, publiée dans zzzz" les encoder avec la clé, afin que quelqu'un puisse faire correspondre la table de version du document avec ce que contient l'historique des versions.Cependant, cela ne fonctionnera pas avec une simple clé privée, car vous pourriez facilement changer celle du serveur avec la vôtre, vous auriez besoin de mettre dans la section de données QRCode deux: un certificat (comme SSL) que vous pouvez comparer à unracine approuvée et les données codées.Et vous auriez besoin d'écrire une petite application spécifique pour cela.
La seule façon dont un QR pourrait être authentifié de manière significative serait de savoir, * sans avoir à faire référence à quoi que ce soit dans le code lui-même *, qui est censé l'avoir émis, ou si seulement un petit nombre d'entités, * tout* dont la confiance est autorisée à émettre des codes «authentifiés».Ni l'un ni l'autre n'est pratique pour la plupart des scénarios d'utilisation de QR.
David Richerby
2018-09-24 22:11:32 UTC
view on stackexchange narkive permalink

Un code QR ou un code-barres ne sont que des données écrites dans un format non alphabétique. Il n'offre pas plus de sécurité que ce que vous obtiendriez en écrivant les mêmes données dans un texte ordinaire.

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (https://chat.stackexchange.com/rooms/83622/discussion-on-answer-by-david-richerby-how-resistant-are-barcodes-and-qr-codes-une).
user10216038
2018-09-24 03:41:27 UTC
view on stackexchange narkive permalink

Les codes QR n'offrent aucune protection contre les modifications intentionnelles.

La protection des documents peut être abordée de différentes manières selon votre intention. La vérification du contenu peut être effectuée en joignant une signature numérique, mais il doit y avoir une vérification externe (hors bande) de votre clé publique pour éviter de simplement remplacer la clé de signature par la clé de signature de quelqu'un d'autre. Ceci est courant dans les téléchargements de code où la signature du code (document) est disponible via un site Web ou une autre vérification hors bande.

Les filigranes cachés ou d'autres techniques stéganographiques peuvent aider à valider un document mais cela dépend de non détecté par opposition à une signature cryptographique rigoureuse. Il existe de nombreuses approches et leur efficacité dépend de la distribution et de l'utilisation. Par exemple, micro-espacement personnalisé des mots ou lettres sélectionnés. Rotations de camembert non standard. Espaces supplémentaires aux emplacements sélectionnés d'un document numérique. Petits points jaunes sur papier blanc d'un document imprimé. Beaucoup d'autres, mais une signature numérique est la norme d'or.

`> Les codes QR n'offrent aucune protection contre les modifications intentionnelles. Pas tout à fait vrai.Il y a une redondance dans le code QR, vous pouvez donc le falsifier jusqu'à un certain montant et cela ne changera même pas la valeur.
@RJFalconer Bon point mais il semble clair que la réponse signifie "pas de protection contre la modification intentionnelle par quelqu'un qui sait écrire un code QR".Après tout, vous pourriez faire valoir que l'anglais a aussi beaucoup de redondance, vous pouvez donc le modifier jusqu'à une petite somme et cela ne changera pas beaucoup la valeur.
allo
2018-09-25 14:50:20 UTC
view on stackexchange narkive permalink

Les codes-barres sont faciles à manipuler. Après tout, ils ne sont qu'un encodage pour un nombre. Certains ont des redondances, certains ont des sommes de contrôle, d'autres n'ont aucune protection.

Vous aimerez peut-être ces notes d'une discussion sur les codes-barres: Jemandem einen Strich auf die Rechnung machen (titre allemand , mais des diapositives en anglais).

L'orateur s'est beaucoup amusé en manipulant différents types de codes-barres et explique les choses les plus élémentaires comment ils fonctionnent, comment fonctionne la manipulation et quels systèmes étaient vulnérables et lesquels en avaient assez protection contre les personnes qui manipulent les codes à barres.

John Keates
2018-09-26 01:42:39 UTC
view on stackexchange narkive permalink

Un code QR et des codes-barres ne sont rien de plus que des informations lisibles par machine. Ce n'est pas parce qu'un humain ne peut pas facilement lire que cela signifie qu'il s'agit d'un type de sécurité.

Les codes à barres ne sont pas placés sur les choses pour la sécurité, mais pour la facilité d'utilisation. La raison pour laquelle les codes QR (et d'autres similaires) existent est que vous pouvez y mettre plus de données. En fin de compte, les données sont des données et tant que les données elles-mêmes ne sont pas sécurisées, la représentation ne l'est pas non plus.

iBug
2018-09-27 16:54:52 UTC
view on stackexchange narkive permalink

Si vous voulez dire "modifier le code-barres imprimé et le code QR", alors c'est plutôt difficile parce que le code-barres cesse généralement de fonctionner s'il est modifié, et le code QR a une sorte de "correction d'erreur" et survit donc à une petite falsification. Il est pratiquement impossible de modifier un code QR en un autre arbitraire.

Mais c'est trop stupide pour modifier un code existant. Vous pouvez imprimer des autocollants d'une QR / barre malveillante et la coller directement sur votre cible. Il existe déjà plusieurs cas où un voleur «vole» de l'argent dans les magasins en remplaçant (en collant un autocollant) son «code QR du destinataire» que les gens scannent pour payer de l'argent. Par exemple, voici une vraie nouvelle survenue il y a quelque temps.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...