SQR-koder (Secure Quick Response): Sikre krypterede QR-koder til mobilbetaling

SQR-koder (Secure Quick Response-koder) er sikre todimensionale stregkoder med høj datatæthed, baseret på de almindelige QR-koder. Formålet med SQR-koder er at bære følsomme oplysninger på en måde, så dataene kun kan aflæses af parter med den rette adgang til krypteringscifret eller nøgle.

Hvordan SQR-koder virker

SQR-koder kombinerer standard 2D-stregkodeformatet med en kryptografisk proces: de klare data (eksempelvis et kontonummer eller et token) bliver først krypteret og derefter indkodet i selve stregkoden. Uden den korrekte nøgle er det ekstremt vanskeligt at genskabe den oprindelige klartekst, hvis man forsøger at afkode koden. I praksis bruges ofte engangs-værdier eller tidsbegrænsede tokens, så en SQR-kode kun er gyldig i en kort periode eller for én transaktion.

Anvendelsesområder

En typisk anvendelse er at generere en SQR-kode til engangsbrug på en mobiltelefonskærm. Det kan f.eks. være et engangstoken, der repræsenterer et online-kontonummer eller en betalingsautorisation. Fordelene inkluderer, at teknologien kan bruges på hundredvis af millioner af eksisterende telefoner uden at kræve ekstra hardware, hvilket gør SQR-koder til et omkostningseffektivt alternativ eller supplement til f.eks. Near Field Communication (NFC)-betalinger.

Et konkret scenarie: en mobilapp henter et krypteret token fra en betalingsudbyder, viser tokenet som en SQR-kode på skærmen, og kasseapparatets 2D-stregkodescanner aflæser koden og sender den til backend til dekryptering og autorisation. SQR-koder kan aflæses sikkert i et detailhandelsmiljø ved brug af almindelige 2D-scannere eller endda et billigt webkamera.

Teknisk implementering og lagring

Implementeringen kan variere. En mulighed er at kryptere et fysisk maskinlæsbart token — for eksempel kortidentifikationsnummeret (CID) — der er lagret i ROM på et Secure Digital microSD-kort i telefonen. Hvis der ikke er et microSD-kort (som ofte er tilfældet på en Apple iPhone), kan systemet bruge telefonens indbyggede identifikatorer, fx det internationale mobilidentifikationsnummer, eller hente et ephemeral token fra en sikker server.

Vigtige elementer i en sikker implementering omfatter:

• Stærk kryptering af payload før indkodning.
• Sikret nøglehåndtering (f.eks. hardware security modules eller sikre elementer) for at beskytte krypteringsnøglerne.
• Brug af engangs- eller tidsbegrænsede tokens for at forhindre replay-angreb.
• Sikre kommunikationskanaler (TLS) mellem scanner/kasse og backend, hvor dekryptering og validering foregår.

Sikkerhed og begrænsninger

SQR-koder øger sikkerheden i forhold til en simpel, ukrypteret stregkode, men de er kun så sikre som den omkringliggende nøgle- og nøglehåndteringspraksis. Hvis en angriber får adgang til krypteringsnøglerne, kan indholdet rekonstrueres. Desuden er der operationelle overvejelser som:

• Beskyttelse mod billedkopiering og phishing (en visuel kopi af en gyldig engangskode kan misbruges, hvis ikke koden er tidsbegrænset).
• Afhængighed af bagvedliggende servere til validering, hvis koden ikke kan valideres lokalt.
• Begrænsninger i mængden af data, der kan indkodes i en stregkode — store nøgler eller metadata kræver ofte at man i stedet krypterer et lille token, der peger på et større datasæt i backend.

Sammenligning med NFC

SQR-koder kan fungere i mange betalingsscenarier uden behov for NFC-hardware. Fordele frem for NFC inkluderer lavere omkostninger og bred kompatibilitet med eksisterende kameraer og scannere. NFC har dog fordele i form af kontaktløs sikker kommunikation, som kan være mere praktisk ved visse brugeroplevelser (f.eks. ved at holde telefonen tæt på terminalen). Valget mellem teknologier vil ofte afhænge af brugerflow, sikkerhedskrav og infrastruktur.

Praktiske anbefalinger

Ved implementering af SQR-koder anbefales det at:

• Brug engangs- eller tidsbegrænsede tokens frem for permanente krypterede data.
• Centraliser nøglehåndtering i sikre moduler (HSM/secure element).
• Indfør overvågning og rate-limit for at opdage misbrug af aflæste tokens.
• Test aflæsbarheden på forskellige skærmstørrelser, skærmlyde, lysforhold og scannerhardware.

Secure Quick Response-koder blev først udviklet af Yodo, en virksomhed i Japan, og der er patentanmeldt. Selvom patentstatus og kommercielle løsninger kan variere, gør konceptet SQR-koder til en praktisk mulighed for øget sikkerhed ved mobilbetalinger og andre autentificeringssituationer.