SQR-koder (Secure Quick Response): Sikre krypterede QR-koder til mobilbetaling

SQR-koder: sikre, krypterede QR-koder til mobilbetaling — engangs-token, bred kompatibilitet og nem scanning for tryg, hardware-fri betaling.

Forfatter: Leandro Alegsa

SQR-koder (Secure Quick Response-koder) er sikre todimensionale stregkoder med høj datatæthed, baseret på de almindelige QR-koder. Formålet med SQR-koder er at bære følsomme oplysninger på en måde, så dataene kun kan aflæses af parter med den rette adgang til krypteringscifret eller nøgle.

Hvordan SQR-koder virker

SQR-koder kombinerer standard 2D-stregkodeformatet med en kryptografisk proces: de klare data (eksempelvis et kontonummer eller et token) bliver først krypteret og derefter indkodet i selve stregkoden. Uden den korrekte nøgle er det ekstremt vanskeligt at genskabe den oprindelige klartekst, hvis man forsøger at afkode koden. I praksis bruges ofte engangs-værdier eller tidsbegrænsede tokens, så en SQR-kode kun er gyldig i en kort periode eller for én transaktion.

Anvendelsesområder

En typisk anvendelse er at generere en SQR-kode til engangsbrug på en mobiltelefonskærm. Det kan f.eks. være et engangstoken, der repræsenterer et online-kontonummer eller en betalingsautorisation. Fordelene inkluderer, at teknologien kan bruges på hundredvis af millioner af eksisterende telefoner uden at kræve ekstra hardware, hvilket gør SQR-koder til et omkostningseffektivt alternativ eller supplement til f.eks. Near Field Communication (NFC)-betalinger.

Et konkret scenarie: en mobilapp henter et krypteret token fra en betalingsudbyder, viser tokenet som en SQR-kode på skærmen, og kasseapparatets 2D-stregkodescanner aflæser koden og sender den til backend til dekryptering og autorisation. SQR-koder kan aflæses sikkert i et detailhandelsmiljø ved brug af almindelige 2D-scannere eller endda et billigt webkamera.

Teknisk implementering og lagring

Implementeringen kan variere. En mulighed er at kryptere et fysisk maskinlæsbart token — for eksempel kortidentifikationsnummeret (CID) — der er lagret i ROM på et Secure Digital microSD-kort i telefonen. Hvis der ikke er et microSD-kort (som ofte er tilfældet på en Apple iPhone), kan systemet bruge telefonens indbyggede identifikatorer, fx det internationale mobilidentifikationsnummer, eller hente et ephemeral token fra en sikker server.

Vigtige elementer i en sikker implementering omfatter:

  • Stærk kryptering af payload før indkodning.
  • Sikret nøglehåndtering (f.eks. hardware security modules eller sikre elementer) for at beskytte krypteringsnøglerne.
  • Brug af engangs- eller tidsbegrænsede tokens for at forhindre replay-angreb.
  • Sikre kommunikationskanaler (TLS) mellem scanner/kasse og backend, hvor dekryptering og validering foregår.

Sikkerhed og begrænsninger

SQR-koder øger sikkerheden i forhold til en simpel, ukrypteret stregkode, men de er kun så sikre som den omkringliggende nøgle- og nøglehåndteringspraksis. Hvis en angriber får adgang til krypteringsnøglerne, kan indholdet rekonstrueres. Desuden er der operationelle overvejelser som:

  • Beskyttelse mod billedkopiering og phishing (en visuel kopi af en gyldig engangskode kan misbruges, hvis ikke koden er tidsbegrænset).
  • Afhængighed af bagvedliggende servere til validering, hvis koden ikke kan valideres lokalt.
  • Begrænsninger i mængden af data, der kan indkodes i en stregkode — store nøgler eller metadata kræver ofte at man i stedet krypterer et lille token, der peger på et større datasæt i backend.

Sammenligning med NFC

SQR-koder kan fungere i mange betalingsscenarier uden behov for NFC-hardware. Fordele frem for NFC inkluderer lavere omkostninger og bred kompatibilitet med eksisterende kameraer og scannere. NFC har dog fordele i form af kontaktløs sikker kommunikation, som kan være mere praktisk ved visse brugeroplevelser (f.eks. ved at holde telefonen tæt på terminalen). Valget mellem teknologier vil ofte afhænge af brugerflow, sikkerhedskrav og infrastruktur.

Praktiske anbefalinger

Ved implementering af SQR-koder anbefales det at:

  • Brug engangs- eller tidsbegrænsede tokens frem for permanente krypterede data.
  • Centraliser nøglehåndtering i sikre moduler (HSM/secure element).
  • Indfør overvågning og rate-limit for at opdage misbrug af aflæste tokens.
  • Test aflæsbarheden på forskellige skærmstørrelser, skærmlyde, lysforhold og scannerhardware.

Secure Quick Response-koder blev først udviklet af Yodo, en virksomhed i Japan, og der er patentanmeldt. Selvom patentstatus og kommercielle løsninger kan variere, gør konceptet SQR-koder til en praktisk mulighed for øget sikkerhed ved mobilbetalinger og andre autentificeringssituationer.

Eksempel på en SQR-kode (Denne side)Zoom
Eksempel på en SQR-kode (Denne side)

Et andet eksempel på en SQR-kodeZoom
Et andet eksempel på en SQR-kode

Spørgsmål og svar

Spørgsmål: Hvad er Secure Quick Response-koder?


A: Secure Quick Response-koder (SQR-koder) er sikre todimensionale stregkoder med høj datatæthed baseret på QR-koder. De er en sikker metode til at kryptere data i en stregkode.

Q: Hvordan fungerer kryptering af SQR-koder?


A: SQR-kodekryptering gør det ekstremt vanskeligt at afkode den originale klartekst uden krypteringscifret eller krypteringsnøglen. En typisk implementering er at skabe en SQR-kode til engangsbrug på en mobiltelefonskærm for effektivt at skabe en meget sikker kryptering af typen "one-time pad".

Spørgsmål: Hvilken type token anvendes typisk i en implementering af en SQR-kode?


Svar: En typisk implementering anvender et fysisk maskinlæsbart token som f.eks. kortets identifikationsnummer (CID), der er skrevet i skrivebeskyttet hukommelse (ROM) på et Secure Digital microSD-kort i en mobiltelefon. Det internationale mobilidentitetsnummer kan anvendes i tilfælde, hvor der ikke er et microSD-kort til stede, f.eks. på en Apple iPhone.

Spørgsmål: Hvordan kan SQR-koder læses sikkert?


A: SQR-koder kan læses sikkert i detailhandelsmiljøer på salgsstedet ved hjælp af 2D-stregkodescannere eller endda billige webkameraer.

Q: Hvem har udviklet Secure Quick Response-koder?


A: Secure Quick Response Codes blev først udviklet af Yodo, en virksomhed i Japan, og der er patentansøgning på dem.

Spørgsmål: Er der andre anvendelsesmuligheder for SQR-koder?


A: Ja, der er mange potentielle anvendelser for SQR-koder, herunder autentificerings- og autoriseringsprocesser, digitale signaturer, dokumentsporing og meget mere.


Søge
AlegsaOnline.com - 2020 / 2025 - License CC3