Saugūs QR (SQR) kodai — šifruoti 2D kodai saugiems mobiliesiems mokėjimams

SQR — šifruoti 2D QR kodai saugiems mobiliesiems mokėjimams: vienkartinis aukšto lygio šifravimas, veikia be papildomos įrangos, nuskaitomi telefonu ar 2D skaitytuvu.

Autorius: Leandro Alegsa

Saugūs greitojo atsako kodai arba SQR kodai yra saugūs dvimačiai brūkšniniai kodai su dideliu duomenų tankiu, pagrįsti QR kodais.

Saugūs greitojo atsako kodai - tai saugus duomenų užšifravimo į brūkšninį kodą metodas, kurį, nesant šifravimo šifro arba rakto, labai sunku iššifruoti į pirminį atvirą tekstą. Tipiškas SQR kodų įgyvendinimas būtų vienkartinio naudojimo SQR kodo sukūrimas mobiliojo telefono ekrane, siekiant veiksmingai sukurti labai saugų vienkartinio užkodavimo tipą, pavyzdžiui, internetinės sąskaitos numeriui užšifruoti.

Kadangi SQR kodai gali būti naudojami šimtuose milijonų telefonų nepridedant papildomos techninės įrangos, jie gali veikti panašiai kaip artimojo lauko ryšio telefonai, skirti saugiems mobiliesiems mokėjimams. Įprastai tai įgyvendinima užšifruojant ir naudojant pirminį fizinį mašininio skaitymo ženklą, pavyzdžiui, kortelės identifikavimo numerį (CID), įrašytą į mobiliajame telefone esančios "Secure Digital microSD" kortelės tik skaitymui skirtą atmintį (ROM), arba net tarptautinį mobiliojo ryšio identifikavimo numerį, jei "microSD" kortelės nėra, kaip, pavyzdžiui, "Apple iPhone" telefone. SQR kodai gali būti saugiai nuskaitomi mažmeninės prekybos vietose naudojant 2D brūkšninių kodų skaitytuvus arba net nebrangią interneto kamerą. Saugius greitojo atsako kodus pirmą kartą sukūrė Japonijoje veikianti bendrovė "Yodo", ir jie yra užpatentuoti.

Kas yra SQR kodai ir kuo jie skiriasi nuo įprastų QR kodų?

SQR (saugūs greitojo atsako) kodai — tai užšifruoti 2D brūkšniniai kodai, kuriuose vietoje paprasto, atviro teksto pateikiami šifruoti duomenys. Pagrindinis skirtumas nuo įprastų QR kodų yra tas, kad be atitinkamo rakto ar dešifravimo mechanizmo užkoduotos informacijos praktiškai neįmanoma atkurti. Tai leidžia saugiai pernešti slaptus laukus, pvz., sąskaitos numerius, mokėjimo įgaliojimus ar vienkartinius autentifikacijos žetonus.

Kaip SQR veikia (techninis principas)

  • Generavimas: serveris arba mobilioji programa sukuria kriptografiškai saugų duomenų paketą — pavyzdžiui, vartotojo sąskaitos numerį, vienkartinį žetoną ir laiko žymę.
  • Užšifravimas: paketas užšifruojamas naudojant saugų simetrinį ar asimetrinį algoritmą ir, jei reikia, pasirašomas autentifikacijai.
  • Kodavimas: užšifruota informacija paverčiama į 2D brūkšninį kodą (SQR), kurį mobiliojo telefono ekranas gali parodyti kaip vienkartinį (angl. one-time) kodą.
  • Nuskaitymas: mažmeninės prekybos terminalas arba skaitytuvas nuskaito SQR kodą naudodamas 2D skaitytuvą arba interneto kamerą ir siunčia užšifruotą paketą atgal į mokėjimų apdorojimo tarnybą.
  • Patikra ir dešifravimas: mokėjimų apdorojimo serveris, turintis atitinkamą raktą, dešifruoja paketą, patikrina laiko žymę, pasirašymo galiojimą ir įvykdo mokėjimą ar autentifikaciją.

Naudojimo scenarijai

  • Saugūs mobilieji mokėjimai (POS terminalai be NFC): SQR gali pakeisti arba papildyti artimojo lauko mechanizmus.
  • Vienkartiniai prieigos kodai: laiko apriboti prisijungimo žetonai prie internetinių paslaugų ar paskyrų.
  • Tapatybės patvirtinimas ir bilietavimas: žetonai renginiams, transportui ar saugiai identifikacijai.
  • Kortelės identifikacija: naudojant įrenginio unikalų identifikatorių (pvz., CID microSD arba kitas įrenginio saugaus elemento žymenis) kaip raktą arba jo dalį.

Privalumai

  • Platus suderinamumas: veikia su daugeliu kameromis aprūpintų telefonų, nereikalaujant papildomos įrangos.
  • Didelis saugumas: duomenys saugomi šifruotu pavidalu, o vienkartiniai žetonai sumažina pakartotinio panaudojimo riziką.
  • Paprasta diegti mažmeninei prekybai: terminalai su 2D skaitytuvais arba paprasta webkamera gali priimti SQR kodus.
  • Mažos sąnaudos: nereikia diegti NFC lustų ar papildomų skaitytuvų daugumai vartotojų.

Rizikos ir apribojimai

  • Raktų valdymas: jei raktai arba saugūs elementai (secure element) bus pažeisti, saugumas sumažėja — būtina kruopšti rakto apsauga.
  • Įrenginio kompromitavimas: jei pažeistas pats telefonas ar saugus elementas (pvz., nesaugiai valdoma microSD), atitinkami raktai gali būti pavogti.
  • Patentai ir licencijos: kaip nurodyta, SQR koncepciją pirmą kartą pasiūlė ir patentavo Japonijoje veikianti bendrovė "Yodo", todėl įgyvendinant komercinius sprendimus reikia patikrinti patentinę padėtį.
  • Privatumas: reikia aiškaus reguliavimo ir politikos, kaip tvarkomi vartotojų identifikaciniai duomenys.

Praktinis pavyzdys žingsnis po žingsnio

  • Vartotojas iniciuoja mokėjimą mobilioje programėlėje.
  • Serveris sugeneruoja vienkartinį žetoną, užšifruoja jį kartu su reikalingais duomenimis (sąskaitos numeriu, suma, laiku) ir siunčia atgal į programėlę.
  • Programėlė paverčia užšifruotą paketą į SQR kodą ir rodydama jį ekrane leidžia parduotuvei nuskaityti.
  • Parduotuvės terminalas nuskaito SQR ir persiunčia paketą apdorojimo centrui, kuris, turėdamas atitinkamą raktą, dešifruoja, patikrina ir vykdo mokėjimą.

Rekomendacijos diegiant SQR sprendimus

  • Naudoti patikimus kriptografinius algoritmus ir periodiškai atnaujinti juos pagal gerąją praktiką.
  • Užtikrinti, kad raktai būtų saugomi saugiame elemente arba sertifikuotoje HSM infrastruktūroje.
  • Įdiegti laikui jautrią validaciją (timestamping) ir vienkartinius žetonus, kad būtų užkirstas kelias pakartotiniam naudojimui.
  • Atlikti išsamų rizikų vertinimą ir atitikties patikrinimus dėl patentų, teisinių ir duomenų apsaugos reikalavimų.

SQR kodai siūlo lankstų ir saugų būdą vykdyti mobilias operacijas be papildomos įrangos, tačiau sėkmingai diegiant svarbiausia yra tinkamas kriptografinių raktų valdymas, saugiausio įrenginio elemento naudojimas ir atitiktis teisiniams reikalavimams.

SQR kodo pavyzdys (Šis puslapis)Zoom
SQR kodo pavyzdys (Šis puslapis)

Kitas SQR kodo pavyzdysZoom
Kitas SQR kodo pavyzdys

Klausimai ir atsakymai

Klausimas: Kas yra saugaus greitojo atsakymo kodai?


A: Saugūs greitojo atsako kodai (SQR kodai) yra saugūs dvimačiai didelio duomenų tankio brūkšniniai kodai, pagrįsti QR kodais. Tai saugus duomenų užkodavimo į brūkšninį kodą metodas.

K: Kaip veikia SQR kodų šifravimas?


A.: SQR kodų šifravimas labai apsunkina originalaus paprasto teksto iššifravimą, jei nėra šifravimo šifro arba rakto. Įprastai SQR kodas sukuriamas mobiliojo telefono ekrane, kad būtų sukurtas labai saugus vienkartinio šifravimo tipas.

K: Kokio tipo simbolis paprastai naudojamas įgyvendinant SQR kodą?


A.: Įprastai naudojamas pirmtakas - fizinis mašininio skaitymo simbolis, pavyzdžiui, kortelės identifikavimo numeris (CID), įrašytas į mobiliajame telefone esančios "Secure Digital microSD" kortelės tik skaitymui skirtą atmintį (ROM). Tarptautinis mobiliojo telefono identifikavimo numeris gali būti naudojamas, kai nėra microSD kortelės, pavyzdžiui, "Apple iPhone" telefone.

K: Kaip saugiai perskaityti SQR kodus?


A.: SQR kodus galima saugiai nuskaityti mažmeninės prekybos vietose naudojant 2D brūkšninių kodų skaitytuvus arba net nebrangias interneto kameras.

K: Kas sukūrė saugius greitojo atsako kodus?


A.: Saugius greitojo atsako kodus pirmą kartą sukūrė Japonijoje veikianti bendrovė "Yodo", ir jie yra užpatentuoti.

K.: Ar yra kitų SQR kodų taikymo sričių?


A: Taip, yra daugybė galimų SQR kodų taikymo sričių, įskaitant autentiškumo nustatymo ir įgaliojimų suteikimo procesus, skaitmeninius parašus, dokumentų sekimą ir kt.


Ieškoti
AlegsaOnline.com - 2020 / 2025 - License CC3