ВВЕДЕНИЕ 3
ГЛАВА 1. QR-КОДЫ 6
ГЛАВА 2. ПОЛОЖИТЕЛЬНЫЕ ЭФФЕКТЫ ОТ ИСПОЛЬЗОВАНИЯ QR- КОДА, ЕГО ПРИМЕНЕНИЕ 7
2.1. Реклама 7
2.2. Мобильные платежи 7
2.3. Контроль доступа 8
2.4. Расширенная реальность и навигация 8
ГЛАВА 3. ОТРИЦАТЕЛЬНЫЕ ЭФФЕКТЫ ОТ ИСПОЛЬЗОВАНИЯ QR- КОДА - ВАРИАНТЫ АТАК 9
ГЛАВА 4. ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ 11
4.1. Хеш-функции 12
4.2. Шифрование с помощью RSA 13
ГЛАВА 5. АКТУАЛЬНОСТЬ ВОПРОСА ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПОЛЬЗОВАТЕЛЕЙ ПРИ СЧИТЫВАНИИ QR-КОДА .... 17
5.1. Обеспечение безопасности при считывании QR-кода 18
ГЛАВА 6. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ 21
ЗАКЛЮЧЕНИЕ 31
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 32
ПРИЛОЖЕНИЕ
До 1994 года повсеместно использовался штрих-код. Им маркировали от продуктов в магазинах до крупных контейнерных перевозок. Со временем потребность в увеличении объема вмещаемой информации росла, а емкость штрих-кода была весьма ограничена. В связи с этим в 1994 году японскими автопроизводителями был разработан QR-код.
QR («Quick Response» или «Быстрый Отклик») - это двумерные штрихкоды с возможностью кодирования различных типов информации. Из-за высокой плотности и надежности информации QR-коды стали популярными в различных областях применения. Они не только имеют более высокую информационную емкость, чем штрих-код, но и, соответственно, являются более защищенными. Созданные для оптимизации процессов логистики в автомобилестроении, QR-коды быстро обратили на себя внимание как маркетологов, так и обычных пользователей благодаря своей новизне и доступности.
Особенности QR-кода:
• Возможность закодировать большой объем информации. В то время как максимальная вместимость обычных штрих-кодов составляет около 20 цифр, QR-код предоставляет возможность хранения в сотни раз большего объема информации - он способен закодировать до 7 089 символов.
• Компактность. Традиционный штрих-код по сравнению с QR-кодом занимает в десять раз больше места при равных объемах информации. Это связано с тем, что QR-код в отличие от штрих-кода кодирует данные как по горизонтали, так и по вертикали.
• Устойчивость к повреждениям. QR-код предоставляет возможность исправления ошибок, то есть он считывается, даже будучи поврежденным или загрязненным на 30%.
• Всенаправленность. QR-код обеспечивает высокоскоростное считывание под любым углом. Он выполняет эту задачу с помощью шаблонов обнаружения местоположения, которые расположены в трех углах. Эти шаблоны обнаружения гарантируют стабильное высокоскоростное считывание, минуя негативные эффекты.
Несмотря на все преимущества и широкий спектр отраслей, где применяется QR-код, нельзя не принимать во внимание доверчивость пользователей по отношению к нему, ведь именно по этой причине он может стать отличным способом для атак киберпреступников. Так, например, ссылка, которую хранит QR-код, может быть вирусной.
Атака может быть применена и в более повседневных, казалось бы, безобидных случаях. Например, в авиабилете можно изменить фамилию и имя, хранящиеся в QR-коде, и отправиться в другую страну вместо человека, который на самом деле должен был полететь. Таким образом, встает вопрос о защите информации, которая зашифрована посредством QR-кода.
Одним из самых современных и надежных способов защиты информации, применяемых на сегодняшний день в документообороте, является электронная цифровая подпись (ЭЦП).
Электронная подпись представляет собой информацию в электронной форме, присоединяемую к подписываемой информации, которая также представлена в электронном виде. Электронная подпись предназначается для защиты документа, передающегося с помощью различных сред или хранящегося в цифровом виде, от подделки. Помимо этого, она является атрибутом электронного документа. Для ее получения применяется
преобразование данных с помощью криптографии с применением закрытого ключа электронной цифровой подписи. Она предоставляет возможность идентификации владельца ключа подписи, установить отсутствие искажения данных в электронном документе.
Во многих развитых странах мира электронная цифровая подпись нашла широкое применение даже в хозяйственном обороте.
Атаки с применением QR-кодов осуществляются следующим образом: злоумышленник подменяет QR-код для нормального сообщения своим собственным вредоносным QR-кодом, который при сканировании ничего не подозревающим пользователем отправит того на фишинговый сайт. Это связано с тем, что невооруженным глазом невозможно определить, является QR-код корректным или подделанным.
Подмена нормального кода вредоносным может осуществляться двумя способами:
1) злоумышленник генерирует свой собственный код и просто заменяет один на другой;
2) злоумышленник использует в качестве основы хороший код и изменяет только отдельный его участок.
Если сообщение переводилось в QR-код без приложенной ЭЦП, мы никак не можем распознать эту подмену, пока не станет слишком поздно, и мы перейдем по вредоносной ссылке.
Если же к сообщению приложена ЭЦП, то при сканировании атакованного и измененного QR-кода можно со 100% вероятностью распознать подмену и избежать атаки.
Таким образом, приложение к исходному сообщению цифровой подписи и их преобразование в QR-код поможет полностью закрыть потребность в защите “безопасного” QR-кода от подмены на вредоносный и обезопасит пользователя от угрозы автоматического перехода на фишинговые сайты или автоматического запуска программных средств, которые потенциально могут повлечь за собой повреждение важных пользователю информационных файлов.
