Ja, så långt är jag med. Men part B är en listig rackare och skriver ut ett
avtal som ser ut exakt som det de kommit överens om och där hamnar således
en QR-kod med giltig hash.
Sedan tar part B och klipper ut QR-koden. Därefter ändrar part B i avtalet,
och skriver ut ett exemplar av denna. Detta papper får en QR-kod med
felaktig hash.
Till råga på köpet är part B en hantverkare av rang och lyckas infoga den
första korrekta QR-koden på det förändrade avtalet och gör det så pass bra
att part A inte kan se det. Part A får sedan det förfalskade avtalet och
kontrollerar att QR-koden har rätt hash, vilket den har, och skriver glatt
under avtalet helt ovetandes om alla förändringar part B har lagt till.
--
Med vänliga hälsningar
Jan Ainali
Den 18 maj 2012 15:02 skrev Mattias Ekholm <mattias_at_ekholm.se>:
>
> QR-koden innehåller hash värdet som är unikt för det dokument du ska
> skriva under, stämmer inte hash värdet på det papper du får stucket under
> näsan med det hash värde du har skapat hemmavid så härrör de från olika
> dokument.
>
> Ja, “man” syftade till part A.
>
> *From:* Jan Ainali <jan.ainali_at_wikimedia.se>
> *Sent:* Friday, May 18, 2012 2:55 PM
> *To:* FOSS-folk i Stockholm <foss-sthlm_at_cool.haxx.se>
> *Subject:* Re: Använda QR-koder för att skriva under kontrakt?
>
> När du säger man, menar du part A i mitt exempel då?
>
> Det ändrar hur som helst inte scenariot jag beskrev. När part A kommer och
> får ett par utskrifter framstuckna och en bläckpenna i handen, så går det
> inte att veta hur QR-koden hamnade på pappret och om den matchar innehållet
> i dokumentet. Eller missar jag något helt här?
>
> --
> Med vänliga hälsningar
> Jan Ainali
>
>
> Den 18 maj 2012 14:36 skrev Mattias Ekholm <mattias_at_ekholm.se>:
>
>>
>> Enda skillnaden är att man aldrig behöver skriva ut dokumentet.
>>
>>
>> *From:* Jan Ainali <jan.ainali_at_wikimedia.se>
>> *Sent:* Friday, May 18, 2012 2:14 PM
>> *To:* FOSS-folk i Stockholm <foss-sthlm_at_cool.haxx.se>
>> *Subject:* Re: Använda QR-koder för att skriva under kontrakt?
>>
>> Misstänker att jag har fattat funktionen fel men det här känns som ett
>> scenario att ta i beaktande:
>>
>> 1. Två parter kommer överens om en skrivning. QR-kod genereras. Part A
>> skriver ut sin för att ta med sig till kontraktsskrivningen.
>> 2. Part B skriver ut ett korrekt dokument med korrekt QR-kod.
>> 3. Med lite kreativa metoder ändrar part B texten på den utskrivna
>> versionen, men lämnar orginal QR-koden orörd.
>> 4. Part A och B träffas, QR koder matchar, kontrakt skrivs under och part
>> A blev lurad.
>>
>> --
>> Med vänliga hälsningar
>> Jan Ainali
>>
>>
>>
>> Den 18 maj 2012 13:59 skrev Mattias Ekholm <mattias_at_ekholm.se>:
>>
>>>
>>> Det är bra/nyttigt med kritik!
>>>
>>> QR koder är enkla att scanna och tolka. Genom att det digitala dokument
>>> du mottagit hashas av *dig* och du har QR-koden med dig. Genom att hash
>>> värdet unikt är knutet till en binärfil *vet* du att inget är
>>> fejkat/ändrat. Ser du en QR-kod med samma hash värde så *vet* du matematisk
>>> visshet att den är skapad från exakt det dokument du skapat din.
>>>
>>> Det finns inget behov att OCRa dokumentet då hash värdet skapas av
>>> binärversionen.
>>>
>>> En bisak, md5sum är inte bra då det finns kända attacker, idag är det
>>> SHA som rekommenderas.
>>>
>>> /M
>>>
>>> -----Ursprungligt meddelande----- From: Daniel Stenberg
>>> Sent: Friday, May 18, 2012 1:08 PM
>>>
>>> To: FOSS-folk i Stockholm
>>> Subject: Re: Använda QR-koder för att skriva under kontrakt?
>>>
>>> On Fri, 18 May 2012, Johan Thelin wrote:
>>>
>>> Inte för att vara tråkig, men varför krångla till det med en QR-kod.
>>>> Borde
>>>> ju räcka med en md5sum eller liknande integrerat i t.ex. LibreOffice.
>>>> Sedan
>>>> går ju allt tryckt att fejka. Vad hindrar någon från att kopiera en
>>>> skärmbild på QR-kod eller summa, ändra i dokumentet och ersätta
>>>> koden/summan
>>>> med den kopierade bilden.
>>>>
>>>
>>> Exakt. Appen måste OCR:a dokumentet först för att se till att
>>> checksumman är
>>> rätt, vilket känns som ganska skakigt...
>>>
>>> --
>>>
>>> / daniel.haxx.se
>>>
>>>
>>>
>>>
>>>
>>> ______________________________**_________________
>>> http://www.foss-sthlm.se/
>>> http://cool.haxx.se/cgi-bin/**mailman/listinfo/foss-sthlm<http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm>
>>> ______________________________**_________________
>>> http://www.foss-sthlm.se/
>>> http://cool.haxx.se/cgi-bin/**mailman/listinfo/foss-sthlm<http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm>
>>>
>>
>>
>>
>>
>> ------------------------------
>> _______________________________________________
>> http://www.foss-sthlm.se/
>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>
>> _______________________________________________
>> http://www.foss-sthlm.se/
>> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>>
>>
>
> ------------------------------
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>
>
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
>
>
_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2012-05-18