Secure Quick Response-Codes oder SQR-Codes sind sichere zweidimensionale Barcodes mit hoher Datendichte, die auf QR-Codes basieren.

Sichere Quick-Response-Codes sind eine sichere Methode zur Verschlüsselung von Daten in einen Strichcode, die dann in Ermangelung der Verschlüsselungschiffre oder des Schlüssels äußerst schwierig in den ursprünglichen Klartext zu entschlüsseln sind. Eine typische Implementierung von SQR-Codes wäre die Erstellung eines SQR-Codes zur einmaligen Verwendung auf dem Bildschirm eines Mobiltelefons, um effektiv einen hochsicheren Einmal-Pad-Typ der Verschlüsselung, zum Beispiel einer Online-Kontonummer, zu erstellen.

Da SQR-Codes auf Hunderten von Millionen von Telefonen ohne zusätzliche Hardware verwendet werden können, können sie ähnlich wie Nahfeldkommunikationshandys für sichere mobile Zahlungen eingesetzt werden. Eine typische Implementierung ist die Verschlüsselung und Verwendung eines physischen, maschinenlesbaren Vorläufer-Tokens, wie z.B. die Kartenidentifikationsnummer (CID), die in den Nur-Lese-Speicher (ROM) einer Secure Digital microSD-Karte geschrieben wird, die in einem Mobiltelefon enthalten ist, oder sogar die internationale mobile Identitätsnummer für den Fall, dass keine microSD-Karte vorhanden ist, wie z.B. auf einem Apple iPhone. SQR-Codes können in einer Einzelhandelsumgebung am Verkaufspunkt mit Hilfe von 2D-Barcode-Scannern oder sogar einer kostengünstigen Web-Kamera sicher gelesen werden. Sichere Quick-Response-Codes wurden zuerst von Yodo, einem in Japan tätigen Unternehmen, entwickelt und sind zum Patent angemeldet.

Was sind die Kernmerkmale von SQR-Codes?

SQR-Codes kombinieren die physische Darstellung eines QR-Codes mit kryptographischen Mechanismen. Wichtige Merkmale sind:

  • Verschlüsselte Nutzdaten: Der im QR-Code enthaltene Payload ist verschlüsselt, sodass ein reiner Scan ohne den passenden Schlüssel nichts verwertbares liefert.
  • Hohe Datendichte: Wie normale QR-Codes speichern SQR-Codes vergleichsweise viel Information auf kleiner Fläche, einschließlich Signaturen, Nonces oder Zeitstempeln.
  • Einmaligkeit / Kurzlebigkeit: Viele Einsatzszenarien verwenden Einmal- oder kurzlebige Tokens (One-Time-Use), um Replay-Angriffe zu verhindern.
  • Kompatibilität: SQR-Codes lassen sich mit Standard-2D-Barcode-Scannern und Kameras lesen, benötigen aber auf Empfängerseite die Fähigkeit, die Verschlüsselung zu verifizieren/entschlüsseln.

Grundlegende Funktionsweise

Ein typischer Ablauf bei der Erzeugung und Nutzung eines SQR-Codes:

  • Ein Server oder ein sicheres Modul erzeugt einen Payload (z. B. eine Transaktionsnummer, ein Ticket oder eine Kontonummer) und versieht ihn mit einem Zeitstempel und einer Nonce.
  • Der Payload wird mit einem kryptographischen Schlüssel verschlüsselt oder mit einer digitalen Signatur versehen. Der Schlüssel kann hardwaregebunden im Gerät (z. B. in einer microSD-Secure-Element) oder serverseitig verwaltet sein.
  • Der verschlüsselte/gesignte Payload wird als SQR-Code auf dem Display des Endgeräts oder auf einem Ausdruck angezeigt.
  • Ein Scanner oder eine Kamera liest den SQR-Code, die empfangende Stelle verifiziert Signatur/Integrität und entschlüsselt — nur wenn Schlüssel und Kontext korrekt sind, wird der Klartext verarbeitet.

Sicherheitsmechanismen

SQR-Systeme nutzen typische kryptographische Bausteine:

  • Sitzungs- und Einmal-Token: Verhindern Replay-Angriffe durch kurze Gültigkeitsdauer und Einmalgebrauch.
  • Hardwaregebundene Schlüssel: Schlüssel oder Tokens, die in schreibgeschütztem Speicher (ROM), einem Secure Element oder einer microSD-Karte liegen, erhöhen die Sicherheit gegen Extraktion.
  • Symmetrische und asymmetrische Kryptographie: Symmetrische Verschlüsselung kann für Performance genutzt werden; asymmetrische Signaturen ermöglichen Verifikation ohne Teilen geheimer Schlüssel.
  • Integritätsschutz: Digitale Signaturen oder Message Authentication Codes (MAC) verhindern Manipulationen am Payload.

Einsatzbereiche

  • Mobile Zahlungen und Point-of-Sale-Authentifizierung
  • Sichere Ticketing-Systeme (Konferenzen, Verkehrsmittel)
  • Zwei-Faktor-Authentifizierung und Einmal-Passcodes
  • Maschinenlesbare Identitätsnachweise in sicherheitskritischen Prozessen
  • Übertragung sensitiver Zahlungs- oder Kontodaten ohne dauerhafte Speicherung auf dem Lesegerät

Vorteile und Grenzen

  • Vorteile: Keine zusätzliche Hardware für Endnutzer nötig, hohe Verbreitung von Kamerageräten, einfache Integration in bestehende QR-Workflows, gute Skalierbarkeit.
  • Grenzen: Sicherheit hängt stark von der Schlüsselverwaltung und dem Schutz der Endgeräte ab. Bildschirmkopien (Screenshots) oder Malware auf dem Gerät können die Sicherheit gefährden. Außerdem ist der verfügbare Speicherplatz eines QR-Codes begrenzt, sodass sehr große Datenmengen in mehreren Codes oder über einen zusätzlichen Kanal übertragen werden müssen.

Häufige Angriffsvektoren und Gegenmaßnahmen

  • Replay-Angriffe: Gegenmaßnahme: kurze Gültigkeitsdauer, Nonces und Server-Seiten-Überprüfung.
  • Screenshot / Bildschirmaufnahme: Gegenmaßnahme: Einmal-Tokens, sichtbare Ablaufanzeige, Benutzeraufforderung zur Bestätigung und Bindung an Gerät/Transaktion.
  • Phishing / manipulierte QR-Codes: Gegenmaßnahme: Signaturen und Verifikationskette, Nutzeraufklärung und Prüfung der Herkunft.
  • Key-Extraction / Gerätemanipulation: Gegenmaßnahme: Secure Elements, Hardware-Schutz, regelmäßige Audits und sichere Herstellungsketten.
  • Relaying (Man-in-the-Middle): Gegenmaßnahme: Challenge-Response-Protokolle und kurzlebige Nonces.

Technische Hinweise zur Implementierung

  • Verwenden Sie etablierte kryptographische Bibliotheken und Standards (z. B. AES, RSA/ECC, HMAC) statt eigener Krypto-Algorithmen.
  • Binden Sie Schlüssel an Hardware (Secure Element, TPM, sichere microSD) wenn möglich.
  • Minimieren Sie die im QR-Code enthaltenen sensiblen Informationen; bevorzugen Sie Referenzen (Token) zu servergespeicherten Daten.
  • Setzen Sie auf kurze Lebensdauer und Einmaligkeit der Codes, protokollieren Sie Scans zur Nachvollziehbarkeit.
  • Stellen Sie sicher, dass der Leseserver die Herkunft des Codes und die korrekte Entschlüsselung verifiziert, idealerweise über verschlüsselte Verbindungen (TLS) mit Authentifizierung.

Geschichte und rechtlicher Hinweis

Die ursprüngliche Beschreibung erwähnt, dass SQR-Codes zuerst von Yodo, einem in Japan tätigen Unternehmen, entwickelt wurden und zum Patent angemeldet sind. Wer SQR-Technik in Produkten einsetzen will, sollte die Patentlage prüfen und ggf. Lizenzbedingungen berücksichtigen.

Fazit

SQR-Codes sind eine praktikable Methode, verschlüsselte, maschinenlesbare Informationen auf mobilen Displays oder gedruckt zu übertragen, ohne zusätzliche Hardware für Endnutzer vorauszusetzen. Sicherheit und Vertrauenswürdigkeit hängen jedoch stark von Schlüsselverwaltung, Hardware-Schutz und Protokolldesign ab. Bei sorgfältiger Implementierung eignen sich SQR-Codes gut für sichere Zahlungen, Authentifizierung und vertrauliche Übertragungen im Mobilbereich.