Я буду читать «данные, которые не нуждаются в защите» как означающие «общедоступные данные», которые подписаны и закодированы по подписи в QR-коде.
Любой желающий может поставить QR-код, содержащий исходные общедоступные данные и подпись, на любой документ. Это пройдет проверку по исходному открытому ключу, при этом исходные общедоступные данные будут восстановлены сканером. Ксерокопия или резкое изображение, показанное на смартфоне, обычно достаточно¹ (часто это функция).
Цифровая подпись предотвращает изменение (не дублирование) подписанных данных. Подробнее: Стандартное определение схемы безопасной подписи: Экзистенциальная невозможность подделки при атаке выбранного сообщения [EUF-CMA]. По сути, в нем говорится, что злоумышленники, получив открытый ключ и пары сообщение/подпись (в том числе для сообщений по своему выбору), не могут создать действительную подпись для любого Другие сообщение.Это означает, что злоумышленник (предполагается, что у него нет закрытого ключа и устройства для подписи) не может обе пройти проверку по оригинальному открытому ключу и изменить открытые данные, восстановленные сканером. Это не мешает злоумышленнику представить исходные данные и подпись, которые пройдут проверку подписи.
Мы не можем избежать клонирования 2D-код. Другие технологии, такие как смарт-карты или более совершенные бумажные технологии², могут предотвратить клонирование.
¹ Также практически у всех ридеров QR-код может быть визуально разным, в том числе значительно больше или меньше, другого цвета, повернутым, частично измененным, а также с чуть меньшим или большим количеством пикселей путем изменения параметров кодирования. С некоторыми ридерами также можно отражать, инвертировать контраст или переходить с QR-кода на другой. 2D-код такие как Aztec, DataMatrix, PDF417.
² Было предложено закодировать в подписанном QR-коде некоторые трудно воспроизводимые характеристики бумаги и отклонить QR-код, если при проверке совпадений нет.
