La clau privada no surt del navegador
Les claus de firma es generen al dispositiu de qui emet els codis. La clau privada —la que firma— no s'envia mai al servidor.
Un QR firmat és un codi l'enllaç del qual porta una firma criptogràfica de qui l'ha emès. No canvia res a l'aspecte del quadrat: el canvi és que ara qualsevol pot comprovar, abans d'obrir l'enllaç, quina organització l'ha creat. Aquí t'expliquem què demostra exactament, què no, i com verificar-lo en tres passos.
● Verificació al navegador, sense app● Sense compte● Clau pública oberta
Ves al verificador públic. S'obre com qualsevol web, sense instal·lar cap aplicació ni crear cap compte.
Pots enganxar l'enllaç del QR o enfocar el codi amb la càmera. Tota la comprovació passa al teu propi dispositiu.
Et mostra el domini real de destinació, les redireccions i, si el codi duu firma, quina organització l'ha emès i si la firma és vàlida.
Les claus de firma es generen al dispositiu de qui emet els codis. La clau privada —la que firma— no s'envia mai al servidor.
La part pública es publica en un format obert i estàndard (JWKS), de manera que qualsevol —no només Qmarque— pot comprovar les firmes. GS1 recomana precisament fer descansar la confiança en el domini de marca; això n'és la peça criptogràfica.
El verificador contrasta la firma del codi amb la clau pública de l'emissor. Si quadra, el codi és autèntic; si no, es delata com a imitació.
Referència de l'estàndard: GS1 Digital Link ↗. La confiança ve del domini de marca que hi ha al darrere del codi.
Autenticitat d'emissor: quina organització ha emès el codi. Integritat de destinació: que l'enllaç viu al domini de l'organització i no caducarà cap a mans de tercers. I, en codis serialitzats, si un mateix codi ja s'havia vist abans.
No demostra que l'objecte físic on està imprès sigui l'original —això és anti-falsificació física, un altre terreny. I no impedeix que un tercer imprimeixi el seu propi QR fals: la firma no atura l'atac, impedeix que se't suplantin davant de qui verifica.
És un codi QR l'enllaç del qual porta una firma criptogràfica generada amb la clau privada de qui l'ha emès. Qualsevol pot comprovar aquesta firma amb la clau pública corresponent i confirmar quina organització ha emès el codi.
Amb un verificador web públic: enganxes la URL o enfoques el codi amb la càmera i la comprovació es fa al teu propi navegador. Et diu el domini real de destinació i, si el codi duu firma, quina organització l'ha emès.
No. El verificador s'obre al navegador i la comprovació es fa al mateix dispositiu, sense instal·lar res ni crear cap compte.
No demostra que l'objecte físic on està imprès sigui l'original ni impedeix que un tercer imprimeixi el seu propi QR fals. Demostra l'autenticitat de l'emissor i que la destinació viu al domini de l'organització: t'assegura qui l'ha fet, no que ningú altre pugui falsificar-ne un de nou.
Tot el context del quishing i com respondre-hi.
El QR firmat ve inclòs amb Studio i superiors. Dona als teus clients i ciutadans una manera de comprovar que els teus codis són teus, sense sobrepromeses.