La clave privada no sale del navegador
Las claves de firma se generan en el dispositivo de quien emite los códigos. La clave privada —la que firma— no se envía nunca al servidor.
Un QR firmado es un código cuyo enlace lleva una firma criptográfica de quien lo ha emitido. No cambia nada en el aspecto del cuadrado: el cambio es que ahora cualquiera puede comprobar, antes de abrir el enlace, qué organización lo ha creado. Aquí te explicamos qué demuestra exactamente, qué no, y cómo verificarlo en tres pasos.
● Verificación en el navegador, sin app● Sin cuenta● Clave pública abierta
Ve al verificador público. Se abre como cualquier web, sin instalar ninguna aplicación ni crear ninguna cuenta.
Puedes pegar el enlace del QR o enfocar el código con la cámara. Toda la comprobación pasa en tu propio dispositivo.
Te muestra el dominio real de destino, las redirecciones y, si el código lleva firma, qué organización lo ha emitido y si la firma es válida.
Las claves de firma se generan en el dispositivo de quien emite los códigos. La clave privada —la que firma— no se envía nunca al servidor.
La parte pública se publica en un formato abierto y estándar (JWKS), de modo que cualquiera —no solo Qmarque— puede comprobar las firmas. GS1 recomienda precisamente hacer descansar la confianza en el dominio de marca; esta es su pieza criptográfica.
El verificador contrasta la firma del código con la clave pública del emisor. Si coincide, el código es auténtico; si no, se delata como imitación.
Referencia del estándar: GS1 Digital Link ↗. La confianza viene del dominio de marca que hay detrás del código.
Autenticidad de emisor: qué organización ha emitido el código. Integridad de destino: que el enlace vive en el dominio de la organización y no caducará hacia manos de terceros. Y, en códigos serializados, si un mismo código ya se había visto antes.
No demuestra que el objeto físico donde está impreso sea el original —eso es antifalsificación física, otro terreno. Y no impide que un tercero imprima su propio QR falso: la firma no detiene el ataque, impide que te suplanten ante quien verifica.
Es un código QR cuyo enlace lleva una firma criptográfica generada con la clave privada de quien lo ha emitido. Cualquiera puede comprobar esa firma con la clave pública correspondiente y confirmar qué organización ha emitido el código.
Con un verificador web público: pegas la URL o enfocas el código con la cámara y la comprobación se hace en tu propio navegador. Te dice el dominio real de destino y, si el código lleva firma, qué organización lo ha emitido.
No. El verificador se abre en el navegador y la comprobación se hace en el propio dispositivo, sin instalar nada ni crear ninguna cuenta.
No demuestra que el objeto físico donde está impreso sea el original ni impide que un tercero imprima su propio QR falso. Demuestra la autenticidad del emisor y que el destino vive en el dominio de la organización: te asegura quién lo ha hecho, no que nadie más pueda falsificar uno nuevo.
Todo el contexto del quishing y cómo responder.
El QR firmado viene incluido con Studio y superiores. Da a tus clientes y ciudadanos una forma de comprobar que tus códigos son tuyos, sin sobrepromesas.