Gedruckte Seiten signieren und verifizieren
Gedruckte Seiten signieren und verifizieren
Ich fragte mich gerade ob und wie man sicherstellen kann, dass der Inhalt einer gedruckten Seite der selbe ist, wie der des PDFs aus dem es kam.
Klar ist, das PDF ist einfach: ich kann eine Signatur erstellen und prüfen, ob die Signatur mit dem Hash der Seite übereinstimmt.
Aber beim Ausdruck? Mit reinem Text ist das vielleicht noch machbar - dazu müsste man den abtippen oder OCR verwenden.
Aber mit Grafiken?
Gibt es da Methoden? Die müssen nicht praktikabel sein, würde mich nur interessieren welche Methoden da vielleicht schon mal ausprobiert wurden.
Ich kenn zB nur die Signatur QR codes, bei denen ein hash aufgedruckt ist und per QR code kommt man zu einer vertrauenswürdigen seite die dann den hash bestätigt. Streng genommen verifiziere ich damit aber nur dem aufgedruckten Hash und nicht den Inhalt selber, wenn ich das System richtig verstehe.
Klar ist, das PDF ist einfach: ich kann eine Signatur erstellen und prüfen, ob die Signatur mit dem Hash der Seite übereinstimmt.
Aber beim Ausdruck? Mit reinem Text ist das vielleicht noch machbar - dazu müsste man den abtippen oder OCR verwenden.
Aber mit Grafiken?
Gibt es da Methoden? Die müssen nicht praktikabel sein, würde mich nur interessieren welche Methoden da vielleicht schon mal ausprobiert wurden.
Ich kenn zB nur die Signatur QR codes, bei denen ein hash aufgedruckt ist und per QR code kommt man zu einer vertrauenswürdigen seite die dann den hash bestätigt. Streng genommen verifiziere ich damit aber nur dem aufgedruckten Hash und nicht den Inhalt selber, wenn ich das System richtig verstehe.
Re: Gedruckte Seiten signieren und verifizieren
Ich würde in das PDF einen QR-Code einbetten, der zu einer Onlineversion des Dokumentes führt.reox hat geschrieben:08.03.2023 08:02:14Ich kenn zB nur die Signatur QR codes, bei denen ein hash aufgedruckt ist und per QR code kommt man zu einer vertrauenswürdigen seite die dann den hash bestätigt. Streng genommen verifiziere ich damit aber nur dem aufgedruckten Hash und nicht den Inhalt selber, wenn ich das System richtig verstehe.
Re: Gedruckte Seiten signieren und verifizieren
Und dann dem Anwender die Verifikation überlassen, also die Seiten vergleichen?
Re: Gedruckte Seiten signieren und verifizieren
Wie sonst?reox hat geschrieben:08.03.2023 09:32:59Und dann dem Anwender die Verifikation überlassen, also die Seiten vergleichen?
Ich frage mich worauf genau Du hinauswillst.
Gruß
Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])
Re: Gedruckte Seiten signieren und verifizieren
Ist auch nicht zu Ende gedacht: wenn jemand beim Ausdruck was ändern kann, kann er auch einen QR-Code reinsetzen, der auf seine Seite mit dem manipulierten PDF zeigt.bluestar hat geschrieben:08.03.2023 09:03:52Ich würde in das PDF einen QR-Code einbetten, der zu einer Onlineversion des Dokumentes führt.
Re: Gedruckte Seiten signieren und verifizieren
Ich dachte ich hätte das beschrieben
Es geht einfach darum: Es gibt ein digitales Dokument und davon einen Ausdruck. Wie verifiziert ein Leser, dass die Hardcopy dem entspricht was digital vorhanden ist?
Für kurze Texte oder zB eine Rechnung ist es einfach, wenn man nur wenig Informationen in einen Hash verpacken muss - bei einer A4 Seite Text oder gar einem Buch eher schwierig. Bei Grafiken sowieso.
Wie gesagt, digital ist einfach, analog ist schwer. Vielleicht hat sich jemand darüber mal Gedanken gemacht und es gibt Konzepte abseits von abtippen, einscannen etc.
Ich will es nicht einsetzen, mich interessiert ob es da grundsätzlich Ideen zu gibt. (Ich vermute, ich bin nicht der erste dem dieser Gedanke gekommen ist)
Re: Gedruckte Seiten signieren und verifizieren
Wie soll das gehen, ohne die Hardcopy wieder zu digitalisieren?reox hat geschrieben:08.03.2023 10:04:39Vielleicht hat sich jemand darüber mal Gedanken gemacht und es gibt Konzepte abseits von abtippen, einscannen etc.
Ohne einscannen, abfotographieren oder abtippen kann es nicht gehen. Es sei denn, der Mensch legt die Hardcopy direkt neben den Bildschirm mit der angezeigten Digitalkopie und vergleicht mm² für mm².
Und selbt der rechnergestützte Vergleich der eingescannten Hardcopy mit dem digitalen Original ist unmöglich. Die gescannte Version kann niemals ein pixelgenaues Abbild des digitalen Originals sein. Der Vergleich der beiden Version kann also immer nur mit statistischer Wahrscheinlliichkeit stattfinden, was die Möglichkeit von false Positives offen läßt.
Re: Gedruckte Seiten signieren und verifizieren
Ich glaube zu verstehen, was Du meinst. Man kann aber von Ausdrucken nur dann mit letzter Gewissheit sagen, dass sie mit dem elektronischen Original übereinstimmen, wenn man sie eben selbst vergleicht. In der analogen Welt gibt es halt kein MD5 o.ä.
Wie ich das im Moment sehe, könntest Du Dir den Vergleich nur vereinfachen, indem Du den Ausdruck fotografierst/digitalisierst, invertierst und dann passgenau über einen Screenshot des elektronischen Original legst - wenn es dann „Blitzer“ gibt, stimmen Original und Ausdruck nicht überein. Wenn eine lückenlos schwarze Fläche entsteht, sind die Dokumente identisch.
Nicht ohne Grund werden bei Verträgen zwei Exemplare angefertigt - jeweils eines für beide Vertragspartner, damit man bei Meinungsverschiedenheiten beide Exemplare 1-zu-1 vergleichen kann.
Gruß
Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])
Re: Gedruckte Seiten signieren und verifizieren
Ja das ist ja die Frage fast 600 Jahre Buchdruck und mehr als 8000 Jahre Schrift haben ja evt schonmal das Problem aufgeworfen sicherzustellen, dass eine Kopie auch wirklich eine Kopie ist. Ich dachte vielleicht wurde in der Zeit ja schonmal eine Methode entwickelt. Ich weiß nur nicht wirklich nach was ich suchen soll. Meine bisherigen Suchen haben ergeben, dass man zB Hashes über wichtige Teile des Textes legt (eben zB bei einer Rechnung) aber dann hörts auch schon auf.
MIr kam der Gedanke heute morgen in der U-Bahn und ich dachte mir, das ist ein schwieriges Problem, vielleicht gibt es aber doch interessante Lösungsansätze. Aber wie mir scheint sind die trivialen Lösungen auch gleichzeitig die Arbeitsaufwändigsten.
Ja, oder anders herum den gesamten Text auf Transparentfolie zu drucken und über den Text zu legen.GregorS hat geschrieben:08.03.2023 10:28:34Wie ich das im Moment sehe, könntest Du Dir den Vergleich nur vereinfachen, indem Du den Ausdruck fotografierst/digitalisierst, invertierst und dann passgenau über einen Screenshot des elektronischen Original legst - wenn es dann „Blitzer“ gibt, stimmen Original und Ausdruck nicht überein. Wenn eine lückenlos schwarze Fläche entsteht, sind die Dokumente identisch.
Re: Gedruckte Seiten signieren und verifizieren
Natürlich kann man Hashes berechnen, aber die bringen halt gar nichts, wenn du einen Papierausdruck hast. Ein Hash muß einmal als Sollwert und einmal als berechneter Wert vorliegen, um die vergleichen zu können. Der Sollwert kann als lange Zahlenkolonne, Barcode oder auch als QR-Code auf Papier gebracht werden. Der berechnet Wert muß aber vom ausgedruckten berechnet werden, was eine Redigitalisierung voraussetzt, und dann rennst du in das Problem, daß man dabei nur noch statistische Hashes berechnen kann und keine eakten Hashes mehr nutzen kann. Selbst mit OCR hast du eine gewisse Fehlerquote, und Hashes aus fehlerhaften Daten führen zwangsläufig zu nicht übereinstimmenden Hashes. Mit anderen Worten, das Problem ist bei Papierausdrucken nicht lösbar.reox hat geschrieben:08.03.2023 10:38:31Meine bisherigen Suchen haben ergeben, dass man zB Hashes über wichtige Teile des Textes legt.
Re: Gedruckte Seiten signieren und verifizieren
Ja das ist richtig. Sagen wir mal es gibt einen einfachen Fall einer Rechnung.MSfree hat geschrieben:08.03.2023 11:21:32Natürlich kann man Hashes berechnen, aber die bringen halt gar nichts, wenn du einen Papierausdruck hast. Ein Hash muß einmal als Sollwert und einmal als berechneter Wert vorliegen, um die vergleichen zu können
Als Vorraussetzung sei gegeben, dass ich im Besitz von einer digitalen Kopie incl Signatur bin und der Hardcopy.
Sicherlich lassen sich da die Posten auch sehr einfach händisch vergleichen aber for the sake of the argument, bleiben wir mal beim Beispiel.
Ich kann jetzt einmal die Digitale Rechnung signieren und einfach am PC die signatur verifizieren. Zusätzlich kann ich einen Hash bilden aus den wichtigsten Merkmalen, also zB Rechnungsnummer, Betrag, IBAN und wenn das mit dem aus dem digitalen Dokument übereinstimmt ist das ein guter Indikator.
Das skaliert halt wie gesagt nicht mit einem Buch.
Auf der Uni gabs ein System zur Verifikation von Studienblättern und anderen Dokumenten. Auf dem Zettel war ein QR Code mit dem man zu einer Webseite geschickt wurde. Aber ich kann mich nicht mehr genau erinnern wie das funktionierte, wollte das grad nochmal nachschauen aber mittlerweile wurde es abgeschafft und durch folgenden Hinweis ersetzt:
Also äh ja,... Manuelle Intervention erforderlichUnter Verifizierung im Sinne des § 20 E-GovG ist die Bestätigung zu verstehen, dass das als Ausdruck vorliegende Dokument von der dort angeführten Behörde stammt. Falls Sie ein amtssigniertes Dokument der Technischen Universität Wien verifizieren möchten, wenden Sie sich bitte an diese Postadresse: [..] oder Sie senden ein eingescanntes Schriftstück per E-Mail an [..]
Re: Gedruckte Seiten signieren und verifizieren
Du konntest dir also im Webbrowser das Originaldokument anzeigen lassen, so daß du es manuell mit dem ausgedruckten vergleichen konntest.reox hat geschrieben:08.03.2023 12:07:58Auf der Uni gabs ein System zur Verifikation von Studienblättern und anderen Dokumenten. Auf dem Zettel war ein QR Code mit dem man zu einer Webseite geschickt wurde.
Was eben nicht zuverlässig und vor allem nicht fälschungssicher ist.Also äh ja,... Manuelle Intervention erforderlich
Man hätte dir einen Audruck geben können, auf dem der QR-Code manipuliert war, so daß der dich auf eine andere URL lenkt. Auf der anderen URL hätte man eine Digitalversion deines manipulierten Ausdrucks ablegen können.
Das wird wohl auch der Grund sein, warum man das abgeschaltet hat.
Re: Gedruckte Seiten signieren und verifizieren
Nein, das war irgendwie anders... Ich glaub sogar nicht mal das Dokument hat man gesehen sondern nur eine Bestätigung das dieser QR Code korrekt ist oder so... Ich kann mich aber auch grad irren.MSfree hat geschrieben:08.03.2023 12:17:26Du konntest dir also im Webbrowser das Originaldokument anzeigen lassen, so daß du es manuell mit dem ausgedruckten vergleichen konntest.reox hat geschrieben:08.03.2023 12:07:58Auf der Uni gabs ein System zur Verifikation von Studienblättern und anderen Dokumenten. Auf dem Zettel war ein QR Code mit dem man zu einer Webseite geschickt wurde.
Ich hab das maximal 1x zum testen probiert - und das ist viele Jahre her. Ich hab noch Dokuemente mit dem Code gefunden, aber die Webseite die man da erreicht sagt "Dieser Dienst wurde abgeschalten".
Re: Gedruckte Seiten signieren und verifizieren
Sowas ist halt überhaupt nicht fälschungsicher. Man könnte einfach eine Seite aus Heinz Erhardts "noch'n Gedicht" und den echten QR-Code mit einem Fotokopierer zumannenmontieren. Der QR-Code bringt dich auf eine Bestätigungsseite, der Inhalt des Ausdrucks hat aber mit dem beabsichtigten Inhalt gar nichts zu tun.reox hat geschrieben:08.03.2023 13:34:41Nein, das war irgendwie anders... Ich glaub sogar nicht mal das Dokument hat man gesehen sondern nur eine Bestätigung das dieser QR Code korrekt ist oder so...
Aus meiner Sicht gibt es keine Möglichkeit, analoge Ausdrucke einwandfrei und ohne jeden Zweifel zu verifizieren. Man kann zwar mithilfe der Bildverarbeitung (Image Matching) den Ausdruck mit dem Original korrellieren lassen, was aber immer nur zu eine statistischen Aussage führt, bespielsweise, der Ausdruck ist mit 95% Sicherheit mit dem Original identisch. Die restlichen 5% können auch false Positives sein.
Nicht überraschend, daß das System in der Uni nicht mehr erreichbar ist.
Re: Gedruckte Seiten signieren und verifizieren
Ich kann halt leider nicht mehr mit Gewissheit sagen wie dieser QR Code funktioniert hat und kanns jetzt auch nicht mehr testen.
Der Umstieg erfolgte möglicherweise nur weil die Dokumente jetzt per Amtssignatur signiert werden und nicht weil das System nicht funktionierte.
Jedenfalls scheint es ja nicht wirklich eine Methode, außer die genannten mit Einscannen/Abtippen/... zu geben.
Mir schwirrte durch den Kopf ob es nicht Geometrische Methoden gibt etc... ("Falte die Seite 2x und halte die Seite gegen den Vollmond am 1. Sonntag ...." )
Der Umstieg erfolgte möglicherweise nur weil die Dokumente jetzt per Amtssignatur signiert werden und nicht weil das System nicht funktionierte.
Jedenfalls scheint es ja nicht wirklich eine Methode, außer die genannten mit Einscannen/Abtippen/... zu geben.
Mir schwirrte durch den Kopf ob es nicht Geometrische Methoden gibt etc... ("Falte die Seite 2x und halte die Seite gegen den Vollmond am 1. Sonntag ...." )
Re: Gedruckte Seiten signieren und verifizieren
Sowas ähnliches macht man beim Geldscheindruck. Dort werden gezielt Eingenschaften im Papier und im Druck untergebracht, um es Fälschern möglichst schwer zu machen. Beispielsweise werden Silberstreifen, Hologramm, fluoreszierende Tinte, Merkmale, die im Durchlicht durchgängig erscheinen müssen, Microdruck, etc. eingebracht.reox hat geschrieben:08.03.2023 14:06:10Mir schwirrte durch den Kopf ob es nicht Geometrische Methoden gibt etc... ("Falte die Seite 2x und halte die Seite gegen den Vollmond am 1. Sonntag ...." )
Hierbei soll der Aufwand, Geldnoten zu fälschen, so hoch angesetzt werden, daß es sich für den Fälscher nicht lohnt, diesen zu betreiben. Dennoch zeigen falsche Banknoten aber, daß Fälschungen nicht von jederman erkennbar sind und gefälschte Banknoten in den Umlauf gelangen.
So viel Aufwand läßt sich aber mit normalen Papierausdrucken gar nicht betreiben, was das Erstellen von Fälschungen stark vereinfachen, ohne daß der Nutzer das verifizieren könnte.
Ohne eine Sollkopie (egal ob analog oder digital) läßt sich ein einfach fälschbarer Ausdruck überhaupt nicht aufdecken. Und wenn die Erkennung automatisch stattfinden sein soll, muß man wohl oder übel den Ausdruck digitalisieren und mit dem Sollzustand vergleichen, was aber eben nicht zweifellsfrei machbar ist.
Re: Gedruckte Seiten signieren und verifizieren
Gut, ich dachte jetzt nicht so sehr an Fälschungssicherheit aber das ist natürlich auch ein Gedanke.
Meine Überlegung ging eher in die Richtung, zB eine Art "Krypto-Grafische-Prüfsumme" (pun intended) in den Text einzubauen. Also wenn man den Zettel besonders faltet sollte man am Rand das selbe Muster haben wie auf einer Referenz. Sowas liese sich halbwegs einfach auch gegenüber einem Bildschirm kontrollieren.
Die Frage ist allerdings ob man dazu nicht den Textsatz so verändern müsste, dass diese Muster Sinn ergeben, so dass der Text nur mehr schwer lesbar wird.
Eine andere Richtung in die man denken könnte wäre noch der Vergleich von Hardcopies zueinander. Evt lässt sich aus so einem Verfahren eine nette Methode ableiten.
Gibt es da noch andere geschickte Varianten als Wort für Wort vergleichen oder bei einseitig Bedruckten Papieren das übereinander legen?
Meine Überlegung ging eher in die Richtung, zB eine Art "Krypto-Grafische-Prüfsumme" (pun intended) in den Text einzubauen. Also wenn man den Zettel besonders faltet sollte man am Rand das selbe Muster haben wie auf einer Referenz. Sowas liese sich halbwegs einfach auch gegenüber einem Bildschirm kontrollieren.
Die Frage ist allerdings ob man dazu nicht den Textsatz so verändern müsste, dass diese Muster Sinn ergeben, so dass der Text nur mehr schwer lesbar wird.
Eine andere Richtung in die man denken könnte wäre noch der Vergleich von Hardcopies zueinander. Evt lässt sich aus so einem Verfahren eine nette Methode ableiten.
Gibt es da noch andere geschickte Varianten als Wort für Wort vergleichen oder bei einseitig Bedruckten Papieren das übereinander legen?
Re: Gedruckte Seiten signieren und verifizieren
Das Problem mit dem manipulierten QR-Code loest man wie man es auch bei potenziell manipulierten Links/Adressen/Telefonnummern in Mails macht (oder wenn man von einer Person angerufen wird, die sich als von der Polizei ausgibt): Man klickt nicht drauf, sondern ruft die offizielle Website der jeweiligen Gegenstelle direkt auf und tippt dort die ID-Nummer ein.
Bei Papier gibt es, wie schon erwaehnt, dieses Problem natuerlich auch, vor allem bei alten Handschriften. Dort wird durch Papieranalyse (Wasserzeichen, usw.) geprueft, ob es aus der richtigen Zeit und vom richtigen Ort stammt. Auch die Tinte kann analysiert werden. Zudem koennen Handschriften verglichen werden. Wenn du nicht in besonderes Papier investieren und nicht von Hand schreiben willst, wirst du hier wenig Moeglichkeiten haben.
Die Frage ist, *wofuer* du das brauchst. Wie oft wird ein Dokument wohl geprueft werden? Gibt es eine zentrale Stelle, die Auskunft ueber den korrekten Inhalt geben koennte? Fuer wie lange Zeit soll die Pruefung moeglich sein? Wie bedeutend ist die Information?
In der Realitaet muessen die meisten Dokumente gar nicht perfekt sicher sein.
Bei Papier gibt es, wie schon erwaehnt, dieses Problem natuerlich auch, vor allem bei alten Handschriften. Dort wird durch Papieranalyse (Wasserzeichen, usw.) geprueft, ob es aus der richtigen Zeit und vom richtigen Ort stammt. Auch die Tinte kann analysiert werden. Zudem koennen Handschriften verglichen werden. Wenn du nicht in besonderes Papier investieren und nicht von Hand schreiben willst, wirst du hier wenig Moeglichkeiten haben.
Die Frage ist, *wofuer* du das brauchst. Wie oft wird ein Dokument wohl geprueft werden? Gibt es eine zentrale Stelle, die Auskunft ueber den korrekten Inhalt geben koennte? Fuer wie lange Zeit soll die Pruefung moeglich sein? Wie bedeutend ist die Information?
In der Realitaet muessen die meisten Dokumente gar nicht perfekt sicher sein.
Use ed once in a while!
Re: Gedruckte Seiten signieren und verifizieren
Ich brauche das eigentlich gar nicht.
Ich hab am Montag ein Dokument zur Druckerei gebracht und während in der U-Bahn neben mir die Landschaft vorbeigezogen ist und ich aus dem Fenster schaute, hab ich mich gefragt wie irgendwer eigentlich sicherstellen kann, dass die gedruckte Variante genau dem entspricht was ich als PDF am Stick zur Druckerei gebracht habe. Ich kann nicht vier Kopien von dem Dokument Seite für Seite abgleichen (also können schon aber nicht in der verfügbaren Zeit).
Dann fragte ich mich ob sich das nicht schon mal überlegt hat. Ich fing an ein paar Suchbegriffe in $Suchmaschine zu werfen, mit keinem Ergebnis. Das machte mich nachdenklich, weil ich mir dachte "das selbe Problem muss doch schon mal wer gehabt haben und dafür muss es doch eine Lösung geben".
Naja dann dachte ich noch nach wie man bei einer Hardcopy zB sowas wie RFC 3161 implementieren kann. Aber da wäre wohl auch das einfachste, das Dokument einscannen und dann den etablierten digitalen Prozess gehen.
Im Grunde wurde mir bewusst wie schlecht sich gut funktionierende digitale kryptografische Verfahren auf die "analoge" Welt übertragen lassen...
Ich war der Meinung, dass es doch irgendeine tolle Methode geben müsse und irgendjemand Schlaues da sicher schon was entwickelt hat - aber offenbar ist dem gar nicht so und dort wo ich mit den Gedanken angestanden bin ist tatsächlich auch die reale Limitation.
Ja und in meinem Fall kann ich vermutlich die Anzahl der Personen die sich diese Hardcopy ansehen werden an einer Hand abzählen, wobei ich vermutlich derjenige sein werde, der es aus nostalgischen Gründen am Häufigsten in der Hand haben wird.Meillo hat geschrieben:08.03.2023 19:07:01In der Realitaet muessen die meisten Dokumente gar nicht perfekt sicher sein.
Man soll ja, wenn man QR Codes erstellt, den Inhalt auch immer daneben schreiben - was leider kaum jemand wirklich macht. Das macht vllt bei einer URL Sinn, aber bei einem (langen, schlecht abzutippenden) Hash wird es schon schwieriger. Aber das führt ja zu einer weiteren Interessanten Thematik: Wie überprüfe ich nun ob der QR Code überhaupt den selben Inhalt hat, wenn ich ihn nicht scannen will, um zB einem möglichen Angriff auf mein Lesegerät vorzubeugen? Eine RCE per QR Code ist ja nicht ganz ausgeschlossen...Meillo hat geschrieben:08.03.2023 19:07:01Das Problem mit dem manipulierten QR-Code loest man wie man es auch bei potenziell manipulierten Links/Adressen/Telefonnummern in Mails macht (oder wenn man von einer Person angerufen wird, die sich als von der Polizei ausgibt): Man klickt nicht drauf, sondern ruft die offizielle Website der jeweiligen Gegenstelle direkt auf und tippt dort die ID-Nummer ein.
Re: Gedruckte Seiten signieren und verifizieren
Warum sollte man das machen wollen?reox hat geschrieben:09.03.2023 09:09:35Man soll ja, wenn man QR Codes erstellt, den Inhalt auch immer daneben schreiben - was leider kaum jemand wirklich macht.
Wer böses im Schilde führt, erzeugt einen QR-Code, der einen auf eine Seite mit Schadsoftware führt und schreibt "www.die-maus.de" daneben. Wie willst du das überprüfen? Es soll ja Menschen geben, die Barcodes ohne Hilfsmittel lesen können, bei QR-Code mit seinen vielen Codiermöglichkeiten und unterschiedlichen Fehlerkorrekturcodes ist das allerdings um vieles schwieriger.
Ohne den Code zu scannen, ist es also zumindest schwer, an den Inhalt zu kommen. Du darfst aber gerne mal den QR-Code meines Avatars scannen, ich garantiere, daß der nicht schädlich ist.
Re: Gedruckte Seiten signieren und verifizieren
Ha! Wie lustig es waere, wenn man seine Abschlussarbeit drucken laesst und dann im Mittelteil auf den Seiten voelliger Quatsch steht, weil in der Druckerei ein boeses Programm den Text des PDFs ausgetauscht hat, aber halt nur auf irgendwelchen Seiten im Mittelteil, damit man es nicht merkt, weil wer schaut schon 60 Seiten Wort fuer Wort durch. Dann steht da womoeglich ``Mein Betreuer ist ein Quatschkopf!'' ... viel Spass, hinterher abzustreiten, dass dass von einem selbst kommt, sondern von der Druckerei.reox hat geschrieben:09.03.2023 09:09:35Ich hab am Montag ein Dokument zur Druckerei gebracht und während in der U-Bahn neben mir die Landschaft vorbeigezogen ist und ich aus dem Fenster schaute, hab ich mich gefragt wie irgendwer eigentlich sicherstellen kann, dass die gedruckte Variante genau dem entspricht was ich als PDF am Stick zur Druckerei gebracht habe. Ich kann nicht vier Kopien von dem Dokument Seite für Seite abgleichen (also können schon aber nicht in der verfügbaren Zeit).
In der Praxis kann man sich jedoch daran halten, dass die Druckerei ihre Reputation nicht gefaehrden will und darum sowas unterlaesst ... und deren Mitarbeiter wiederum nicht gefeuert werden wollen und es darum nicht riskieren, usw.
Falls es sich um sowas wie eine Abschlussarbeit handelt (wonach es sich etwa anhoert), dann ist es dort heutzutage doch schon so, dass die digitale Version das Original ist und die Ausdrucke nur noch Convenience-Copies sind.reox hat geschrieben:09.03.2023 09:09:35Ja und in meinem Fall kann ich vermutlich die Anzahl der Personen die sich diese Hardcopy ansehen werden an einer Hand abzählen, wobei ich vermutlich derjenige sein werde, der es aus nostalgischen Gründen am Häufigsten in der Hand haben wird.Meillo hat geschrieben:08.03.2023 19:07:01In der Realitaet muessen die meisten Dokumente gar nicht perfekt sicher sein.
Danebenschreiben faende ich schon, ist aber nicht unbedingt noetig, weil man den QR-Code ja einfach auslesen und seinen Inhalt anzeigen lassen kann, ein Smartphone vorausgesetzt. Man muss den enthaltenen Link ja nicht direkt aufrufen.reox hat geschrieben:09.03.2023 09:09:35Man soll ja, wenn man QR Codes erstellt, den Inhalt auch immer daneben schreiben - was leider kaum jemand wirklich macht. Das macht vllt bei einer URL Sinn, aber bei einem (langen, schlecht abzutippenden) Hash wird es schon schwieriger. Aber das führt ja zu einer weiteren Interessanten Thematik: Wie überprüfe ich nun ob der QR Code überhaupt den selben Inhalt hat, wenn ich ihn nicht scannen will, um zB einem möglichen Angriff auf mein Lesegerät vorzubeugen? Eine RCE per QR Code ist ja nicht ganz ausgeschlossen...Meillo hat geschrieben:08.03.2023 19:07:01Das Problem mit dem manipulierten QR-Code loest man wie man es auch bei potenziell manipulierten Links/Adressen/Telefonnummern in Mails macht (oder wenn man von einer Person angerufen wird, die sich als von der Polizei ausgibt): Man klickt nicht drauf, sondern ruft die offizielle Website der jeweiligen Gegenstelle direkt auf und tippt dort die ID-Nummer ein.
Wichtig ist, die enthaltene URL nicht einfach aufzurufen, weil das ja eine gefaelschte Seite sein koennte, sondern die Seite der Herausgabestelle des Dokuments manuell aufzurufen und in einem dort hinterlegten Pruefformular die ID-Nummer, die auf dem Dokument abgedruckt ist (und auch in der im QR-Code abgelegten URL enthalten ist), einzutragen. Entscheidend ist also, dass man sicherstellt auch wirklich bei der *richtigen* Pruefstelle zu pruefen.
Ich weiss allerdings nicht, ob man den Sinn dieses Vorgehens Personen der Generation-Z (oder wie die Digital Natives heissen) noch vermitteln kann.
Use ed once in a while!
Re: Gedruckte Seiten signieren und verifizieren
Bei Überweisungen gibt es z. B. den EPC-QR-Code. Wie jeder QR-Code deckt er jedoch nur die Felder ab, die dort enthalten sind. Auf der von mir verlinkten Wikipedia-Seite sind Beispielwerte und auch der zugehörige QR-Code aufgeführt. Aber es ist nur eine Überweisung und keine Auflistung von Einzelposten einer Rechnung usw. Banken benennen das natürlich anders bzw. die Marketing-Abteilungen haben sich dafür schöne Begriffe überlegt.reox hat geschrieben:Ich kann halt leider nicht mehr mit Gewissheit sagen wie dieser QR Code funktioniert hat und kanns jetzt auch nicht mehr testen.
Viele glauben immer noch, dass es QR-Codes nur für LInks gibt. Man kann auch einfach irgendwelche Texte nehmen. Das Problem ist eher, dass die Größe eines QR-Codes beschränkt ist. Aber für ein Kochrezept usw. sollte es schon reichen.Meillo hat geschrieben:Danebenschreiben faende ich schon, ist aber nicht unbedingt noetig, weil man den QR-Code ja einfach auslesen und seinen Inhalt anzeigen lassen kann, ein Smartphone vorausgesetzt. Man muss den enthaltenen Link ja nicht direkt aufrufen.
Bzgl. QR-Code kann man z. B. qrencode oder auch einen QR-Code-Generator wie https://www.qrcode-generator.de verwenden. Es gibt sogar Apps z. B. für Android wie QR-Code-Generator. Da kann man dann ganz schnell (falls die andere Person einen QR-Code-Scanner hat), eben mal schnell ohne WhatsApp oder E-Mail offline Daten austauschen. So lade ich z. B. Dateien zu einer meiner Nextclouds hoch und teile dann per QR-Code den Nextcloud-Share direkt per Smartphone vor Ort.
Auf meinem Webserver verwende ich zudem https://github.com/edent/QR-Generator-PHP für automatisch generierte QR-Codes aus Anwendungen. Ok seit 10 Jahren nicht aktualisiert. Wer Sicherheitslücken findet, darf sie behalten. Mittlerweile mag es neuere und bessere Programme geben.