"Mi akadályoz meg pl., hogy ha ismered a QR kódot, amit hamisítani akarsz, akkor csinálsz magadnak egy appot, ami azt mutatja a rendőrnek, amit te akarsz mutatni? "
A DÁP QR-kódja tartalmaz időtől függő adatot, illetve elektronikusan aláírt. Lehet próbálkozni az aláírt tartalom előállításával...
"Vagy hogy implementálod magadnak a DÁP 2FA generátorát, és a certet/secretet/akármit amt használ, azt az SD kártyára teszed?"
A DÁP outband challenge-response működése során a QR-kódot a szerver állítja elő (challenge) és arra kell egy megfelelő választ produkálnia hálózaton keresztül az alkalmazásnak. A kulcs nem "akárhol" lehet, a kulcspár generálása, tárolása, aláírása nagyon jól összerakott folyamat - nem véletlenül kell hozzá az NFC-s személyi első alkalommal annyi ideig, stb. Tudod akik ezt összerakták, megtervezték, azok meglepő talán, de nem hülyék - még ha azt is gondolod, hogy igen.
Ja, ha bármilyen visszaélést próbálsz elkövetni, akkor az alapból okirathamisítás illetve hamis okirattal történő visszaélés... De nyugi, van benne elég sok olyan biztonsági elem, amibe a hozzászólásod alapján helyből beletörne a bicskád...