Am 17.01.24 um 18:48 schrieb Klaus H.:
> Am 17.01.24 um 14:02 schrieb Hergen Lehmann:
>> Das deutsche eTicket-System sieht optional QR-Codes vor, die immer nur
>> für wenige Minuten gültig sind und von der App laufend neu berechnet
>> werden. Dies verhindert wirkungsvoll, das Tickets per Screenshot
>> vervielfältigt werden und bindet diese physisch an ein bestimmtes
>> Gerät. Eine Online-Verbindung ist dabei nur beim Kauf des Tickets nötig.
>>
> Wie erfährt denn der Kontrolleur irgendwo in Deutschland, ob der gerade
> vorgezeigte QR der seit 2 Minuten gültige ist (oder nicht)?
Wenn ich mich recht erinnere (es ist etwas her, seit ich das letzte Mal
so ein Ticket genutzt habe), erschien unter dem dem QR-Code ein
Countdown. Wenn der still steht, weiß der Kontrolleur bereits nach
Augenschein, da ist was faul.
Zum anderen wird natürlich auch das Kontrollgerät Alarm schlagen, wenn
der QR-Code abgelaufen ist, so wie bei jedem anderen Ticket mit zeitlich
begrenzter Gültigkeit auch.
> Oder will man beim Kauf jedes Tickets solche Daten binnen Minuten für
> die gesamte Laufzeit erstellen (d.h. pro Gültigkeitstag überschlägig
> 1500 QRs), sie an alle Kontrollinstanzen rundmailen und ab dann von
> jedem Kontrolleur auf seinem Gerät zwecks Abgleich mitführen lassen
Ach je... wie viel Ahnungslosigkeit in Softwarefragen braucht man, um
auf eine so absurde Idee zu kommen?
Elektronische Signaturen und asymmetrische Kryptographie sind eine seit
Jahrzehnten bekannte und etablierte Technologie.
Bei einem gewöhnlichen QR-Code-Ticket erstellt der Server des
zuständigen Verkehrsverbundes eine kompakte Zusammenfassung der
Ticketdaten incl. Gültigkeits-Zeitraum, signiert diese mit seinem
privaten (geheimen) Schlüssel und sendet das Ergebnis an die Kunden-App,
welche daraus einen QR-Code generiert.
Das Kontrollgerät liest die Daten und prüft die Signatur mit Hilfe des
öffentlichen Schlüssels. Dazu muss es nur die Zertifikate aller
Verkehrsverbünde kennen, mit denen das örtliche Verkehrsunternehmen
einen Vertrag hat (bzw. beim D-Ticket aller Verkehrsverbünde, die dieses
ausgeben).
Für gekündigte oder verlorene Zeitkarten mit langen
Gültigkeitszeiträumen gibt es Sperrlisten, welche turnusmäßig an die
Kontrollgeräte verteilt werden.
Für die Ticketvariante mit Countdown wird halt noch eine lokal im Handy
erzeugte, variable Komponente an den Datensatz angehängt, bevor der
QR-Code generiert wird.
Falls du Details wissen willst, kannst du die detailierte Spezifikation
hier:
https://www.eticket-deutschland.de/fuer-hersteller/herstellerpaket/
kaufen.