QR-Codes für einfache Zahlungen auf dem Client ohne Internetverbindung erstellen

Siehe auch: https://de.news.hada.io/topic?id=10280

• DimiPay ist eine Inhouse-Lösung für einfache QR-Zahlungen, die an der Korea Digital Media High School verwendet wird.
• Die Schülerinnen und Schüler nutzten günstige Datentarife und hatten daher oft keinen freien Internetzugang; deshalb wurde darüber nachgedacht, wie Zahlungen auch ohne Internetverbindung möglich sein könnten.
• Ein Teammitglied, das das Offline-Payment-Projekt geleitet hat, hat den Forschungsprozess ausführlich im Blog dokumentiert, daher teilen wir ihn hier.

Technischer Ansatz:

• Zahlungstoken, inspiriert von TOTP
  • Dynamische Erzeugung der für die Verschlüsselung benötigten Schlüssel mithilfe des TOTP-Counters und HKDF
  • Symmetrische Verschlüsselung mit XChaCha20-Poly1305
• Validitätsprüfung des Zahlungscodes
  • Zur Unterscheidung bereits verwendeter oder abgelaufener Token wurde eine Nonce (uuidv7) eingeführt
  • Wenn die Nonce vor dem Zeitpunkt der letzten Zahlung erzeugt wurde, wird die Transaktion abgelehnt
  • Ziel ist es, Replay-Angriffe zu verhindern
• Einführung des TLV-Formats (Tag-Length-Value): Das Payload lässt sich flexibel und kompakt serialisieren