foobar schrieb am 30.06.2021 17:12:
Die Prüfung kann man deshalb nicht einfach auf einer Webseite durchführen, sondern braucht eine App aus sicherer Quelle, die die verschiedenen Prüfungsschritte nacheinander durchführt. Dein selbsterzeugter QR-Code wird dann sehr schnell als ungültig erkannt.
Danke für die Erklärung der Hintergründe, das klingt schon wesentlich professioneller, verlangt aber auch, dass der Zertifikatsprüfende die Signatur überprüft. Letztlich bedarf es also einer Public Key Infrastructure: Die Signatur wird mit dem privaten Schlüssel eines Zertifikats erzeugt, der Prüfer benötigt den öffentlichen Schlüssel des Zertifikats, um die Signatur zu verifizieren. Wenn die Prüf-App (wie beschrieben im FAQ beim Bundesgesundheitsministeriums) den öffentlichen Schlüssel kennt, dann dürfte es sogar offline funktionieren.