Každý QR standard, který rozpoznáváme, s vysvětlením
QR kód je kontejner. To, co je uvnitř, může být platba, záznam o vakcíně, řidičský průkaz, eSIM, přihlášení přístupovým klíčem nebo spárování chytré domácnosti – každé z nich se řídí svým vlastním mezinárodním standardem s vlastním modelem hrozeb. Toto je autoritativní reference pro každý standard, který náš skener identifikuje: co je skutečně uvnitř, když ho naskenujete, a přesně co zobrazujeme versus záměrně maskujeme.
Každý QR kód, který jste v posledních pěti letech naskenovali pro platbu obchodníkovi, funguje na rámování TLV od EMVCo, ale obsah je specifický pro danou zemi. Identifikujeme konkrétní schéma, dekódujeme pole obchodníka, která potřebujete ověřit před platbou, a validujeme kontrolní součet CRC, který útočníci záměnou nálepky nemohou zfalšovat.
EMVCo MPM / CPM 💳
Základní standard pro každou platbu obchodníka prostřednictvím QR kódu po celém světě. Rámování Tag-Length-Value nesoucí jméno obchodníka, město, zemi, měnu, částku, informace o účtu příjemce a kontrolní součet CRC-16/CCITT-FALSE.
Zobrazujeme: jméno obchodníka, město, zemi, měnu ISO 4217 (úplná tabulka, 169 kódů), kategorii MCC, částku, dynamický vs. statický, indikátor spropitného, doplňková datová podpole (referenční označení, číslo faktury, označení zákazníka, označení terminálu, účel).
Hodnocení hrozby: neplatný CRC → podezřelý (QR kód byl pozměněn nebo poškozen – nejspolehlivější signál útoku záměnou nálepky).
Systém okamžitých plateb brazilské centrální banky. Světový lídr z hlediska objemu transakcí. Dvě varianty: statická (QR kód, který lze opakovaně použít) a dynamická (jednorázový QR kód s vloženým ID transakce).
Zobrazujeme: Pix klíč příjemce (CPF / CNPJ / e-mail / telefon / EVP UUID), popis platby, URL dynamického QR kódu, je-li k dispozici.
Kryptograficky podepsané fakturování, povinné pro každou obchodní transakci v Království. TLV kódování s pěti povinnými tagy (prodejce, DIČ, časové razítko, celková částka, částka DPH) plus podpis ECDSA.
Zobrazujeme: jméno prodejce, DIČ, časové razítko ISO 8601, celkovou částku faktury, částku DPH.
A mnoho dalšího: identifikujeme národní platební schémata pro 54 zemí – PromptPay (Thajsko), PayNow (Singapur), DuitNow (Malajsie), QRIS (Indonésie), Bizum (Španělsko), Swish (Švédsko), MB WAY (Portugalsko), BLIK (Polsko), Wero (EU) a desítky dalších v katalogu analyzátorů.
Zdravotní přihlašovací údaje
Záznamy o očkování, předpisy, výsledky laboratorních testů a cestovní certifikáty. Kryptograficky podepsané národními zdravotními úřady. Identifikujeme přihlašovací údaje a zobrazujeme vydavatele a typ, ale záměrně nikdy nedekódujeme jméno, datum narození ani zdravotní historii pacienta. Vaše peněženková aplikace je tím správným místem pro jejich zobrazení.
SMART Health Cards 🩺
JWS kódovaný čísly, zabalující JSON payload komprimovaný DEFLATE s FHIR zdroji. Používá ho Apple Wallet, Common Trust Network, americké státy, kanadské provincie a řada lékárenských řetězců pro záznamy o vakcínách a laboratorní výsledky.
Zobrazujeme: URL vydavatele, ISO časové razítko vydání, typ přihlašovacích údajů (covid19 / immunization / lab / atd.), verzi FHIR, počet zdrojů a jejich typy.
Nikdy nedekódujeme: jméno pacienta, datum narození, data očkování/testů, těla jednotlivých FHIR zdrojů. Testováno bránou v sadě analyzátorů.
EU Digital COVID Certificate (HC1) 🇪🇺
Prefix HC1: zabaluje řetězec base45 → DEFLATE → COSE_Sign1 → CBOR → CWT, který končí nárokem HCERT definovaným EU. Stále používaný pro necovid cestovní dokumenty v některých členských státech po skončení nouzového stavu COVID.
Zobrazujeme: zemi vydavatele (ISO 3166-1), časové razítko vydání, časové razítko expirace, verzi schématu, typ přihlašovacích údajů (očkování / test / uzdravení), cílovou nemoc (SNOMED-CT, zobrazeno jako „COVID-19“, nikoli surový kód 840539006), zemi očkování/testu, vydávající organizaci, číslo dávky/celkový počet, typ testu, výsledek testu.
Nikdy nedekódujeme: jméno pacienta, datum narození, datum dávek, jedinečné ID certifikátu (UVCI). Testováno bránou.
Doklady totožnosti
Řidičské průkazy, mobilní průkazy a digitální peněženky identity. Čárový kód na zadní straně amerického řidičského průkazu nese každé pole z přední strany. QR kód mobilního řidičského průkazu přenáší handshake pro navázání spojení, aby se ověřovatel mohl připojit přes NFC/BLE a číst atributy.
AAMVA driver license 🪪
Čárový kód PDF417 na zadní straně každého amerického a kanadského řidičského průkazu. Formát datových prvků podsouboru dle přílohy D.12.5 normy AAMVA Card Design Standard.
Zobrazujeme (~17 polí): jméno, prostřední jméno, příjmení, datum narození ve formátu ISO, pohlaví, výška, barva očí, číslo průkazu (maskované), třída průkazu, omezení, oprávnění, datum vypršení platnosti, datum vydání, úplná adresa, země, příznak dárce orgánů, příznak veterána, hranice „mladší 21 let“.
Standardně citlivé: číslo průkazu + datum narození se zobrazují jako pole maskovaná klepnutím pro odhalení, aby snímek obrazovky výsledku sám o sobě nezpůsobil únik identity. Upozornění na ochranu soukromí upozorňuje, že bary a kluby skenující průkazy obdrží VEŠKERÁ tato data, nikoli pouze věk držitele.
QR kód mdoc:, který váš iOS/Android mobilní řidičský průkaz zobrazuje při předání ověřovateli. CBOR DeviceEngagement s voličem sady šifer, dočasným veřejným klíčem držitele a seznamem přenosových metod, které může ověřovatel použít k připojení.
Zobrazujeme: verzi protokolu, sadu šifer (P-256 ECDH-ES + A256KW je povinná dnes), podporované přenosové metody (NFC / BLE / Wi-Fi Aware), hostitelský server pro vzdálené načítání (je-li k dispozici).
Nikdy nedekódujeme: bajty dočasného veřejného klíče držitele (zobrazujeme pouze délku). Skutečné atributy mDL tečou přes vyjednávaný kanál po připojení ověřovatele, nikdy přes tento skener.
Decentralizované identifikátory: did:web, did:key, did:ion, did:ebsi a další metody.
Zobrazujeme: metodu DID, identifikátor specifický pro metodu, parametr služby, relativní odkaz, fragment ověření.
Ověřování a přístupové klíče
QR přihlašovací toky, které chrání (nebo ohrožují) každý váš účet. Identifikujeme každý typ a jasně varujeme, pokud vás QR kód žádá o dokončení přihlášení někoho jiného místo vašeho vlastního.
FIDO CTAP 2.2 hybrid 🗝️
QR kód s klíčem pro přístup napříč zařízeními, který laptop zobrazí při přihlášení přístupovým klíčem na telefonu. Mapa CBOR kódovaná v bázi 10 s veřejným klíčem protějšku, tajemstvím QR, nápovědou operace, doménou tunelovacího serveru, časovým razítkem a příznakem state-assistance.
Zobrazujeme: operaci (make-credential / get-assertion / discoverable), doménu tunelovacího serveru (např. cable.ua5v.com), ISO časové razítko, podporu state-assisted, délku veřejného klíče protějšku, délku tajemství QR.
Tvrdé varování: naskenování tohoto QR kódu dokončí přihlášení, které NĚKDO ZAHÁJIL NA JINÉM ZAŘÍZENÍ. Pokud jste sami právě nezahájili přihlášení přístupovým klíčem, odmítněte – přihlásíte toho, kdo tento QR kód vygeneroval, do vašeho účtu.
QR kódy pro nastavení jednorázových hesel dle RFC 4226 / RFC 6238. URI otpauth://, který vám zobrazí vaše banka nebo pracovní aplikace při registraci autentizátoru.
Standardně citlivé: tajemství Base32 se zobrazuje maskované klepnutím pro odhalení. Také validujeme tajemství Base32 a jasně varujeme, pokud je deformované – autentizátorové aplikace přijímají deformovaná tajemství tiše a pak generují kódy, které se nikdy neověří.
QR kód pro hromadný export z Google Authenticator. Najednou nese každé tajemství 2FA v autentizátoru – bundle protobuf s N záznamy OtpParameters.
Zobrazujeme (na záznam): vydavatele, účet, typ (HOTP / TOTP), algoritmus, číslice, čítač a metadata verze/dávky. Popis vyjmenovává „Oprávnění v tomto bundle: ACME / alice@acme; GitHub / bob@github; …“, aby uživatel, který právě provádí migraci, mohl auditovat před importem.
Nikdy nedekódujeme: skutečné bajty seedu tajemství. Ověřeno testem s kanarkovými řetězci, které se nesmí nikdy objevit ve výstupu výsledku.
Tvrdé varování: třída hrozby je likely_dangerous, pokud uživatel DOSLOVA neprovádí migraci mezi svými vlastními zařízeními.
Přihlašovací zpráva v prostém textu, kterou vaše peněženka podepisuje, aby prokázala kontrolu nad adresou peněženky na webu.
Zobrazujeme: doménu webu, adresu peněženky, ID sítě, nonce, čas expirace.
Upozornění: pečlivě přečtěte web a prohlášení – škodlivý web může použít podepsanou zprávu SIWE k vydávání se za vás na dané doméně.
Cestování a lístky
IATA boarding pass (Resolution 792) ✈️
QR / Aztec / PDF417 na vašem leteckém palubním průkazu. Záhlaví s pevnou šířkou (60 znaků) plus 37 znaků povinných dat na segment.
Zobrazujeme (na segment): kód dopravce + číslo letu (bez nul), trasa (ODKUD → KAM), datum (juliánský den → ISO s inteligentním přechodem roku), místo, třída přihrádky, pořadové číslo, stav (Nastoupen / Přístup do salónu / Bez bezpečnostní kontroly / atd.). Vícesegmentové průkazy mají předpony řádků pro každý segment.
Standardně citlivé: PNR / rezervační kód se zobrazuje maskovaný klepnutím pro odhalení; vaše jméno spolu s PNR stačí k přístupu k rezervaci na většině webů leteckých společností. Nevystavujte fotografie palubního průkazu veřejně.
The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].
Zobrazujeme: FQDN SM-DP+ (server operátora, který bude komunikovat s vaším telefonem), aktivační kód, příznak vyžadování potvrzovacího kódu.
Upozornění: nainstalovaný profil eSIM může zachytávat SMS, včetně kódů 2FA zasílaných přes SMS. Před instalací ověřte, zda SM-DP+ odpovídá vašemu skutečnému operátorovi (Airalo, Saily, Truphone, Google Fi atd.) podle povolené listiny.
Kód s prefixem MT:, binárně zabalený v base38, od Aliance pro standardy připojení. Spárování chytré domácnosti napříč výrobci, funguje v Apple Home, Google Home, Amazon Alexa, Samsung SmartThings.
Zobrazujeme: ID výrobce, ID produktu, diskriminátor, 8místný přístupový kód pro nastavení (citlivě maskovaný), průběh uvedení do provozu, příznaky schopností zjišťování (Soft-AP / BLE / stávající IP síť), verzi specifikace.
URI pro nastavení příslušenství Apple HAP. Předchůdce Matter; stále se dodává s mnoha příslušenstvími, která Matter ještě nepodporují.
Wi-Fi Easy Connect (DPP) 📡
Protokol Wi-Fi Alliance Device Provisioning Protocol – moderní náhrada za WPS. Používán v routerech z roku 2025 pro QR onboarding zařízení.
Bluetooth Auracast (BAU v1.0) 🎧
Schéma QR od Bluetooth SIG pro vysílání LE Audio. UUID služby 184F identifikuje Auracast; zobrazujeme název vysílání (dekódovaný z base64) a stav šifrování.
Krypto a Lightning
Bitcoin (BIP-21) ₿
Standardní platební URI pro Bitcoin. Zobrazujeme adresu, částku (s jednotkou BTC/sat), popis, zprávu, endpoint PayJoin (pj=), URL žádosti o platbu BIP-72 (r=), povinné parametry (req-*), záložní Lightning.
Ethereum (EIP-681) ⟠
URI žádosti o platbu v Ethereum s výběrem sítě. Dekódujeme příjemce vs. kontrakt, ID sítě s lidsky čitelným popisem (Ethereum mainnet, Optimism, Polygon, Base, Arbitrum, BNB Chain, Gnosis, Avalanche, Sepolia), hodnotu (wei → ETH/Gwei v čitelném formátu), název volané funkce, argumenty přenosu ERC-20.
Upozornění: volání kontraktu není totéž jako jednoduchý převod – drainovací peněženky spoléhají na to, že uživatelé tento rozdíl nepozorují.
WalletConnect (ERC-1328) 🔗
URI pro párování dApp↔peněženka. Zobrazujeme verzi (v2 je aktuální; v1 je zastaralá a slabší), téma, protokol přenosu, symetrický klíč relace (citlivě maskovaný).
Solana Pay ◎
URI žádosti o převod od Solana Foundation. Zobrazujeme příjemce, částku, mint SPL tokenu, popis, referenci, zprávu, memo.
Lightning Network (BOLT-12, LNURL) ⚡
Nabídky BOLT-12 (lno1…) jsou opakovaně použitelné žádosti o platbu Lightning. LNURL (lnurl1…) kóduje v bech32 endpoint HTTPS, který vaše peněženka volá pro načtení faktury, výběru, otevření kanálu nebo ověření.
Cashu ecash 🪙
Nosný ecash token. Liší se od každého jiného krypto formátu tím, že QR kód je doslova penězi – kdokoli ho vyfotí, může ho utratit.
Standardně citlivé: řetězec tokenu je maskován; výsledek jasně varuje, že QR kód nese neutracenou hodnotu.
nsec citlivé: soukromý klíč Nostr v QR kódu znamená, že identita držitele byla zachycena. Označujeme to jako únik přihlašovacích údajů.
Průmysl a regulace
GS1 Digital Link 📦
Standard, který nahradí jednorozměrné čárové kódy u spotřebitelského zboží. Identifikátory aplikací v cestě URL kódují GTIN, šarži/lot, datum výroby/expirace, sériové číslo a další.
Zobrazujeme: GTIN (01), šarži/lot (10), datum výroby (11), datum minimální trvanlivosti (15), datum expirace (17), sériové číslo (21) a další AI jako pojmenovaná pole.
Nařízení EU vyžaduje, aby každý spotřebitelský produkt nesl digitální pas (udržitelnost, původ, informace o opravách) od roku 2027. Postaveno na URL adresách GS1 Digital Link, které odkazují na stránky pasu pro každý produkt.
Samotný QR kód je dnes dekódován prostřednictvím našeho analyzátoru GS1 Digital Link; obsah pasu za URL adresou zveřejňuje každý výrobce.
Konfigurace VPN WireGuard ve formátu INI. Zobrazujeme adresu rozhraní, DNS, port pro naslouchání, endpoint peers, povolené IP adresy, trvalou keepalive, počet dalších peers.
Standardně citlivé: soukromý klíč rozhraní a předsdílený klíč se zobrazují maskované klepnutím pro odhalení. Varování, pokud je allowed-IPs 0.0.0.0/0 (plný tunel – každý bajt vašeho provozu prochází serverem někoho jiného).
SSH public key 🔑
Formát authorized_keys pro OpenSSH (ssh-ed25519 / ssh-rsa / ssh-ecdsa). Zobrazujeme algoritmus, komentář a délku klíče.
X.509 certificate / JWT 📜
Certifikáty X.509 s PEM brnění a surové JWT kompaktní serializace. Procházíme certifikát DER pro extrakci CN/O subjektu, CN vydavatele, NotBefore/NotAfter a délky bitu veřejného klíče. Označujeme expirované certifikáty.
Soukromí JWT: zobrazujeme alg + typ z hlavičky, ale NIKDY nedekódujeme nároky payload JWT – mohou obsahovat ID účtů, rozsahy nebo jiná tajemství, která nepatří do výsledků skenování.
PGP key block 🔑
Blok VEŘEJNÉHO / SOUKROMÉHO KLÍČE OpenPGP. Zobrazujeme pouze formát, klíčový materiál je maskován. Bloky SOUKROMÉHO KLÍČE dostanou výrazné varování „nesdílejte tento QR kód“.
Symboliky, které dekódujeme (samotný vizuální kód)
Symbolika je *kontejner* – tvar teček a čtverečků. Výše uvedené standardy jsou *payload* – to, co je uvnitř. Náš skener čte každou symboliku s otevřeným standardem a předá dekódovaný text správnému analyzátoru výše.
QR Code (ISO/IEC 18004) ⬛
Model 1 (originál z roku 1994), Model 2 (aktuální globální standard), Micro QR (malé komponenty) a obdélníkový Micro QR (rMQR, ISO/IEC 23941:2022, úzké štítky jako zkumavky).
Aztec Code (ISO/IEC 24778) ▣
Symbolika zaměřovacího kříže používaná na palubních průkazech Eurostar, SBB a mnoha evropských dopravních společností.
Hustá symbolika malého formátu. Používá se v GS1 retail, DSCSA farmacie, obraně MIL-STD-130, letectví ATA Spec 2000 a označování krevních výrobků ISBT 128.
EAN-13, EAN-8, UPC-A, UPC-E, Code 128, Code 39, Code 93, Codabar, ITF – lineární čárové kódy, které vidíte u každé pokladny v supermarketu a na každém přepravním štítku.
Proč na tom záleží
Bezpečnost QR kódu není bezpečností jeho URL – je to bezpečnost standardu, který řídí, co je uvnitř. Platební QR kód je nebezpečný, protože někdo vyměnil nálepku; passkey QR kód je nebezpečný, protože se někdo chce přihlásit jako vy; QR kód záznamu o vakcíně je nebezpečný kvůli tomu, kdo drží skener. Modelujeme každý zvlášť, vůči jeho vlastnímu modelu hrozeb, s dekódováním na úrovni polí, nikoli jen odhadováním.
Každý analyzátor výše je otevřený ohledně toho, co zobrazuje a co záměrně maskuje – takže můžete ověřit naše tvrzení čtením výstupu výsledku, ne důvěřováním černé skříňce.