Voi citi „date care nu au nevoie de securitate” ca însemnând „date publice”, care sunt semnate și codificate de-a lungul semnăturii în QR-Code.
Oricine poate pune un cod QR care conține datele publice originale și semnătura pe orice document. Aceasta va trece verificarea față de cheia publică originală, cu datele publice originale recuperate de scaner. O fotocopie sau o fotografie clară afișată de un smartphone va face de obicei¹ (aceasta este adesea o caracteristică).
Semnătura digitală împiedică modificare (nu duplicarea) a datelor care sunt semnate. Mai detaliat: Definiția standard a unei scheme de semnătură sigură este UnForgeability existențial sub Chosen Message Attack [EUF-CMA]. În esență, se spune că adversarii cărora li s-a dat cheia publică și perechile mesaj/semnătură (inclusiv pentru mesajele la alegere) nu pot produce o semnătură validă pentru niciun alte mesaj.Aceasta înseamnă că un atacator (presupus că nu are cheie privată și dispozitiv de semnare) nu poate ambii treceți verificarea față de cheia publică originală și modificați datele publice recuperate de scaner. Nu împiedică un adversar să trimită datele originale și semnătura, care va trece de verificarea semnăturii.
Nu putem evita clonarea a cod 2D. Alte tehnologii precum cardurile inteligente sau unele tehnologii mai avansate bazate pe hârtie², pot preveni clonarea.
¹ De asemenea, cu practic toți cititorii, codul QR poate fi diferit din punct de vedere vizual, inclusiv semnificativ mai mare sau mai mic, o altă culoare, rotit, parțial schimbat și cu puțin mai puțini sau mult mai mulți pixeli prin modificarea parametrilor codificării. Cu unii cititori, este, de asemenea, posibil să oglindiți, să inversați contrastul sau să schimbați de la codul QR la altul cod 2D precum Aztec, DataMatrix, PDF417.
² S-a propus să se codifice în codul QR semnat unele caracteristici greu de reprodus exact ale hârtiei și să se respingă codul QR dacă nu există nicio potrivire la verificare.