Predictable_serial_number_attack

Předvídatelný pořadové číslo útok je forma zabezpečení zneužít , ve kterém algoritmus pro generování sériových čísel určitému účelu, pro hádal, zjistil, nebo reverzní inženýrství , nové sériové číslo je předpovídán pomocí algoritmu, a nově generované pořadové číslo je pak používané pro podvodné účely, a to buď získat nezasloužené výhody nebo odmítnout službu oprávněným držitelem pořadové číslo.

Příklad

Předpokládám, že tam je telefonní kartu k dispozici pro prodej, které nabízí telefonní služby po zadání sériového čísla vytištěného na kartě. Alice legitimně nákupy telefonní kartu, aby se zavolat Bob , a její karta má pořadové číslo 0003. Útočník, Mallory , také nakupuje dvě telefonní karty, a zjistí, že pořadová čísla vytištěného na její telefonní karty jsou 0001 a 0002. Po náročné hodnoty na kartách 0001 a 0002, Mallory odhady algoritmus použitý pro generování těchto pořadových čísel je jednoduchá sekvence a předpovídá, že 0003 je platné sériové číslo, zadá 0003 po výzvě, a dostane další telefonní služby. Když Alice se snaží využít své karty se objeví hodnota byla odcizena z ní, a to je nyní bezcenné.

Protiopatření

Společný přístup k prevenci předvídatelný sériové číslo útoků je používat kryptografické hašovací funkce jako SHA-2 , jak tvořit skutečné sériová čísla. Interně, vydávající organizace vytváří (pseudo-)náhodné nonce jako sůl pro generování sériových čísel, a drží v tajnosti. Emitent přírůstky své vnitřní pořadové číslo a připojí jej do soli, a vypočtené přehled zprávy slouží k vytvoření skutečné sériové číslo. Emitent má dbát, aby se zabránilo kolizím mezi stávajícími hodnotami tak, aby nebyla neoprávněně vydávat dva stejné sériové číslo.

Známé útoky