Un ataque de número de serie predecible es una forma de explotación de seguridad en la que el algoritmo para generar números de serie para un propósito particular se adivina, se descubre o se aplica ingeniería inversa , se predice un nuevo número de serie utilizando el algoritmo y luego se calcula el número de serie recién generado. utilizado con un fin fraudulento , ya sea para obtener un beneficio inmerecido o para negar el servicio al legítimo titular del número de serie.
Supongamos que hay una tarjeta telefónica disponible para la venta que ofrece servicio telefónico ingresando el número de serie impreso en la tarjeta. Alice compra legítimamente una tarjeta telefónica para llamar a Bob , y su tarjeta tiene el número de serie 0003. El atacante, Mallory , también compra dos tarjetas telefónicas y observa que los números de serie impresos en sus tarjetas telefónicas son 0001 y 0002. Después de consumir Al conocer el valor de las tarjetas 0001 y 0002, Mallory adivina que el algoritmo utilizado para generar estos números de serie es una secuencia simple y predice que 0003 es un número de serie válido, ingresa 0003 cuando se le solicita y obtiene servicio telefónico adicional. Cuando Alice intenta usar su tarjeta, descubre que le han robado el valor y ahora no tiene valor.
Un enfoque común para evitar ataques a números de serie predecibles es utilizar una función hash criptográfica como SHA-2 para generar los números de serie reales. Internamente, la organización emisora crea un nonce (pseudo) aleatorio como sal para generar los números de serie y lo mantiene en secreto. El emisor incrementa su número de serie interno y lo agrega al salt, y el resumen del mensaje calculado se utiliza para crear el número de serie real. El emisor debe tener cuidado de evitar colisiones entre valores existentes para no emitir erróneamente dos números de serie idénticos.