예측 가능한 일련 번호 공격
Predictable serial number attack
예측 가능한 일련번호 공격은 특정 목적을 위한 일련번호를 생성하기 위한 알고리즘을 추측, 발견 또는 역설계하여 알고리즘을 사용하여 새로운 일련번호를 예측한 다음, 새로 생성된 일련번호를 사기 목적으로 사용하는 보안 공격의 일종이다.d 일련 번호의 합법적인 소유자에 대한 서비스를 거부하거나 이익을 얻는다.
예
카드에 인쇄된 일련 번호를 입력하여 전화 서비스를 제공하는 판매 가능한 전화 카드가 있다고 가정해 보십시오.앨리스는 밥에게 전화하기 위해 합법적으로 전화 카드를 구입하고, 그녀의 카드에는 일련번호 0003이 있다.공격자인 말로리도 두 장의 전화 카드를 구입하고, 그녀의 전화 카드에 인쇄된 일련 번호가 0001과 0002라는 것을 알아차린다.말로리는 카드 0001과 0002의 값을 소비한 후 이러한 일련번호를 생성하는 데 사용되는 알고리즘이 단순한 순서라고 추측하고 0003이 유효한 일련번호라고 예측하고, 메시지가 나타나면 0003을 입력하여 추가 전화 서비스를 받는다.앨리스가 그녀의 카드를 사용하려고 할 때 그녀는 그 카드에서 그 가치가 도난당했고 지금은 가치가 없다는 것을 알게 된다.
대응책
예측 가능한 일련번호 공격을 방지하기 위한 일반적인 접근방식은 SHA-2와 같은 암호 해시함수를 사용하여 실제 일련번호를 생성하는 것이다.내부적으로 발행 기관은 일련번호를 생성하기 위한 소금으로 (의사-)난수(nonce)를 만들어 비밀에 부친다.발행자는 내부 일련번호를 증분하여 소금에 첨가하고, 계산된 메시지 다이제스트를 사용하여 실제 일련번호를 생성한다.발행자는 동일한 두 개의 일련번호를 잘못 발행하지 않도록 기존 값 사이의 충돌을 방지하기 위해 주의를 기울여야 한다.
알려진 공격
참고 항목
- 서비스 거부
- 해시 충돌
- 기본 액세스 제어 § 보안:생체 인식 여권 암호 해독 키의 일부로서 기능하는 네덜란드와 독일 여권 번호는 더 이상 순차적으로 만들어지지 않고 여권 소지자의 정보를 무단으로 무선으로 읽는 난이도를 높였다.
- 독일 탱크 문제 § 역사 문제
