Un ataque de número de serie predecible es una forma de vulnerabilidad de seguridad en la que el algoritmo para generar números de serie para un propósito particular se adivina, se descubre o se aplica ingeniería inversa , se predice un nuevo número de serie usando el algoritmo y luego se calcula el número de serie recién generado. utilizado con fines fraudulentos , ya sea para obtener un beneficio inmerecido o para negar el servicio al legítimo titular del número de serie.
Suponga que hay una tarjeta telefónica disponible para la venta que ofrece servicio telefónico ingresando el número de serie impreso en la tarjeta. Alice compra legítimamente una tarjeta telefónica para llamar a Bob , y su tarjeta tiene el número de serie 0003. El atacante, Mallory , también compra dos tarjetas telefónicas y nota que los números de serie impresos en sus tarjetas telefónicas son 0001 y 0002. Después de consumir el valor de las tarjetas 0001 y 0002, Mallory adivina que el algoritmo utilizado para generar estos números de serie es una secuencia simple y predice que 0003 es un número de serie válido, ingresa 0003 cuando se le solicita y obtiene un servicio telefónico adicional. Cuando Alice intenta usar su tarjeta, descubre que le han robado el valor y ahora no tiene valor.
Un enfoque común para evitar ataques de números de serie predecibles es usar una función hash criptográfica como SHA-2 para generar los números de serie reales. Internamente, la organización emisora crea un (pseudo) nonce aleatorio como sal para generar los números de serie y lo mantiene en secreto. El emisor incrementa su número de serie interno y lo agrega al salt, y el resumen del mensaje calculado se usa para crear el número de serie real. El emisor debe tener cuidado de evitar colisiones entre los valores existentes para no emitir erróneamente dos números de serie idénticos.