È possibile inviare tasti seriali generati usando HTTP e ottenerne uno giusto?

2 risposte

1

Non posso commentare questo specifico scenario in quanto vi sono incognite come la limitazione della velocità da parte del server (vedi commento di JonasCz), l'entropia delle chiavi seriali, ecc. Ecco un approccio generale per considerare questo quando proteggete il vostro i propri sistemi.

Ciascuno? nella chiave seriale può prendere uno di un numero di valori come definito da un alfabeto. Ad esempio, l'alfabeto binario li limita a [0,1], li esadecimale li limita a [0-F], ecc. La cardinalità (c) dell'alfabeto è semplicemente il numero di opzioni; binario = 2, esadecimale = 16 e così via. Ce ne sono 20? quindi, best case per la protezione, abbiamo c ^ 20 possibili scelte da cui indovinare (assumendo una buona fonte di entropia per la loro generazione originale).

Avvertimenti

  • Probabilmente ci sono limitazioni sulle scelte effettive sotto forma di checksum o codici di autenticazione per convalidare un particolare numero seriale. Ad esempio, gli ultimi 4 caratteri possono essere un HMAC troncato dei precedenti, con la sicurezza fornita dalla chiave dell'HMAC. Potrebbe esserci semplicemente un checksum non crittografico che non ha una chiave segreta.
  • Una variante del problema di compleanno - non stiamo cercando di abbinare un numero seriale specifico. Ci sono un insieme di numeri seriali reali e un insieme di quelli indovinati; un incrocio di questi set che non è vuoto è un successo.

Fattibilità

Una volta ridotto lo spazio di ricerca in base alle avvertenze, possiamo valutare fattibilità dell'attacco a forza bruta con questo eccellente calcolo . ("Limitazioni termodinamiche" in Schneider B. Applied Cryptography pp. 157-8).

    
risposta data 17.04.2016 - 18:10
fonte
0

Certo che puoi, ma sarà un lungo processo per aggirare tutti i limiti di velocità, limiti per-IP, e.t.c. Ma occasionalmente lo colpisci di sicuro.

    
risposta data 17.04.2016 - 18:11
fonte

Leggi altre domande sui tag