39、对 ESA - PSS - 04 - 151 MAC 方案的攻击分析

对 ESA - PSS - 04 - 151 MAC 方案的攻击分析

1. 引言

欧洲航天局（ESA）的 ESA - PSS - 04 - 151 认证层是一种用于验证发送到航天器的遥控指令的消息认证码（MAC）机制。尽管该方案的密钥长度达到 2940 位，但在特定情况下仍存在可行的已知消息攻击。

该 MAC 方案采用了 Rueppel - Massey 子集和生成器的设计思路，由一个 60 位的线性反馈移位寄存器（LFSR）和 60 个模 248 的权重组成。LFSR 的输出位确定权重的一个子集，计算子集和并丢弃一些最低有效位，最终得到 40 位的 MAC 值。

相较于基于哈希函数和分组密码的更复杂方案（如 HMAC 或 CMAC），这种简单设计存在理论上的弱点。不过，2940 位的大密钥长度可能仍能为其预期用途提供足够的安全级别，因为攻击者所能获取的消息/MAC 对数量有限，且“在线”尝试次数也受到限制。

2. ESA - PSS 认证方案描述

ESA - PSS 认证层用于消息 $m = (m_1, …, m_N) \in \mathbb{Z}_2^N$ 的认证，实际的“遥控指令”由字节组成，即 $N$ 是 8 的倍数。

MAC 密钥由一个 60 位的秘密位向量 $c = (c_0, c_1, …, c_{59})$（LFSR 的反馈系数）和 60 个模 248 的“权重” $W_i \in \mathbb{Z}/2^{48}\mathbb{Z}$ 组成，密钥长度为 $60 + 60 \times 48 = 2940$ 位。

MAC 值的计算包括四个简单步骤：
1.