XTS mode revisited: high hopes for key scopes?

基本信息

• 论文ID: 2502.18631
• 标题: XTS mode revisited: high hopes for key scopes?
• 作者: Milan Brož (Cryptsetup project, Masaryk University), Vladimír Sedláček (Masaryk University)
• 分类: cs.CR (Cryptography and Security)
• 发表时间: October 30, 2025 (arXiv预印本)
• 论文链接: https://arxiv.org/abs/2502.18631

摘要

本文简明地总结了用于存储扇区加密应用的XTS块加密模式，并阐明了其局限性。特别地，本文旨在为关于IEEE 1619标准新引入的密钥范围（key scope）变更提供统一的讨论基础。文章还反思了未来可能替代XTS的宽模式。

研究背景与动机

问题背景

1. 标准化困境：自2007年XTS模式引入以来，已被BitLocker、VeraCrypt、Cryptsetup和TCG Opal等广泛采用，但围绕该模式仍存在诸多误解和争议
2. 文档可获取性问题：现有NIST XTS-AES建议仅引用IEEE标准的付费版本，使其成为唯一没有公开可用定义的NIST密码学原语文档
3. 合规性危机：IEEE 1619-2025标准新引入的密钥范围变更将使绝大多数现有实现不合规，迫使供应商进行重大修改

研究动机

1. 统一术语：为理论研究者和实践者提供易于理解的XTS术语统一定义
2. 澄清争议：明确XTS的安全限制，特别是密钥范围、最大扇区大小和不同密钥要求
3. 促进讨论：鼓励公开的建设性讨论，以影响未来的要求和建议

核心贡献

1. 提供了XTS模式的统一形式化定义，平衡了理论严谨性和实际应用需求
2. 系统分析了XTS的安全限制，包括密钥范围、扇区大小限制和密钥独立性要求
3. 深入探讨了IEEE 1619-2025标准中密钥范围变更的影响和实现挑战
4. 评估了未来可能替代XTS的宽加密模式，为长期发展提供指导

方法详解

任务定义

本文重新审视XTS（XEX-based tweaked-codebook mode with ciphertext stealing）块加密模式，用于基于扇区的存储设备加密，输入为明文扇区数据，输出为相同长度的密文数据。

XTS模式架构

核心定义

XTS加密模式使用两个对称密钥K和KT，对128位块大小的块密码E进行扇区加密：

CN,j := EK(PN,j ⊕ TN,j) ⊕ TN,j

其中：

• TN,j := EKT(N) · αj 为调整值（tweak）
• α 是有限域F₂¹²⁸中的元素x
• N为扇区号，j为扇区内块号

与XEX的区别

1. 双密钥设计：XTS使用两个不同的对称密钥（K用于数据加密，KT用于扇区号加密），而XEX使用单一密钥
2. 索引起始：XTS从j=0开始，XEX从j=1开始
3. 密文窃取：XTS允许密文窃取处理非块大小倍数的数据

有限域运算

乘法运算α对应左移操作：

• 当a₁₂₇=0时：s·α = a₁₂₆a₁₂₅...a₁a₀0
• 当a₁₂₇=1时：s·α = a₁₂₆a₁₂₅...a₁a₀0 ⊕ 10000111

威胁模型分析

基础威胁模型

1. "被盗设备"模型：攻击者仅能访问一个密文快照
2. TCG Opal定义：保护存储用户数据的机密性，防止在设备脱离所有者控制后的未授权访问

增强威胁模型

1. 重复访问：攻击者可在重复访问后操纵密文
2. 流量分析：考虑云环境中加密镜像的存储场景
3. 选择密文攻击（CCA）：攻击者能够查询加密和解密预言机

安全限制分析

密钥范围限制

新标准要求

IEEE 1619-2025标准规定：密钥范围内的最大128位块数量为2³⁶到2⁴⁴，即：

• 对于固定XTS密钥(K,KT)：S·J ≤ 2³⁶ 或 S·J ≤ 2⁴⁴
• 对应数据量：1 TiB 到 256 TiB

安全分析

当满足以下条件时存在安全风险：

PN,j ⊕ TN,j = PN',j' ⊕ TN',j'

碰撞概率估算：

• 1 TiB数据：概率约为2⁻⁵⁶
• 256 TiB数据：概率约为2⁻⁴⁰

最大扇区大小限制

• IEEE 1619规定：扇区内128位块数不得超过2²⁰（16 MiB）
• 实际应用中很少成为问题（典型扇区大小≤4 KiB）

密钥独立性要求

• FIPS 140-3强制要求K ≠ KT
• 防止特定的选择密文攻击

实现方案讨论

密钥范围实现策略

线性方案

• 每个XTS密钥顺序加密最多2⁴⁴个明文块
• 优点：实现简单
• 缺点：密钥利用不均匀，设备调整大小复杂

轮转方案

• 使用(N mod m)号XTS密钥加密第N个扇区
• 优点：密钥利用均匀，支持动态调整大小
• 缺点：需要预定义最大设备大小

密钥生成和管理

• 所有密钥是否必须使用认可的随机数生成器？
• 是否可以从主密钥派生？
• 如何确定特定扇区使用哪个密钥？

未来发展方向

XTS的局限性

XTS与其他传统模式（ECB、CBC等）一样，当加密数据超过几个块时无法提供完全扩散（每个密文位依赖于每个明文位）。

替代方案评估

宽加密模式候选

1. EME2：基于EME设计，IEEE 1619.2标准化，但因专利问题未广泛采用
2. Adiantum：Google开发，适用于无AES硬件加速的低端系统
3. HCTR2：基于CTR模式构建，性能优秀且保守
4. bbb-ddd-AES：基于双层甲板构造的新模式，可提供超生日界限安全性

双层甲板框架

• 灵活的框架，可构建具有更好特性的宽加密模式
• 在调整重用次数有上界时提供更强安全性
• 适合SSD硬件的有限寿命和磨损均衡特性

结论与讨论

主要结论

1. 标准化影响：IEEE 1619-2025的密钥范围变更将对整个生态系统产生重大影响
2. 威胁模型多样性：不同应用场景需要不同的威胁模型考量
3. 实现复杂性：密钥范围的引入增加了实现复杂性和出错可能性

关键问题

1. 在较弱威胁模型下，密钥范围是否必要？
2. 在较强威胁模型下，密钥范围是否充分？
3. 是否存在不使用密钥范围的XTS强化方案？
4. 如何标准化密钥范围的实现细节？

长期建议

• 短期：保持XTS限制在可持续状态，支持遗留系统
• 长期：关注更新的构造，如双层甲板框架

深度评价

优点

1. 实用性强：直接解决工业界面临的标准化问题
2. 分析全面：系统地分析了XTS的各个方面和限制
3. 前瞻性：提供了未来发展方向的深入思考
4. 平衡性：兼顾理论严谨性和实际应用需求

不足

1. 缺乏实验验证：主要是理论分析，缺乏性能对比实验
2. 标准制定影响有限：作为学术论文，对标准制定的直接影响可能有限
3. 实现细节不够具体：对于密钥范围的具体实现方案描述较为概括

影响力

1. 学术价值：为XTS模式研究提供了重要的统一基础
2. 工业意义：为标准制定和实现提供了重要参考
3. 时效性：及时回应了IEEE 1619-2025标准变更的争议

适用场景

1. 标准制定机构：为IEEE、NIST等标准制定提供参考
2. 加密软件开发者：为实现XTS及其替代方案提供指导
3. 安全研究人员：为进一步的安全分析提供基础

参考文献

论文引用了30篇重要文献，包括：

• IEEE 1619系列标准文档
• Rogaway的XEX原始论文和分析
• NIST相关标准和指导文档
• 主要的宽加密模式研究论文
• 工业界实现项目（BitLocker、VeraCrypt等）

总体评价：这是一篇及时且重要的论文，系统地分析了XTS模式的现状和未来发展。论文不仅澄清了技术细节，更重要的是提出了建设性的讨论框架，对于推动存储加密标准的健康发展具有重要意义。