2025-11-11T07:49:09.347531

XTS mode revisited: high hopes for key scopes?

Brož, Sedláček
This paper concisely summarizes the XTS block encryption mode for storage sector-based encryption applications and clarifies its limitations. In particular, we aim to provide a unified basis for constructive discussions about the newly introduced key scope change to the IEEE 1619 standard. We also reflect on wide modes that could replace XTS in the future.
academic

XTS-Modus überarbeitet: Hoffnungen auf Schlüsselbereiche?

Grundinformationen

  • Papier-ID: 2502.18631
  • Titel: XTS mode revisited: high hopes for key scopes?
  • Autoren: Milan Brož (Cryptsetup-Projekt, Masaryk-Universität), Vladimír Sedláček (Masaryk-Universität)
  • Klassifizierung: cs.CR (Kryptographie und Sicherheit)
  • Veröffentlichungsdatum: 30. Oktober 2025 (arXiv-Preprint)
  • Papierlink: https://arxiv.org/abs/2502.18631

Zusammenfassung

Dieses Papier fasst prägnant den XTS-Blockchiffre-Modus für Speichersektorverschlüsselungsanwendungen zusammen und erläutert dessen Einschränkungen. Insbesondere zielt das Papier darauf ab, eine einheitliche Diskussionsgrundlage für die neu in den IEEE-1619-Standard eingeführten Änderungen der Schlüsselbereiche (Key Scope) bereitzustellen. Der Artikel reflektiert auch über zukünftige breite Modi, die XTS möglicherweise ersetzen könnten.

Forschungshintergrund und Motivation

Problemhintergrund

  1. Standardisierungsdilemma: Seit der Einführung des XTS-Modus im Jahr 2007 wurde dieser von BitLocker, VeraCrypt, Cryptsetup und TCG Opal weit verbreitet, doch es bestehen weiterhin zahlreiche Missverständnisse und Kontroversen um diesen Modus
  2. Dokumentzugänglichkeitsproblem: Die bestehende NIST-XTS-AES-Empfehlung verweist nur auf die kostenpflichtige Version des IEEE-Standards, was ihn zum einzigen NIST-Kryptographieprimitivdokument ohne öffentlich verfügbare Definition macht
  3. Compliance-Krise: Die neu eingeführten Schlüsselbereich-Änderungen im IEEE-1619-2025-Standard werden die überwiegende Mehrheit der bestehenden Implementierungen nicht konform machen und zwingen Anbieter zu erheblichen Änderungen

Forschungsmotivation

  1. Vereinheitlichte Terminologie: Bereitstellung einheitlicher Definitionen der XTS-Terminologie, die leicht verständlich für theoretische Forscher und Praktiker sind
  2. Klärung von Kontroversen: Explizite Darstellung der Sicherheitsgrenzen von XTS, insbesondere Schlüsselbereiche, maximale Sektorgröße und unterschiedliche Schlüsselanforderungen
  3. Förderung der Diskussion: Ermutigung zu offenen konstruktiven Diskussionen, um zukünftige Anforderungen und Empfehlungen zu beeinflussen

Kernbeiträge

  1. Bereitstellung einer einheitlichen formalen Definition des XTS-Modus, die theoretische Strenge und praktische Anforderungen ausgleicht
  2. Systematische Analyse der Sicherheitsgrenzen von XTS, einschließlich Schlüsselbereiche, Sektorgröße-Einschränkungen und Schlüsselunabhängigkeitsanforderungen
  3. Tiefgehende Untersuchung der Auswirkungen und Implementierungsherausforderungen der Schlüsselbereich-Änderungen im IEEE-1619-2025-Standard
  4. Bewertung zukünftiger breiter Verschlüsselungsmodi als mögliche XTS-Alternativen zur Orientierung der langfristigen Entwicklung

Methodische Details

Aufgabendefinition

Dieses Papier überprüft den XTS-Blockchiffre-Modus (XEX-based tweaked-codebook mode with ciphertext stealing) für sektorbasierte Speichergeräteverschlüsselung, wobei die Eingabe Klartextsektordaten und die Ausgabe Chiffretextdaten gleicher Länge sind.

XTS-Modus-Architektur

Kerndefinition

Der XTS-Verschlüsselungsmodus verwendet zwei symmetrische Schlüssel K und KT zur Sektorverschlüsselung mit Blockchiffre E mit 128-Bit-Blockgröße:

CN,j := EK(PN,j ⊕ TN,j) ⊕ TN,j

Wobei:

  • TN,j := EKT(N) · αj der Anpassungswert (Tweak) ist
  • α ein Element im endlichen Körper F₂¹²⁸ ist x
  • N die Sektornummer und j die Blocknummer innerhalb des Sektors ist

Unterschiede zu XEX

  1. Doppelschlüssel-Design: XTS verwendet zwei verschiedene symmetrische Schlüssel (K für Datenverschlüsselung, KT für Sektornummernverschlüsselung), während XEX einen einzelnen Schlüssel verwendet
  2. Index-Start: XTS beginnt bei j=0, XEX bei j=1
  3. Chiffretext-Diebstahl: XTS ermöglicht Chiffretext-Diebstahl zur Verarbeitung von Daten, die keine Vielfachen der Blockgröße sind

Endliche-Körper-Operationen

Die Multiplikationsoperation α entspricht einer Linksverschiebungsoperation:

  • Wenn a₁₂₇=0: s·α = a₁₂₆a₁₂₅...a₁a₀0
  • Wenn a₁₂₇=1: s·α = a₁₂₆a₁₂₅...a₁a₀0 ⊕ 10000111

Bedrohungsmodellanalyse

Grundlegendes Bedrohungsmodell

  1. "Gestohlenes Gerät"-Modell: Der Angreifer kann nur auf einen Chiffretextschnappschuss zugreifen
  2. TCG-Opal-Definition: Schutz der Vertraulichkeit von Benutzerdaten, um unbefugten Zugriff nach dem Verlust des Geräts durch den Besitzer zu verhindern

Erweitertes Bedrohungsmodell

  1. Wiederholter Zugriff: Der Angreifer kann nach wiederholtem Zugriff Chiffretexte manipulieren
  2. Datenverkehrsanalyse: Berücksichtigung von verschlüsselten Bildern in Cloud-Speicherumgebungen
  3. Chosen-Ciphertext-Attacke (CCA): Der Angreifer kann Verschlüsselungs- und Entschlüsselungsorakel abfragen

Sicherheitsgrenzen-Analyse

Schlüsselbereich-Einschränkungen

Neue Standardanforderungen

Der IEEE-1619-2025-Standard schreibt vor, dass die maximale Anzahl von 128-Bit-Blöcken innerhalb eines Schlüsselbereichs zwischen 2³⁶ und 2⁴⁴ liegt, d.h.:

  • Für festen XTS-Schlüssel (K,KT): S·J ≤ 2³⁶ oder S·J ≤ 2⁴⁴
  • Entsprechende Datenmengen: 1 TiB bis 256 TiB

Sicherheitsanalyse

Sicherheitsrisiken entstehen, wenn folgende Bedingung erfüllt ist:

PN,j ⊕ TN,j = PN',j' ⊕ TN',j'

Kollisionswahrscheinlichkeitsschätzung:

  • 1 TiB Daten: Wahrscheinlichkeit etwa 2⁻⁵⁶
  • 256 TiB Daten: Wahrscheinlichkeit etwa 2⁻⁴⁰

Maximale Sektorgröße-Einschränkung

  • IEEE 1619 schreibt vor: Die Anzahl der 128-Bit-Blöcke in einem Sektor darf 2²⁰ (16 MiB) nicht überschreiten
  • In praktischen Anwendungen selten problematisch (typische Sektorgröße ≤ 4 KiB)

Schlüsselunabhängigkeitsanforderung

  • FIPS 140-3 erzwingt K ≠ KT
  • Verhindert spezifische Chosen-Ciphertext-Attacken

Implementierungsplan-Diskussion

Schlüsselbereich-Implementierungsstrategien

Linearer Plan

  • Jeder XTS-Schlüssel verschlüsselt sequenziell maximal 2⁴⁴ Klartextblöcke
  • Vorteile: Einfache Implementierung
  • Nachteile: Ungleichmäßige Schlüsselnutzung, komplexe Geräteumgrößerung

Rotationsplan

  • Verwendung des (N mod m)-ten XTS-Schlüssels zur Verschlüsselung des N-ten Sektors
  • Vorteile: Gleichmäßige Schlüsselnutzung, unterstützt dynamische Umgrößerung
  • Nachteile: Erfordert vordefinierte maximale Gerätegröße

Schlüsselerzeugung und -verwaltung

  • Müssen alle Schlüssel mit genehmigten Zufallszahlengeneratoren erzeugt werden?
  • Können sie von einem Hauptschlüssel abgeleitet werden?
  • Wie wird bestimmt, welcher Schlüssel für einen bestimmten Sektor verwendet wird?

Zukünftige Entwicklungsrichtungen

Einschränkungen von XTS

XTS kann wie andere traditionelle Modi (ECB, CBC usw.) keine vollständige Diffusion bieten, wenn verschlüsselte Daten mehrere Blöcke überschreiten (jedes Chiffretextbit hängt von jedem Klartextbit ab).

Bewertung von Alternativen

Kandidaten für breite Verschlüsselungsmodi

  1. EME2: Basierend auf EME-Design, im IEEE-1619.2-Standard standardisiert, aber aufgrund von Patentproblemen nicht weit verbreitet
  2. Adiantum: Von Google entwickelt, geeignet für Low-End-Systeme ohne AES-Hardwarebeschleunigung
  3. HCTR2: Basierend auf CTR-Modus-Konstruktion, ausgezeichnete Leistung und konservativ
  4. bbb-ddd-AES: Neuer Modus basierend auf Double-Deck-Konstruktion, kann Sicherheit über dem Geburtstagslimit bieten

Double-Deck-Framework

  • Flexibles Framework zur Konstruktion breiter Verschlüsselungsmodi mit besseren Eigenschaften
  • Bietet stärkere Sicherheit, wenn die Anzahl der Tweak-Wiederverwendungen begrenzt ist
  • Geeignet für begrenzte Lebensdauer und Verschleißausgleich von SSD-Hardware

Schlussfolgerungen und Diskussion

Hauptschlussfolgerungen

  1. Standardisierungsauswirkungen: Die Schlüsselbereich-Änderungen im IEEE-1619-2025 werden erhebliche Auswirkungen auf das gesamte Ökosystem haben
  2. Vielfalt der Bedrohungsmodelle: Verschiedene Anwendungsszenarien erfordern unterschiedliche Bedrohungsmodell-Überlegungen
  3. Implementierungskomplexität: Die Einführung von Schlüsselbereichen erhöht die Implementierungskomplexität und Fehleranfälligkeit

Schlüsselfragen

  1. Sind Schlüsselbereiche unter schwächeren Bedrohungsmodellen notwendig?
  2. Sind Schlüsselbereiche unter stärkeren Bedrohungsmodellen ausreichend?
  3. Gibt es XTS-Verstärkungspläne, die keine Schlüsselbereiche verwenden?
  4. Wie können die Implementierungsdetails von Schlüsselbereichen standardisiert werden?

Langfristige Empfehlungen

  • Kurzfristig: Beibehaltung von XTS-Einschränkungen in einem nachhaltigen Zustand, Unterstützung von Legacy-Systemen
  • Langfristig: Aufmerksamkeit auf neuere Konstruktionen wie Double-Deck-Framework

Tiefgreifende Bewertung

Stärken

  1. Hohe Praktikabilität: Direkte Lösung von Standardisierungsproblemen in der Industrie
  2. Umfassende Analyse: Systematische Analyse aller Aspekte und Einschränkungen von XTS
  3. Zukunftsorientierung: Tiefgreifende Überlegungen zu zukünftigen Entwicklungsrichtungen
  4. Ausgewogenheit: Ausgleich zwischen theoretischer Strenge und praktischen Anforderungen

Mängel

  1. Fehlende experimentelle Validierung: Hauptsächlich theoretische Analyse, fehlende Leistungsvergleichsexperimente
  2. Begrenzte Auswirkungen auf Standardisierung: Als akademisches Papier möglicherweise begrenzte direkte Auswirkungen auf die Standardisierung
  3. Unzureichende Implementierungsdetails: Beschreibung konkreter Implementierungspläne für Schlüsselbereiche eher allgemein

Einflussfähigkeit

  1. Akademischer Wert: Bietet wichtige einheitliche Grundlagen für XTS-Modus-Forschung
  2. Industrielle Bedeutung: Wichtige Referenz für Standardisierung und Implementierung
  3. Aktualität: Zeitnahe Reaktion auf Kontroversen um IEEE-1619-2025-Standardänderungen

Anwendungsszenarien

  1. Standardisierungsinstitutionen: Referenz für IEEE, NIST und andere Standardisierungsorganisationen
  2. Verschlüsselungssoftware-Entwickler: Anleitung zur Implementierung von XTS und seinen Alternativen
  3. Sicherheitsforscher: Grundlagen für weitere Sicherheitsanalysen

Literaturverzeichnis

Das Papier zitiert 30 wichtige Literaturquellen, einschließlich:

  • IEEE-1619-Serienstandard-Dokumente
  • Rogaways ursprüngliche XEX-Papiere und Analysen
  • NIST-bezogene Standards und Richtliniendokumente
  • Wichtige Forschungspapiere zu breiten Verschlüsselungsmodi
  • Industrielle Implementierungsprojekte (BitLocker, VeraCrypt usw.)

Gesamtbewertung: Dies ist ein zeitnahes und wichtiges Papier, das den aktuellen Stand und die zukünftige Entwicklung des XTS-Modus systematisch analysiert. Das Papier klärt nicht nur technische Details, sondern bietet vor allem einen konstruktiven Diskussionsrahmen, der für die gesunde Entwicklung von Speicherverschlüsselungsstandards von großer Bedeutung ist.