2025-11-11T07:49:09.347531

XTS mode revisited: high hopes for key scopes?

Brož, Sedláček
This paper concisely summarizes the XTS block encryption mode for storage sector-based encryption applications and clarifies its limitations. In particular, we aim to provide a unified basis for constructive discussions about the newly introduced key scope change to the IEEE 1619 standard. We also reflect on wide modes that could replace XTS in the future.
academic

Modo XTS revisitado: ¿altas esperanzas para alcances de clave?

Información Básica

  • ID del Artículo: 2502.18631
  • Título: XTS mode revisited: high hopes for key scopes?
  • Autores: Milan Brož (Proyecto Cryptsetup, Universidad Masaryk), Vladimír Sedláček (Universidad Masaryk)
  • Clasificación: cs.CR (Criptografía y Seguridad)
  • Fecha de Publicación: 30 de octubre de 2025 (preimpresión arXiv)
  • Enlace del Artículo: https://arxiv.org/abs/2502.18631

Resumen

Este artículo resume de manera concisa el modo de cifrado de bloques XTS utilizado en aplicaciones de cifrado de sectores de almacenamiento, y aclara sus limitaciones. En particular, el artículo tiene como objetivo proporcionar una base de discusión unificada sobre los cambios recientemente introducidos en el estándar IEEE 1619 respecto a los alcances de clave (key scope). El artículo también reflexiona sobre posibles modos amplios que podrían reemplazar a XTS en el futuro.

Contexto de Investigación y Motivación

Contexto del Problema

  1. Dilema de Estandarización: Desde la introducción del modo XTS en 2007, ha sido ampliamente adoptado por BitLocker, VeraCrypt, Cryptsetup y TCG Opal, pero persisten numerosos malentendidos y controversias en torno a este modo
  2. Problema de Accesibilidad de Documentación: Las recomendaciones actuales de NIST XTS-AES solo hacen referencia a la versión de pago del estándar IEEE, convirtiéndola en el único primitivo criptográfico de NIST sin definición públicamente disponible
  3. Crisis de Cumplimiento: Los cambios en los alcances de clave recientemente introducidos en el estándar IEEE 1619-2025 harán que la mayoría de las implementaciones existentes no cumplan con las normas, obligando a los proveedores a realizar modificaciones importantes

Motivación de la Investigación

  1. Unificación de Terminología: Proporcionar definiciones unificadas de terminología XTS fáciles de entender para investigadores teóricos y profesionales
  2. Aclaración de Controversias: Especificar claramente las limitaciones de seguridad de XTS, particularmente alcances de clave, tamaño máximo de sector y requisitos de claves diferentes
  3. Promoción del Diálogo: Fomentar discusiones públicas constructivas para influir en requisitos y recomendaciones futuras

Contribuciones Principales

  1. Se proporciona una definición formalizada unificada del modo XTS, equilibrando el rigor teórico con las necesidades de aplicación práctica
  2. Se analizan sistemáticamente las limitaciones de seguridad de XTS, incluyendo alcances de clave, limitaciones de tamaño de sector y requisitos de independencia de claves
  3. Se explora en profundidad el impacto de los cambios en los alcances de clave en el estándar IEEE 1619-2025 y los desafíos de implementación
  4. Se evalúan posibles modos de cifrado amplio que podrían reemplazar a XTS, proporcionando orientación para el desarrollo a largo plazo

Explicación Detallada de Métodos

Definición de Tareas

Este artículo reexamina el modo de cifrado de bloques XTS (modo de libro de códigos ajustado basado en XEX con robo de texto cifrado), utilizado para cifrado de dispositivos de almacenamiento basado en sectores, con entrada de datos de sector en texto plano y salida de datos de texto cifrado de la misma longitud.

Arquitectura del Modo XTS

Definición Central

El modo de cifrado XTS utiliza dos claves simétricas K y KT para cifrar sectores con cifrados de bloques de tamaño de 128 bits E:

CN,j := EK(PN,j ⊕ TN,j) ⊕ TN,j

Donde:

  • TN,j := EKT(N) · αj es el valor de ajuste (tweak)
  • α es un elemento en el campo finito F₂¹²⁸ x
  • N es el número de sector, j es el número de bloque dentro del sector

Diferencias con XEX

  1. Diseño de Doble Clave: XTS utiliza dos claves simétricas diferentes (K para cifrado de datos, KT para cifrado de número de sector), mientras que XEX utiliza una única clave
  2. Inicio de Índice: XTS comienza desde j=0, XEX comienza desde j=1
  3. Robo de Texto Cifrado: XTS permite el robo de texto cifrado para procesar datos que no son múltiplos del tamaño de bloque

Operaciones en Campo Finito

La operación de multiplicación α corresponde a operación de desplazamiento a la izquierda:

  • Cuando a₁₂₇=0: s·α = a₁₂₆a₁₂₅...a₁a₀0
  • Cuando a₁₂₇=1: s·α = a₁₂₆a₁₂₅...a₁a₀0 ⊕ 10000111

Análisis del Modelo de Amenaza

Modelo de Amenaza Básico

  1. Modelo de "Dispositivo Robado": El atacante solo puede acceder a una instantánea de texto cifrado
  2. Definición TCG Opal: Protege la confidencialidad de los datos de usuario almacenados, previniendo acceso no autorizado después de que el dispositivo sale del control del propietario

Modelo de Amenaza Mejorado

  1. Acceso Repetido: El atacante puede manipular el texto cifrado después de acceso repetido
  2. Análisis de Tráfico: Considera escenarios de almacenamiento de imágenes cifradas en entornos en la nube
  3. Ataque de Texto Cifrado Elegido (CCA): El atacante puede consultar oráculos de cifrado y descifrado

Análisis de Limitaciones de Seguridad

Limitaciones de Alcance de Clave

Requisitos del Nuevo Estándar

El estándar IEEE 1619-2025 especifica que la cantidad máxima de bloques de 128 bits dentro de un alcance de clave es de 2³⁶ a 2⁴⁴, es decir:

  • Para clave XTS fija (K,KT): S·J ≤ 2³⁶ o S·J ≤ 2⁴⁴
  • Volumen de datos correspondiente: 1 TiB a 256 TiB

Análisis de Seguridad

Existe riesgo de seguridad cuando se cumplen las siguientes condiciones:

PN,j ⊕ TN,j = PN',j' ⊕ TN',j'

Estimación de probabilidad de colisión:

  • Datos de 1 TiB: probabilidad aproximada de 2⁻⁵⁶
  • Datos de 256 TiB: probabilidad aproximada de 2⁻⁴⁰

Limitación de Tamaño Máximo de Sector

  • IEEE 1619 especifica: el número de bloques de 128 bits dentro de un sector no debe exceder 2²⁰ (16 MiB)
  • Rara vez es un problema en aplicaciones prácticas (tamaño de sector típico ≤ 4 KiB)

Requisito de Independencia de Claves

  • FIPS 140-3 requiere obligatoriamente que K ≠ KT
  • Previene ataques específicos de texto cifrado elegido

Discusión de Esquemas de Implementación

Estrategias de Implementación de Alcance de Clave

Esquema Lineal

  • Cada clave XTS cifra secuencialmente como máximo 2⁴⁴ bloques de texto plano
  • Ventajas: implementación simple
  • Desventajas: utilización de clave no uniforme, complejidad en ajuste de tamaño de dispositivo

Esquema de Rotación

  • Utiliza clave XTS número (N mod m) para cifrar el sector N
  • Ventajas: utilización de clave uniforme, admite cambio de tamaño dinámico
  • Desventajas: requiere predefinir tamaño máximo de dispositivo

Generación y Gestión de Claves

  • ¿Deben todas las claves generarse utilizando un generador de números aleatorios aprobado?
  • ¿Se pueden derivar de una clave maestra?
  • ¿Cómo se determina qué clave utilizar para un sector específico?

Direcciones de Desarrollo Futuro

Limitaciones de XTS

XTS, como otros modos tradicionales (ECB, CBC, etc.), no puede proporcionar difusión completa cuando los datos cifrados exceden varios bloques (cada bit de texto cifrado depende de cada bit de texto plano).

Evaluación de Alternativas

Candidatos de Modo de Cifrado Amplio

  1. EME2: Basado en diseño EME, estandarizado en IEEE 1619.2, pero no ampliamente adoptado debido a problemas de patentes
  2. Adiantum: Desarrollado por Google, adecuado para sistemas de gama baja sin aceleración de hardware AES
  3. HCTR2: Construido basado en modo CTR, con excelente rendimiento y conservador
  4. bbb-ddd-AES: Nuevo modo basado en construcción de doble cubierta, puede proporcionar seguridad más allá del límite de cumpleaños

Marco de Doble Cubierta

  • Marco flexible que puede construir modos de cifrado amplio con mejores características
  • Proporciona seguridad más fuerte cuando el número de reutilizaciones de ajuste tiene límite superior
  • Adecuado para características de vida útil limitada y equilibrio de desgaste de hardware SSD

Conclusiones y Discusión

Conclusiones Principales

  1. Impacto de Estandarización: Los cambios en alcances de clave de IEEE 1619-2025 tendrán un impacto significativo en todo el ecosistema
  2. Diversidad de Modelos de Amenaza: Diferentes escenarios de aplicación requieren consideraciones de modelos de amenaza diferentes
  3. Complejidad de Implementación: La introducción de alcances de clave aumenta la complejidad de implementación y la posibilidad de errores

Preguntas Clave

  1. ¿Son necesarios los alcances de clave bajo modelos de amenaza más débiles?
  2. ¿Son suficientes los alcances de clave bajo modelos de amenaza más fuertes?
  3. ¿Existen esquemas de fortalecimiento de XTS que no utilicen alcances de clave?
  4. ¿Cómo estandarizar los detalles de implementación de alcances de clave?

Recomendaciones a Largo Plazo

  • Corto Plazo: Mantener limitaciones de XTS en estado sostenible, apoyar sistemas heredados
  • Largo Plazo: Enfocarse en construcciones más nuevas, como el marco de doble cubierta

Evaluación Profunda

Fortalezas

  1. Fuerte Practicidad: Aborda directamente problemas de estandarización enfrentados por la industria
  2. Análisis Integral: Analiza sistemáticamente todos los aspectos y limitaciones de XTS
  3. Visión Prospectiva: Proporciona reflexión profunda sobre direcciones de desarrollo futuro
  4. Equilibrio: Equilibra rigor teórico con necesidades de aplicación práctica

Limitaciones

  1. Falta de Verificación Experimental: Principalmente análisis teórico, carece de experimentos de comparación de rendimiento
  2. Influencia Limitada en Establecimiento de Estándares: Como artículo académico, el impacto directo en la formulación de estándares puede ser limitado
  3. Detalles de Implementación Insuficientemente Específicos: Las descripciones de esquemas de implementación específicos de alcances de clave son relativamente generales

Influencia

  1. Valor Académico: Proporciona base unificada importante para investigación del modo XTS
  2. Significado Industrial: Proporciona referencia importante para formulación e implementación de estándares
  3. Oportunidad: Responde oportunamente a controversias sobre cambios en el estándar IEEE 1619-2025

Escenarios Aplicables

  1. Instituciones de Establecimiento de Estándares: Proporciona referencia para IEEE, NIST y otros organismos de estandarización
  2. Desarrolladores de Software Criptográfico: Proporciona orientación para implementación de XTS y esquemas alternativos
  3. Investigadores de Seguridad: Proporciona base para análisis de seguridad adicional

Referencias

El artículo cita 30 referencias importantes, incluyendo:

  • Documentos de estándares de la serie IEEE 1619
  • Artículos originales de Rogaway sobre XEX y análisis
  • Documentos de estándares y orientación de NIST
  • Artículos de investigación sobre modos de cifrado amplio principales
  • Proyectos de implementación industrial (BitLocker, VeraCrypt, etc.)

Evaluación General: Este es un artículo oportuno e importante que analiza sistemáticamente el estado actual y desarrollo futuro del modo XTS. El artículo no solo aclara detalles técnicos, sino que más importantemente proporciona un marco de discusión constructivo, teniendo significado importante para promover el desarrollo saludable de estándares de cifrado de almacenamiento.