2025-11-11T07:49:09.347531

XTS mode revisited: high hopes for key scopes?

Brož, Sedláček
This paper concisely summarizes the XTS block encryption mode for storage sector-based encryption applications and clarifies its limitations. In particular, we aim to provide a unified basis for constructive discussions about the newly introduced key scope change to the IEEE 1619 standard. We also reflect on wide modes that could replace XTS in the future.
academic

Le mode XTS revisité : des espoirs élevés pour les portées de clés ?

Informations de base

  • ID de l'article : 2502.18631
  • Titre : XTS mode revisited: high hopes for key scopes?
  • Auteurs : Milan Brož (Projet Cryptsetup, Université Masaryk), Vladimír Sedláček (Université Masaryk)
  • Classification : cs.CR (Cryptographie et sécurité)
  • Date de publication : 30 octobre 2025 (prépublication arXiv)
  • Lien de l'article : https://arxiv.org/abs/2502.18631

Résumé

Cet article résume de manière concise le mode de chiffrement par bloc XTS utilisé pour les applications de chiffrement de secteurs de stockage et clarifie ses limitations. En particulier, l'article vise à fournir une base de discussion unifiée concernant les modifications de portée de clé (key scope) récemment introduites dans la norme IEEE 1619. L'article réfléchit également aux modes larges qui pourraient potentiellement remplacer XTS à l'avenir.

Contexte et motivation de la recherche

Contexte du problème

  1. Dilemme de normalisation : Depuis l'introduction du mode XTS en 2007, il a été largement adopté par BitLocker, VeraCrypt, Cryptsetup et TCG Opal, mais de nombreuses idées fausses et controverses persistent autour de ce mode
  2. Problème d'accessibilité de la documentation : La recommandation NIST XTS-AES existante ne référence que la version payante de la norme IEEE, ce qui en fait le seul primitif cryptographique NIST dont la définition n'est pas publiquement disponible
  3. Crise de conformité : Les modifications de portée de clé introduites par la norme IEEE 1619-2025 rendront la plupart des implémentations existantes non conformes, forçant les fournisseurs à effectuer des modifications majeures

Motivation de la recherche

  1. Unification de la terminologie : Fournir aux chercheurs théoriques et aux praticiens des définitions unifiées et faciles à comprendre de la terminologie XTS
  2. Clarification des controverses : Clarifier les limitations de sécurité de XTS, en particulier la portée de clé, la taille maximale du secteur et les exigences de clés différentes
  3. Promotion de la discussion : Encourager une discussion constructive ouverte pour influencer les exigences et recommandations futures

Contributions principales

  1. Fourniture d'une définition formalisée unifiée du mode XTS, équilibrant la rigueur théorique et les besoins d'application pratique
  2. Analyse systématique des limitations de sécurité de XTS, y compris la portée de clé, les limitations de taille de secteur et les exigences d'indépendance de clé
  3. Exploration approfondie de l'impact des modifications de portée de clé dans la norme IEEE 1619-2025 et des défis d'implémentation
  4. Évaluation des modes de chiffrement larges potentiels pour remplacer XTS, fournissant des orientations pour le développement à long terme

Détails méthodologiques

Définition des tâches

Cet article réexamine le mode de chiffrement par bloc XTS (mode XEX-based tweaked-codebook with ciphertext stealing), utilisé pour le chiffrement de dispositifs de stockage basés sur secteurs, avec en entrée les données de secteur en clair et en sortie les données de secteur chiffrées de même longueur.

Architecture du mode XTS

Définition centrale

Le mode de chiffrement XTS utilise deux clés symétriques K et KT pour chiffrer les secteurs avec un chiffrement par bloc E de taille de bloc 128 bits :

CN,j := EK(PN,j ⊕ TN,j) ⊕ TN,j

Où :

  • TN,j := EKT(N) · αj est la valeur d'ajustement (tweak)
  • α est un élément du corps fini F₂¹²⁸ x
  • N est le numéro de secteur, j est le numéro de bloc dans le secteur

Différences avec XEX

  1. Conception à double clé : XTS utilise deux clés symétriques différentes (K pour le chiffrement des données, KT pour le chiffrement du numéro de secteur), tandis que XEX utilise une seule clé
  2. Indice de départ : XTS commence à j=0, XEX commence à j=1
  3. Vol de texte chiffré : XTS permet le traitement du vol de texte chiffré pour les données qui ne sont pas des multiples de la taille de bloc

Opérations en corps fini

L'opération de multiplication α correspond à une opération de décalage à gauche :

  • Lorsque a₁₂₇=0 : s·α = a₁₂₆a₁₂₅...a₁a₀0
  • Lorsque a₁₂₇=1 : s·α = a₁₂₆a₁₂₅...a₁a₀0 ⊕ 10000111

Analyse du modèle de menace

Modèle de menace fondamental

  1. Modèle « appareil volé » : L'attaquant ne peut accéder qu'à un instantané de texte chiffré
  2. Définition TCG Opal : Protection de la confidentialité des données utilisateur stockées, prévention de l'accès non autorisé après que l'appareil échappe au contrôle du propriétaire

Modèle de menace amélioré

  1. Accès répété : L'attaquant peut manipuler le texte chiffré après accès répétés
  2. Analyse de trafic : Considération des scénarios de stockage d'images chiffrées dans les environnements cloud
  3. Attaques par texte chiffré choisi (CCA) : L'attaquant peut interroger les oracles de chiffrement et de déchiffrement

Analyse des limitations de sécurité

Limitations de la portée de clé

Exigences de la nouvelle norme

La norme IEEE 1619-2025 stipule que le nombre maximal de blocs 128 bits dans une portée de clé est de 2³⁶ à 2⁴⁴, c'est-à-dire :

  • Pour une clé XTS fixe (K,KT) : S·J ≤ 2³⁶ ou S·J ≤ 2⁴⁴
  • Volume de données correspondant : 1 Tio à 256 Tio

Analyse de sécurité

Des risques de sécurité existent lorsque les conditions suivantes sont satisfaites :

PN,j ⊕ TN,j = PN',j' ⊕ TN',j'

Estimation de la probabilité de collision :

  • Données de 1 Tio : probabilité d'environ 2⁻⁵⁶
  • Données de 256 Tio : probabilité d'environ 2⁻⁴⁰

Limitations de la taille maximale du secteur

  • IEEE 1619 stipule : le nombre de blocs 128 bits dans un secteur ne doit pas dépasser 2²⁰ (16 Mio)
  • Rarement un problème dans les applications pratiques (taille de secteur typique ≤ 4 Kio)

Exigences d'indépendance de clé

  • FIPS 140-3 impose que K ≠ KT
  • Prévention d'attaques par texte chiffré choisi spécifiques

Discussion des schémas d'implémentation

Stratégies d'implémentation de la portée de clé

Schéma linéaire

  • Chaque clé XTS chiffre séquentiellement au maximum 2⁴⁴ blocs en clair
  • Avantages : implémentation simple
  • Inconvénients : utilisation inégale des clés, ajustement complexe de la taille de l'appareil

Schéma de rotation

  • Utilisation de la clé XTS numéro (N mod m) pour chiffrer le secteur N
  • Avantages : utilisation uniforme des clés, support de l'ajustement dynamique de la taille
  • Inconvénients : nécessite une prédéfinition de la taille maximale de l'appareil

Génération et gestion des clés

  • Toutes les clés doivent-elles utiliser un générateur de nombres aléatoires approuvé ?
  • Peuvent-elles être dérivées d'une clé maître ?
  • Comment déterminer quelle clé est utilisée pour un secteur particulier ?

Orientations de développement futur

Limitations de XTS

XTS, comme les autres modes traditionnels (ECB, CBC, etc.), ne peut pas fournir une diffusion complète lorsque les données chiffrées dépassent quelques blocs (chaque bit de texte chiffré dépend de chaque bit de texte en clair).

Évaluation des solutions alternatives

Candidats en modes de chiffrement larges

  1. EME2 : Basé sur la conception EME, normalisé par IEEE 1619.2, mais peu largement adopté en raison de problèmes de brevets
  2. Adiantum : Développé par Google, adapté aux systèmes bas de gamme sans accélération matérielle AES
  3. HCTR2 : Construit sur la base du mode CTR, performance excellente et conservatrice
  4. bbb-ddd-AES : Nouveau mode basé sur une construction à double pont, peut fournir une sécurité au-delà de la limite d'anniversaire

Cadre à double pont

  • Cadre flexible permettant la construction de modes de chiffrement larges avec de meilleures propriétés
  • Fournit une sécurité plus forte lorsque le nombre de réutilisations d'ajustement est borné
  • Adapté aux caractéristiques de durée de vie limitée et d'équilibrage d'usure du matériel SSD

Conclusions et discussion

Conclusions principales

  1. Impact de la normalisation : Les modifications de portée de clé d'IEEE 1619-2025 auront un impact majeur sur l'ensemble de l'écosystème
  2. Diversité des modèles de menace : Différents scénarios d'application nécessitent des considérations de modèles de menace différents
  3. Complexité d'implémentation : L'introduction de la portée de clé augmente la complexité d'implémentation et la probabilité d'erreurs

Questions clés

  1. La portée de clé est-elle nécessaire dans les modèles de menace plus faibles ?
  2. La portée de clé est-elle suffisante dans les modèles de menace plus forts ?
  3. Existe-t-il des schémas de renforcement de XTS qui n'utilisent pas la portée de clé ?
  4. Comment normaliser les détails d'implémentation de la portée de clé ?

Recommandations à long terme

  • Court terme : Maintenir les limitations de XTS dans un état durable, soutenir les systèmes hérités
  • Long terme : Attention aux constructions plus récentes, telles que le cadre à double pont

Évaluation approfondie

Points forts

  1. Forte praticité : Résout directement les problèmes de normalisation auxquels l'industrie est confrontée
  2. Analyse complète : Analyse systématique de tous les aspects et limitations de XTS
  3. Caractère prospectif : Fournit une réflexion approfondie sur les orientations de développement futur
  4. Équilibre : Concilie rigueur théorique et besoins d'application pratique

Insuffisances

  1. Manque de validation expérimentale : Principalement une analyse théorique, manque d'expériences de comparaison de performance
  2. Influence limitée sur la normalisation : En tant qu'article académique, l'impact direct sur la normalisation peut être limité
  3. Détails d'implémentation insuffisamment spécifiques : La description des schémas d'implémentation spécifiques de la portée de clé est plutôt générale

Impact

  1. Valeur académique : Fournit une base unifiée importante pour la recherche sur le mode XTS
  2. Signification industrielle : Fournit une référence importante pour la normalisation et l'implémentation
  3. Opportunité : Répond en temps opportun aux controverses autour des modifications de la norme IEEE 1619-2025

Scénarios d'application

  1. Organismes de normalisation : Fournit une référence pour IEEE, NIST et autres organismes de normalisation
  2. Développeurs de logiciels de chiffrement : Fournit des orientations pour l'implémentation de XTS et de ses solutions alternatives
  3. Chercheurs en sécurité : Fournit une base pour l'analyse de sécurité ultérieure

Références bibliographiques

L'article cite 30 références importantes, notamment :

  • Documents de norme de la série IEEE 1619
  • Article original XEX de Rogaway et analyses
  • Documents de norme et documents d'orientation NIST
  • Articles de recherche importants sur les modes de chiffrement larges
  • Projets d'implémentation industrielle (BitLocker, VeraCrypt, etc.)

Évaluation globale : Cet article est opportun et important, analysant systématiquement l'état actuel et le développement futur du mode XTS. L'article non seulement clarifie les détails techniques, mais plus important encore, propose un cadre de discussion constructif, ce qui est d'une grande importance pour promouvoir le développement sain des normes de chiffrement de stockage.