2025-11-11T07:49:09.347531

XTS mode revisited: high hopes for key scopes?

Brož, Sedláček
This paper concisely summarizes the XTS block encryption mode for storage sector-based encryption applications and clarifies its limitations. In particular, we aim to provide a unified basis for constructive discussions about the newly introduced key scope change to the IEEE 1619 standard. We also reflect on wide modes that could replace XTS in the future.
academic

XTS मोड पुनः विचारित: मुख्य दायरे के लिए उच्च आशाएं?

मूल जानकारी

  • पेपर ID: 2502.18631
  • शीर्षक: XTS mode revisited: high hopes for key scopes?
  • लेखक: Milan Brož (Cryptsetup परियोजना, Masaryk विश्वविद्यालय), Vladimír Sedláček (Masaryk विश्वविद्यालय)
  • वर्गीकरण: cs.CR (क्रिप्टोग्राफी और सुरक्षा)
  • प्रकाशन समय: 30 अक्टूबर, 2025 (arXiv पूर्वप्रिंट)
  • पेपर लिंक: https://arxiv.org/abs/2502.18631

सारांश

यह पेपर भंडारण क्षेत्र एन्क्रिप्शन अनुप्रयोगों के लिए उपयोग किए जाने वाले XTS ब्लॉक एन्क्रिप्शन मोड को संक्षेप में प्रस्तुत करता है और इसकी सीमाओं को स्पष्ट करता है। विशेष रूप से, यह पेपर IEEE 1619 मानक में नई शुरू की गई मुख्य दायरे (key scope) परिवर्तनों पर एकीकृत चर्चा का आधार प्रदान करना चाहता है। लेख भविष्य में XTS के संभावित विकल्पों के रूप में कार्य करने वाले विस्तृत मोड पर भी विचार करता है।

अनुसंधान पृष्ठभूमि और प्रेरणा

समस्या की पृष्ठभूमि

  1. मानकीकरण की दुविधा: 2007 से XTS मोड की शुरुआत के बाद से, इसे BitLocker, VeraCrypt, Cryptsetup और TCG Opal द्वारा व्यापक रूप से अपनाया गया है, लेकिन इस मोड के बारे में अभी भी कई गलतफहमियां और विवाद मौजूद हैं
  2. दस्तावेज़ उपलब्धता समस्या: मौजूदा NIST XTS-AES सिफारिश केवल IEEE मानक के भुगतान संस्करण का संदर्भ देती है, जिससे यह एकमात्र NIST क्रिप्टोग्राफिक आदिम दस्तावेज़ बन जाता है जिसकी सार्वजनिक रूप से उपलब्ध परिभाषा नहीं है
  3. अनुपालन संकट: IEEE 1619-2025 मानक में नई शुरू की गई मुख्य दायरे परिवर्तन अधिकांश मौजूदा कार्यान्वयनों को गैर-अनुरूप बना देगी, जिससे विक्रेताओं को महत्वपूर्ण संशोधन करने के लिए मजबूर किया जाएगा

अनुसंधान प्रेरणा

  1. एकीकृत शब्दावली: सैद्धांतिक शोधकर्ताओं और व्यावहारिक कार्यकर्ताओं के लिए आसानी से समझने योग्य XTS शब्दावली की एकीकृत परिभाषा प्रदान करना
  2. विवादों को स्पष्ट करना: XTS की सुरक्षा सीमाओं को स्पष्ट करना, विशेष रूप से मुख्य दायरे, अधिकतम क्षेत्र आकार और विभिन्न मुख्य आवश्यकताओं को
  3. चर्चा को बढ़ावा देना: सार्वजनिक रचनात्मक चर्चा को प्रोत्साहित करना, जो भविष्य की आवश्यकताओं और सिफारिशों को प्रभावित कर सके

मुख्य योगदान

  1. XTS मोड की एकीकृत औपचारिक परिभाषा प्रदान की, जो सैद्धांतिक कठोरता और व्यावहारिक अनुप्रयोग आवश्यकताओं को संतुलित करती है
  2. XTS की सुरक्षा सीमाओं का व्यवस्थित विश्लेषण, जिसमें मुख्य दायरे, क्षेत्र आकार सीमाएं और मुख्य स्वतंत्रता आवश्यकताएं शामिल हैं
  3. IEEE 1619-2025 मानक में मुख्य दायरे परिवर्तनों के प्रभाव और कार्यान्वयन चुनौतियों की गहन खोज
  4. भविष्य में XTS के संभावित विकल्पों के रूप में कार्य करने वाले विस्तृत एन्क्रिप्शन मोड का मूल्यांकन, दीर्घकालीन विकास के लिए मार्गदर्शन प्रदान करना

विधि विवरण

कार्य परिभाषा

यह पेपर XTS (XEX-आधारित ट्वीकेड-कोडबुक मोड सिफरटेक्स्ट चोरी के साथ) ब्लॉक एन्क्रिप्शन मोड को क्षेत्र-आधारित भंडारण उपकरणों के एन्क्रिप्शन के लिए पुनः परीक्षा करता है, जहां इनपुट सादे पाठ क्षेत्र डेटा है और आउटपुट समान लंबाई का सिफरटेक्स्ट डेटा है।

XTS मोड आर्किटेक्चर

मूल परिभाषा

XTS एन्क्रिप्शन मोड दो सममित मुख्य K और KT का उपयोग करता है, 128-बिट ब्लॉक आकार के ब्लॉक सिफर E के साथ क्षेत्र एन्क्रिप्शन के लिए:

CN,j := EK(PN,j ⊕ TN,j) ⊕ TN,j

जहां:

  • TN,j := EKT(N) · αj समायोजन मान (tweak) है
  • α परिमित क्षेत्र F₂¹²⁸ में तत्व x है
  • N क्षेत्र संख्या है, j क्षेत्र के भीतर ब्लॉक संख्या है

XEX से अंतर

  1. दोहरी मुख्य डिज़ाइन: XTS दो अलग-अलग सममित मुख्य का उपयोग करता है (K डेटा एन्क्रिप्शन के लिए, KT क्षेत्र संख्या एन्क्रिप्शन के लिए), जबकि XEX एकल मुख्य का उपयोग करता है
  2. अनुक्रमणिका शुरुआत: XTS j=0 से शुरू होता है, XEX j=1 से शुरू होता है
  3. सिफरटेक्स्ट चोरी: XTS गैर-ब्लॉक आकार के गुणकों के डेटा को संभालने के लिए सिफरटेक्स्ट चोरी की अनुमति देता है

परिमित क्षेत्र संचालन

गुणन संचालन α बाएं शिफ्ट संचालन से मेल खाता है:

  • जब a₁₂₇=0: s·α = a₁₂₆a₁₂₅...a₁a₀0
  • जब a₁₂₇=1: s·α = a₁₂₆a₁₂₅...a₁a₀0 ⊕ 10000111

खतरे के मॉडल विश्लेषण

मूल खतरे का मॉडल

  1. "चोरी किए गए उपकरण" मॉडल: हमलावर केवल एक सिफरटेक्स्ट स्नैपशॉट तक पहुंच सकता है
  2. TCG Opal परिभाषा: भंडारण उपयोगकर्ता डेटा की गोपनीयता की सुरक्षा करना, उपकरण के सभी मालिकों के नियंत्रण से बाहर जाने के बाद अनधिकृत पहुंच को रोकना

बढ़ाया खतरे का मॉडल

  1. दोहराई गई पहुंच: हमलावर दोहराई गई पहुंच के बाद सिफरटेक्स्ट में हेराफेरी कर सकता है
  2. ट्रैफिक विश्लेषण: क्लाउड वातावरण में एन्क्रिप्ट किए गए छवियों के भंडारण परिदृश्य पर विचार करना
  3. चुने हुए सिफरटेक्स्ट हमले (CCA): हमलावर एन्क्रिप्शन और डिक्रिप्शन ओरेकल को क्वेरी कर सकता है

सुरक्षा सीमाओं का विश्लेषण

मुख्य दायरे सीमाएं

नई मानक आवश्यकताएं

IEEE 1619-2025 मानक निर्दिष्ट करता है: मुख्य दायरे के भीतर अधिकतम 128-बिट ब्लॉक संख्या 2³⁶ से 2⁴⁴ है, अर्थात्:

  • निश्चित XTS मुख्य (K,KT) के लिए: S·J ≤ 2³⁶ या S·J ≤ 2⁴⁴
  • संबंधित डेटा मात्रा: 1 TiB से 256 TiB

सुरक्षा विश्लेषण

जब निम्नलिखित शर्तें पूरी होती हैं तो सुरक्षा जोखिम मौजूद है:

PN,j ⊕ TN,j = PN',j' ⊕ TN',j'

टकराव संभावना अनुमान:

  • 1 TiB डेटा: संभावना लगभग 2⁻⁵⁶
  • 256 TiB डेटा: संभावना लगभग 2⁻⁴⁰

अधिकतम क्षेत्र आकार सीमाएं

  • IEEE 1619 निर्दिष्ट करता है: क्षेत्र के भीतर 128-बिट ब्लॉक संख्या 2²⁰ (16 MiB) से अधिक नहीं होनी चाहिए
  • व्यावहारिक अनुप्रयोगों में शायद ही कभी समस्या बन जाता है (विशिष्ट क्षेत्र आकार ≤ 4 KiB)

मुख्य स्वतंत्रता आवश्यकताएं

  • FIPS 140-3 K ≠ KT की अनिवार्य आवश्यकता रखता है
  • विशिष्ट चुने हुए सिफरटेक्स्ट हमलों को रोकना

कार्यान्वयन योजना चर्चा

मुख्य दायरे कार्यान्वयन रणनीतियां

रैखिक योजना

  • प्रत्येक XTS मुख्य क्रमिक रूप से अधिकतम 2⁴⁴ सादे पाठ ब्लॉक को एन्क्रिप्ट करता है
  • लाभ: कार्यान्वयन सरल है
  • नुकसान: मुख्य उपयोग असमान है, उपकरण आकार समायोजन जटिल है

रोटेशन योजना

  • N-वें क्षेत्र को एन्क्रिप्ट करने के लिए (N mod m) नंबर XTS मुख्य का उपयोग करें
  • लाभ: मुख्य उपयोग समान है, गतिशील आकार समायोजन का समर्थन करता है
  • नुकसान: अधिकतम उपकरण आकार पूर्वनिर्धारित करने की आवश्यकता है

मुख्य पीढ़ी और प्रबंधन

  • क्या सभी मुख्य को अनुमोदित यादृच्छिक संख्या जनरेटर का उपयोग करना चाहिए?
  • क्या इसे मुख्य मुख्य से प्राप्त किया जा सकता है?
  • विशिष्ट क्षेत्र के लिए कौन सी मुख्य का उपयोग करना है यह कैसे निर्धारित करें?

भविष्य विकास दिशा

XTS की सीमाएं

XTS अन्य पारंपरिक मोड (ECB, CBC आदि) की तरह, जब एन्क्रिप्ट किए गए डेटा कई ब्लॉक से अधिक हो तो पूर्ण प्रसार प्रदान नहीं कर सकता (प्रत्येक सिफरटेक्स्ट बिट प्रत्येक सादे पाठ बिट पर निर्भर करता है)।

विकल्प मूल्यांकन

विस्तृत एन्क्रिप्शन मोड उम्मीदवार

  1. EME2: EME डिज़ाइन पर आधारित, IEEE 1619.2 मानकीकृत, लेकिन पेटेंट समस्याओं के कारण व्यापक रूप से अपनाया नहीं गया
  2. Adiantum: Google द्वारा विकसित, AES हार्डवेयर त्वरण के बिना निम्न-स्तरीय सिस्टम के लिए उपयुक्त
  3. HCTR2: CTR मोड पर आधारित निर्मित, उत्कृष्ट प्रदर्शन और रूढ़िवादी
  4. bbb-ddd-AES: दोहरी परत डेक निर्माण पर आधारित नया मोड, जन्मदिन की सीमा से परे सुरक्षा प्रदान कर सकता है

दोहरी परत डेक ढांचा

  • लचीला ढांचा, बेहतर विशेषताओं के साथ विस्तृत एन्क्रिप्शन मोड बनाने के लिए
  • समायोजन पुनः उपयोग संख्या पर सीमा होने पर मजबूत सुरक्षा प्रदान करता है
  • SSD हार्डवेयर की सीमित जीवनकाल और पहनने की संतुलन विशेषताओं के लिए उपयुक्त

निष्कर्ष और चर्चा

मुख्य निष्कर्ष

  1. मानकीकरण प्रभाव: IEEE 1619-2025 की मुख्य दायरे परिवर्तन पूरे पारिस्थितिकी तंत्र पर महत्वपूर्ण प्रभाव डालेगी
  2. खतरे के मॉडल विविधता: विभिन्न अनुप्रयोग परिदृश्यों को विभिन्न खतरे के मॉडल विचारों की आवश्यकता है
  3. कार्यान्वयन जटिलता: मुख्य दायरे का परिचय कार्यान्वयन जटिलता और त्रुटि की संभावना को बढ़ाता है

मुख्य प्रश्न

  1. क्या कमजोर खतरे के मॉडल में मुख्य दायरे आवश्यक है?
  2. क्या मजबूत खतरे के मॉडल में मुख्य दायरे पर्याप्त है?
  3. क्या मुख्य दायरे का उपयोग किए बिना XTS सुदृढ़ीकरण योजना मौजूद है?
  4. मुख्य दायरे के कार्यान्वयन विवरण को कैसे मानकीकृत करें?

दीर्घकालीन सिफारिशें

  • अल्पकालीन: XTS सीमाओं को टिकाऊ स्थिति में रखें, विरासत प्रणालियों का समर्थन करें
  • दीर्घकालीन: दोहरी परत डेक ढांचे जैसे नए निर्माणों पर ध्यान दें

गहन मूल्यांकन

लाभ

  1. व्यावहारिकता मजबूत: औद्योगिक क्षेत्र द्वारा सामना की जाने वाली मानकीकरण समस्याओं को सीधे हल करता है
  2. विश्लेषण व्यापक: XTS के विभिन्न पहलुओं और सीमाओं का व्यवस्थित विश्लेषण
  3. दूरदर्शिता: भविष्य विकास दिशा पर गहन विचार प्रदान करता है
  4. संतुलन: सैद्धांतिक कठोरता और व्यावहारिक अनुप्रयोग आवश्यकताओं को ध्यान में रखता है

कमियां

  1. प्रायोगिक सत्यापन की कमी: मुख्य रूप से सैद्धांतिक विश्लेषण, प्रदर्शन तुलना प्रयोगों की कमी
  2. मानक निर्माण प्रभाव सीमित: एक शैक्षणिक पेपर के रूप में, मानक निर्माण पर सीधा प्रभाव सीमित हो सकता है
  3. कार्यान्वयन विवरण अपर्याप्त: मुख्य दायरे के विशिष्ट कार्यान्वयन योजना का विवरण अधिक सामान्य है

प्रभाव

  1. शैक्षणिक मूल्य: XTS मोड अनुसंधान के लिए महत्वपूर्ण एकीकृत आधार प्रदान करता है
  2. औद्योगिक महत्व: मानक निर्माण और कार्यान्वयन के लिए महत्वपूर्ण संदर्भ प्रदान करता है
  3. समयोपयोगिता: IEEE 1619-2025 मानक परिवर्तनों के विवादों का समय पर जवाब देता है

लागू परिदृश्य

  1. मानक निर्माण संस्थाएं: IEEE, NIST आदि मानक निर्माण के लिए संदर्भ प्रदान करता है
  2. एन्क्रिप्शन सॉफ्टवेयर विकासकर्ता: XTS और इसके विकल्पों के कार्यान्वयन के लिए मार्गदर्शन प्रदान करता है
  3. सुरक्षा अनुसंधान कर्मचारी: आगे के सुरक्षा विश्लेषण के लिए आधार प्रदान करता है

संदर्भ साहित्य

पेपर 30 महत्वपूर्ण साहित्य का संदर्भ देता है, जिसमें शामिल हैं:

  • IEEE 1619 श्रृंखला मानक दस्तावेज़
  • Rogaway के XEX मूल पेपर और विश्लेषण
  • NIST संबंधित मानक और मार्गदर्शन दस्तावेज़
  • प्रमुख विस्तृत एन्क्रिप्शन मोड अनुसंधान पेपर
  • औद्योगिक कार्यान्वयन परियोजनाएं (BitLocker, VeraCrypt आदि)

समग्र मूल्यांकन: यह एक समय पर और महत्वपूर्ण पेपर है जो XTS मोड की वर्तमान स्थिति और भविष्य विकास को व्यवस्थित रूप से विश्लेषण करता है। पेपर न केवल तकनीकी विवरणों को स्पष्ट करता है, बल्कि अधिक महत्वपूर्ण रूप से एक रचनात्मक चर्चा ढांचा प्रस्तुत करता है, जो भंडारण एन्क्रिप्शन मानकों के स्वस्थ विकास को बढ़ावा देने के लिए महत्वपूर्ण है।