2025-11-11T07:49:09.347531

XTS mode revisited: high hopes for key scopes?

Brož, Sedláček
This paper concisely summarizes the XTS block encryption mode for storage sector-based encryption applications and clarifies its limitations. In particular, we aim to provide a unified basis for constructive discussions about the newly introduced key scope change to the IEEE 1619 standard. We also reflect on wide modes that could replace XTS in the future.
academic

XTS режим переосмыслен: высокие надежды на области ключей?

Основная информация

  • ID статьи: 2502.18631
  • Название: XTS mode revisited: high hopes for key scopes?
  • Авторы: Milan Brož (проект Cryptsetup, Университет Масарика), Vladimír Sedláček (Университет Масарика)
  • Классификация: cs.CR (Криптография и безопасность)
  • Дата публикации: 30 октября 2025 г. (препринт arXiv)
  • Ссылка на статью: https://arxiv.org/abs/2502.18631

Аннотация

В данной статье кратко резюмируется режим блочного шифрования XTS, используемый для приложений шифрования секторов хранилища, и уточняются его ограничения. В частности, статья направлена на предоставление единой основы для обсуждения недавно введенных изменений области ключей (key scope) в стандарте IEEE 1619. Статья также рассматривает возможные широкие режимы, которые могут заменить XTS в будущем.

Исследовательский контекст и мотивация

Проблемный фон

  1. Стандартизационная дилемма: С момента введения режима XTS в 2007 году он был широко принят в BitLocker, VeraCrypt, Cryptsetup и TCG Opal, однако вокруг этого режима остаются многочисленные недоразумения и споры
  2. Проблема доступности документации: Существующие рекомендации NIST XTS-AES ссылаются только на платную версию стандарта IEEE, что делает его единственным примитивом криптографии NIST без общедоступного определения
  3. Кризис соответствия: Недавно введенные изменения области ключей в стандарте IEEE 1619-2025 сделают большинство существующих реализаций несоответствующими, вынуждая поставщиков вносить значительные изменения

Исследовательская мотивация

  1. Унификация терминологии: Предоставление единых формализованных определений терминологии XTS, понятных как теоретическим исследователям, так и практикам
  2. Уточнение противоречий: Четкое определение ограничений безопасности XTS, в частности области ключей, максимального размера сектора и требований независимости ключей
  3. Содействие обсуждению: Поощрение открытого конструктивного диалога для влияния на будущие требования и рекомендации

Основные вклады

  1. Предоставлена унифицированная формализованная определение режима XTS, сбалансированная между теоретической строгостью и практическими требованиями
  2. Систематический анализ ограничений безопасности XTS, включая область ключей, ограничения размера сектора и требования независимости ключей
  3. Глубокое исследование влияния изменений области ключей в стандарте IEEE 1619-2025 и проблем реализации
  4. Оценка широких режимов шифрования, которые могут заменить XTS в будущем, предоставляя руководство для долгосрочного развития

Подробное описание методологии

Определение задачи

В статье переосмысляется режим блочного шифрования XTS (XEX-based tweaked-codebook mode with ciphertext stealing), используемый для шифрования устройств хранения на основе секторов, где входными данными является открытый текст сектора, а выходными — зашифрованный текст той же длины.

Архитектура режима XTS

Основное определение

Режим шифрования XTS использует два симметричных ключа K и KT для шифрования секторов с использованием блочного шифра E с размером блока 128 бит:

CN,j := EK(PN,j ⊕ TN,j) ⊕ TN,j

где:

  • TN,j := EKT(N) · αj — значение подстройки (tweak)
  • α — элемент в конечном поле F₂¹²⁸ x
  • N — номер сектора, j — номер блока в секторе

Отличия от XEX

  1. Двухключевая конструкция: XTS использует два различных симметричных ключа (K для шифрования данных, KT для шифрования номера сектора), тогда как XEX использует один ключ
  2. Начало индексации: XTS начинается с j=0, XEX — с j=1
  3. Кража зашифрованного текста: XTS допускает кражу зашифрованного текста для обработки данных, не кратных размеру блока

Операции в конечном поле

Операция умножения α соответствует операции сдвига влево:

  • Когда a₁₂₇=0: s·α = a₁₂₆a₁₂₅...a₁a₀0
  • Когда a₁₂₇=1: s·α = a₁₂₆a₁₂₅...a₁a₀0 ⊕ 10000111

Анализ модели угроз

Базовая модель угроз

  1. Модель "украденного устройства": Злоумышленник имеет доступ только к одному снимку зашифрованного текста
  2. Определение TCG Opal: Защита конфиденциальности данных пользователя хранилища, предотвращение несанкционированного доступа после того, как устройство выходит из-под контроля владельца

Расширенная модель угроз

  1. Повторный доступ: Злоумышленник может манипулировать зашифрованным текстом после повторного доступа
  2. Анализ трафика: Рассмотрение сценариев хранения зашифрованных образов в облачных средах
  3. Атаки с выбранным зашифрованным текстом (CCA): Злоумышленник может запрашивать оракулы шифрования и расшифрования

Анализ ограничений безопасности

Ограничения области ключей

Требования нового стандарта

Стандарт IEEE 1619-2025 предписывает, что максимальное количество 128-битных блоков в области ключей составляет 2³⁶ до 2⁴⁴, то есть:

  • Для фиксированного ключа XTS (K,KT): S·J ≤ 2³⁶ или S·J ≤ 2⁴⁴
  • Соответствующий объем данных: 1 ТиБ до 256 ТиБ

Анализ безопасности

Риск безопасности существует при выполнении следующего условия:

PN,j ⊕ TN,j = PN',j' ⊕ TN',j'

Оценка вероятности коллизии:

  • Данные объемом 1 ТиБ: вероятность примерно 2⁻⁵⁶
  • Данные объемом 256 ТиБ: вероятность примерно 2⁻⁴⁰

Ограничения максимального размера сектора

  • IEEE 1619 предписывает: количество 128-битных блоков в секторе не должно превышать 2²⁰ (16 МиБ)
  • На практике редко становится проблемой (типичный размер сектора ≤ 4 КиБ)

Требования независимости ключей

  • FIPS 140-3 требует K ≠ KT
  • Предотвращение определенных атак с выбранным зашифрованным текстом

Обсуждение вариантов реализации

Стратегии реализации области ключей

Линейная схема

  • Каждый ключ XTS последовательно шифрует максимум 2⁴⁴ открытых блока
  • Преимущества: простая реализация
  • Недостатки: неравномерное использование ключей, сложность изменения размера устройства

Схема ротации

  • Использование ключа XTS номер (N mod m) для шифрования N-го сектора
  • Преимущества: равномерное использование ключей, поддержка динамического изменения размера
  • Недостатки: требуется предварительное определение максимального размера устройства

Генерация и управление ключами

  • Должны ли все ключи генерироваться с использованием одобренного генератора случайных чисел?
  • Могут ли они быть получены из главного ключа?
  • Как определить, какой ключ использовать для конкретного сектора?

Направления будущего развития

Ограничения XTS

XTS, как и другие традиционные режимы (ECB, CBC и т.д.), не может обеспечить полное распространение при шифровании данных, превышающих несколько блоков (каждый бит зашифрованного текста зависит от каждого бита открытого текста).

Оценка альтернативных решений

Кандидаты на широкие режимы шифрования

  1. EME2: На основе конструкции EME, стандартизирован в IEEE 1619.2, но не получил широкого распространения из-за проблем с патентами
  2. Adiantum: Разработан Google, подходит для низкоуровневых систем без аппаратного ускорения AES
  3. HCTR2: Построен на основе режима CTR, отличается превосходной производительностью и консервативностью
  4. bbb-ddd-AES: Новый режим на основе двухпалубной конструкции, обеспечивающий безопасность за пределами границы дня рождения

Структура двухпалубной конструкции

  • Гибкая структура для построения широких режимов шифрования с лучшими характеристиками
  • Обеспечивает более сильную безопасность при ограниченном количестве повторных использований подстройки
  • Подходит для ограниченного срока службы и характеристик выравнивания износа аппаратного обеспечения SSD

Выводы и обсуждение

Основные выводы

  1. Влияние стандартизации: Изменения области ключей в IEEE 1619-2025 окажут значительное влияние на всю экосистему
  2. Разнообразие моделей угроз: Различные сценарии приложений требуют различных соображений модели угроз
  3. Сложность реализации: Введение области ключей увеличивает сложность реализации и вероятность ошибок

Ключевые вопросы

  1. Необходима ли область ключей при более слабой модели угроз?
  2. Достаточна ли область ключей при более сильной модели угроз?
  3. Существуют ли усиленные схемы XTS без использования области ключей?
  4. Как стандартизировать детали реализации области ключей?

Долгосрочные рекомендации

  • Краткосрочно: Сохранение ограничений XTS в устойчивом состоянии, поддержка унаследованных систем
  • Долгосрочно: Внимание к более новым конструкциям, таким как структура двухпалубной конструкции

Глубокая оценка

Преимущества

  1. Высокая практичность: Непосредственно решает проблемы стандартизации, стоящие перед промышленностью
  2. Комплексный анализ: Систематический анализ различных аспектов и ограничений XTS
  3. Перспективность: Глубокое размышление о направлениях будущего развития
  4. Сбалансированность: Сочетание теоретической строгости и практических требований

Недостатки

  1. Отсутствие экспериментальной проверки: Главным образом теоретический анализ, отсутствуют сравнительные эксперименты производительности
  2. Ограниченное влияние на разработку стандартов: Как академическая статья, прямое влияние на разработку стандартов может быть ограниченным
  3. Недостаточная конкретность деталей реализации: Описание конкретных схем реализации области ключей носит обобщающий характер

Влияние

  1. Академическая ценность: Предоставляет важную унифицированную основу для исследований режима XTS
  2. Промышленное значение: Предоставляет важный справочный материал для разработки стандартов и реализации
  3. Своевременность: Своевременно реагирует на споры, связанные с изменениями стандарта IEEE 1619-2025

Применимые сценарии

  1. Органы по разработке стандартов: Справочный материал для IEEE, NIST и других организаций по разработке стандартов
  2. Разработчики криптографического программного обеспечения: Руководство по реализации XTS и альтернативных решений
  3. Исследователи в области безопасности: Основа для дальнейшего анализа безопасности

Библиография

Статья цитирует 30 важных источников, включая:

  • Документы стандартов серии IEEE 1619
  • Оригинальные работы Rogaway по XEX и их анализ
  • Соответствующие стандарты и руководящие документы NIST
  • Исследовательские работы по основным широким режимам шифрования
  • Проекты промышленной реализации (BitLocker, VeraCrypt и т.д.)

Общая оценка: Это своевременная и важная статья, которая систематически анализирует текущее состояние и будущее развитие режима XTS. Статья не только уточняет технические детали, но, что более важно, предлагает конструктивную основу для обсуждения, которая имеет важное значение для содействия здоровому развитию стандартов шифрования хранилища.