XTS-AESXTS-AES ist ein Betriebsmodus für Blockchiffre für den Einsatzzweck der Festplattenverschlüsselung. Er wurde im Jahr 2008 von der IEEE als IEEE-Standard 1619 veröffentlicht.[1][2] Je nach Quelle steht XTS für „XEX Tweakable Block Cipher with Ciphertext Stealing“[3], „XEX encryption mode with tweak and ciphertext stealing“[1] oder „XEX-based tweaked-codebook mode with ciphertext stealing“[4], und AES steht für die Blockchiffre Advanced Encryption Standard. KonzeptXTS-AES basiert auf dem von Phillip Rogaway eingeführten XEX-Modus (XOR-Encrypt-XOR).[5] Dieser verwendet einen Tweak als zusätzliche Eingabe für die Blockchiffre, der die Abbildung des Klartexts auf den Geheimtext verändert. Bei XTS-AES kann wie beim ECB-Modus ein Block unabhängig von anderen Blöcken ver- und entschlüsselt werden, was von Vorteil für eine Festplattenverschlüsselung ist, die einen wahlfreien Zugriff ermöglicht. Durch die Verwendung unterschiedlicher Tweaks wird allerdings die fundamentale Schwäche des ECB-Modus umgangen, da identische Klartextblöcke nicht auf identische Geheimtextblöcke abgebildet werden.[6] TweakAls Tweak wird eine fortlaufende Nummer verwendet, die sich implizit aus der Adressierung von Datenblöcken des Datenträgers ergibt, beispielsweise der LBA-Adresse.[2] Eine solche Dateneinheit kann größer sein als die 128 Bit Blocklänge, mit der AES arbeitet. Deswegen wird der Tweak zusätzlich mit einem Indexparameter verknüpft, der sich ähnlich wie beim Counter Mode aus der Sequenz der 128-Bit-Blöcke innerhalb einer Dateneinheit ergibt. Somit ist sichergestellt, dass derselbe Klartext an unterschiedlichen Positionen einen unterschiedlichen Geheimtext ergibt, aber an derselben Position denselben Geheimtext. Da sich die Parameter aus der Speicherposition berechnen lassen, brauchen keine Metadaten wie Nonce oder Initialisierungsvektor gespeichert werden.[6] Ciphertext-StealingWenn die Länge einer Dateneinheit auf dem Datenträger kein Vielfaches von 128 Bit darstellt, ist eine besondere Behandlung der letzten zwei Klartextblöcke erforderlich. XTS-AES wendet eine Technik namens Ciphertext-Stealing an. Hierbei wird der letzte Klartextblock mit einem Teil des Geheimtexts des vorletzten Blocks aufgefüllt, bevor er verschlüsselt wird. Ausgegeben werden der partielle Geheimtext des vorletzten Blocks (gekürzt um den Teil, der „entwendet“ wurde) und der ganze Geheimtext des letzten Blocks. Die Ausgabereihenfolge dieser beiden Blöcke wird vertauscht.[6] Der Vorteil dieses Verfahrens ist, dass kein Padding erforderlich ist, bei dem der Geheimtext länger als der Klartext werden würde. Bei XTS-AES ist der Geheimtext exakt so lang wie der Klartext, sodass keine Änderung an der Anordnung der Daten auf dem Datenträger erforderlich ist.[6] VerschlüsselungDie Verschlüsselung erfolgt bei XTS-AES nach folgendem Schema: Parameter und Operatoren:
SicherheitDas NIST billigt die Nutzung von XTS-AES mit der Anforderung, nicht mehr als 220 128-Bit-Blöcke (entspricht 16 MB) pro Dateneinheit zu verschlüsseln.[3] Betriebssysteme verwenden Cluster üblicherweise in der Größenordnung von wenigen Kilobytes. Laut dem BSI biete XTS-AES „relativ gute Sicherheitseigenschaften und gute Effizienz“ für das Anwendungsszenario der Festplattenverschlüsselung, sofern ein Angreifer nicht mehrere Abbilder der Festplatte zu verschiedenen Zeitpunkten analysieren kann.[7] XTS-AES bietet keine Authentifizierung der verschlüsselten Daten und fällt somit nicht in die Kategorie von Authenticated Encryption.[3] VerbreitungXTS-AES wird von gängiger Festplattenverschlüsselungssoftware wie BitLocker, dm-crypt, FileVault, TrueCrypt oder VeraCrypt unterstützt. Literatur
Einzelnachweise
|