Comments on: Intressanta kommentarer på NISTs AES-XTS http://www.strombergson.com/kryptoblog/2008/09/13/intressanta-kommentarer-pa-nists-aes-xts/ Kryptografi och IT-säkerhet på svenska Mon, 30 Jan 2012 14:28:02 +0000 hourly 1 http://wordpress.org/?v=3.0.4 By: Kryptoblog » Blog Archive » Tekniken bakom Microsofts BitLocker http://www.strombergson.com/kryptoblog/2008/09/13/intressanta-kommentarer-pa-nists-aes-xts/comment-page-1/#comment-36147 Kryptoblog » Blog Archive » Tekniken bakom Microsofts BitLocker Wed, 31 Dec 2008 13:28:35 +0000 http://strombergson.com/kryptoblog/?p=560#comment-36147 [...] ett några månader sedan postade jag om NISTs föreslagna kryptomod XTS. I en kommentar till den postningen satte Blackadder mig på spåret (stort tack!) på Micrsofts [...] [...] ett några månader sedan postade jag om NISTs föreslagna kryptomod XTS. I en kommentar till den postningen satte Blackadder mig på spåret (stort tack!) på Micrsofts [...]

]]> By: Joachim Strömbergson http://www.strombergson.com/kryptoblog/2008/09/13/intressanta-kommentarer-pa-nists-aes-xts/comment-page-1/#comment-35976 Joachim Strömbergson Fri, 19 Sep 2008 09:25:38 +0000 http://strombergson.com/kryptoblog/?p=560#comment-35976 Aloha! Först: Ursäkta ett sent svar. Nu är jag inte kryptolog och hänger i ärlighetens namn inte med i alla ekvationer. Men som jag fattat det är tweakable-delen i XTS med små block i stort sett som en glorifierad ECB. Speciellt illa verkar det vara för partiella block där kommentarerna inte tror på XTS "cipher stealing"-koncept, se ex kommentarerna från Phil Rogaway. Över huvud taget verkar XTS ha ganska stora brister vad gäller skydd mot modifiering. Kolla ex på Fergusons och Bharadwajs kommentarer. De ser för övrigt precis som du skriver att säkerheten faller över en viss mängd data: "The proposal appears to miss the effect of temporal effects on the security of XTS. It is possible for an attacker to observe a disk for a period of time and thereby gain a significant advantage in cryptanalysis. For instance, on a disk with 4 KB blocks where each block is a data unit, an attacker who observes approximately 4000 writes to a given block will have obtained access to 220 cipher blocks with the same tweak and key. Similarly, an attacker who steals a 500 GB encrypted disk may get access to about 1 TB of ciphertext if they were also able to recover the previous contents of each sector. Thus, it seems that the limits for key reuse given in Section 5 and Appendix D can be reached fairly easily in practice. We believe that the proposal lacks the margin of safety that would be expected of a mode which is to be used for 20-30 years. ... This shows that large data units significantly weaken the system. The standard should not allow data units larger than the recommended 220 blocks". Oops I sina kommentarer till NISTs XTS-förslag skriver Moses Liskov och Kazuhiko Minematsu föreslår de en ny analys av XTS. Kolla i den. Över huvud taget verkat XTS-förslaget vara slarvigt underbyggt med felaktig tolkning av XEX, hänvisning till fel analyser av XTS, ingen bra underbyggd motivering av att använda två nycklar etc. BTW: Skall kolla in Elephant. Aloha!

Först: Ursäkta ett sent svar.

Nu är jag inte kryptolog och hänger i ärlighetens namn inte med i alla ekvationer. Men som jag fattat det är tweakable-delen i XTS med små block i stort sett som en glorifierad ECB. Speciellt illa verkar det vara för partiella block där kommentarerna inte tror på XTS “cipher stealing”-koncept, se ex kommentarerna från Phil Rogaway.

Över huvud taget verkar XTS ha ganska stora brister vad gäller skydd mot modifiering. Kolla ex på Fergusons och Bharadwajs kommentarer. De ser för övrigt precis som du skriver att säkerheten faller över en viss mängd data:

“The proposal appears to miss the effect of temporal effects on the security of XTS. It is possible for an attacker to observe a disk for a period of time and thereby gain a significant advantage in cryptanalysis.

For instance, on a disk with 4 KB blocks where each block is a data unit, an attacker who observes approximately 4000 writes to a given block will have obtained access to 220 cipher blocks with the same tweak and key.

Similarly, an attacker who steals a 500 GB encrypted disk may get access to about 1 TB of ciphertext if they were also able to recover the previous contents of each sector. Thus, it seems that the limits for key reuse given in Section 5 and Appendix D can be reached fairly easily in practice. We believe that the proposal lacks the margin of safety that would be expected of a mode which is to be used for 20-30 years.
...
This shows that large data units significantly weaken the system. The standard should not allow data units larger than the recommended 220 blocks”. Oops

I sina kommentarer till NISTs XTS-förslag skriver Moses Liskov och Kazuhiko Minematsu föreslår de en ny analys av XTS. Kolla i den.

Över huvud taget verkat XTS-förslaget vara slarvigt underbyggt med felaktig tolkning av XEX, hänvisning till fel analyser av XTS, ingen bra underbyggd motivering av att använda två nycklar etc.

BTW: Skall kolla in Elephant.

]]> By: blackadder http://www.strombergson.com/kryptoblog/2008/09/13/intressanta-kommentarer-pa-nists-aes-xts/comment-page-1/#comment-35965 blackadder Mon, 15 Sep 2008 08:27:18 +0000 http://strombergson.com/kryptoblog/?p=560#comment-35965 Vad är din uppfattning om XTS som "narrow-block" jämfört med "wide-block"? Om jag förstått saken rätt så fungerar narrow-block varianterna som en avancerad IV per block och drar inte nytta av innehållet som krypteras utan är i praktiken ECB mode + IV, stämmer det? Jämfört med wide-block som fungerar som en mixer. Jag tänker på BitLocker (Elephant diffusern) (den enda jag implementerat). En ändrad bit i ett (i mitt fall) multi-kilo block och hela blocket blir "mixat". XTS börjar dessutom tappa sin säkerhet efter att 1 TiB data blivit krypterat med samma nyckel. Bara det borde diskvalificera algoritmen... Vad är din uppfattning om XTS som “narrow-block” jämfört med “wide-block”? Om jag förstått saken rätt så fungerar narrow-block varianterna som en avancerad IV per block och drar inte nytta av innehållet som krypteras utan är i praktiken ECB mode + IV, stämmer det?

Jämfört med wide-block som fungerar som en mixer. Jag tänker på BitLocker (Elephant diffusern) (den enda jag implementerat). En ändrad bit i ett (i mitt fall) multi-kilo block och hela blocket blir “mixat”.

XTS börjar dessutom tappa sin säkerhet efter att 1 TiB data blivit krypterat med samma nyckel. Bara det borde diskvalificera algoritmen…

]]>