Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
NIST » Kryptoblog

Posts Tagged ‘NIST’

Intressanta kommentarer på NISTs AES-XTS

September 13th, 2008

NIST har publicerat de kommentarer som inkommit på förslaget att standardisera kryptomoden XTS för AES.

XTS är en variant av kryptomoden XEX skapad av Phillip Rogaway. XTS har tidigare standardiserats av IEEE i P1619 för att skydda i blockorienterad lagringsmedia (exempelvis hårddiskar och FLASH-minnnen).

Matthew Ball, som är ordförande i IEEEs Storage Working Group är i sin kommentar, inte helt överraskande, positiv till NISTs XTS-förslag. Matthew påpekar att XTS, till skillnad från exempelvis CBC är en algoritm som går att parallellisera och därmed skalar bra prestandamässigt.

Mer intressant är att kommentarerna från hårddisk-tillverkaren Seagate är så negativa. Seagate ser inga fördelar med XTS, och tycker att den implementationsmässigt är för kostsam. Seagate skriver bland annat:


The XTS encryption mode is not a good choice for storage encryption. There have been simpler, faster or more secure modes in use.

Is XTS a good tradeoff between security and complexity (costs)? NO: There are asymmetric large block encryption modes (e.g. BitLocker of Windows Vista) with similar complexity but better security for storage systems. There are faster, simpler encryption modes used together with access control (e.g. CBC)

Notera att Seagate inte ser ett problem med CBC vad gäller prestanda.

Även övriga kommentarer är på olika sätt negativa till XTS. Inte minst är det intressant att notera att Phillip Rogaway inte ser att XTS säkerhetsmekanismer inte tillför någon egentlig säkerhet.

Ett annat problem, som alla utom Matthew Ball från IEEE påpekar, är att IEEE äger standarden och att den som vill läsa standarden därför måste köpa standarden från IEEE. Som Niels Ferguson och Vijay Bharadwaj från Microsoft skriver i sin kommentar:


The proposal for the approved specification to be available only by purchase from IEEE . We believe that it is highly undesirable to standardize an algorithm whose specification, unlike those of other FIPS approved algorithms, is not freely available.

Ytterligare ett potentiellt problem med XTS är att det finns IP-rättigheter kopplade till standarden. Niels Ferguson och Vijay Bharadwaj återigen:


As stated in the call for comments, the current situation of IP rights with respect to XTS-AES is unclear. We believe that standardizing an algorithm which is so encumbered is undesirable, and that IP issues could inhibit adoption of such a standard.

Det är lite illavarslande att flera duktiga krytopexperter inte ser att XTS mekanismer, med bland annat två olika kryptonycklar tillför någon egentlig säkerhet och att det är oklart vad XTS egentligen är tänkt att lösa för ett säkerhetsproblem.

Men det som gör mig än mer orolig för framtiden är frågan om standardens öppenhet samt IP-problematiken, inte minst i ljuset av den pågående AHS-tävlingen. Finns det en risk att framtidens SHA-algoritm inte kommer att vara öppen, och att implementationer kommer att begränsas av IP-rättigheter? Det skulle inte vara bra för säkerheten.