XTS-AES ist ein Betriebsmodus für Blockchiffre für den Einsatzzweck der Festplattenverschlüsselung. Er wurde im Jahr 2008 von der IEEE als IEEE-Standard 1619 veröffentlicht.^[1][2]

Je nach Quelle steht XTS für „XEX Tweakable Block Cipher with Ciphertext Stealing“^[3], „XEX encryption mode with tweak and ciphertext stealing“^[1] oder „XEX-based tweaked-codebook mode with ciphertext stealing“^[4], und AES steht für die Blockchiffre Advanced Encryption Standard.

XTS-AES basiert auf dem von Phillip Rogaway eingeführten XEX-Modus (XOR-Encrypt-XOR).^[5] Dieser verwendet einen Tweak als zusätzliche Eingabe für die Blockchiffre, der die Abbildung des Klartexts auf den Geheimtext verändert. Bei XTS-AES kann wie beim ECB-Modus ein Block unabhängig von anderen Blöcken ver- und entschlüsselt werden, was von Vorteil für eine Festplattenverschlüsselung ist, die einen wahlfreien Zugriff ermöglicht. Durch die Verwendung unterschiedlicher Tweaks wird allerdings die fundamentale Schwäche des ECB-Modus umgangen, da identische Klartextblöcke nicht auf identische Geheimtextblöcke abgebildet werden.^[6]

Als Tweak wird eine fortlaufende Nummer verwendet, die sich implizit aus der Adressierung von Datenblöcken des Datenträgers ergibt, beispielsweise der LBA-Adresse.^[2] Eine solche Dateneinheit kann größer sein als die 128 Bit Blocklänge, mit der AES arbeitet. Deswegen wird der Tweak zusätzlich mit einem Indexparameter verknüpft, der sich ähnlich wie beim Counter Mode aus der Sequenz der 128-Bit-Blöcke innerhalb einer Dateneinheit ergibt. Somit ist sichergestellt, dass derselbe Klartext an unterschiedlichen Positionen einen unterschiedlichen Geheimtext ergibt, aber an derselben Position denselben Geheimtext. Da sich die Parameter aus der Speicherposition berechnen lassen, brauchen keine Metadaten wie Nonce oder Initialisierungsvektor gespeichert werden.^[6]

Wenn die Länge einer Dateneinheit auf dem Datenträger kein Vielfaches von 128 Bit darstellt, ist eine besondere Behandlung der letzten zwei Klartextblöcke erforderlich. XTS-AES wendet eine Technik namens Ciphertext-Stealing an. Hierbei wird der letzte Klartextblock mit einem Teil des Geheimtexts des vorletzten Blocks aufgefüllt, bevor er verschlüsselt wird. Ausgegeben werden der partielle Geheimtext des vorletzten Blocks (gekürzt um den Teil, der „entwendet“ wurde) und der ganze Geheimtext des letzten Blocks. Die Ausgabereihenfolge dieser beiden Blöcke wird vertauscht.^[6]

Der Vorteil dieses Verfahrens ist, dass kein Padding erforderlich ist, bei dem der Geheimtext länger als der Klartext werden würde. Bei XTS-AES ist der Geheimtext exakt so lang wie der Klartext, sodass keine Änderung an der Anordnung der Daten auf dem Datenträger erforderlich ist.^[6]

Die Verschlüsselung erfolgt bei XTS-AES nach folgendem Schema:

Parameter und Operatoren:

• Key1: Schlüssel für die eigentliche Datenverschlüsselung
• Key2: Schlüssel für die Erzeugung des Tweak
• i: Sequentielle Nummer der Dateneinheit auf dem Datenträger
• α: primitives Element in einem Galoiskörper ${\displaystyle \operatorname {GF} (2^{128})}$
• ⊗: Multiplikation in ${\displaystyle \operatorname {GF} (2^{128})}$
• ⊕: bitweises XOR

Das NIST billigt die Nutzung von XTS-AES mit der Anforderung, nicht mehr als 2²⁰ 128-Bit-Blöcke (entspricht 16 MB) pro Dateneinheit zu verschlüsseln.^[3] Betriebssysteme verwenden Cluster üblicherweise in der Größenordnung von wenigen Kilobytes. Laut dem BSI biete XTS-AES „relativ gute Sicherheitseigenschaften und gute Effizienz“ für das Anwendungsszenario der Festplattenverschlüsselung, sofern ein Angreifer nicht mehrere Abbilder der Festplatte zu verschiedenen Zeitpunkten analysieren kann.^[7]

XTS-AES bietet keine Authentifizierung der verschlüsselten Daten und fällt somit nicht in die Kategorie von Authenticated Encryption.^[3]

XTS-AES wird von gängiger Festplattenverschlüsselungssoftware wie BitLocker, dm-crypt, FileVault, TrueCrypt oder VeraCrypt unterstützt.

• William Stallings: Cryptography and Network Security: Principles and Practice. Global Edition. 8. Auflage. Pearson Education, Harlow, Vereinigtes Königreich 2023, ISBN 1-292-43748-0. 

1. ↑ ^{a b} IEEE (Hrsg.): 1619-2007 – IEEE Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices. 2008, ISBN 978-1-5044-5523-7, doi:10.1109/IEEESTD.2008.4493450 (ieee.org). 
2. ↑ ^{a b} IEEE (Hrsg.): 1619-2018 – IEEE Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices. 2019, ISBN 978-1-5044-5280-9, doi:10.1109/IEEESTD.2019.8637988 (ieee.org). 
3. ↑ ^{a b c} Morris Dworkin: NIST Special Publication 800-38E – Recommendation for Block Cipher Modes of Operation: The XTS-AES Mode for Confidentiality on Storage Devices. Hrsg.: NIST. Januar 2010, doi:10.6028/NIST.SP.800-38E (nist.gov [PDF]). 
4. ↑ Matthew V. Ball, Cyril Guyot, James P. Hughes, Luther Martin, Landon Curt Noll: The XTS-AES Disk Encryption Algorithm and the Security of Ciphertext Stealing. In: Cryptologia. 12. Januar 2012, doi:10.1080/01611194.2012.635115 (tandfonline.com). 
5. ↑ Phillip Rogaway: Efficient Instantiations of Tweakable Blockciphers and Refinements to Modes OCB and PMAC. In: Advances in Cryptology - ASIACRYPT 2004 (= Lecture Notes in Computer Science). Springer, ISBN 978-3-540-30539-2, doi:10.1007/978-3-540-30539-2_2 (ucdavis.edu [PDF]). 
6. ↑ ^{a b c d} Stallings 2023, Abschnitt 7.7, Seiten 218–225.
7. ↑ BSI (Hrsg.): BSI TR-02102-1 – Kryptographische Verfahren: Empfehlungen und Schlüssellängen. 9. Januar 2023 (bund.de [PDF]).