密码库LibTomCrypt学习记录——(2.17)分组密码算法的工作模式——XTS磁盘加密模式

  1. XTS
  2. 存储加密

磁盘加密通常使用特殊目的、专门设计的模式。可以调节的小数据块加密模式(LRWXEXXTS)和大数据块的模式(CMCEME)是设计用于加密磁盘区块的。另外几种工作模式可能会在后面介绍。

在对磁盘的加密中,通常一个扇区大小为512 Byte。加密时将要写入扇区的明文数据进行加密,然后存储到扇区上。解密时,希望能直接读取到一个扇区上的信息进行解密。我的理解是,存储加密的基本要求是:(1) 磁盘加密希望密文不能有扩张,即不能有IV信息等额外的存储信息。(2) 便于随机访问。

XTS属于可调密码。可调密码和通常的密码相比,输入多了一个可以公开的tweak value。在具体操作中,tweak value与明文tweak后(比如做异或)将所得结果送入加密模块,加密后得到的密文再次与tweak value做一次 tweak后才得到输出密文(也可能没有加密后的tweak)。为什么需要此tweak value呢?主要原因在于:(1) tweak可以增加密文的多变性,不改变密钥只改变此值就可以改变密文;(2) 改变密钥的代价比改变tweak value大的多;(3) tweak value是公开的,不担心泄露。

XTS能满足磁盘加密存储的要求。在XTS中,tweak value通常是data unit所在位置,所以就不需要额外的空间存储tweak value。data unit内部类似CTR模式,data unit之间则是相互独立的,因此便于随机访问。

在XTS工作模式中对数据做了以下划分:各术语由大到小解释如下:

  1. KeyScope:密钥的有效范围,在一个KeyScope里面包含了N多个DataUnit。同一个KeyScope内,所有DataUnit使用相同的密钥,且每个DataUnit的长度都是一样的(不同的KeyScope之间的DataUnit的长度可以不一样),每个DataUnit拥有各自的tweak value(比如使用其所在地址作为tweak value)。比如有如下KeyScope的例:: KeyScopeStart =0, DataUnitSize = 4096, KeyScopeLength = 1083。这表示KeyScope从位置0开始,其中共有1083个DataUnit,每个DataUnit的大小都是4096字节,即这个KeyScope的长度为4096*1083 =4435968字节
  2. DataUnit:由N个128-bit Block组成。
  3. 128-bit Block:是AES的分组大小。每个128-bit Block都有自己的这个DataUnit内部的编号(从0开始)。每个128-bit Block在进行AES加密前后都会与TweakValue的衍生值做一次XOR。
  1. 有限域GF(2^128)

标准中使用的有限域为GF(2^128),本原元alpha,生成多項式 f(x) = x^128 + x^7 + x^2 + x^1 + 1, 数 135就是 x^7 + x^2 + x^1 + 1.。有限域上的乘法参见有限域介绍。此标准中任意128bit元与alpha的乘法就是一个线性反馈移位寄存器。

B * alpha = ( B << 1 ) ⊕ ( MSB(B) > 0 ) ? 135:0

  1. 128-bit Block加密

C ← XTS-AES-blockEnc(Key, P, i, j)

  1. Key 是256或512 bit密钥,长度是普通AES密钥长度的2倍,因为key会被等分为两个AES密钥 key = key1||key2
  2. P 128bit明文
  3. i 128-bit tweak value
  4. j 当前128-bit block在DataUnit内的序号
  5. C 128bit密文

步骤如下:

1. T ← AES-enc(Key2 , i) × alphaj(注:× alphaj可以看作是一个线性反馈移位寄存器)

2. PP ← P ⊕T

3. CC ← AES-enc(Key1 , PP)

4. C ← CC⊕T

密码库LibTomCrypt学习记录——(2.17)分组密码算法的工作模式——XTS磁盘加密模式_第1张图片

XTS-AES blockEnc

  1. DataUnit加密

C ← XTS-AES-Enc (Key, P, i)

  1. Key 是256或512 bit密钥,长度是普通AES密钥长度的2倍,因为key会被等分为两个AES密钥 key = key1||key2
  2. P 明文
  3. i 128-bit tweak value
  4. C 密文

步骤如下:

将明文按128bit划分 P = P0 |… |Pm−1|Pm,最后一个块为0——127bit

1. for ( q = 0; q <= m-2; q++ )//前面的块直接做块加密

Cq ← XTS-AES-blockEnc(Key, Pj, i, q);

2   b ← bit-size of Pm;//最后两个块的加密要特殊点

3   if ( b == 0 ){

          Cm-1 ← XTS-AES-blockEnc(Key, Pm-1, i, m-1)

          Cm ← empty

4   }else{

          CC ← XTS-AES-blockEnc(Key, Pm-1, i, m-1);

          Cm ← first b bits of CC;

          CP ← last (128-b) bits of CC;

          PP ← Pm | CP;

          Cm-1 ← XTS-AES-blockEnc(Key, PP, i, m);

}

5.  C ← C0|… |Cm-1|Cm;

 

密码库LibTomCrypt学习记录——(2.17)分组密码算法的工作模式——XTS磁盘加密模式_第2张图片

最后一个分组不完整时的处理方案

  1. KeyScope的加密

使用同一个密钥,对各个DataUnit分别进行加密即可。各DataUnit间无相关性。

  1. 解密

解密与加密类似。在XTS中需要AES解密模块,用在128-bit Block的解密中。

 

  1. TomLibCrypt与XTS

TomLibCrypt中与XTS相关的函数如下

int xts_start( int cipher, const unsigned char *key1, const unsigned char *key2, unsigned long  keylen, int num_rounds, symmetric_xts *xts);

int xts_encrypt( const unsigned char *pt, unsigned long ptlen, unsigned char *ct, const unsigned char *tweak, symmetric_xts *xts);

int xts_decrypt( const unsigned char *ct, unsigned long ptlen, unsigned char *pt, const unsigned char *tweak, symmetric_xts *xts);

void xts_done(symmetric_xts *xts);

int  xts_test(void);

void xts_mult_x(unsigned char *I);

 

typedef struct {

   symmetric_key  key1, key2;   // 两个密钥

   int            cipher;              // 密码算法

} symmetric_xts;

 

有个叫TrueCrypt的加密软件就是用的XTS实现,此软件开源。更加关于XTS-AES实现方式方法和技巧可以参见TrueCrypt的源代码。

 

──────────────────────────────────────

int xts_start( int cipher, const unsigned char *key1, const unsigned char *key2, unsigned long  keylen, int num_rounds, symmetric_xts *xts);

// [功能]   初始化XTS

  1. cipher           // [输入] 密码算法
  2. key1            // [输入] 密钥1
  3. key2            // [输入] 密钥2
  4. keylen          // [输入] 密钥长度 = key1的密钥长度 = key2的密钥长度
  5. num_rounds      // [输入] 密码算法工作轮数(建议设置为0以使用默认的AES轮数)
  6. xts               // [输入/输出] XTS状态

//备注:主要是对key1和key2做密钥扩展

──────────────────────────────────────

 

──────────────────────────────────────

int xts_encrypt( const unsigned char *pt, unsigned long ptlen, unsigned char *ct, const unsigned char *tweak, symmetric_xts *xts);

// [功能]   加密一个 data unit

  1. pt                // [输入]明文,一个data unit
  2. ptlen            // [输入]明文长度
  3. ct                // [输出]密文
  4. tweak           // [输入]tweak value
  5. xts               // [输入/输出]XTS的状态

//备注:

// 同一个KeyScope内的DataUnit共享密钥,所以只需首次使用时调用 xts_start

// 以后直接对每个DataUnit调用xts_encrypt即可;

// 在不同KeyScope内的DataUnit无法共享密钥,所以需要在更新密钥时调用 xts_start。

──────────────────────────────────────

 

──────────────────────────────────────

int xts_decrypt( const unsigned char *ct, unsigned long ptlen, unsigned char *pt, const unsigned char *tweak, symmetric_xts *xts);

// [功能]   解密一个 data unit

  1. ct                // [输入] 密文,一个data unit
  2. ptlen            // [输入] 明文长度
  3. ct                // [输出] 明文
  4. tweak           // [输入]tweak value
  5. xts               // [输入/输出]XTS的状态

//备注:

// 同一个KeyScope内的DataUnit共享密钥,所以只需首次使用时调用 xts_start

// 以后直接对每个DataUnit调用xts_encrypt即可;

// 在不同KeyScope内的DataUnit无法共享密钥,所以需要在更新密钥时调用 xts_start。

──────────────────────────────────────

 

──────────────────────────────────────

void xts_done(symmetric_xts *xts)

// [功能]   完成XTS

  1. xts               // [输入/输出]XTS的状态

//备注:调用算法的done(), 但AES中done()未作任何事情

//建议最好是销毁密钥相关敏感信息

──────────────────────────────────────

 

──────────────────────────────────────

int  xts_test(void);

// [功能]   测试函数

──────────────────────────────────────

 

──────────────────────────────────────

void xts_mult_x(unsigned char *I);

// [功能]   在有限域GF(2^128)上与alpha的乘法

  1. I                  // [输入/输出]乘数,乘积 I = I*alpha

//备注:可以看作是线性反馈移位寄存器LFSR

──────────────────────────────────────

 

你可能感兴趣的:(LibTomCrypt,密码)