SP 800-38E Entwurf zur öffentlichen Kommentierung

Recommendation for Block Empfehlung für Block

Cipher Modes of Operation: Chiffre Betriebsmodi:

The XTS-AES Mode for Der XTS-AES-Modus für

Confidentiality on Block- Vertraulichkeit auf Block-

Oriented Storage Devices Orientierte Speichergeräte

NIST Special Publication 800-38E NIST Special Publica 800-38E

This document approves the XTS-AES mode of the AES algorithm by reference to IEEE Dieses Dokument genehmigt den XTS-AES-Modus des AES-Algorithmus mit Bezug auf IEEE

Std 1619-2007, subject to one additional requirement, as an option for protecting the Std 1619-2007, unterliegen einer zusätzlichen Anforderung, als Option für den Schutz der

confidentiality of data on block-oriented storage devices. Vertraulichkeit der Daten blockorientierten Speichervorrichtungen. The mode does not provide Der Modus bietet keine

authentication of the data or its source. Authentifizierung der Daten oder der Quelle.

KEY WORDS: block cipher; STICHWORTE: Blockchiffre; confidentiality; Vertraulichkeit; cryptography; Kryptographie; information security. Informationssicherheit.

TABLE OF CONTENTS Inhaltsverzeichnis

PURPOSE ZWECK ...................................................................................................................................................4

AUTHORITY AUTHORITY .............................................................................................................................................4

INTRODUCTION EINFÜHRUNG ......................................................................................................................................4

CONFORMANCE......................................................................................................................................5

ORDERING CONVENTION FOR THE CIPHERTEXT STEALING CASE....................................6 BESTELLUNG CONVENTION FÜR DEN FALL Ciphertext Stealing .................................... 6

APPENDIX A: BIBLIOGRAPHY ANHANG A: LITERATUR ..............................................................................................................7

This publication is the fifth Part in a series of Recommendations regarding modes of Diese Veröffentlichung ist der fünfte Teil einer Reihe von Empfehlungen zur Arten

operation of symmetric key block ciphers. Betrieb von symmetrischen Schlüssel Blockchiffren.

This document has been developed by the National Institute of Standards and Technology Dieses Dokument wurde von der National Institute of Standards and Technology entwickelt

(NIST) in furtherance of its statutory responsibilities under the Federal Information (NIST) zur Förderung ihrer gesetzlichen Aufgaben im Rahmen des Federal Information

Security Management Act (FISMA) of 2002, Public Law 107-347. Security Management Act (FISMA) 2002, Public Law 107-347.

NIST is responsible for developing standards and guidelines, including minimum NIST ist für die Entwicklung von Standards und Richtlinien, einschließlich der Mindest verantwortlich

requirements, for providing adequate information security for all agency operations and Anforderungen für eine angemessene Informationssicherheit für alle Agentur Operationen und

assets, but such standards and guidelines shall not apply to national security systems. Vermögenswerte, aber solche Normen und Richtlinien gelten nicht für die nationale Sicherheit gelten Systeme.

This guideline is consistent with the requirements of the Office of Management and Diese Richtlinie steht im Einklang mit den Anforderungen des Office of Management and

Budget (OMB) Circular A-130, Section 8b(3), Securing Agency Information Systems, as Budget (OMB) Circular A-130, § 8b (3), Absichern Agentur Information Systems, als

analyzed in A-130, Appendix IV: Analysis of Key Sections. in A-130 analysiert, Anhang IV: Analyse von Key Abschnitte. Supplemental information is Ergänzende Informationen

provided in A-130, Appendix III. in A-130, Anhang III.

This Recommendation has been prepared for use by federal agencies. Diese Empfehlung ist für den Einsatz von Bundesbehörden erstellt. It may be used by Es kann genutzt werden,

nongovernmental organizations on a voluntary basis and is not subject to copyright. Nicht-Regierungsorganisationen auf freiwilliger Basis und unterliegt dem Urheberrecht.

(Attribution would be appreciated by NIST.) (Namensnennung würde durch NIST geschätzt werden.)

Nothing in this document should be taken to contradict standards and guidelines made Nichts in diesem Dokument werden sollten, um Normen und Richtlinien vorgenommen werden widersprechen

mandatory and binding on federal agencies by the Secretary of Commerce under statutory Pflicht und bindend für Bundesstellen von der Handelsminister im Rahmen der gesetzlichen

authority. Autorität. Nor should these guidelines be interpreted as altering or superseding the Auch sollten diese Richtlinien als Veränderung oder verdrängen die interpretiert werden

existing authorities of the Secretary of Commerce, Director of the OMB, or any other bestehenden Behörden der Handelsminister, Direktor des OMB, oder jede andere

Conformance testing for implementations of the mode of operation that is referenced in Konformitätstests für Implementierungen des Betriebsmodus, der im referenzierten

this Recommendation will be conducted within the framework of the Cryptographic Diese Empfehlung wird im Rahmen des Cryptographic durchgeführt werden

Module Validation Program (CMVP), a joint effort of NIST and the Communications Module Validation Program (CMVP), eine gemeinsame Anstrengung von NIST und der Kommunikation

Security Establishment Canada. Security Establishment Canada. An implementation must adhere to the requirements in Eine Umsetzung muss den Anforderungen in haften

the specification and in this Recommendation in order to be validated under the CMVP. Die Beschreibung und die in dieser Empfehlung, um unter dem CMVP validiert werden.

The requirements in both documents are indicated by the word “shall.” Die Anforderungen in beiden Dokumente werden durch das Wort "soll".

The XTS-AES algorithm is a mode of operation of the Advanced Encryption Standard XTS-AES-Algorithmus ist ein Betriebsmodus der Advanced Encryption Standard

(AES) [1] algorithm. (AES) [1]-Algorithmus. The Security in Storage Working Group (SISWG) of the P1619 Die Sicherheit in der Lagerarbeitsgruppe (SISWG) des P1619

Task Group of the Institute of Electrical and Electronics Engineers, Inc (IEEE), Task Group des Instituts of Electrical und Electronics Engineers, Inc (IEEE),

developed and specified XTS-AES in IEEE Std. entwickelt und XTS-AES angegeben in IEEE Std. 1619-2007 [2]. 1619-2007 [2]. This Recommendation Diese Empfehlung

approves the XTS-AES mode as specified in that standard, subject to one additional genehmigt den XTS-AES Modus, wie in dieser Norm angegeben ist, vorbehaltlich einer zusätzlichen

requirement on the lengths of the data units, discussed in Section 4 below. Anforderung an die Länge der Dateneinheiten, in Abschnitt 4 besprochen.

The XTS-AES mode was designed for the cryptographic protection of data on block- XTS-AES-Modus für den kryptografischen Schutz der Daten block entworfen

oriented storage devices. orientierte Speichervorrichtungen. Note that other approved cryptographic algorithms continue to Beachten Sie, dass andere zugelassene kryptographischen Algorithmen weiter

be approved for such devices. für solche Geräte zugelassen werden. The XTS-AES mode was not designed for other purposes, Der XTS-AES-Modus war nicht für andere Zwecke entwickelt,

such as the encryption of data in transit. wie die Verschlüsselung von Daten während der Übertragung.

The XTS-AES mode is an instantiation of Rogaway's XEX (XOR Encrypt XOR) Der XTS-AES-Modus ist eine Instanziierung Rogaway der XEX (XOR verschlüsseln XOR)

tweakable block cipher [3], supplemented with a method called “ciphertext stealing” to tweakable Blockchiffre [3], mit einer Methode namens "Geheimtext Diebstahl" ergänzt

extend the domain of possible input data strings. erweitern den Bereich der möglichen Eingangsdatenfolgen. In particular, XEX can only encrypt Insbesondere kann XEX nur verschlüsseln

sequences of complete blocks, ie, any data string that is an integer multiple of 128 bits; Sequenzen von kompletten Blöcken, dh, jede Datenfolge, die ein Vielfaches von 128 Bit ist;

XTS-AES can encrypt any string alignment of 128 or more bits. XTS-AES kann eine beliebige Zeichenfolge Ausrichtung von 128 oder mehr Bits zu verschlüsseln. (The acronym XTS (Die Abkürzung XTS

stands for the X EX T weakable Block Cipher with Ciphertext S tealing). steht für die X EX T abschwächbares Block Cipher mit Chiffretext S Tealing).

The specification of the ciphertext stealing method in [2] includes an ordering convention Die Angabe der Chiffretext Stehlen Verfahren in [2] enthält eine Bestell Konvention

for the final two elements of the encrypted data string: one complete block and one für die letzten beiden Elemente des verschlüsselten Datenfolge: ein vollständiger Block und einem

partial block. Teilblock. A different convention, in which the order of these two elements is Eine andere Konvention, in der die Reihenfolge dieser beiden Elemente ist

swapped, may be desirable in some cases. lagert, kann in einigen Fällen wünschenswert sein. There is flexibility in the physical location of Es ist die Flexibilität in der physikalische Ort

these elements, as long as interoperability is not compromised, as discussed in Section 5. diese Elemente, solange die Interoperabilität nicht beeinträchtigt wird, wie in Abschnitt 5 diskutiert.

The XTS-AES mode provides confidentiality for the protected data. Der XTS-AES-Modus bietet Vertraulichkeit für die geschützten Daten. Authentication is Authentifizierung ist

not provided, because the P1619 Task Group designed XTS-AES to provide encryption nicht vorgesehen ist, weil die P1619-Arbeitsgruppe entwickelt, XTS-AES-Verschlüsselung zur Verfügung zu stellen

without data expansion, so alternative cryptographic methods that incorporate an ohne Daten Expansion, so alternative kryptographische Methoden, die ein nehmen

authentication tag are precluded. Authentifizierung Tag sind ausgeschlossen. The rationale for this design choice and the Der Grund für diese Wahl und die Gestaltung

ramifications for the incorporation of XTS-AES into an information system are discussed Auswirkungen auf den Einbau von XTS-AES in einem Informationssystem diskutiert

in Annex D of [2]. in Anhang D [2]. Prospective implementers of XTS-AES should consider this Interessenten Implementierer der XTS-AES sollte dies berücksichtigen

information carefully to ensure that XTS-AES is an appropriate solution for a given Informationen sorgfältig durch, um sicherzustellen, dass XTS-AES ist eine geeignete Lösung für eine bestimmte

An instance of an XTS-AES implementation is defined by the following three elements, Eine Instanz eines XTS-AES Umsetzung wird durch die folgenden drei Elemente definiert sind,

1) a secret key, 1) ein geheimer Schlüssel,

2) a single, fixed length for the data units that the key protects, 2) eine einzige, feste Länge der Dateneinheiten, die der Schlüssel schützt,

3) an implementation the XTS-AES-Enc procedure or the XTS-AES-Dec procedure, or 3) eine Umsetzung der XTS-AES-ENC Verfahren oder die XTS-AES-Dez Prozedur oder

both, for the key and the length of the data units sowohl für den Schlüssel und die Länge der Dateneinheiten

The length of the data unit for any instance of an implementation of XTS-AES shall not Die Länge der Dateneinheit für jede Instanz einer Implementierung der XTS-AES soll nicht

blocks. Blöcke. Note that Section 5.1 of [2] recommends this limit but does not Beachten Sie, dass Abschnitt 5.1 von [2] empfiehlt diese Grenze aber nicht

An implementation of the XTS-AES encryption mode may claim conformance with this Eine Implementierung der XTS-AES-Verschlüsselungsmodus kann die Übereinstimmung mit diesen geltend

Recommendation if every supported instance satisfies this requirement, in addition to all Empfehlung, wenn jede unterstützte Instanz diese Anforderung erfüllt, zusätzlich zu allen

of the applicable requirements in [2]. der geltenden Anforderungen in [2].

Consistent with the 2 Im Einklang mit der 2

block limit, an implementation of XTS-AES may further restrict Blockgrenze, eine Implementierung des AES-XTS-kann weiter einschränken

the length of the data units for any key, as long as at least one instance can be supported. die Länge der Dateneinheiten für jede Taste, solange mindestens eine Instanz unterstützt werden.

For example, an implementation may support only data units that are sequences of Zum Beispiel kann eine Implementierung nur Dateneinheiten, die Sequenzen sind, zu unterstützen

complete blocks. kompletten Blocks. In this case, the ciphertext stealing components in the implementations In diesem Fall wird der verschlüsselte Text stehlen Komponenten in den Implementierungen

of the XTS-AES-Enc and the XTS-AES-Dec procedures would be unnecessary, and these der XTS-AES-ENC und XTS-AES den-Dez Verfahren unnötig wäre, und diese

procedures essentially would be reduced to the XTS-AES-blockEnc and the XTS-AES- Verfahren würden im Wesentlichen der XTS-AES-blockEnc und XTS-AES reduziert werden

blockDec procedures, as specified in [2]. blockDec Verfahren, wie in [2].

Similarly, an implementation may support either the 256-bit key size (for XTS-AES-128) Ebenso kann eine Implementierung entweder die 256-Bit-Schlüssellänge unterstützt (für XTS-AES-128)

or the 512-bit key size (for XTS-AES-256), or both. oder die 512-Bit-Schlüssel (für XTS-AES-256), oder beides.

Restrictions on the supported lengths of the key or the data units may affect Einschränkungen für die unterstützten Längen der Schlüssel oder der Dateneinheiten beeinflussen können

interoperability with other implementations. Interoperabilität mit anderen Implementierungen.

5 Ordering Convention for the Ciphertext Stealing Case 5 Bestell Konvention zum Chiffretext Diebstahl-Fall

If the length of the data units for an instance of XTS-AES is not an integral multiple of Wenn die Länge der Dateneinheiten für eine Instanz von XTS-AES ist kein ganzzahliges Vielfaches von

the block size, then the specification in [2] denotes the unencrypted form of a data unit, die Blockgröße, wird die Beschreibung in [2] die Form eines unverschlüsselten Dateneinheit,

ie, the plaintext, as a sequence of complete blocks, P dh, der Klartext als eine Folge von vollständigen Blöcken, P

, followed by a single, , Gefolgt von einem einzelnen,

non-empty partial block P nicht-leeren Teilblock P

, where m is a positive integer determined by the length of the , Wobei m eine positive ganze Zahl von der Länge des ermittelten

In this case, the encrypted form of the data unit, ie, the ciphertext, has the same In diesem Fall hat die gleiche die verschlüsselte Form der Dateneinheit, das heißt, der Chiffretext,

structure: a sequence of complete blocks, denoted C Struktur: eine Folge von vollständigen Blöcke, bezeichnet mit C

, followed by a single, , Gefolgt von einem einzelnen,

non-empty partial block C nicht-leeren Teilblock C

, whose length is the same as the length of P , Deren Länge gleich der Länge P

For some implementations, an alternative ordering convention, in which the positions of Bei einigen Implementierungen ist eine alternative Reihenfolge Konvention, in der die Positionen der

are swapped, may be desirable for the physical storage of the bits, because vertauscht sind, kann für die physikalische Speicherung der Bits wünschenswert sein, weil

that ordering corresponds more closely with the generation of the ciphertext. die Bestellung entspricht eher mit der Erzeugung des Chiffretextes. In In

is the truncation of a block that is derived from P das Abschneiden von einem Block, der von P abgeleitet ist

, concatenated with the discarded bits from the truncation. Mit der verworfenen Bits vom Abschneiden verkettet.

This alternative ordering is permitted if it does not affect interoperability with other Diese alternative Reihenfolge ist zulässig, wenn sie sich nicht auf die Interoperabilität mit anderen

implementations. Implementierungen. Section 5.1 of [2] indicates that an implementation of XTS-AES Abschnitt 5.1 von [2] zeigt, dass eine Implementierung des AES-XTS-

should include a mapping between the pairs of indices that define the elements of a data sollte eine Zuordnung zwischen den Paaren von Indizes, die die Elemente eines Daten definieren umfassen

unit and the physical location of those elements in the storage device, but that the Einheit und die physikalische Position dieser Elemente in der Speichervorrichtung, sondern dass die

mapping itself is outside the scope of the standard. Zuordnung selbst nicht in den Anwendungsbereich der Norm.

Thus, the last block and the partial block may be stored in any convenient location in the So kann der letzte Block und der Teilblock in einer günstigen Lage in der gespeichert werden

storage device, as long as any external interface to the data retrieves them in a manner Speichereinrichtung, solange eine externe Schnittstelle an das Daten ruft sie in einer Weise

that is consistent with the ordering specified in [2]. das ist im Einklang mit dem in [2] festgelegten Reihenfolge. In other words, if necessary, a Mit anderen Worten, falls erforderlich, ein

mechanism for swapping the last block and the partial block could be built into the Mechanismus für den Austausch von den letzten Block und der Teilblock konnte in der gebaut werden

Appendix A: Bibliography Anhang A: Bibliographie

Federal Information Processing Standards (FIPS) Publication 197, Announcing Federal Information Processing Standards (FIPS) Veröffentlichung 197, Bekanntgabe

the Advanced Encryption Standard (AES) , US DoC/NIST, Nov. 26, 2001. der Advanced Encryption Standard (AES), US DoC / NIST, 26. November 2001.

IEEE Std 1619-2007, The XTS-AES Tweakable Block Cipher , Institute of IEEE Std 1619-2007, Die XTS-AES modifizierbar Block Cipher, Institut für

Electrical and Electronics Engineers, Inc., Apr. 18, 2008. Electrical und Electronics Engineers, Inc., 18. April 2008.

P. Rogaway, Efficient Instantiations of Tweakable Blockciphers and Refinements P. Rogaway, Effiziente Instanziierungen modifizierbar Blockciphers und Ergebnis

to Modes OCB and PMAC , Advances in Cryptology—Asiacrypt 2004, Lecture Modes und OCB PMAC, Advances in Kryptologie-Asiacrypt 2004 Vortrag

Notes in Computer Science, vol. Notes in Computer Science, Band. 3329, pp. 16-31, Springer-Verlag, 2004. 3329, S.. 16-31, Springer-Verlag, 2004.