WikiSort.ru - Не сортированное

ПОИСК ПО САЙТУ | о проекте

Шифрование диска является частным случаем защиты данных в состоянии покоя^[en]^[1], когда носитель данных является устройством с секторной адресацией (например, жёсткий диск). В данной статье представлены криптографические аспекты проблемы. Для обсуждения различных пакетов программного обеспечения и аппаратных устройств, посвящённых этой проблеме, см. программное обеспечение для шифрования диска и аппаратное обеспечение для шифрования диска.

Постановка проблемы

Методы шифрования диска направлены на обеспечение трёх различных свойств:

Данные на диске должны оставаться конфиденциальными.
Извлечение и запись данных должны выполняться быстро, независимо от того, где на диске хранятся данные.
Метод шифрования не должен тратить дисковое пространство (то есть объём хранилища, используемый для зашифрованных данных, не должен быть значительно больше, чем размер открытого текста).

Первое свойство требует определения злоумышленника, от которого охраняются данные. Злоумышленники обладают следующими возможностями:

они могут читать необработанное содержимое диска в любое время;
они могут запросить диск для шифрования и хранения произвольных файлов по своему выбору;
и они могут изменять неиспользуемые сектора на диске и затем запрашивать их расшифровку.

Метод обеспечивает хорошую конфиденциальность, если единственная информация, которую такой злоумышленник может определить с течением времени, это то, изменились ли данные в секторе с момента их последнего просмотра.

Второе свойство требует разделения диска на несколько секторов, обычно длиной 512 байт (4096 бит), которые шифруются и дешифруются независимо друг от друга. В свою очередь, если данные должны оставаться конфиденциальными, метод шифрования должен быть настраиваемым; никакие два сектора не должны обрабатываться одинаково. В противном случае злоумышленник может расшифровать любой сектор диска, скопировав его в неиспользуемый сектор диска и запросив его расшифровку.

Третье свойство, как правило, не вызывает сомнений. Однако это косвенно запрещает использование потоковых шифров, поскольку потоковые шифры для своей безопасности требуют, чтобы одно и то же исходное состояние не использовалось дважды (что было бы в случае записи в сектор других данных); таким образом, для этого потребуется метод шифрования для хранения отдельных начальных состояний для каждого сектора на диске — по-видимому, пустая трата места. Альтернатива в виде блочного шифра ограничена определённым размером блока (обычно 128 или 256 бит). Из-за этого шифрование диска в основном изучает цепные режимы шифрования, которые расширяют длину блока шифрования, чтобы охватить весь сектор диска. Уже перечисленные соображения делают неподходящими несколько известных режимов цепочки: режим ECB, который нельзя настроить, и режимы, которые превращают блочные шифры в потоковые шифры, такие как режим CTR.

Эти три свойства не дают никакой гарантии целостности диска; то есть они не сообщают вам, изменил ли ваш злоумышленник ваш шифротекст. Отчасти это происходит потому, что абсолютная гарантия целостности диска невозможна: несмотря ни на что, злоумышленник всегда может вернуть весь диск в прежнее состояние, обходя любые такие проверки. Если требуется некоторый не абсолютный уровень целостности диска, он может быть достигнут на зашифрованном диске для каждого файла отдельно, используя коды аутентификации сообщений.

Блочные режимы шифрования

Как и большинство схем шифрования, шифрование диска на основе блочного шифра использует режимы работы, которые позволяют шифровать большие объёмы данных, чем размер блока шифра (обычно 128 бит). Поэтому режимы — это правила повторного применения одноблочных операций шифров.

Cipher-block chaining (CBC)

Cipher-block chaining (CBC) — это обычный режим цепочки, в котором перед шифрованием текущего блока к нему применяется операция исключающего ИЛИ с шифротекстом предыдущего блока:

C_{i}=E_{K}(C_{i-1}\oplus P_{i})

Поскольку для первого блока не существует «зашифрованного текста предыдущего блока», то в качестве $\scriptstyle C_{-1}$ должен использоваться вектор инициализации (IV). Это, в свою очередь, делает CBC настраиваемым в некоторых отношениях.

CBC страдает от некоторых проблем. Например, если IV являются предсказуемыми, то злоумышленник может оставить «водяной знак» на диске, то есть сохранить специально созданный файл или комбинацию файлов, которые можно идентифицировать даже после шифрования. Точный метод построения водяного знака зависит от точной функции, обеспечивающей IV, но общий рецепт состоит в создании двух зашифрованных секторов, которые имеют идентичные первые блоки $\scriptstyle b_{1}$ и $\scriptstyle b_{2}$ ; эти два затем связаны друг с другом с помощью $\scriptstyle b_{1}\,\oplus \,IV_{1}\;=\;b_{2}\,\oplus \,IV_{2}$ . Таким образом, шифрование $\scriptstyle b_{1}$ идентично шифрованию $\scriptstyle b_{2}$ , что оставляет «водяной знак» на диске.

Для защиты от атаки "водяными знаками "используется шифр или хеш-функция для генерации IV из ключа и текущего номера сектора, так что злоумышленник не может предсказать IV. В частности, подход ESSIV использует блочный шифр в режиме CTR для генерации IV.

Encrypted salt-sector initialization vector (ESSIV)

ESSIV^[2] является методом генерации векторов инициализации для блочного шифра. Типичные методы используют предсказуемые последовательности чисел, основанные, например, на номере сектора или же отметки времени, и позволяют проводить такие атаки как атака «водяными знаками». ESSIV упреждает подобные атаки генерированием векторов инициализации из комбинации номера сектора SN с хэшом ключа, что делает такие векторы непредсказуемыми.

IV({\textrm {SN}})=E_{s}({\textrm {SN}}),\quad {\textrm {where}}\;\;s={\textrm {hash}}(K)

Разработчиком ESSIV является Clemens Fruhwirth. Метод был интегрирован в ядро Linux начиная с версии 2.6.10, хотя аналогичная схема использовалась для генерации IV для шифрования подкачки OpenBSD с 2000 года.^[3]

ESSIV поддерживается в качестве опции системами шифрования дисков dm-crypt^[4] и FreeOTFE.

Malleability attack

Хотя CBC (с или без ESSIV) обеспечивает конфиденциальность, он не гарантирует целостность зашифрованных данных. Если открытый текст известен злоумышленнику, можно изменить каждый второй блок открытого текста на значение, выбранное атакующим, в то время как промежуточные блоки заменяются случайными значениями. Это может быть использовано для практических атак на шифрование диска в режиме CBC или CBC-ESSIV.^[5]

Liskov, Rivest, and Wagner (LRW)

Чтобы предотвратить такие сложные атаки, были введены различные режимы работы: настраиваемое узкоблочное шифрование (LRW и XEX) и широкоблочное шифрование (CMC и EME).

В то время как цель обычного блочного шифра $\scriptstyle E_{K}$ состоит в том, чтобы имитировать случайную перестановку для любого секретного ключа $\scriptstyle K$ , цель настраиваемого шифрования $\scriptstyle E_{K}^{T}$ состоит в том, чтобы имитировать случайную перестановку для любого секретного ключа $\scriptstyle K$ и любой известной настройки $\scriptstyle T$ . Настраиваемое узкоблочное шифрование (LRW)^[6] представляет собой экземпляр режима операций, введенного Лисковым, Ривестом и Вагнером^[7] (see Theorem 2). В этом режиме используются два ключа: $\scriptstyle K$ это ключ для блочного шифра, а $\scriptstyle F$ — это дополнительный ключ того же размера, что и блок. Например, для AES с 256-битным ключом, $\scriptstyle K$ — это 256-битное число, а $\scriptstyle F$ — это 128-битное число. Шифрование блока $\scriptstyle P$ с логическим индексом (настройка) $\scriptstyle I$ использует следующую формулу:

{\begin{aligned}C&=E_{K}(P\oplus X)\oplus X\\X&=F\otimes I\end{aligned}}

Здесь умножение $\scriptstyle \otimes$ и сложение $\scriptstyle \oplus$ выполняются в конечном поле ( $\scriptstyle {\text{GF}}\left(2^{128}\right)$ для AES). С некоторыми предварительными вычислениями требуется только одно умножение на сектор (обратите внимание, что сложение в двоичном конечном поле является простым побитовым сложением, также известным как xor): $\scriptstyle F\,\otimes \,I\;=\;F\,\otimes \,(I_{0}\,\oplus \,\delta )\;=\;F\,\otimes \,I_{0}\,\oplus \,F\,\otimes \,\delta$ , где $\scriptstyle F\,\otimes \,\delta$ предварительно вычисляется для всех возможных значений $\scriptstyle \delta$ . Этот режим работы требует только одного шифрования на блок и защищает от всех вышеуказанных атак, за исключением незначительной утечки: если пользователь изменяет один блок открытого текста в секторе, то изменяется только один блок шифрованного текста. (Обратите внимание, что это не та же утечка, которую имеет режим ECB: в режиме LRW одинаковые открытые тексты в разных позициях шифруются в разные шифротексты.)

Существуют некоторые проблемы безопасности LRW, и этот режим работы теперь заменен XTS.

LRW используется в BestCrypt и поддерживается в качестве опции для систем шифрования дисков dm-crypt и FreeOTFE.

Xor-encrypt-xor (XEX)

Основная статья Xor-encrypt-xor

Другой настраиваемый режим шифрования, XEX (xor-encrypt-xor), был разработан Rogaway^[8] для обеспечения эффективной обработки последовательных блоков (по отношению к используемому шифру) в пределах одного блока данных (например, сектора диска). Подстройка представляется в виде комбинации адреса сектора и индекса блока внутри сектора (оригинальный режим XEX, предложенный Rogaway^[8] допускает несколько индексов). Зашифрованный текст, $\scriptstyle C$ , получается с использованием:

{\begin{aligned}X&=E_{K}(I)\otimes \alpha ^{j}\\C&=E_{K}(P\oplus X)\oplus X\end{aligned}}

где:

$\scriptstyle P$ является открытым текстом,
$\scriptstyle i$ номер сектора,
$\scriptstyle \alpha$ является примитивным элементом $\scriptstyle {\text{GF}}\left(2^{128}\right)$ ,
$\scriptstyle j$ это номер блока в секторе.

Основные операции режима LRW (шифрование AES и умножение в поле Галуа) такие же, как и в Galois/Counter Mode (GCM), что позволяет компактно реализовать универсальное аппаратное обеспечение LRW / XEX / GCM.

XEX-based tweaked-codebook mode with ciphertext stealing (XTS)

Заимствование шифротекста обеспечивает поддержку секторов с размером, не делимым на размер блока, например, 520-байтовые сектора и 16-байтовые блоки. XTS-AES был стандартизирован 2007-12-19^[9] как IEEE P1619.^[10] Стандарт поддерживает использование другого ключа для шифрования IV, чем для блочного шифрования; это противоречит намерениям XEX и, кажется, коренится в неправильном толковании оригинальной статьи XEX, но не наносит ущерба безопасности.^[11]^[8] В результате пользователи, которым требуется шифрование AES-256 и AES-128, должны предоставить 512 бит и 256 бит ключа соответственно.

27 января 2010 года Национальный институт стандартов и технологий выпустил специальную публикацию (SP) 800-38E^[12] в окончательном виде. SP 800-38E является рекомендацией для режима работы XTS-AES, стандартизированного IEEE Std 1619—2007, для криптографических модулей. Публикация утверждает режим XTS-AES алгоритма AES со ссылкой на стандарт IEEE 1619—2007, при условии соблюдения одного дополнительного требования, которое ограничивает максимальный размер каждого зашифрованного блока данных (обычно сектора или блока диска) значением $2^{20}$ блоков AES. Согласно SP 800-38E: «В отсутствие аутентификации или контроля доступа XTS-AES обеспечивает большую защиту, чем другие утвержденные режимы только для конфиденциальности, от несанкционированного манипулирования зашифрованными данными».

XTS поддерживается BestCrypt, Botan, dm-crypt, FreeOTFE, TrueCrypt, VeraCrypt,^[13] DiskCryptor, FreeBSD's geli, OpenSSL, OS X Lion's FileVault 2, Windows 10's BitLocker и wolfCrypt.^[14]

Слабые стороны XTS

Режим XTS подвержен манипулированию данными и фальсификации данных, и приложения должны применять меры для обнаружения изменений данных, если манипулирование и фальсификация являются проблемой: "… поскольку нет тегов аутентификации, тогда любой зашифрованный текст (оригинальный или изменённый злоумышленником) будет расшифровывается как некоторый открытый текст, и нет встроенного механизма для обнаружения изменений. Лучшее, что можно сделать, — это обеспечить, чтобы любое изменение зашифрованного текста полностью рандомизировало открытый текст, и полагаться на приложение, которое использует это преобразование для включения достаточной избыточности. в его открытом тексте, чтобы обнаружить и отбросить такие случайные открытые тексты ". Это потребует сохранения контрольных сумм для всех данных и метаданных на диске, как это делается в ZFS или Btrfs. Однако в широко используемых файловых системах, таких как ext4 и NTFS, только метаданные защищены от подделки, а обнаружение подделки данных отсутствует.^[15]

Режим чувствителен к анализу трафика, атакам воспроизведения и рандомизации на секторах и 16-байтовых блоках. Поскольку данный сектор перезаписывается, злоумышленники могут собирать мелкозернистые (16-байтовые) шифротексты, которые можно использовать для анализа или повторных атак (с 16-байтовой гранулярностью). Было бы возможно определить блочные шифры для всего сектора, к сожалению, с ухудшенной производительностью (см. ниже).^[16]

CBC-mask-CBC (CMC) и ECB-mask-ECB (EME)

CMC и EME защищают даже от незначительной утечки, указанной выше для LRW. К сожалению, цена представляет собой двукратное снижение производительности: каждый блок должен быть зашифрован дважды; многие считают, что это слишком дорого, поскольку в любом случае такая же утечка на уровне сектора неизбежна.

CMC, представленный Halevi и Rogaway, расшифровывается как CBC — mask — CBC: весь сектор зашифрован в режиме CBC (с помощью $\scriptstyle C_{-1}\;=\;E_{A}(I)$ ), зашифрованный текст маскируется путем операции XOR с $\scriptstyle 2(C'_{0}\,\oplus \,C'_{k-1})$ , и повторно зашифровывается в режиме CBC, начиная с последнего блока. Когда базовый блочный шифр является сильной псевдослучайной перестановкой (PRP) тогда на уровне секторов схема представляет собой настраиваемый PRP. Одна проблема состоит в том, что для расшифровки $\scriptstyle P_{0}$ необходимо последовательно пройти все данные дважды.

Чтобы решить эту проблему, Halevi и Rogaway представили распараллеливаемый вариант, названный EME (ECB — mask — ECB). Это работает следующим образом:

к открытым текстам применяется исключающее ИЛИ с $\scriptstyle L\;=\;E_{K}(0)$ , тексты смещаются на разную величину влево и шифруются: $\scriptstyle P'_{i}\;=\;E_{K}(P_{i}\,\oplus \,2^{i}L)$ ;
вычисляется маска: $\scriptstyle M\;=\;M_{P}\,\oplus \,M_{C}$ , где $\scriptstyle M_{P}\;=\;I\,\oplus \,\bigoplus P'_{i}$ и $\scriptstyle M_{C}\;=\;E_{K}(M_{P})$ ;
к промежуточным шифротекстам применяется маска: $\scriptstyle C'_{i}\;=\;P'_{i}\,\oplus \,2^{i}M$ for $\scriptstyle i\;=\;1,\,\ldots ,\,k-1$ и $\scriptstyle C'_{0}\;=\;M_{C}\,\oplus \,I\,\oplus \,\bigoplus _{i=1}^{k-1}C'_{i}$ ;
вычисляются конечные шифротексты: $\scriptstyle C_{i}\;=\;E_{K}(C'_{i})\,\oplus \,2^{i}L$ для $\scriptstyle i\;=\;0,\,\ldots ,\,k-1$ .

Обратите внимание, что в отличие от LRW и CMC, существует только один ключ $\scriptstyle K$ .

CMC и EME были рассмотрены для стандартизации SISWG. EME запатентован, и поэтому не рекомендуется использовать его в качестве основного поддерживаемого режима.^[17]

Multilinear Galois Mode (MGM)

Режимы шифрования с аутентификацией могут предоставить в некоторой степени целостность зашифрованных данных. MGM представляет из себя быстрый блочный режим шифрования с аутентификацией и возможностью распараллеливания^[18]. Режим основывается на двух счетчиках и одноразовом векторе с требованием уникальности. Для того, чтобы защититься от атак, использующих значения счетчиков, применяется инкрементирование левой или правой половины счетчика. то есть $\scriptstyle INCR_{left}(CNT)\;=\;(CNT[n\,-\,1\,\colon \,n\,\setminus \,2]\,+\,1)\,\parallel \,(CNT[n\,\setminus \,2\,-\,1\,\colon \,0])$ , а $\scriptstyle INCR_{right}(CNT)\;=\;(CNT[n\,-\,1\,\colon \,n\,\setminus \,2])\,\parallel \,(CNT[n\,\setminus \,2\,-\,1\,\colon \,0]\,+\,1)$ . Для избавления от предсказывания стартового значения счетчика начальное значение шифруется перед использованием. Защита от атак, использующих дополнение блока, достигается добавлением длины дополнительных данных и длины шифротекста. Также шифрование тега обеспечивает защиту от атак, использующих свойства линейности. Данный режим требует на вход открытый текст, ключ шифрования, аутентификационные данные и начальное значение счетчика. На эти данные накладываются некоторые ограничения:

$\scriptstyle n$ — размер блока шифра (должен быть четным).
$\scriptstyle n-1$ — размер подаваемых данных счетчика.
$\scriptstyle 0\,<\,s\,<\,n$ , где $\scriptstyle s$ является длиной имитовставки.
$\scriptstyle 0\,\leq \mid P\mid \,<\,2^{\,n\,\setminus \,2}$ , где $\scriptstyle P$ — это открытый текст.
$\scriptstyle 0\,\leq \,\mid A\mid \,<\,2^{\,n\,\setminus \,2}$ , где $\scriptstyle A$ — это аутентификационные данные.
$\scriptstyle 0\,<\,\mid A\mid \,+\,\mid P\mid \,<\,2^{\,n\,\setminus \,2}$

Один из счетчиков используется для получения шифротекста, а другой для данных аутентификации. Из схемы шифра видно, что шифрование наряду с выработкой тега может быть практически полностью распараллелено. Согласно докладу на конференции РусКрипто 2018^[19], режим имеет следующие функциональные возможности:

параллелизуемость
не требуется заранее указанного размера шифруемых данных
для шифрования и расшифрования применяется одна функция
схема может быть использована лишь для производства имитовставки
для построения имитовставки и шифрования открытого текста используется один и тот же ключ
возможность предвычислений
одноразовый вектор требует меньших усилий к его выработке, по сравнению со случайным вектором инициализации

Патенты

Хотя схема аутентифицированного шифрования IAPM обеспечивает шифрование, а также тег аутентификации, компонент шифрования режима IAPM полностью описывает схемы LRW и XEX, приведенные выше, и, следовательно, XTS без аспекта кражи зашифрованного текста. Это описано в подробно на рисунках 8 и 5 патента США 6,963,976^[20].

См. также

В Википедии есть портал
«Криптография»

Остаточная информация
Cold boot attack
Программное обеспечение для шифрования диска
Аппаратное обеспечение для шифрования диска
IEEE P1619, проект стандартизации для шифрования хранилища данных

Примечания

↑ Барьеры на пути утечек данных | Открытые системы. СУБД | Издательство «Открытые системы»
↑ Clemens Fruhwirth (July 18, 2005). “New Methods in Hard Disk Encryption” (PDF). Institute for Computer Languages: Theory and Logic Group (PDF). Vienna University of Technology.
↑ “Encrypting Virtual Memory” (Postscript).
↑ Milan Broz. DMCrypt dm-crypt: Linux kernel device-mapper crypto target (неопр.). gitlab.com. Проверено 5 апреля 2015.
↑ Jakob Lell. Practical malleability attack against CBC-encrypted LUKS partitions (неопр.) (22 декабря 2013).
↑ Latest SISWG and IEEE P1619 drafts and meeting information are on the P1619 home page .
↑ M. Liskov, R. Rivest, and D. Wagner. Tweakable block ciphers , CRYPTO '02 (LNCS, volume 2442), 2002.
1 2 3 Rogaway, Phillip (2004-09-24). “Efficient Instantiations of Tweakable Blockciphers and Refinements to Modes OCB and PMAC” (PDF). Dept. of Computer Science (PDF). University of California, Davis.
↑ Karen McCabe. IEEE Approves Standards for Data Encryption (неопр.). IEEE Standards Association (19 December 2007). Архивировано 6 марта 2008 года.
↑ “Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices”. IEEE Xplore Digital Library. April 18, 2008. DOI:10.1109/IEEESTD.2008.4493450. ISBN 978-0-7381-5363-6.
↑ Comments on XTS-AES (неопр.) (2 сентября 2008)., On the Use of Two Keys, pp. 1-3.
↑ Morris Dworkin (January 2010). “Recommendation for Block Cipher Modes of Operation: The XTS-AES Mode for Confidentiality on Storage Devices” (PDF). NIST Special Publication 800-38E. National Institute of Standards and Technology.
↑ Modes of Operation (неопр.). VeraCrypt Documentation. IDRIX. Проверено 13 октября 2017.
↑ What's new in BitLocker? (неопр.) (November 12, 2015). Проверено 15 ноября 2015.
↑ Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices, IEEE P1619/D16, 2007, с. 34, <http://grouper.ieee.org/groups/1619/email/pdf00086.pdf>. Проверено 14 сентября 2012.
↑ You Don't Want XTS (неопр.) (30 апреля 2014).
↑ P. Rogaway, Block cipher mode of operation for constructing a wide-blocksize block cipher from a conventional block cipher, US Patent Application 20040131182 A1,
↑ Stanislav Smyshlyaev, Vladislav Nozdrunov, Vasily Shishkin, Multiline Galois Mode (MGM), draft-smyshlyaev-mgm-04,
↑ Vladislav Nozdrunov, РусКрипто, Multilinear Galois Mode. Об особенностях построения, функциональных возможностях и доказуемой стойкости,
↑ * U.S. Patent 6,963,976, «Symmetric Key Authenticated Encryption Schemes» (Filed Nov. 2000, Issued Nov. 2005) .

Дальнейшее чтение

S. Halevi and P. Rogaway, A Tweakable Enciphering Mode, CRYPTO '03 (LNCS, volume 2729), 2003.
S. Halevi and P. Rogaway, A Parallelizable Enciphering Mode , 2003.
Standard Architecture for Encrypted Shared Storage Media, IEEE Project 1619 (P1619), .
SISWG, Draft Proposal for Key Backup Format , 2004.
SISWG, Draft Proposal for Tweakable Wide-block Encryption , 2004.
James Hughes, Encrypted Storage — Challenges and Methods
J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum, and Edward W. Felten (2008-02-21). “Lest We Remember: Cold Boot Attacks on Encryption Keys” (PDF). Princeton University. Архивировано из оригинала (PDF) 2008-05-14.
Niels Fergusson (August 2006). “AES-CBC + Elephant Diffuser: A Disk Encryption Algorithm for Windows Vista” (PDF). Microsoft.

Ссылки

Security in Storage Working Group SISWG.
The eSTREAM project (неопр.). Проверено 28 марта 2010.

Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".

Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.

Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .

Текст в блоке "Читать" взят с сайта "Википедия" и доступен по лицензии Creative Commons Attribution-ShareAlike; в отдельных случаях могут действовать дополнительные условия.

Другой контент может иметь иную лицензию. Перед использованием материалов сайта WikiSort.ru внимательно изучите правила лицензирования конкретных элементов наполнения сайта.

2019-2025
WikiSort.ru - проект по пересортировке и дополнению контента Википедии

[1] Барьеры на пути утечек данных | Открытые системы. СУБД | Издательство «Открытые системы»

[2] Clemens Fruhwirth (July 18, 2005). “New Methods in Hard Disk Encryption” (PDF). Institute for Computer Languages: Theory and Logic Group (PDF). Vienna University of Technology.

[3] “Encrypting Virtual Memory” (Postscript).

[4] Milan Broz. DMCrypt dm-crypt: Linux kernel device-mapper crypto target (неопр.). gitlab.com. Проверено 5 апреля 2015.

[5] Jakob Lell. Practical malleability attack against CBC-encrypted LUKS partitions (неопр.) (22 декабря 2013).

[6] Latest SISWG and IEEE P1619 drafts and meeting information are on the P1619 home page .

[7] M. Liskov, R. Rivest, and D. Wagner. Tweakable block ciphers , CRYPTO '02 (LNCS, volume 2442), 2002.

[rogaway_xex-8] 1 2 3 Rogaway, Phillip (2004-09-24). “Efficient Instantiations of Tweakable Blockciphers and Refinements to Modes OCB and PMAC” (PDF). Dept. of Computer Science (PDF). University of California, Davis.

[9] Karen McCabe. IEEE Approves Standards for Data Encryption (неопр.). IEEE Standards Association (19 December 2007). Архивировано 6 марта 2008 года.

[10] “Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices”. IEEE Xplore Digital Library. April 18, 2008. DOI:10.1109/IEEESTD.2008.4493450. ISBN 978-0-7381-5363-6.

[liskov-11] Comments on XTS-AES (неопр.) (2 сентября 2008)., On the Use of Two Keys, pp. 1-3.

[12] Morris Dworkin (January 2010). “Recommendation for Block Cipher Modes of Operation: The XTS-AES Mode for Confidentiality on Storage Devices” (PDF). NIST Special Publication 800-38E. National Institute of Standards and Technology.

[veracrypt-13] Modes of Operation (неопр.). VeraCrypt Documentation. IDRIX. Проверено 13 октября 2017.

[14] What's new in BitLocker? (неопр.) (November 12, 2015). Проверено 15 ноября 2015.

[15] Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices, IEEE P1619/D16, 2007, с. 34, <http://grouper.ieee.org/groups/1619/email/pdf00086.pdf>. Проверено 14 сентября 2012.

[16] You Don't Want XTS (неопр.) (30 апреля 2014).

[17] P. Rogaway, Block cipher mode of operation for constructing a wide-blocksize block cipher from a conventional block cipher, US Patent Application 20040131182 A1,

[18] Stanislav Smyshlyaev, Vladislav Nozdrunov, Vasily Shishkin, Multiline Galois Mode (MGM), draft-smyshlyaev-mgm-04,

[19] Vladislav Nozdrunov, РусКрипто, Multilinear Galois Mode. Об особенностях построения, функциональных возможностях и доказуемой стойкости,

[20] * U.S. Patent 6,963,976, «Symmetric Key Authenticated Encryption Schemes» (Filed Nov. 2000, Issued Nov. 2005) .