XTS 資料加密技術說明名詞解釋-蘋果網-

要達到最安全的 USB 隨身碟加密，僅僅使用憑證來驗證使用者身份是不夠的。Kingston 超高安全性的加密 USB 隨身碟，DataTraveler® 4000 G2 和 DataTraveler Vault Privacy 3.0，具有採用 XTS 區塊加密模式的 256 位元 AES 硬體式加密。

相較於其它區塊加密模式（例如 CBC 和 ECB），XTS 能夠提供更完善的資料保護。此外，DataTraveler Vault Privacy 3.0採用美國國家安全局（NSA）的 Suite B 組加密演算法。這些隨身碟所使用的「橢圓曲線密碼學」的加密演算法（ECC），便屬於 Suite B 的內容之一，ECC 在非對稱式、公開金鑰加密的強度和有效性，都高過其他被廣泛使用的演算法（例如 RSA）。

以下我們將詳細說明 DataTraveler® 4000 G2 和 DataTraveler Vault Privacy 3.0 加密 USB 隨身碟裝置在安全性上的優勢。

全磁碟加密 AES 區塊加密運算模式

進階加密標準，或稱 AES（Advanced Encryption Standard），是一種以 128 位元對區塊進行加密的區塊加密。為了加密任何大於 128 位元的區塊，AES 使用區塊加密模式。在 AES 規格中，有許多不同的 AES 區塊加密模式。其中最簡單的區塊加密模式為電子密碼書（Electronic Code Book, ECB）。加密塊鍊接（Cipher Block Chaining, CBC）則修正了 ECB 安全性上的弱點，並且是攜帶式加密隨身碟上最常採用的模式。XTS 是最新的區塊加密模式之一，它在資料保護的強度上，更勝於 ECB 和 CBC 。以下我們將針對這些區塊加密模式進行簡要說明。

「電子密碼書（ECB）」。基本上，這個加密模式每隔 128 位元的資料區塊，就會重複 AES 加密程序。圖 1 是採用 ECB 模式資料加密的示意圖。每個區塊都使用了採相同加密金鑰的 AES，分別進行加密。當需要解密時，則反轉此程序。在使用 ECB 模式時，相同的未加密資料區塊（簡稱純文字），將採用同一種方式進行加密，並且將會產生相同的加密資料區塊（加密文字）。由於無法有效的隱藏資料格式，因此 ECB 並不是最理想的加密模式。從圖 2 的範例，您可以看出這種加密模式在安全上的主要弱點。
　

Electronic Code Book (ECB)
圖 1

左側為未加密的圖片。右側的圖片是當我們使用諸如 CBC 或 XTS 等其它加密模式時，所顯示的純文字內容。中央的圖片則很明顯的顯示出了採用 ECB 模式的弱點。由於加密區塊中，相同的圖片畫素格式會產生完全相同的加密區塊，因此洩漏了原始的圖片。

很顯然地，我們不應該採用會產生相同加密文字的方式，來加密相同的資料區塊。由於 ECB 區塊加密模式的低安全性，因此我們不建議使用這種加密模式。


原始圖片	採用 ECB 模式加密	採用其它模式加密
	圖 2

「加密塊鍊接（CBC）」。前面我們提過 ECB 的主要弱點，是肇因於採用一種會產出相同加密文字的方式，來加密相同的資料區塊。改善這個問題的目標，是達到一種加密方式，能夠對採用相同加密金鑰的各個區塊（即使 2 個以上的區塊完全相同）加密的同時，產出不同的加密文字。「加密塊鍊接」便是為了達成此目的而設計。圖 3 是 CBC 加密模式的示意圖。

此模式將會產出 128 位元的初始化向量（initialization vector, IV），並將其與磁區中第一個區塊的純文字結合。這個資料是使用專屬的 OR (XOR) 功能來進行結合。接下來，所產出的 128 位元資料將會由 AES 加密演算法進行加密並儲存於媒體中。所產出的加密文字將會被傳至下一個區塊，並且與該區塊的純文字結合、加密和儲存。這個鍊接程序會在磁區中的各個區塊重覆。此程序將能夠確保相同資料的區塊產出完全不同的加密文字。因此，CBC 的安全性比 ECB 更好，並且公認適合於各種安全性應用所採納。許多加密隨身碟都使用 CBC。
　

Electronic Code Book (ECB) - Encryption
圖 3

AES-XTS 區塊加密模式。一開始 XTS 是由 IEEE（電機電子工程師學會）Std 1619-2007 所定義，爾後由美國國家標準技術研究院（NIST）於 2010 年將其加入 AES 區塊加密模式清單中。 XTS 是目前最新的區塊加密模式，並且為 DataTraveler® 4000 G2 和 DataTraveler Vault Privacy 3.0 所採用的加密模式。它的設計，讓我們在 CBC 等其它區塊加密模式以外，有了更好的選擇。它能夠排除其它模式中的某些潛在弱點，避免遭到某些更為精密複雜的旁通道攻擊。圖 4 是簡化的 XTS 模式區塊圖表

XTS 使用兩種 AES 金鑰。其中一種用來執行 AES 區塊加密；另一種則用來加密所謂的「調整值（Tweak Value）」。這種加密調整，還有各區塊中的純文字和加密文字，進一步的經過伽羅瓦多項式函數（GF）和 XOR 的修改。GF 函數提供更大範圍的擴散，並確保相同資料的區塊不會產出相同的加密文字。這個方式，使相同的純文字在沒有使用初始化向量和鍊接的情況下，就能夠達到讓各個區塊產出獨特加密文字的目標。在效果上，文字幾乎（但並非完全）透過兩種獨立的金鑰獲得了雙重加密。我們可以反轉此程序來解密資料。由於每個區塊各自獨立，沒有經過鍊接，如果儲存的加密資料受損並且成為損毀資料，只有位於此特定區塊的資料將無法被還原。當使用鍊接模式時，這些錯誤則會在解密時傳布到其它區塊。

橢圓曲線密碼編譯加密演算法
圖 4

美國國家安全局（National Security Agency）在 2005 年 2 月宣布將 Suite B 組加密演算法納入其加密現代化計劃之中。Suite B 的組成包括：

對稱式區塊加密（Symmetrical Block Encryption）：採用 128、192 及 256 位元金鑰尺寸的進階加密標準（AES）。
數位簽章（Digital Signatures）：橢圓曲線數位簽章演算法（Elliptic Curve Digital Signature Algorithm, ECDSA）
金鑰建立（Key establishment）：橢圓曲線金鑰交換（Elliptic Curve Diffie Hellmen, ECDH）
雜湊（Hashing）：安全的雜湊演算法（SHA-256 和 SHA-384）

DataTraveler Vault Privacy 3.0 採用了完整的美國國家安全局 Suite B 組加密演算法，包含橢圓曲線密碼編譯加密演算法（ECC）。目前非對稱式或公開金鑰加密演算法廣泛的受到採用，並提供了金鑰管理和數位簽章的基礎。第一代的公開金鑰加密演算法，例如 RSA，仍然受到廣泛的使用。許多市面上的加密 USB 隨身碟都採用 RSA。

然而，隨著電腦處理效能的持續提升，許多較小的 RSA 金鑰尺寸容易在現今高階效能電腦結合特定破解演算法的攻擊下暴露弱點，已經逐漸過時。NIST 已經於 2010 年建議停用 RSA-1024。下表 1 對於金鑰尺寸及其相對的加密強度進行了比較。第一欄說明了針對特定金鑰長度，相對的對稱式加密強度。您可以從此表中看出，1024 位元的 RSA 金鑰尺寸所提供的加密強度非常有限，僅和使用 80 位元金鑰的對稱式加密演算法相當。然而，使用 ECC 時，您將能夠以更小的金鑰達到相同的加密強度。第四欄也顯示了針對特定金鑰尺寸，ECC 相對於 RSA，在計算效率上更好的表現。

因為橢圓曲線密碼編譯加密演算法提供了比第一代公開金鑰演算法（如 RSA）更好的安全性和效率表現，美國國家安全局建議廠商在選擇非對稱加密所採用的演算法時，認真考慮使用橢圓曲線密碼編譯加密演算法。
　

相同強度下 NIST 建議的金鑰尺寸
對應式金鑰尺寸（位元）	RSA 與 DH 金鑰尺寸	橢圓曲線金鑰尺寸（位元）	計算效率（ES:DH）
80	Kingston Technology	160	3 : 1
112	2048	224	6 : 1
128	3072	256	10 : 1
192	7680	384	32 : 1

表 1

結論
DataTraveler® 4000 G2 和 DataTraveler Vault Privacy 3.0 結合了 AES-XTS 和優異的橢圓曲線密碼編譯加密演算法，使它們比其他市場上的產品具有更高的資料安全性。內建的安全處理器包含了所有的安全功能，提供高規格的安全性和攜帶性。

此外，兩個產品都具有複雜的密碼保護機制，並且會在嘗試輸入密碼錯誤達到特定次數後，將資料鎖定保護。以鈦金屬塗層、不銹鋼和堅固耐用的防水外殼進行封裝，這些裝置能夠為資料提供最高的安全性和保護。所有 Kingston® 企業和軍用等級加密裝置，皆具有五年保固和免費技術支援。

NEWS

2015年3月21日

2014年12月22日

2014年9月16日

2014年9月12日

網站資料搜尋