用于存储加密的XTS模式

在对磁盘的加密中，通常一个扇区大小为512 Byte。加密时将要写入扇区的明文数据进行加密，然后存储到扇区上。解密时，希望能直接读取到一个扇区上的信息进行解密。

存储加密的基本要求是：(1) 磁盘加密希望密文不能有扩张，即不能有IV信息等额外的存储信息。(2) 便于随机访问。

IEEE标准化了一个P1619标准，IEEE Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices，见
http://ieeexplore.ieee.org/xpl/mostRecentIssue.jsp?punumber=4493431以及wiki页面
http://en.wikipedia.org/wiki/IEEE_P1619

XTS属于可调密码。可调密码和通常的密码相比，输入多了一个可以公开的tweak value。在具体操作中，tweak value与明文tweak后（比如做异或）将所得结果送入加密模块，加密后得到的密文再次与tweak value做一次 tweak后才得到输出密文（也可能没有加密后的tweak）。为什么需要此tweak value呢？主要原因在于：（1） tweak可以增加密文的多变性，不改变密钥只改变此值就可以改变密文；（2） 改变密钥的代价比改变tweak value大的多；（3） tweak value是公开的，不担心泄露。

XTS能满足磁盘加密存储的要求。在XTS中，tweak value通常是data unit所在位置，所以就不需要额外的空间存储tweak value。data unit内部类似CTR模式，data unit之间则是相互独立的，因此便于随机访问。

在XTS工作模式中对数据做了以下划分：各术语由大到小解释如下：

KeyScope：密钥的有效范围，在一个KeyScope里面包含了N多个DataUnit。同一个KeyScope内，所有DataUnit使用相同的密钥，且每个DataUnit的长度都是一样的（不同的KeyScope之间的DataUnit的长度可以不一样），每个DataUnit拥有各自的tweak value(比如使用其所在地址作为tweak value)。比如有如下KeyScope的例：<KeyScope>: KeyScopeStart =0, DataUnitSize = 4096, KeyScopeLength = 1083。这表示KeyScope从位置0开始，其中共有1083个DataUnit，每个DataUnit的大小都是4096字节，即这个KeyScope的长度为4096*1083 =4435968字节

DataUnit：由N个128-bit Block组成。

128-bit Block：是AES的分组大小。每个128-bit Block都有自己的这个DataUnit内部的编号（从0开始）。每个128-bit Block在进行AES加密前后都会与TweakValue的衍生值做一次XOR。

XTS-AES是可以随机访问的，其加密解密也是可以并行化的（类似于ECB或Counter模式）

XTS-AES需要5个输入，(k1,k2)是两个key, (t,i)标示第t个sector的第i个block, 和一个plaintext x.
对于某个sector #t 先用E(k2, t)产生一个数N,然后用下面过程得到ciphertext C.
C = E(k1, x ^ p(N,i)) ^ p(N,i)