Le critiche su XTS hanno senso in un contesto in cui gli attaccanti possono osservare versioni successive del disco crittografato (cioè l'attaccante ruba il tuo laptop, fa un'immagine dell'intero disco, poi rimette il laptop nella borsa, e tu l'hai fatto non notare nulla, e lo fa di nuovo domani, dopodomani, e così via ...). Con XTS, ogni blocco da 16 byte viene crittografato da solo, in modo che l'attaccante possa notare quando due versioni successive dello stesso blocco crittografato (lo stesso blocco da 16 byte all'interno dello stesso settore del disco rigido) contengono gli stessi dati. Questo potenzialmente consente analisi del traffico . Se l'attaccante si attiva, può rimettere una vecchia versione di qualsiasi blocco e può farlo indipendentemente per tutti i blocchi.
Con CBC + ESSIV, ogni settore ha il proprio IV, quindi il nostro ricorrente aggressore può notare quando una nuova versione di un settore inizia con la stessa sequenza di blocchi di una versione precedente. CBC è tale che se due blocchi di testo in chiaro differiscono a un certo punto in un settore, i blocchi rimanenti in quel settore divergeranno. In questo senso, rispetto a XTS, le abilità dell'attaccante per l'analisi del traffico di CBC + ESSIV sono ridotte. Ad esempio, se due versioni di un determinato settore utilizzano lo stesso valore in chiaro per il 13 ° blocco, ciò sarà evidente con XTS, non con CBC (a meno che le versioni per i 12 settori precedenti non siano modificate).
D'altro canto, un attaccante attivo è spesso più felice con CBC, perché può modificare i bit a piacimento all'interno di un blocco (a condizione che non gli dispiaccia sostituendo il blocco precedente con spazzatura casuale incontrollabile).
Quindi no, dm-crypt non ha le esatte stesse vulnerabilità di TrueCrypt. Gli scenari previsti (ripetute intercettazioni sullo stesso disco, alterazioni ostili ...) non sono l'obiettivo principale della crittografia a disco intero; in realtà, FDE era pensato per la situazione del "laptop rubato", in cui non si ottiene indietro, mai. Nessuna delle due soluzioni si comporta bene contro un aggressore più laborioso, ma non fallisce esattamente nello stesso modo.