La tua ultima domanda prima; Sì, XTS è solo consigliato per la crittografia a disco intero. Questo è ciò che è stato progettato dallo standard IEEE 1619.
Come funziona la modalità?
XTS si basa su XEX progettato da Phillip Rogaway e lo estende con un valore di tweak e rubare il testo cifrato. La modalità definita da IEEE utilizza un codice AES, infatti AES viene utilizzato due volte. Semplificato (senza i e alpha), il valore di tweak è crittografato, quindi XORed con il blocco di testo in chiaro. Tale risultato viene quindi nuovamente crittografato con AES, questa volta con l'altra chiave e il risultato è nuovamente XORed con il tweak crittografato. Questo ti dà il blocco del testo cifrato. Ora il tweak è un valore che specifica dove nel blocco del disco (potrebbe essere fonte di confusione, FDE parla di blocchi nel caso della crittografia e nel caso della gestione del disco). Come puoi vedere, non esiste un collegamento diretto di un blocco di testo cifrato al seguente. Questo è il motivo per cui alcuni fanno riferimento a XTS come un cifrario simile alla BCE con alcune delle conseguenze negative che ne derivano.
Quindi, come vengono create esattamente le chiavi?
Questo non è il vero business di XTS, proprio come con altre modalità non si cura di come viene creato il materiale della chiave crittografica. Tuttavia, se ti riferisci alla specialità della "chiave due in uno", questa è una semplice divisione in due metà. Poiché lo standard IEEE identifica AES, l'esempio che hai dato tu non funzionerà. Infatti, XTS è specificato come XTS-256 (2x AES-128) e XTS-512 (2x AES-256).
Altre fonti
Se vuoi saperne di più, ti suggerisco di provare ad ottenere lo IEEE Std. 1619 . Altrimenti, leggi la valutazione di alcune modalità operative di blocco di Phillip Rogaway , una relazione su CRYPTREC 2011.