Tu última pregunta primero; Sí, XTS es solo recomendado para el cifrado de disco completo. Para eso fue diseñado por el estándar IEEE 1619.
¿Cómo funciona el modo?
XTS se basa en XEX diseñado por Phillip Rogaway y lo extiende con un valor de retoque y un robo de texto cifrado. El modo definido por IEEE utiliza un cifrado AES, de hecho, AES se utiliza dos veces. Simplificado (sin i y alfa), el valor de retoque se cifra, luego se XOR con el bloque de texto simple. Ese resultado es luego AES encriptado nuevamente, esta vez con la otra clave y ese resultado es XORed nuevamente con el ajuste encriptado. Esto le da el bloque de texto cifrado. Ahora el ajuste es un valor que especifica dónde en el bloque de disco (podría ser confuso, FDE habla de bloques en el caso de la criptografía y en el caso de la administración del disco). Como puede ver, no hay un enlace directo de un bloque de texto cifrado a lo siguiente. Es por esto que algunos se refieren a XTS como un cifrado similar al BCE con algunas de las consecuencias negativas que se derivan de él.
Entonces, ¿cómo se crean exactamente las claves?
Ese no es realmente el negocio de XTS, al igual que con otros modos, no le importa cómo se crea el material de clave criptográfica. Sin embargo, si se refiere a la especialidad de "dos claves en una", es una simple división en dos partes. Dado que el estándar IEEE nombra AES, el ejemplo que se dio a sí mismo no funcionará. De hecho, XTS se especifica como XTS-256 (2x AES-128) y XTS-512 (2x AES-256).
Otras fuentes
Si desea leer más, le sugiero que intente obtener el IEEE Std. 1619 . De lo contrario, lea Evaluación de algunos modos de operación de blockcipher de Phillip Rogaway , un informe publicado para CRYPTREC 2011.