Las críticas sobre XTS tienen sentido en un contexto en el que los atacantes pueden observar versiones sucesivas del disco encriptado (es decir, el atacante roba su computadora portátil, crea una imagen de todo el disco, luego coloca la computadora portátil en su bolsa y lo hizo no note nada, y lo vuelve a hacer mañana, pasado mañana, y así sucesivamente ...). Con XTS, cada bloque de 16 bytes se encripta solo, por lo que el atacante puede notar cuando dos versiones sucesivas del mismo bloque encriptado (el mismo bloque de 16 bytes dentro del mismo sector del disco duro) contienen los mismos datos. Esto permite potencialmente el análisis de tráfico . Si el atacante se activa, puede volver a colocar una versión anterior de cualquier bloque y puede hacerlo para todos los bloques de forma independiente.
Con CBC + ESSIV, cada sector tiene su propio IV, por lo que nuestro atacante recurrente puede notar cuando una nueva versión de un sector comienza con la misma secuencia de bloques que una versión anterior. El CBC es tal que si dos bloques de texto simple difieren en algún punto de un sector, los bloques restantes en ese sector se desviarán. En ese sentido, en comparación con XTS, se reducen las capacidades del atacante para el análisis del tráfico de CBC + ESSIV. Por ejemplo, si dos versiones de un sector determinado usan el mismo valor de texto plano para el bloque 13, esto será evidente con XTS, no así con CBC (a menos que las versiones de los 12 sectores anteriores tampoco se modifiquen).
Por otro lado, un atacante activo suele ser más feliz con el CBC, porque puede alterar los bits a voluntad dentro de un bloque (siempre que no le importe reemplazar el bloque anterior con basura aleatoria incontrolable).
Entonces no, dm-crypt no tiene las mismas vulnerabilidades exactas que TrueCrypt. Los escenarios previstos (escuchas repetidas del mismo disco, alteraciones hostiles ...) no son el objetivo principal del cifrado de disco completo; En realidad, FDE estaba destinado a la situación de "computadora portátil robada", en la que nunca se recupera, nunca. Ninguna de las dos soluciones se comporta bien contra un atacante más trabajador, pero no fallan exactamente de la misma manera.