La crittografia completa del disco è il processo di codifica di tutti i dati utente su un dispositivo Android utilizzando un chiave criptata. Una volta che un dispositivo è criptato, tutti i dati creati dagli utenti vengono con crittografia automatica prima di eseguirne il commit su disco e di tutte le letture decriptare automaticamente i dati prima di restituirli al processo di chiamata.
La crittografia completa del disco è stata introdotta in Android 4.4, ma Android 5.0 ha introdotto queste nuove funzionalità:
- È stata creata la crittografia rapida, che cripta solo i blocchi utilizzati nella partizione dei dati per evitare che il primo avvio richieda molto tempo. Al momento, solo i file system ext4 e f2fs supportano la crittografia rapida.
- È stato aggiunto
forceencrypt
fstab per eseguire la crittografia al primo avvio. - È stato aggiunto il supporto per le sequenze e la crittografia senza password.
- È stata aggiunta la memorizzazione basata su hardware della chiave di crittografia utilizzando la funzionalità di firma del Trusted Execution Environment (TEE), ad esempio in una TrustZone. Per ulteriori dettagli, consulta Archiviazione della chiave criptata.
Attenzione: i dispositivi di cui è stato eseguito l'upgrade ad Android 5.0 e poi la crittografia possono essere ripristinati a uno stato non criptato tramite il ripristino dei dati di fabbrica. I nuovi dispositivi Android 5.0 criptati al primo avvio non possono essere ripristinati a uno stato non criptato.
Come funziona la crittografia completa del disco di Android
La crittografia dell'intero disco di Android si basa su dm-crypt
, che è un kernel
che funziona a livello di dispositivi a blocchi. A causa di
questa funzionalità, la crittografia funziona con Embedded MultiMediaCard (eMMC) e
dispositivi Flash simili che si presentano al kernel come blocchi
dispositivi mobili. La crittografia non è possibile con YAFFS, che comunica direttamente con un chip flash NAND non elaborato.
L'algoritmo di crittografia è Advanced Encryption Standard (AES) a 128 bit con chaining di blocchi di crittografia (CBC) ed ESSIV:SHA256. La chiave master è criptata con AES a 128 bit tramite chiamate alla libreria OpenSSL. Devi utilizzare almeno 128 bit per la chiave (256 sono facoltativi).
Nota:gli OEM possono usare una versione a 128 bit o superiore per criptare la chiave master.
In Android 5.0 esistono quattro tipi di stati della crittografia:
- predefinito
- PIN
- password
- pattern
Al primo avvio, il dispositivo crea una chiave master di 128 bit generata in modo casuale, quindi la sottopone ad hashing con una password predefinita e un valore salt memorizzato. La password predefinita è: "default_password" Tuttavia, l'hash risultante viene firmato anche tramite un TEE (come TrustZone), che utilizza un hash della firma per criptare la chiave master.
Puoi trovare la password predefinita definita nel progetto open source Android cryptfs.cpp .
Quando l'utente imposta il PIN/pass o la password sul dispositivo, solo la chiave a 128 bit viene ricriptata e archiviata. (ad esempio, le modifiche a PIN/pass/pattern dell'utente NON causano nuova crittografia dei dati utente.) Tieni presente che il dispositivo gestito potrebbe essere soggetto a limitazioni di PIN, sequenza o password.
La crittografia è gestita da init
e vold
.
init
chiama vold
e vold imposta le proprietà da attivare
eventi in init. Altre parti del sistema esaminano anche le proprietà per svolgere attività come controllare lo stato dei report, chiedere una password o richiedere il ripristino dei dati di fabbrica in caso di errore fatale. Per richiamare
le funzionalità di crittografia in vold
, il sistema utilizza i comandi cryptfs
dello strumento a riga di comando
vdc
: checkpw
,
restart
, enablecrypto
, changepw
,
cryptocomplete
, verifypw
, setfield
,
getfield
, mountdefaultencrypted
, getpwtype
,
getpw
e clearpw
.
Per criptare, decriptare o cancellare i dati di /data
, /data
non deve essere montato. Tuttavia, per mostrare qualsiasi interfaccia utente (UI), il
il framework deve iniziare e richiede /data
per l'esecuzione. A
risolvere questo enigma, un file system temporaneo viene montato su /data
.
In questo modo Android può richiedere le password, mostrare l'avanzamento o suggerire un reset dei dati, se necessario. ma pone il limite che, per passare dalla
file system temporaneo al file system /data
vero, il sistema deve
interrompi ogni processo con file aperti sul file system temporaneo e riavviali
processi sul file system /data
reale. Per farlo, tutti i servizi
deve far parte di uno di tre gruppi: core
, main
e
late_start
.
core
: non spegnere mai dopo l'avvio.main
: dopo aver inserito la password del disco, arresta e riavvia il sistema.late_start
: non si avvia finché/data
non è stato decriptato e montato.
Per attivare queste azioni, la proprietà vold.decrypt
è impostata su diverse stringhe.
Per terminare e riavviare i servizi, i comandi init
sono:
class_reset
: arresta un servizio, ma consente il riavvio con class_start.class_start
: riavvia un servizio.class_stop
: interrompe un servizio e aggiunge un flagSVC_DISABLED
. I servizi interrotti non rispondono aclass_start
.
Flussi
Esistono quattro flussi per un dispositivo criptato. Un dispositivo viene criptato una sola volta e poi segue un normale flusso di avvio.
- Criptare un dispositivo non criptato in precedenza:
- Cripta un nuovo dispositivo con
forceencrypt
: crittografia obbligatoria al primo avvio (a partire da Android L). - Crittografare un dispositivo esistente: crittografia avviata dall'utente (Android K e versioni precedenti).
- Cripta un nuovo dispositivo con
- Avvia un dispositivo criptato:
- Avvio di un dispositivo criptato senza password: avvio di un dispositivo criptato per il quale non è stata impostata una password (rilevante per i dispositivi con Android 5.0 e versioni successive).
- Avvio di un dispositivo criptato con una password: avvio di un dispositivo criptato con una password impostata.
Oltre a questi flussi, il dispositivo può anche non riuscire a criptare /data
.
Ciascun flusso è spiegato in dettaglio di seguito.
Cripta un nuovo dispositivo con forceencrypt
Si tratta del normale primo avvio di un dispositivo con Android 5.0.
- Rileva il file system non criptato con flag
forceencrypt
/data
non è criptato, ma deve esserlo perché è richiesto daforceencrypt
. Smonta/data
. - Avvia la crittografia
/data
vold.decrypt = "trigger_encryption"
attivainit.rc
, che fa sì chevold
cripta/data
senza password. Non è impostata nessuna opzione perché dovrebbe essere un nuovo dispositivo. - Montaggio tmpfs
vold
monta un tmpfs/data
(utilizzando le opzioni tmpfs daro.crypto.tmpfs_options
) e imposta la proprietàvold.encrypt_progress
su 0.vold
prepara il file tmpfs/data
per l'avvio di un sistema criptato e imposta la proprietàvold.decrypt
su:trigger_restart_min_framework
- Mostrare il framework per mostrare l'avanzamento
Poiché il dispositivo non ha praticamente dati da criptare, la barra di avanzamento non viene visualizzata spesso perché la crittografia avviene molto rapidamente. Consulta Cripta un dispositivo esistente per ulteriori informazioni i dettagli dell'interfaccia utente di avanzamento.
- Quando
/data
è criptato, rimuovi il frameworkvold
impostavold.decrypt
sutrigger_default_encryption
che avvia la Serviziodefaultcrypto
. (Questo avvia il flusso di seguito per il montaggio di un dati utente criptati predefiniti).trigger_default_encryption
controlla tipo di crittografia per vedere se/data
è criptato con o senza un password. Poiché i dispositivi Android 5.0 sono criptati al primo avvio, non dovrebbe essere impostata alcuna password. Pertanto, decrittografiamo e montiamo/data
. - Monta
/data
init
monta quindi/data
su un RAMDisk tmpfs utilizzando parametri acquisiti daro.crypto.tmpfs_options
, impostato ininit.rc
. - Framework di avvio
vold
impostavold.decrypt
sutrigger_restart_framework
, che continua con il solito avvio e il processo di sviluppo.
Criptare un dispositivo esistente
Questo accade quando esegui la crittografia di un dispositivo Android K o precedente non criptato di cui è stata eseguita la migrazione a L.
Questa procedura viene avviata dall'utente ed è denominata "crittografia in loco" in il codice. Quando un utente sceglie di criptare un dispositivo, la UI fa in modo che la batteria sia completamente carica e che l'alimentatore CA sia collegato in modo che ci sia abbastanza per completare il processo di crittografia.
Avviso: se il dispositivo si scarica e si spegne prima del termine della crittografia, i dati dei file rimangono in uno stato di crittografia parziale. Il dispositivo deve ripristinare i dati di fabbrica e perdere tutti i dati.
Per attivare la crittografia in situ, vold
avvia un ciclo per leggere ogni settore del dispositivo di blocco reale e poi scriverlo nel dispositivo di blocco crittografico. vold
controlla se un settore è in
da utilizzare prima di leggerli e scriverli, il che rende
la crittografia molto più velocemente su un nuovo dispositivo con pochi o nessun dato.
Stato del dispositivo: imposta ro.crypto.state = "unencrypted"
ed esegui l'attivatore on nonencrypted
init
per continuare l'avvio.
- Verifica password
L'interfaccia utente chiama
vold
con il comandocryptfs enablecrypto inplace
dovepasswd
è la password della schermata di blocco dell'utente. - Rimuovere il framework
vold
controlla la presenza di errori, restituisce -1 se non riesce a eseguire la crittografia e stampa un motivo nel log. Se può eseguire la crittografia, imposta la proprietàvold.decrypt
sutrigger_shutdown_framework
. Questo fa sì cheinit.rc
interrompi i servizi nelle classilate_start
emain
. - Creare un piè di pagina con crittografia
- Creare un file breadcrumb
- Riavvia
- Rileva file breadcrumb
- Avvia la crittografia
/data
vold
configura quindi la crypto mapping, che crea un dispositivo a blocchi di criptovalute virtuale. che mappa sul dispositivo a blocchi ma cripta ogni settore mentre è scritto, e decripta ogni settore man mano che viene letto.vold
quindi crea e scrive i metadati delle criptovalute. - Durante la crittografia, monta tmpfs
vold
monta un tmpfs/data
(utilizzando le opzioni tmpfs) daro.crypto.tmpfs_options
) e imposta la proprietàvold.encrypt_progress
a 0.vold
prepara il file system tmpfs/data
per l'avvio di un sistema criptato e imposta la proprietàvold.decrypt
su:trigger_restart_min_framework
- Mostrare il framework per mostrare l'avanzamento
trigger_restart_min_framework
induceinit.rc
a avviare la classe di servizimain
. Quando il framework rileva chevold.encrypt_progress
è impostato su 0, viene visualizzata l'interfaccia utente della barra di avanzamento, che esegue query su questa proprietà ogni cinque secondi e aggiorna una barra di avanzamento. Il loop di crittografia si aggiornavold.encrypt_progress
ogni volta cripta un'altra percentuale della partizione. - Quando
/data
è criptato, aggiorna il piè di pagina delle criptovaluteQuando
/data
viene criptato correttamente,vold
cancella il flagENCRYPTION_IN_PROGRESS
nei metadati.Una volta sbloccato il dispositivo, la password viene utilizzata per criptare la chiave principale e il piè di pagina della crittografia viene aggiornato.
Se il riavvio non riesce per qualche motivo,
vold
imposta la proprietàvold.encrypt_progress
suerror_reboot_failed
e l'interfaccia utente dovrebbe mostrare un messaggio che chiede all'utente di premere un pulsante per riavviare. Non è previsto che questo accada.
Avviare un dispositivo criptato con la crittografia predefinita
Questo è ciò che succede quando avvii un dispositivo criptato senza password. Poiché i dispositivi Android 5.0 sono criptati al primo avvio, non dovrebbe essere impostata alcuna password, pertanto questo è lo stato di crittografia predefinita.
- Rileva
/data
criptato senza passwordRileva che il dispositivo Android è criptato perché
/data
non può essere montato ed è impostato uno dei flagencryptable
oforceencrypt
.vold
impostavold.decrypt
sutrigger_default_encryption
, che avvia il serviziodefaultcrypto
.trigger_default_encryption
controlla il tipo di crittografia per verificare se/data
è criptato con o senza una password. - Decripta /data
Crea il dispositivo
dm-crypt
sul dispositivo a blocchi in modo che il dispositivo pronto per l'uso. - Montaggio /data
vold
quindi monta la partizione/data
reale decriptata e prepara la nuova partizione. Imposta la proprietàvold.post_fs_data_done
su 0, poi impostavold.decrypt
atrigger_post_fs_data
. In questo modo,init.rc
esegue i suoi comandipost-fs-data
. Creano le directory o i link necessari e impostanovold.post_fs_data_done
su 1.Quando
vold
vede il numero 1 in quella proprietà, imposta la proprietàvold.decrypt
a:trigger_restart_framework.
Questo causa l'avvio di servizi da parte diinit.rc
nella classemain
e avviare anche servizi nella classelate_start
per il primo tempo dall'avvio. - Framework iniziale
Ora il framework avvia tutti i servizi utilizzando l'oggetto
/data
decriptato, e il sistema è pronto per essere utilizzato.
Avviare un dispositivo criptato senza crittografia predefinita
Questo accade quando avvii un dispositivo criptato con una password impostata. La password del dispositivo può essere un PIN, una sequenza o una password.
- Rilevare i dispositivi criptati con una password
Rileva che il dispositivo Android è criptato perché il flag
ro.crypto.state = "encrypted"
vold
impostavold.decrypt
sutrigger_restart_min_framework
perché/data
è criptato con una password. - Montare tmpfs
init
imposta cinque proprietà per salvare le opzioni di montaggio iniziale specificato per/data
con parametri passati dainit.rc
.vold
utilizza queste proprietà per configurare la mappatura della crittografia:ro.crypto.fs_type
ro.crypto.fs_real_blkdev
ro.crypto.fs_mnt_point
ro.crypto.fs_options
ro.crypto.fs_flags
(numero esadecimale di 8 cifre ASCII preceduto da 0x)
- Avvia il framework per richiedere la password
Il framework si avvia e vede che
vold.decrypt
è impostato sutrigger_restart_min_framework
. Questo indica al framework che su un disco tmpfs/data
e deve ottenere la password dell'utente.Prima, però, deve assicurarsi che il disco sia criptato correttamente. Invia il comando
cryptfs cryptocomplete
avold
.vold
restituisce 0 se la crittografia è stata completata correttamente, -1 in caso di errore interno o -2 se la crittografia non è stata completata correttamente.vold
lo determina cercando il flagCRYPTO_ENCRYPTION_IN_PROGRESS
nei metadati della crittografia. Se impostato, il processo di crittografia è stato interrotto e non utilizzabili sul dispositivo. Sevold
restituisce un errore, l'interfaccia utente deve mostrare un messaggio all'utente per riavviare e ripristinare i dati di fabbrica del dispositivo e fornire un pulsante da premere per farlo. - Decriptare i dati con password
Una volta ottenuta l'approvazione di
cryptfs cryptocomplete
, il framework mostra una UI che richiede la password del disco. L'interfaccia utente controlla la password inviando il comandocryptfs checkpw
avold
. Se sia corretta (determinata montando correttamente/data
decriptato in una posizione temporanea e poi smontato),vold
salva il nome del dispositivo a blocchi decriptato nella proprietàro.crypto.fs_crypto_blkdev
e restituisce lo stato 0 alla UI. Se la password non è corretta, viene restituito -1 all'interfaccia utente. - Framework di interruzione
La UI mostra la grafica di un avvio di crittografia e quindi chiama
vold
con il comandocryptfs restart
.vold
imposta la proprietàvold.decrypt
sutrigger_reset_main
, il che fa eseguireinit.rc
l'operazioneclass_reset main
. In questo modo vengono interrotti tutti i servizi nella classe principale, il che consente di smontare il file system tmpfs/data
. - Monta
/data
vold
quindi monta la partizione/data
reale decriptata e prepara la nuova partizione (che potrebbe non essere mai stata preparata se è stata criptata con l'opzione di reset, che non è supportata nella prima release). Imposta la proprietàvold.post_fs_data_done
su 0 e poi impostavold.decrypt
sutrigger_post_fs_data
. In questo modo,init.rc
eseguirà i suoi comandipost-fs-data
. Questi agenti creano le eventuali directory o i link necessari e poi impostanovold.post_fs_data_done
su 1. Quandovold
vede il numero 1 in questa proprietà, imposta la proprietàvold.decrypt
sutrigger_restart_framework
. Questo causa l'avvio diinit.rc
di nuovo nella classemain
e avviano anche servizi nella classelate_start
per la prima volta dall'avvio. - Inizia il framework completo
Ora il framework avvia tutti i servizi utilizzando il file
/data
decriptato ed è pronto per l'uso.
Errore
Un dispositivo che non riesce a decriptare potrebbe risultare errato per diversi motivi. Il dispositivo inizia con la normale serie di passaggi per l'avvio:
- Rilevare il dispositivo criptato con una password
- Monta tmpfs
- Avvia il framework per richiedere la password
Tuttavia, dopo l'apertura del framework, il dispositivo può riscontrare alcuni errori:
- La password corrisponde, ma non è possibile decriptare i dati
- L'utente inserisce la password errata 30 volte
Se questi errori non vengono risolti, chiedi all'utente di eseguire il ripristino dei dati di fabbrica:
Se vold
rileva un errore durante il processo di crittografia e se
nessun dato è stato ancora eliminato e il framework è attivo, vold
imposta
vold.encrypt_progress
a error_not_encrypted
della proprietà.
L'interfaccia utente chiede all'utente di riavviare il dispositivo e lo avvisa che la procedura di crittografia non è mai stata avviata. Se l'errore si verifica dopo la rimozione del framework,
prima che l'UI della barra di avanzamento sia attiva, vold
riavvia il sistema. Se il riavvio non va a buon fine, vold.encrypt_progress
viene impostato su error_shutting_down
e viene restituito -1, ma non verrà rilevato alcun errore. Non è previsto che ciò accada.
Se vold
rileva un errore durante il processo di crittografia, imposta
Da vold.encrypt_progress
a error_partially_encrypted
e restituisce -1. L'interfaccia utente dovrebbe quindi mostrare un messaggio che indica che la crittografia non è riuscita e fornire un pulsante per consentire all'utente di ripristinare i dati di fabbrica del dispositivo.
Archivia la chiave criptata
La chiave criptata viene archiviata nei metadati della crittografia. Il supporto hardware viene implementato utilizzando la funzionalità di firma del Trusted Execution Environment (TEE). In precedenza, criptavamo la chiave principale con una chiave generata applicando scrypt alla password dell'utente e al sale archiviato. Per rendere la chiave resiliente contro gli attacchi esterni, estendiamo questo algoritmo firmando la chiave risultante con una chiave TEE memorizzata. La firma risultante viene poi trasformata in una chiave di lunghezza appropriata con un'altra applicazione di scrypt. Questa chiave viene poi utilizzata per criptare e decriptare la chiave master. Per memorizzare questa chiave:
- Genera una chiave di crittografia del disco (DEK) casuale di 16 byte e un valore di salt di 16 byte.
- Applica scrypt alla password dell'utente e al sale per produrre la chiave intermedia 1 (IK1) di 32 byte.
- Inserisci zero byte in IK1 per ottenere le dimensioni della chiave privata legata all'hardware (HBK). Nello specifico, il padding è: 00 || IK1 || 00..00; un byte zero, 32 byte IK1, 223 zero byte.
- Firma l'IK1 con padding con HBK per produrre un IK2 di 256 byte.
- Applicare scrypt a IK2 e sale (stesso sale del passaggio 2) per produrre IK3 da 32 byte.
- Usa i primi 16 byte di IK3 come KEK e gli ultimi 16 byte come IV.
- Cripta la DEK con AES_CBC, con la chiave KEK e il vettore di inizializzazione IV.
Cambiare la password
Quando un utente sceglie di cambiare o rimuovere la propria password nelle impostazioni, la UI invia
il comando cryptfs changepw
per vold
e
vold
cripta nuovamente la chiave master del disco con la nuova password.
Proprietà della crittografia
vold
e init
comunicano tra loro tramite
dell'impostazione delle proprietà. Ecco un elenco delle proprietà disponibili per la crittografia.
Proprietà vold
Proprietà | Descrizione |
---|---|
vold.decrypt trigger_encryption |
Cripta l'unità senza password. |
vold.decrypt trigger_default_encryption |
Controlla se l'unità è criptata senza password.
Se è così, decriptalo e montalo,
altrimenti imposta vold.decrypt su trigger_restart_min_framework. |
vold.decrypt trigger_reset_main |
Impostato da vold per arrestare l'interfaccia utente che richiede la password del disco. |
vold.decrypt trigger_post_fs_data |
Impostato da vold per preparare /data con le directory necessarie e così via. |
vold.decrypt trigger_restart_framework |
Impostato da vold per avviare il framework reale e tutti i servizi. |
vold.decrypt trigger_shutdown_framework |
Impostalo per vold per arrestare l'intero framework e avviare la crittografia. |
vold.decrypt trigger_restart_min_framework |
Impostato da vold per avviare la UI della barra di avanzamento per la crittografia o richiedere la password, a seconda del valore di ro.crypto.state . |
vold.encrypt_progress |
Quando il framework si avvia, se questa proprietà è impostata, viene attivata la modalità UI della barra di avanzamento. |
vold.encrypt_progress 0 to 100 |
L'interfaccia utente della barra di avanzamento deve mostrare il valore percentuale impostato. |
vold.encrypt_progress error_partially_encrypted |
L'interfaccia utente della barra di avanzamento dovrebbe mostrare un messaggio che indica che la crittografia non è riuscita e offrire all'utente la possibilità di eseguire il ripristino dei dati di fabbrica del dispositivo. |
vold.encrypt_progress error_reboot_failed |
L'interfaccia utente della barra di avanzamento dovrebbe mostrare un messaggio che indica che la crittografia è stata completata e fornire all'utente un pulsante per riavviare il dispositivo. Questo errore non dovrebbe verificarsi. |
vold.encrypt_progress error_not_encrypted |
L'interfaccia utente della barra di avanzamento visualizza un messaggio che indica un errore è successo, nessun dato è stato criptato ha perso e offre all'utente un pulsante per riavviare il sistema. |
vold.encrypt_progress error_shutting_down |
L'UI della barra di avanzamento non è in esecuzione, quindi non è chiaro chi risponde a questo errore. E non dovrebbe mai succedere comunque. |
vold.post_fs_data_done 0 |
Impostato da vold poco prima di impostare vold.decrypt su trigger_post_fs_data . |
vold.post_fs_data_done 1 |
Imposta init.rc o
init.rc subito dopo aver completato l'attività post-fs-data . |
Proprietà init
Proprietà | Descrizione |
---|---|
ro.crypto.fs_crypto_blkdev |
Impostato dal comando vold checkpw per un uso successivo
dal comando vold restart . |
ro.crypto.state unencrypted |
Impostato da init per indicare che questo sistema è in esecuzione con un /data ro.crypto.state encrypted non criptato. Impostato da init per pronunciare
questo sistema è in esecuzione con un file /data criptato. |
|
Queste cinque proprietà vengono impostate da
init quando tenta di montare /data con i parametri passati da
init.rc . vold li utilizza per configurare la mappatura della crittografia. |
ro.crypto.tmpfs_options |
Impostato da init.rc con le opzioni che init deve utilizzare per montare il file system tmpfs /data . |
azioni init
on post-fs-data on nonencrypted on property:vold.decrypt=trigger_reset_main on property:vold.decrypt=trigger_post_fs_data on property:vold.decrypt=trigger_restart_min_framework on property:vold.decrypt=trigger_restart_framework on property:vold.decrypt=trigger_shutdown_framework on property:vold.decrypt=trigger_encryption on property:vold.decrypt=trigger_default_encryption