Mã hóa toàn bộ đĩa là quá trình mã hóa tất cả dữ liệu người dùng trên thiết bị Android bằng khóa được mã hóa. Sau khi thiết bị được mã hóa, tất cả dữ liệu do người dùng tạo sẽ tự động được mã hóa trước khi đưa vào đĩa và tất cả sẽ tự động đọc dữ liệu giải mã trước khi đưa dữ liệu đó trở lại quy trình gọi.
Mã hóa toàn bộ ổ đĩa đã được giới thiệu cho Android ở phiên bản 4.4, nhưng Android 5.0 đã giới thiệu các tính năng mới sau:
- Tạo mã hóa nhanh, chỉ mã hóa các khối được sử dụng trên phân vùng dữ liệu để tránh lần khởi động đầu tiên mất nhiều thời gian. Hiện chỉ có hệ thống tệp ext4 và f2fs hỗ trợ mã hóa nhanh.
- Đã thêm cờ
forceencrypt
để mã hóa trong lần khởi động đầu tiên. - Đã thêm hỗ trợ cho các mẫu và mã hóa mà không cần mật khẩu.
- Đã thêm bộ lưu trữ được hỗ trợ bằng phần cứng của khóa mã hóa bằng khả năng ký của Môi trường thực thi tin cậy (TEE) (chẳng hạn như trong TrustZone). Xem Lưu trữ khóa mã hóa để biết thêm chi tiết.
Thận trọng: Các thiết bị được nâng cấp lên Android 5.0 và sau đó được mã hóa có thể được đưa về trạng thái không được mã hóa bằng cách đặt lại dữ liệu ban đầu. Không thể đưa các thiết bị Android 5.0 mới được mã hóa ở lần khởi động đầu tiên về trạng thái không được mã hóa.
Cách mã hóa toàn bộ đĩa Android hoạt động
Mã hóa toàn bộ đĩa của Android dựa trên dm-crypt
, đây là một tính năng hạt nhân hoạt động ở lớp thiết bị khối. Do đó, mã hóa hoạt động với Embedded MultiMediaCard ( eMMC) và các thiết bị flash tương tự tự hiển thị trong kernel dưới dạng thiết bị khối. Không thể mã hóa với YAFFS, giao tiếp trực tiếp với chip flash NAND thô.
Thuật toán mã hóa là 128 Tiêu chuẩn mã hóa nâng cao (AES) với chuỗi khối mật mã (CBC) và ESSIV:SHA256. Khóa chính được mã hóa bằng AES 128 bit thông qua các cuộc gọi đến thư viện OpenSSL. Bạn phải sử dụng 128 bit trở lên cho khóa (với 256 là tùy chọn).
Lưu ý: OEM có thể sử dụng 128 bit trở lên để mã hóa khóa chính.
Trong bản phát hành Android 5.0, có bốn loại trạng thái mã hóa:
- mặc định
- GHIM
- mật khẩu
- mẫu
Trong lần khởi động đầu tiên, thiết bị sẽ tạo khóa chính 128 bit được tạo ngẫu nhiên, sau đó băm khóa đó bằng mật khẩu mặc định và muối được lưu trữ. Mật khẩu mặc định là: "default_password" Tuy nhiên, hàm băm kết quả cũng được ký thông qua TEE (chẳng hạn như TrustZone), sử dụng hàm băm của chữ ký để mã hóa khóa chính.
Bạn có thể tìm thấy mật khẩu mặc định được xác định trong tệp cryptfs.cpp của Dự án mã nguồn mở Android.
Khi người dùng đặt mã PIN/pass hoặc mật khẩu trên thiết bị, chỉ khóa 128 bit được mã hóa lại và lưu trữ. (tức là các thay đổi về mã PIN/mật khẩu/mẫu của người dùng KHÔNG gây ra việc mã hóa lại dữ liệu người dùng.) Lưu ý rằng thiết bị được quản lý có thể phải chịu các hạn chế về mã PIN, mẫu hoặc mật khẩu.
Mã hóa được quản lý bởi init
và vold
. init
gọi vold
và vold đặt thuộc tính để kích hoạt các sự kiện trong init. Các phần khác của hệ thống cũng xem xét các thuộc tính để thực hiện các tác vụ như báo cáo trạng thái, yêu cầu mật khẩu hoặc nhắc khôi phục cài đặt gốc trong trường hợp xảy ra lỗi nghiêm trọng. Để gọi các tính năng mã hóa trong vold
, hệ thống sử dụng các lệnh cryptfs
của công cụ dòng lệnh vdc
: checkpw
, restart
, enablecrypto
, changepw
, cryptocomplete
, verifypw
, setfield
, getfield
, mountdefaultencrypted
, getpwtype
, getpw
và clearpw
.
Để mã hóa, giải mã hoặc xóa /data
, /data
không được gắn kết. Tuy nhiên, để hiển thị bất kỳ giao diện người dùng (UI) nào, khung phải khởi động và khung yêu cầu /data
để chạy. Để giải quyết câu hỏi hóc búa này, một hệ thống tệp tạm thời được gắn vào /data
. Điều này cho phép Android nhắc nhập mật khẩu, hiển thị tiến trình hoặc đề xuất xóa dữ liệu nếu cần. Nó áp đặt giới hạn rằng để chuyển từ hệ thống tệp tạm thời sang hệ thống tệp đúng /data
, hệ thống phải dừng mọi quy trình với các tệp đang mở trên hệ thống tệp tạm thời và khởi động lại các quy trình đó trên hệ thống tệp thực /data
. Để thực hiện việc này, tất cả các dịch vụ phải thuộc một trong ba nhóm: core
, main
và late_start
.
-
core
: Không bao giờ tắt sau khi khởi động. -
main
: Tắt và sau đó khởi động lại sau khi nhập mật khẩu đĩa. -
late_start
: Không bắt đầu cho đến khi/data
được giải mã và gắn kết.
Để kích hoạt những hành động này, thuộc tính vold.decrypt
được đặt thành nhiều chuỗi khác nhau . Để tắt và khởi động lại dịch vụ, các lệnh init
là:
-
class_reset
: Dừng dịch vụ nhưng cho phép khởi động lại dịch vụ đó bằng class_start. -
class_start
: Khởi động lại dịch vụ. -
class_stop
: Dừng dịch vụ và thêm cờSVC_DISABLED
. Các dịch vụ bị dừng không phản hồiclass_start
.
Chảy
Có bốn luồng cho một thiết bị được mã hóa. Thiết bị chỉ được mã hóa một lần và sau đó thực hiện quy trình khởi động bình thường.
- Mã hóa thiết bị chưa được mã hóa trước đó:
- Mã hóa thiết bị mới bằng
forceencrypt
: Mã hóa bắt buộc ở lần khởi động đầu tiên (bắt đầu từ Android L). - Mã hóa thiết bị hiện có: Mã hóa do người dùng thực hiện (Android K trở về trước).
- Mã hóa thiết bị mới bằng
- Khởi động một thiết bị được mã hóa:
- Khởi động thiết bị được mã hóa không có mật khẩu: Khởi động thiết bị được mã hóa không có mật khẩu được đặt (phù hợp với các thiết bị chạy Android 5.0 trở lên).
- Khởi động thiết bị được mã hóa bằng mật khẩu: Khởi động thiết bị được mã hóa đã đặt mật khẩu.
Ngoài các luồng này, thiết bị cũng có thể không mã hóa được /data
. Mỗi luồng được giải thích chi tiết dưới đây.
Mã hóa thiết bị mới bằng mã hóa bắt buộc
Đây là lần khởi động đầu tiên bình thường đối với thiết bị Android 5.0.
- Phát hiện hệ thống tập tin không được mã hóa bằng cờ
forceencrypt
/data
không được mã hóa nhưng cần phải mã hóa vì buộc phảiforceencrypt
nó. Ngắt kết nối/data
. - Bắt đầu mã hóa
/data
vold.decrypt = "trigger_encryption"
kích hoạtinit.rc
, điều này sẽ khiếnvold
mã hóa/data
mà không cần mật khẩu. (Không có cài đặt nào vì đây phải là thiết bị mới.) - Gắn tmpfs
vold
gắn kết một tmpfs/data
(sử dụng các tùy chọn tmpfs từro.crypto.tmpfs_options
) và đặt thuộc tínhvold.encrypt_progress
thành 0.vold
chuẩn bị tmpfs/data
để khởi động hệ thống được mã hóa và đặt thuộc tínhvold.decrypt
thành:trigger_restart_min_framework
- Đưa ra khuôn khổ để hiển thị sự tiến bộ
Vì thiết bị hầu như không có dữ liệu để mã hóa nên thanh tiến trình thường sẽ không thực sự xuất hiện vì quá trình mã hóa diễn ra quá nhanh. Xem Mã hóa thiết bị hiện có để biết thêm chi tiết về giao diện người dùng tiến trình.
- Khi
/data
được mã hóa, hãy gỡ khung xuốngvold
đặtvold.decrypt
thànhtrigger_default_encryption
để khởi động dịch vụdefaultcrypto
. (Điều này bắt đầu quy trình bên dưới để gắn dữ liệu người dùng được mã hóa mặc định.)trigger_default_encryption
kiểm tra loại mã hóa để xem liệu/data
có được mã hóa có hoặc không có mật khẩu hay không. Vì thiết bị Android 5.0 được mã hóa trong lần khởi động đầu tiên nên không cần đặt mật khẩu; do đó chúng tôi giải mã và gắn kết/data
. - Gắn kết
/data
init
sau đó gắn/data
trên RAMDisk tmpfs bằng cách sử dụng các tham số mà nó chọn từro.crypto.tmpfs_options
, được đặt tronginit.rc
. - Bắt đầu khung
vold
đặtvold.decrypt
thànhtrigger_restart_framework
, quá trình này tiếp tục quá trình khởi động thông thường.
Mã hóa thiết bị hiện có
Đây là điều xảy ra khi bạn mã hóa một thiết bị Android K hoặc cũ hơn không được mã hóa đã được di chuyển sang L.
Quá trình này do người dùng thực hiện và được gọi là "mã hóa tại chỗ" trong mã. Khi người dùng chọn mã hóa thiết bị, giao diện người dùng sẽ đảm bảo pin đã được sạc đầy và bộ chuyển đổi AC được cắm vào để có đủ năng lượng để hoàn tất quá trình mã hóa.
Cảnh báo: Nếu thiết bị hết điện và tắt trước khi mã hóa xong, dữ liệu tệp sẽ ở trạng thái được mã hóa một phần. Thiết bị phải được khôi phục cài đặt gốc và tất cả dữ liệu sẽ bị mất.
Để kích hoạt mã hóa tại chỗ, vold
bắt đầu một vòng lặp để đọc từng khu vực của thiết bị khối thực và sau đó ghi nó vào thiết bị khối mật mã. vold
kiểm tra xem một khu vực có được sử dụng hay không trước khi đọc và ghi nó, điều này giúp mã hóa nhanh hơn nhiều trên một thiết bị mới có ít hoặc không có dữ liệu.
Trạng thái của thiết bị : Đặt ro.crypto.state = "unencrypted"
và thực thi trình kích hoạt init
on nonencrypted
để tiếp tục khởi động.
- Kiểm tra mật khẩu
Giao diện người dùng gọi
vold
bằng lệnhcryptfs enablecrypto inplace
trong đópasswd
là mật khẩu màn hình khóa của người dùng. - Hạ khung xuống
vold
kiểm tra lỗi, trả về -1 nếu không thể mã hóa và in lý do vào nhật ký. Nếu nó có thể mã hóa, nó sẽ đặt thuộc tínhvold.decrypt
thànhtrigger_shutdown_framework
. Điều này khiếninit.rc
dừng các dịch vụ trong các lớplate_start
vàmain
. - Tạo chân trang tiền điện tử
- Tạo một tập tin đường dẫn
- Khởi động lại
- Phát hiện tập tin breadcrumb
- Bắt đầu mã hóa
/data
sau đó
vold
thiết lập ánh xạ mật mã, tạo ra một thiết bị khối mật mã ảo ánh xạ lên thiết bị khối thực nhưng mã hóa từng khu vực khi nó được ghi và giải mã từng khu vực khi nó được đọc.vold
sau đó tạo và ghi siêu dữ liệu mật mã. - Trong khi nó đang mã hóa, hãy gắn tmpfs
vold
gắn kết một tmpfs/data
(sử dụng các tùy chọn tmpfs từro.crypto.tmpfs_options
) và đặt thuộc tínhvold.encrypt_progress
thành 0.vold
chuẩn bị tmpfs/data
để khởi động hệ thống được mã hóa và đặt thuộc tínhvold.decrypt
thành:trigger_restart_min_framework
- Đưa ra khuôn khổ để hiển thị sự tiến bộ
trigger_restart_min_framework
khiếninit.rc
khởi động lớp dịch vụmain
. Khi khung thấy rằngvold.encrypt_progress
được đặt thành 0, nó sẽ hiển thị giao diện người dùng của thanh tiến trình, truy vấn thuộc tính đó cứ sau 5 giây và cập nhật thanh tiến trình. Vòng mã hóa cập nhậtvold.encrypt_progress
mỗi khi nó mã hóa một phần trăm khác của phân vùng. - Khi
/data
được mã hóa, hãy cập nhật chân trang mật mãKhi
/data
được mã hóa thành công,vold
sẽ xóa cờENCRYPTION_IN_PROGRESS
trong siêu dữ liệu.Khi thiết bị được mở khóa thành công, mật khẩu sẽ được sử dụng để mã hóa khóa chính và chân trang mật mã sẽ được cập nhật.
Nếu vì lý do nào đó quá trình khởi động lại không thành công,
vold
sẽ đặt thuộc tínhvold.encrypt_progress
thànherror_reboot_failed
và giao diện người dùng sẽ hiển thị thông báo yêu cầu người dùng nhấn nút để khởi động lại. Điều này dự kiến sẽ không bao giờ xảy ra.
Khởi động thiết bị được mã hóa bằng mã hóa mặc định
Đây là điều xảy ra khi bạn khởi động một thiết bị được mã hóa mà không có mật khẩu. Vì thiết bị Android 5.0 được mã hóa trong lần khởi động đầu tiên nên không cần đặt mật khẩu và do đó đây là trạng thái mã hóa mặc định .
- Phát hiện
/data
được mã hóa không có mật khẩuPhát hiện thiết bị Android được mã hóa vì
/data
không thể được gắn kết và một trong các cờencryptable
hoặcforceencrypt
được đặt.vold
đặtvold.decrypt
thànhtrigger_default_encryption
, khởi động dịch vụdefaultcrypto
.trigger_default_encryption
kiểm tra loại mã hóa để xem liệu/data
có được mã hóa có hoặc không có mật khẩu hay không. - Giải mã /dữ liệu
Tạo thiết bị
dm-crypt
trên thiết bị khối để thiết bị sẵn sàng sử dụng. - Gắn kết/dữ liệu
vold
sau đó gắn kết phân vùng/data
thực đã được giải mã và chuẩn bị phân vùng mới. Nó đặt thuộc tínhvold.post_fs_data_done
thành 0 và sau đó đặtvold.decrypt
thànhtrigger_post_fs_data
. Điều này khiếninit.rc
chạy các lệnhpost-fs-data
. Họ sẽ tạo bất kỳ thư mục hoặc liên kết cần thiết nào rồi đặtvold.post_fs_data_done
thành 1.Khi
vold
nhìn thấy số 1 trong thuộc tính đó, nó sẽ đặt thuộc tínhvold.decrypt
thành:trigger_restart_framework.
Điều này khiếninit.rc
khởi động lại các dịch vụ trong lớpmain
và cũng bắt đầu các dịch vụ trong lớplate_start
lần đầu tiên kể từ khi khởi động. - Bắt đầu khung
Bây giờ, khung khởi động tất cả các dịch vụ của nó bằng cách sử dụng
/data
đã được giải mã và hệ thống đã sẵn sàng để sử dụng.
Khởi động một thiết bị được mã hóa mà không có mã hóa mặc định
Đây là điều xảy ra khi bạn khởi động một thiết bị được mã hóa đã đặt mật khẩu. Mật khẩu của thiết bị có thể là mã pin, mẫu hoặc mật khẩu.
- Phát hiện thiết bị được mã hóa bằng mật khẩu
Phát hiện thiết bị Android bị mã hóa do gắn cờ
ro.crypto.state = "encrypted"
vold
đặtvold.decrypt
thànhtrigger_restart_min_framework
vì/data
được mã hóa bằng mật khẩu. - Gắn tmpfs
init
đặt năm thuộc tính để lưu các tùy chọn gắn kết ban đầu được cung cấp cho/data
với các tham số được truyền từinit.rc
.vold
sử dụng các thuộc tính này để thiết lập ánh xạ mật mã:-
ro.crypto.fs_type
-
ro.crypto.fs_real_blkdev
-
ro.crypto.fs_mnt_point
-
ro.crypto.fs_options
-
ro.crypto.fs_flags
(Số hex 8 chữ số ASCII đứng trước 0x)
-
- Bắt đầu khung để nhắc mật khẩu
Khung khởi động và thấy rằng
vold.decrypt
được đặt thànhtrigger_restart_min_framework
. Điều này cho khung biết rằng nó đang khởi động trên đĩa tmpfs/data
và nó cần lấy mật khẩu người dùng.Tuy nhiên, trước tiên, nó cần đảm bảo rằng đĩa đã được mã hóa chính xác. Nó gửi lệnh
cryptfs cryptocomplete
tớivold
.vold
trả về 0 nếu quá trình mã hóa được hoàn thành thành công, -1 do lỗi nội bộ hoặc -2 nếu quá trình mã hóa không được hoàn thành thành công.vold
xác định điều này bằng cách xem xét siêu dữ liệu mật mã để tìm cờCRYPTO_ENCRYPTION_IN_PROGRESS
. Nếu được đặt, quá trình mã hóa sẽ bị gián đoạn và không có dữ liệu nào có thể sử dụng được trên thiết bị. Nếuvold
trả về lỗi, giao diện người dùng sẽ hiển thị thông báo cho người dùng để khởi động lại và khôi phục cài đặt gốc cho thiết bị, đồng thời cung cấp cho người dùng một nút để nhấn để thực hiện việc đó. - Giải mã dữ liệu bằng mật khẩu
Sau khi
cryptfs cryptocomplete
thành công, khung sẽ hiển thị giao diện người dùng yêu cầu mật khẩu ổ đĩa. Giao diện người dùng kiểm tra mật khẩu bằng cách gửi lệnhcryptfs checkpw
tớivold
. Nếu mật khẩu đúng (được xác định bằng cách gắn thành công/data
đã giải mã vào một vị trí tạm thời, sau đó ngắt kết nối nó),vold
sẽ lưu tên của thiết bị khối được giải mã trong thuộc tínhro.crypto.fs_crypto_blkdev
và trả về trạng thái 0 cho giao diện người dùng . Nếu mật khẩu không chính xác, nó sẽ trả về -1 cho giao diện người dùng. - Dừng khung
Giao diện người dùng hiển thị đồ họa khởi động tiền điện tử và sau đó gọi
vold
bằng lệnhcryptfs restart
.vold
đặt thuộc tínhvold.decrypt
thànhtrigger_reset_main
, điều này khiếninit.rc
thực hiệnclass_reset main
. Điều này dừng tất cả các dịch vụ trong lớp chính, cho phép ngắt kết nối tmpfs/data
. - Gắn kết
/data
vold
sau đó gắn kết phân vùng thực/data
đã được giải mã và chuẩn bị phân vùng mới (có thể chưa bao giờ được chuẩn bị nếu nó được mã hóa bằng tùy chọn xóa, tùy chọn này không được hỗ trợ trong bản phát hành đầu tiên). Nó đặt thuộc tínhvold.post_fs_data_done
thành 0 và sau đó đặtvold.decrypt
thànhtrigger_post_fs_data
. Điều này khiếninit.rc
chạy các lệnhpost-fs-data
. Họ sẽ tạo bất kỳ thư mục hoặc liên kết cần thiết nào rồi đặtvold.post_fs_data_done
thành 1. Khivold
nhìn thấy số 1 trong thuộc tính đó, nó sẽ đặt thuộc tínhvold.decrypt
thànhtrigger_restart_framework
. Điều này khiếninit.rc
khởi động lại các dịch vụ trong lớpmain
và cũng bắt đầu các dịch vụ trong lớplate_start
lần đầu tiên kể từ khi khởi động. - Bắt đầu khung đầy đủ
Bây giờ, khung khởi động tất cả các dịch vụ của nó bằng hệ thống tệp
/data
đã được giải mã và hệ thống đã sẵn sàng để sử dụng.
Sự thất bại
Một thiết bị không giải mã được có thể bị trục trặc vì một số lý do. Thiết bị bắt đầu với chuỗi các bước khởi động thông thường:
- Phát hiện thiết bị được mã hóa bằng mật khẩu
- Gắn tmpfs
- Bắt đầu khung để nhắc mật khẩu
Nhưng sau khi framework mở ra, thiết bị có thể gặp một số lỗi:
- Mật khẩu trùng khớp nhưng không thể giải mã dữ liệu
- Người dùng nhập sai mật khẩu 30 lần
Nếu những lỗi này không được giải quyết, hãy nhắc người dùng xóa sạch nhà máy :
Nếu vold
phát hiện lỗi trong quá trình mã hóa và nếu chưa có dữ liệu nào bị hủy và khung hoạt động, vold
sẽ đặt thuộc tính vold.encrypt_progress
thành error_not_encrypted
. Giao diện người dùng nhắc người dùng khởi động lại và cảnh báo họ rằng quá trình mã hóa chưa bao giờ bắt đầu. Nếu lỗi xảy ra sau khi khung bị phá bỏ, nhưng trước khi giao diện người dùng của thanh tiến trình hoạt động, vold
sẽ khởi động lại hệ thống. Nếu khởi động lại không thành công, nó sẽ đặt vold.encrypt_progress
thành error_shutting_down
và trả về -1; nhưng sẽ không có gì để bắt lỗi. Điều này không được mong đợi sẽ xảy ra.
Nếu vold
phát hiện lỗi trong quá trình mã hóa, nó sẽ đặt vold.encrypt_progress
thành error_partially_encrypted
và trả về -1. Sau đó, giao diện người dùng sẽ hiển thị thông báo cho biết mã hóa không thành công và cung cấp nút để người dùng khôi phục cài đặt gốc cho thiết bị.
Lưu trữ khóa được mã hóa
Khóa mã hóa được lưu trữ trong siêu dữ liệu mật mã. Sao lưu phần cứng được triển khai bằng cách sử dụng khả năng ký của Môi trường thực thi tin cậy (TEE). Trước đây, chúng tôi đã mã hóa khóa chính bằng khóa được tạo bằng cách áp dụng mật mã cho mật khẩu của người dùng và muối được lưu trữ. Để giúp khóa có khả năng phục hồi trước các cuộc tấn công ngoài hộp, chúng tôi mở rộng thuật toán này bằng cách ký khóa kết quả bằng khóa TEE được lưu trữ. Chữ ký kết quả sau đó được biến thành một khóa có độ dài thích hợp bằng một ứng dụng mã hóa khác. Khóa này sau đó được sử dụng để mã hóa và giải mã khóa chính. Để lưu trữ khóa này:
- Tạo khóa mã hóa đĩa 16 byte ngẫu nhiên (DEK) và muối 16 byte.
- Áp dụng mật mã cho mật khẩu người dùng và muối để tạo khóa trung gian 32 byte 1 (IK1).
- Pad IK1 có 0 byte theo kích thước của khóa riêng được giới hạn phần cứng (HBK). Cụ thể, chúng tôi đệm như sau: 00 || IK1 || 00..00; một byte 0, 32 byte IK1, 223 byte 0.
- Ký IK1 được đệm bằng HBK để tạo ra IK2 256 byte.
- Áp dụng mật mã cho IK2 và muối (cùng muối với bước 2) để tạo IK3 32 byte.
- Sử dụng 16 byte đầu tiên của IK3 làm KEK và 16 byte cuối cùng làm IV.
- Mã hóa DEK bằng AES_CBC, bằng khóa KEK và vectơ khởi tạo IV.
Thay đổi mật khẩu
Khi người dùng chọn thay đổi hoặc xóa mật khẩu của họ trong cài đặt, giao diện người dùng sẽ gửi lệnh cryptfs changepw
tới vold
và vold
mã hóa lại khóa chính của đĩa bằng mật khẩu mới.
Thuộc tính mã hóa
vold
và init
giao tiếp với nhau bằng cách thiết lập thuộc tính. Dưới đây là danh sách các thuộc tính có sẵn để mã hóa.
Thuộc tính Vold
Tài sản | Sự miêu tả |
---|---|
vold.decrypt trigger_encryption | Mã hóa ổ đĩa không cần mật khẩu. |
vold.decrypt trigger_default_encryption | Kiểm tra ổ đĩa xem nó có được mã hóa bằng mật khẩu không. Nếu đúng như vậy, hãy giải mã và gắn kết nó, nếu không thì đặt vold.decrypt thành trigger_restart_min_framework. |
vold.decrypt trigger_reset_main | Đặt bởi vold để tắt giao diện người dùng yêu cầu mật khẩu đĩa. |
vold.decrypt trigger_post_fs_data | Đặt bởi vold để chuẩn bị /data với các thư mục cần thiết, et al. |
vold.decrypt trigger_restart_framework | Được đặt bởi vold để bắt đầu khung thực và tất cả các dịch vụ. |
vold.decrypt trigger_shutdown_framework | Đặt bởi vold để tắt toàn bộ khung để bắt đầu mã hóa. |
vold.decrypt trigger_restart_min_framework | Được đặt bởi vold để khởi động giao diện người dùng thanh tiến trình để mã hóa hoặc nhắc nhập mật khẩu, tùy thuộc vào giá trị của ro.crypto.state . |
vold.encrypt_progress | Khi khung khởi động, nếu thuộc tính này được đặt, hãy vào chế độ giao diện người dùng của thanh tiến trình. |
vold.encrypt_progress 0 to 100 | Giao diện người dùng thanh tiến trình sẽ hiển thị giá trị phần trăm được đặt. |
vold.encrypt_progress error_partially_encrypted | Giao diện người dùng của thanh tiến trình sẽ hiển thị thông báo rằng mã hóa không thành công và cung cấp cho người dùng tùy chọn khôi phục cài đặt gốc cho thiết bị. |
vold.encrypt_progress error_reboot_failed | Giao diện người dùng của thanh tiến trình sẽ hiển thị thông báo cho biết quá trình mã hóa đã hoàn tất và cung cấp cho người dùng nút để khởi động lại thiết bị. Lỗi này dự kiến sẽ không xảy ra. |
vold.encrypt_progress error_not_encrypted | Giao diện người dùng của thanh tiến trình sẽ hiển thị thông báo cho biết đã xảy ra lỗi, không có dữ liệu nào được mã hóa hoặc bị mất và cung cấp cho người dùng nút để khởi động lại hệ thống. |
vold.encrypt_progress error_shutting_down | Giao diện người dùng thanh tiến trình không chạy nên không rõ ai sẽ phản hồi lỗi này. Và dù sao thì nó cũng không bao giờ nên xảy ra. |
vold.post_fs_data_done 0 | Được đặt bởi vold ngay trước khi đặt vold.decrypt thành trigger_post_fs_data . |
vold.post_fs_data_done 1 | Được đặt bởi init.rc hoặc init.rc ngay sau khi hoàn thành nhiệm vụ post-fs-data . |
thuộc tính ban đầu
Tài sản | Sự miêu tả |
---|---|
ro.crypto.fs_crypto_blkdev | Đặt bằng lệnh vold checkpw để sử dụng sau bằng lệnh vold restart . |
ro.crypto.state unencrypted | Được đặt bởi init để cho biết hệ thống này đang chạy với mã hóa /data ro.crypto.state encrypted . Được đặt bởi init để cho biết hệ thống này đang chạy với /data được mã hóa. |
| Năm thuộc tính này được thiết lập bởi init khi nó cố gắn kết /data với các tham số được truyền vào từ init.rc . vold sử dụng những thứ này để thiết lập ánh xạ mật mã. |
ro.crypto.tmpfs_options | Được thiết lập bởi init.rc với các tùy chọn init nên sử dụng khi gắn hệ thống tệp tmpfs /data . |
Hành động khởi tạo
on post-fs-data on nonencrypted on property:vold.decrypt=trigger_reset_main on property:vold.decrypt=trigger_post_fs_data on property:vold.decrypt=trigger_restart_min_framework on property:vold.decrypt=trigger_restart_framework on property:vold.decrypt=trigger_shutdown_framework on property:vold.decrypt=trigger_encryption on property:vold.decrypt=trigger_default_encryption