Szyfrowanie to proces kodowania wszystkich danych użytkownika na urządzeniu z systemem Android przy użyciu symetrycznych kluczy szyfrowania. Po zaszyfrowaniu urządzenia wszystkie dane utworzone przez użytkownika są automatycznie szyfrowane przed przesłaniem ich na dysk, a wszystkie odczyty automatycznie odszyfrowują dane przed zwróceniem ich do procesu wywołującego. Szyfrowanie zapewnia, że nawet jeśli nieupoważniona strona spróbuje uzyskać dostęp do danych, nie będzie w stanie ich odczytać.
Android ma dwie metody szyfrowania urządzeń: szyfrowanie oparte na plikach i szyfrowanie całego dysku.
Szyfrowanie oparte na plikach
Android 7.0 i nowsze obsługują szyfrowanie oparte na plikach . Szyfrowanie oparte na plikach umożliwia szyfrowanie różnych plików za pomocą różnych kluczy, które można odblokować niezależnie. Urządzenia obsługujące szyfrowanie oparte na plikach mogą również obsługiwać funkcję Direct Boot , która umożliwia zaszyfrowanym urządzeniom uruchamianie się bezpośrednio do ekranu blokady, umożliwiając w ten sposób szybki dostęp do ważnych funkcji urządzenia, takich jak usługi ułatwień dostępu i alarmy.
Dzięki szyfrowaniu opartemu na plikach i interfejsom API, które informują aplikacje o szyfrowaniu, aplikacje mogą działać w ograniczonym kontekście. Może się to zdarzyć, zanim użytkownicy podadzą swoje poświadczenia, jednocześnie chroniąc prywatne informacje użytkownika.
Szyfrowanie metadanych
Android 9 wprowadza obsługę szyfrowania metadanych , w którym obecna jest obsługa sprzętu. Dzięki szyfrowaniu metadanych pojedynczy klucz obecny w czasie rozruchu szyfruje wszelkie treści, które nie są szyfrowane przez FBE, takie jak układ katalogów, rozmiary plików, uprawnienia i czasy tworzenia/modyfikacji. Ten klucz jest chroniony przez Keymaster, który z kolei jest chroniony przez zweryfikowany rozruch.
Szyfrowanie całego dysku
Android 5.0 do Android 9 obsługuje pełne szyfrowanie dysku . Szyfrowanie całego dysku wykorzystuje jeden klucz — chroniony hasłem urządzenia użytkownika — do ochrony całej partycji danych użytkownika urządzenia. Podczas rozruchu użytkownik musi podać swoje poświadczenia, zanim jakakolwiek część dysku będzie dostępna.
Chociaż jest to świetne dla bezpieczeństwa, oznacza to, że większość podstawowych funkcji telefonu nie jest natychmiast dostępna po ponownym uruchomieniu urządzenia. Ponieważ dostęp do ich danych jest chroniony poświadczeniami jednego użytkownika, funkcje takie jak alarmy nie mogły działać, usługi ułatwień dostępu były niedostępne, a telefony nie mogły odbierać połączeń.