Szyfrowanie

Szyfrowanie to proces kodowania wszystkich danych użytkownika na urządzeniu z systemem Android przy użyciu symetrycznych kluczy szyfrowania. Po zaszyfrowaniu urządzenia wszystkie dane utworzone przez użytkownika są automatycznie szyfrowane przed przesłaniem ich na dysk, a wszystkie odczyty automatycznie odszyfrowują dane przed zwróceniem ich do procesu wywołującego. Szyfrowanie zapewnia, że ​​nawet jeśli nieupoważniona strona spróbuje uzyskać dostęp do danych, nie będzie w stanie ich odczytać.

Android ma dwie metody szyfrowania urządzeń: szyfrowanie oparte na plikach i szyfrowanie całego dysku.

Szyfrowanie oparte na plikach

Android 7.0 i nowsze obsługuje szyfrowanie plików oparte . Szyfrowanie oparte na plikach umożliwia szyfrowanie różnych plików za pomocą różnych kluczy, które można odblokować niezależnie. Urządzenia wsparcie szyfrowania oparty na plikach można również wspierać bezpośredni rozruch , który pozwala urządzeniom do rozruchu zaszyfrowany prosto do ekranu blokady, umożliwiając szybki dostęp do najważniejszych funkcji urządzenia, takich jak usługi dostępu i alarmów.

Dzięki szyfrowaniu opartemu na plikach i interfejsom API, które informują aplikacje o szyfrowaniu, aplikacje mogą działać w ograniczonym kontekście. Może się to zdarzyć, zanim użytkownicy podadzą swoje poświadczenia, jednocześnie chroniąc prywatne informacje użytkownika.

Szyfrowanie metadanych

Android 9 wprowadza wsparcie dla szyfrowania metadanych , gdzie obsługa sprzętu jest obecna. Dzięki szyfrowaniu metadanych pojedynczy klucz obecny podczas rozruchu szyfruje wszelkie treści, które nie są szyfrowane przez FBE, takie jak układ katalogów, rozmiary plików, uprawnienia i czasy tworzenia/modyfikacji. Ten klucz jest chroniony przez Keymaster, który z kolei jest chroniony przez zweryfikowany rozruch.

Szyfrowanie całego dysku

Android 5.0 do Android 9 wsparcie szyfrowania całego dysku . Szyfrowanie całego dysku wykorzystuje jeden klucz — chroniony hasłem urządzenia użytkownika — do ochrony całej partycji danych użytkownika urządzenia. Podczas rozruchu użytkownik musi podać swoje poświadczenia, zanim jakakolwiek część dysku będzie dostępna.

Chociaż jest to świetne dla bezpieczeństwa, oznacza to, że większość podstawowych funkcji telefonu nie jest natychmiast dostępna po ponownym uruchomieniu urządzenia. Ponieważ dostęp do ich danych jest chroniony poświadczeniami jednego użytkownika, funkcje takie jak alarmy nie mogły działać, usługi ułatwień dostępu były niedostępne, a telefony nie mogły odbierać połączeń.