Android加密之全盘加密详解加密之全盘加密详解
前言前言
Android 的安全性问题一直备受关注,Google 在 Android 系统的安全方面也是一直没有停止过更新,努力做到更加安全的手
机移动操作系统。
在 Android 的安全性方面,有很多模块:
1 内核安全性
2 应用安全性
3 应用签名
4 身份验证
5 Trusty TEE
6 SELinux
7 加密
等等
其中,加密又分全盘加密(Android 4.4 引入)和文件级加密(Android 7.0 引入),本文将论述加密中的全盘加密的基本知
识。全盘加密在 Android 4.4 中引入,在 Android 5.0 中做了比较大的更新。
本文部分片段摘自 Android 官网,融合笔者的个人理解和知识。
什么是全盘加密什么是全盘加密
全盘加密是使用已加密的密钥对 Android 设备上的所有用户数据进行编码的过程。设备经过加密后,所有由用户创建的数据在
写入磁盘之前都会自动加密,并且所有读取操作都会在将数据返回给调用进程之前自动解密数据。
Android 5.0 中又引入了以下新功能:
创建了快速加密方式,这种加密方式只会对数据分区中已使用的分块进行加密,以免首次启动用时过长。目前只有 EXT4 和
F2FS 文件系统支持快速加密。
添加了 forceencrypt fstab 标记,以便在首次启动时进行加密。
添加了对解锁图案和无密码加密的支持。
添加了由硬件支持的加密密钥存储空间,该空间使用可信执行环境(TEE,例如 TrustZone)的签名功能。
全盘加密运作方式全盘加密运作方式
Android 全盘加密基于在块设备层运行的内核功能 dm-crypt。因此,这种加密方式适用于以块设备的形式呈现给内核的嵌入式
多媒体卡 (eMMC) 和类似闪存设备。YAFFS 会直接与原始 NAND 闪存芯片交互,无法进行全盘加密。
全盘加密采用的是 128 位高级加密标准 (AES) 算法(搭配密码块链接 (CBC) 和 ESSIV:SHA256)。对主密钥进行加密时使用
的是 128 位 AES 算法,并会调用 OpenSSL 库。对于该密钥,您必须使用 128 位或更多位(可以选择 256 位)。
Android 5.0 版中有以下 4 种加密状态:
默认
剩余10页未读,继续阅读
资源评论
