Activer Adiantum

Adiantum est une méthode de cryptage conçue pour les appareils exécutant Android 9 et supérieur dont les processeurs manquent d'instructions AES . Si vous expédiez un appareil basé sur ARM avec des extensions de chiffrement ARMv8 ou un appareil basé sur x86 avec AES-NI, vous ne devez pas utiliser Adiantum. AES est plus rapide sur ces plates-formes.

Pour les appareils dépourvus de ces instructions de processeur AES, Adiantum fournit un chiffrement sur votre appareil avec très peu de surcharge de performances. Pour les chiffres de référence, voir l' article d'Adiantum . Pour la source d'analyse comparative à exécuter sur votre matériel, consultez la source Adiantum sur GitHub .

Pour activer Adiantum sur un appareil exécutant Android 9 ou supérieur, vous devez apporter des modifications au noyau et à l'espace utilisateur.

Modifications du noyau

Adiantum est pris en charge par les noyaux communs Android, version 4.9 et supérieure.

Si le noyau de votre appareil ne prend pas déjà en charge Adiantum, sélectionnez les modifications répertoriées ci-dessous. Si vous rencontrez des difficultés lors de la sélection, les appareils utilisant le chiffrement intégral du disque (FDE) peuvent exclure le correctif fscrypt:

Version du noyau Correctifs crypto et fscrypt correctif dm-crypt
4.19 noyau 4.19 correctif dm-crypt
4.14 noyau 4.14 correctif dm-crypt
4.9 noyau 4.9 correctif dm-crypt

Activer Adiantum dans votre noyau

Android 11 et supérieur

Si votre appareil démarre avec Android 11 ou une version ultérieure, activez les paramètres suivants dans la configuration du noyau de votre appareil :

CONFIG_CRYPTO_ADIANTUM=y
CONFIG_FS_ENCRYPTION=y
CONFIG_BLK_INLINE_ENCRYPTION=y
CONFIG_BLK_INLINE_ENCRYPTION_FALLBACK=y
CONFIG_FS_ENCRYPTION_INLINE_CRYPT=y
CONFIG_DM_DEFAULT_KEY=y

Si votre appareil exécute un noyau ARM 32 bits, activez également les instructions NEON pour améliorer les performances :

CONFIG_KERNEL_MODE_NEON=y
CONFIG_CRYPTO_AES_ARM=y
CONFIG_CRYPTO_CHACHA20_NEON=y
CONFIG_CRYPTO_NHPOLY1305_NEON=y

Android 9 et 10

Si votre appareil se lance avec Android 9 ou 10, des paramètres de configuration du noyau légèrement différents sont nécessaires. Activez les paramètres suivants :

CONFIG_CRYPTO_ADIANTUM=y
CONFIG_DM_CRYPT=y

Si votre appareil utilise le chiffrement basé sur les fichiers, activez également :

CONFIG_F2FS_FS_ENCRYPTION=y

Enfin, si votre appareil exécute un noyau ARM 32 bits, activez les instructions NEON pour améliorer les performances :

CONFIG_KERNEL_MODE_NEON=y
CONFIG_CRYPTO_AES_ARM=y
CONFIG_CRYPTO_CHACHA20_NEON=y
CONFIG_CRYPTO_NHPOLY1305_NEON=y

Modifications de l'espace utilisateur

Pour les appareils exécutant Android 10 ou supérieur, les modifications de l'espace utilisateur d'Adiantum sont déjà présentes.

Pour les appareils exécutant Android 9, sélectionnez les modifications suivantes :

Activer Adiantum sur votre appareil

Tout d'abord, assurez-vous que PRODUCT_SHIPPING_API_LEVEL est correctement défini sur votre appareil pour correspondre à la version d'Android avec laquelle il est lancé. Par exemple, un appareil lancé avec Android 11 doit avoir PRODUCT_SHIPPING_API_LEVEL := 30 . Ceci est important car certains paramètres de chiffrement ont des valeurs par défaut différentes sur différentes versions de lancement.

Appareils avec chiffrement basé sur fichier

Pour activer le chiffrement basé sur fichier Adiantum sur le stockage interne de votre appareil, ajoutez l'option suivante à la dernière colonne (la colonne fs_mgr_flags ) de la ligne pour la partition userdata dans le fichier fstab de l'appareil :

fileencryption=adiantum

Si votre appareil démarre avec Android 11 ou une version ultérieure, l' activation du chiffrement des métadonnées est également requise. Pour utiliser Adiantum pour le chiffrement des métadonnées sur le stockage interne, les fs_mgr_flags pour les données userdata doivent également contenir les options suivantes :

metadata_encryption=adiantum,keydirectory=/metadata/vold/metadata_encryption

Ensuite, activez le chiffrement Adiantum sur le stockage adoptable . Pour ce faire, définissez les propriétés système suivantes dans PRODUCT_PROPERTY_OVERRIDES :

Pour Android 11 et supérieur :

ro.crypto.volume.options=adiantum
ro.crypto.volume.metadata.encryption=adiantum

Pour Android 9 et 10 :

ro.crypto.volume.contents_mode=adiantum
ro.crypto.volume.filenames_mode=adiantum
ro.crypto.fde_algorithm=adiantum
ro.crypto.fde_sector_size=4096

Enfin, ajoutez éventuellement blk-crypto-fallback.num_keyslots=1 à la ligne de commande du noyau. Cela réduira légèrement l'utilisation de la mémoire lorsque le chiffrement des métadonnées Adiantum est utilisé. Avant de faire cela, vérifiez que l'option de montage inlinecrypt n'est pas spécifiée dans le fstab . S'il est spécifié, supprimez-le, car il n'est pas nécessaire pour le chiffrement Adiantum, et il provoque des problèmes de performances lorsqu'il est utilisé en combinaison avec blk-crypto-fallback.num_keyslots=1 .

Pour vérifier que votre mise en œuvre a fonctionné, effectuez un rapport de bogue ou exécutez :

adb root
adb shell dmesg

Si Adiantum est activé correctement, vous devriez voir ceci dans le journal du noyau :

fscrypt: Adiantum using implementation "adiantum(xchacha12-neon,aes-arm,nhpoly1305-neon)"

Si vous avez activé le chiffrement des métadonnées, exécutez également ce qui suit pour vérifier que le chiffrement des métadonnées d'Adiantum est correctement activé :

adb root
adb shell dmctl table userdata

Le troisième champ de la sortie doit être xchacha12,aes-adiantum-plain64 .

Appareils avec chiffrement intégral du disque

Pour activer Adiantum et améliorer ses performances, définissez ces propriétés dans PRODUCT_PROPERTY_OVERRIDES :

ro.crypto.fde_algorithm=adiantum
ro.crypto.fde_sector_size=4096

Définir fde_sector_size sur 4096 améliore les performances, mais n'est pas nécessaire pour qu'Adiantum fonctionne. Pour utiliser ce paramètre, la partition de données utilisateur doit commencer à un décalage aligné de 4096 octets sur le disque.

Dans le fstab , pour l'ensemble de données utilisateur :

forceencrypt=footer

Pour vérifier que votre mise en œuvre a fonctionné, effectuez un rapport de bogue ou exécutez :

adb root
adb shell dmesg

Si Adiantum est activé correctement, vous devriez voir ceci dans le journal du noyau :

device-mapper: crypt: adiantum(xchacha12,aes) using implementation "adiantum(xchacha12-neon,aes-arm,nhpoly1305-neon)"