Adiantum, एन्क्रिप्ट (सुरक्षित) करने का तरीका है. इसे Android 9 और इसके बाद के वर्शन वाले डिवाइसों के लिए डिज़ाइन किया गया है जिनके सीपीयू में कमी है AES के निर्देश. अगर ARMv8 क्रिप्टोग्राफ़ी एक्सटेंशन वाले ARM-आधारित डिवाइस या AES-NI वाले x86-आधारित डिवाइस को शिप किया जा रहा है, तो आपको Adiantum का इस्तेमाल नहीं करना चाहिए. AES उन पर तेज़ है प्लैटफ़ॉर्म.
जिन डिवाइसों में एईएस सीपीयू के निर्देश नहीं हैं, उनके लिए Adiantum एन्क्रिप्शन की सुविधा चालू करता है आपके डिवाइस की परफ़ॉर्मेंस बहुत कम है. बेंचमार्किंग की संख्याओं के लिए, Adiantum पेपर देखें. आपके हार्डवेयर पर, जांच करने के लिए इस्तेमाल होने वाला सोर्स, GitHub पर Adiantum का सोर्स देखें.
Android 9 या उसके बाद के वर्शन वाले डिवाइस पर Adiantum को चालू करने के लिए, आपको कर्नेल और यूज़रस्पेस में बदलाव करने होंगे.
Kernel में हुए बदलाव
Adiantum, Android के सामान्य कर्नेल के 4.9 और इसके बाद के वर्शन पर काम करता है.
अगर आपके डिवाइस के कर्नेल में पहले से ही Adiantum का इस्तेमाल नहीं किया जा सकता, तो यहां दिए गए बदलावों में से अपनी ज़रूरत के हिसाब से बदलाव चुनें. अगर आपको चेरी चुनने में समस्या आ रही है, तो फ़ुल-डिस्क एन्क्रिप्शन (एफ़डीई) का इस्तेमाल करने वाले डिवाइसों को सूची से बाहर रखा जा सकता है
fscrypt:
पैच.
कर्नेल वर्ज़न | क्रिप्टो और fscrypt पैच | dm-crypt पैच |
---|---|---|
4.19 | 4.19 कर्नेल | dm-crypt पैच
|
4.14 | 4.14 कर्नेल | dm-crypt पैच
|
4.9 | 4.9 कर्नेल | dm-crypt पैच
|
अपने कर्नेल में Adiantum को चालू करना
Android 11 और उसके बाद के वर्शन के लिए
अगर आपका डिवाइस Android 11 या इसके बाद के वर्शन पर लॉन्च हो रहा है, तो डिवाइस के कर्नेल कॉन्फ़िगरेशन में ये सेटिंग चालू करें:
CONFIG_CRYPTO_ADIANTUM=y CONFIG_FS_ENCRYPTION=y CONFIG_BLK_INLINE_ENCRYPTION=y CONFIG_BLK_INLINE_ENCRYPTION_FALLBACK=y CONFIG_FS_ENCRYPTION_INLINE_CRYPT=y CONFIG_DM_DEFAULT_KEY=y
यदि आपका डिवाइस 32-बिट ARM कर्नेल पर चल रहा है, तो NEON निर्देशों को भी सक्षम करें परफ़ॉर्मेंस बेहतर करें:
CONFIG_KERNEL_MODE_NEON=y CONFIG_CRYPTO_AES_ARM=y CONFIG_CRYPTO_CHACHA20_NEON=y CONFIG_CRYPTO_NHPOLY1305_NEON=y
Android 9 और 10
अगर आपके डिवाइस को Android 9 के साथ लॉन्च किया जा रहा है या 10, फिर थोड़ा अलग कर्नेल कॉन्फ़िगरेशन सेटिंग की ज़रूरत है. इन सेटिंग को चालू करें:
CONFIG_CRYPTO_ADIANTUM=y CONFIG_DM_CRYPT=y
अगर आपके डिवाइस पर फ़ाइल के आधार पर एन्क्रिप्ट (सुरक्षित) करने का तरीका इस्तेमाल किया जाता है, तो इन्हें भी चालू करें:
CONFIG_F2FS_FS_ENCRYPTION=y
आखिर में, अगर आपके डिवाइस में 32-बिट ARM kernel है, तो परफ़ॉर्मेंस को बेहतर बनाने के लिए NEON निर्देश चालू करें:
CONFIG_KERNEL_MODE_NEON=y CONFIG_CRYPTO_AES_ARM=y CONFIG_CRYPTO_CHACHA20_NEON=y CONFIG_CRYPTO_NHPOLY1305_NEON=y
यूज़रस्पेस में बदलाव
Android 10 या उसके बाद के वर्शन वाले डिवाइसों के लिए, Adiantum के उपयोगकर्ता स्पेस में हुए बदलाव पहले से मौजूद हैं.
Android 9 वर्शन वाले डिवाइसों के लिए, चेरी चुनें ये बदलाव हुए हैं:
- cryptfs: Adiantum सहायता जोड़ें
- cryptfs: dm-crypt सेक्टर का साइज़ सेट करने की अनुमति दें
- cryptfs: dm-crypt डिवाइस के साइज़ को क्रिप्टो सेक्टर की सीमा तक राउंड डाउन करें
- cryptfs: dm-crypt डिवाइस बनाने के लिए लॉगिंग को बेहतर बनाना
- libfscrypt: Adiantum सहायता जोड़ें
- fs_mgr_fstab: Adiantum सहायता जोड़ें
अपने डिवाइस पर Adiantum चालू करें
सबसे पहले, पक्का करें कि आपके डिवाइस में PRODUCT_SHIPPING_API_LEVEL
सेट हो
लॉन्च की जा रही Android वर्शन से मेल खाती हो. उदाहरण के लिए,
Android 11 के साथ लॉन्च होने वाले डिवाइस में
PRODUCT_SHIPPING_API_LEVEL := 30
. यह ज़रूरी है, क्योंकि लॉन्च के अलग-अलग वर्शन में, एन्क्रिप्शन सेटिंग की कुछ डिफ़ॉल्ट सेटिंग अलग-अलग होती हैं.
फ़ाइल के आधार पर एन्क्रिप्ट (सुरक्षित) करने की सुविधा वाले डिवाइस
अपने डिवाइस के इंटरनल स्टोरेज में, फ़ाइल पर आधारित Adiantum एन्क्रिप्शन को चालू करने के लिए, डिवाइस की fstab
फ़ाइल में userdata
सेक्शन के लिए, पंक्ति के आखिरी कॉलम (fs_mgr_flags कॉलम) में यह विकल्प जोड़ें:
fileencryption=adiantum
अगर आपके डिवाइस को Android 11 या उसके बाद के वर्शन के साथ लॉन्च किया जा रहा है, तो
फिर चालू हो रहा है,
मेटाडेटा को एन्क्रिप्ट करना भी ज़रूरी है. मेटाडेटा के लिए Adiantum का इस्तेमाल करने के लिए
डिवाइस के स्टोरेज को एन्क्रिप्ट (सुरक्षित) करने का तरीका, इसके लिए fs_mgr_flags
userdata
में ये विकल्प भी शामिल होने चाहिए:
metadata_encryption=adiantum,keydirectory=/metadata/vold/metadata_encryption
इसके बाद, डिवाइस के स्टोरेज पर Adiantum एन्क्रिप्शन चालू करें. ऐसा करने के लिए,
PRODUCT_PROPERTY_OVERRIDES
में ये सिस्टम प्रॉपर्टी:
Android 11 और उसके बाद के वर्शन के लिए:
ro.crypto.volume.options=adiantum ro.crypto.volume.metadata.encryption=adiantum
Android 9 और 10 के लिए:
ro.crypto.volume.contents_mode=adiantum ro.crypto.volume.filenames_mode=adiantum ro.crypto.fde_algorithm=adiantum ro.crypto.fde_sector_size=4096
आखिर में, वैकल्पिक तौर पर blk-crypto-fallback.num_keyslots=1
को
कर्नेल कमांड लाइन. इससे, Adiantum के ज़रिए मेटाडेटा को एन्क्रिप्ट करने पर, मेमोरी का इस्तेमाल थोड़ा कम होता है. ऐसा करने से पहले, पुष्टि करें कि inlinecrypt
में fstab
में माउंट करने का विकल्प न दिया गया हो.
अगर यह एट्रिब्यूट मौजूद है, तो इसे हटा दें. ऐसा इसलिए, क्योंकि Adiantum एन्क्रिप्शन के लिए इसकी ज़रूरत नहीं होती. साथ ही, blk-crypto-fallback.num_keyslots=1
के साथ इस्तेमाल करने पर, इससे परफ़ॉर्मेंस से जुड़ी समस्याएं आती हैं.
यह पुष्टि करने के लिए कि आपका तरीका काम कर रहा है या नहीं, गड़बड़ी की रिपोर्ट लें या चलाएं:
adb root
adb shell dmesg
अगर Adiantum सही तरीके से चालू है, तो आपको इसे कर्नेल लॉग में दिखना चाहिए:
fscrypt: Adiantum using implementation "adiantum(xchacha12-neon,aes-arm,nhpoly1305-neon)"
अगर आपने मेटाडेटा एन्क्रिप्शन की सुविधा चालू की है, तो इस बात की पुष्टि करने के लिए ये भी चलाएं कि Adiantum मेटाडेटा एन्क्रिप्शन की सुविधा सही तरीके से चालू है या नहीं:
adb root
adb shell dmctl table userdata
आउटपुट का तीसरा फ़ील्ड
xchacha12,aes-adiantum-plain64
.
पूरी ड्राइव को एन्क्रिप्ट (सुरक्षित) करने की सुविधा वाले डिवाइस
Adiantum को चालू करने और उसकी परफ़ॉर्मेंस को बेहतर बनाने के लिए, PRODUCT_PROPERTY_OVERRIDES
में ये प्रॉपर्टी सेट करें:
ro.crypto.fde_algorithm=adiantum ro.crypto.fde_sector_size=4096
fde_sector_size
को 4096 पर सेट करने से परफ़ॉर्मेंस बेहतर होती है. हालांकि, इसमें सुधार नहीं होता
Adiantum को काम करने के लिए ज़रूरी है. इस सेटिंग का इस्तेमाल करने के लिए, उपयोगकर्ता डेटा का सेगमेंट, डिस्क पर 4096 बाइट के अलाइन किए गए ऑफ़सेट से शुरू होना चाहिए.
fstab
में, उपयोगकर्ता डेटा सेट के लिए:
forceencrypt=footer
यह पुष्टि करने के लिए कि आपका तरीका काम कर रहा है या नहीं, गड़बड़ी की रिपोर्ट लें या चलाएं:
adb root
adb shell dmesg
अगर Adiantum सही तरीके से चालू है, तो आपको यह जानकारी कर्नेल लॉग में दिखेगी:
device-mapper: crypt: adiantum(xchacha12,aes) using implementation "adiantum(xchacha12-neon,aes-arm,nhpoly1305-neon)"