Adiantum — это метод шифрования, разработанный для устройств под управлением Android 9 и выше, процессоры которых не поддерживают инструкции AES . Если вы поставляете устройство на базе ARM с криптографическими расширениями ARMv8 или устройство на базе x86 с AES-NI, не следует использовать Adiantum. AES работает быстрее на этих платформах.
Для устройств, не поддерживающих инструкции AES CPU, Adiantum обеспечивает шифрование на вашем устройстве с минимальными затратами на производительность. Результаты бенчмаркинга см. в статье Adiantum . Исходный код для запуска бенчмарка на вашем оборудовании см. в исходном коде Adiantum на GitHub .
Чтобы включить Adiantum на устройстве под управлением Android 9 или выше, вам необходимо внести изменения в ядро и пространство пользователя.
Изменения ядра
Adiantum поддерживается стандартными ядрами Android версии 4.9 и выше.
Если ядро вашего устройства ещё не поддерживает Adiantum, выберите изменения, перечисленные ниже. Если у вас возникли проблемы с выбором, устройства с полным шифрованием диска (FDE) могут исключить патч fscrypt:
| Версия ядра | Патчи Crypto и fscrypt | патч dm-crypt |
|---|---|---|
| 4.19 | ядро 4.19 | патч dm-crypt |
| 4.14 | ядро 4.14 | патч dm-crypt |
| 4.9 | ядро 4.9 | патч dm-crypt |
Включите Adiantum в вашем ядре
Android 11 и выше
Если ваше устройство работает на базе Android 11 или выше, включите следующие параметры в конфигурации ядра вашего устройства:
CONFIG_CRYPTO_ADIANTUM=y CONFIG_FS_ENCRYPTION=y CONFIG_BLK_INLINE_ENCRYPTION=y CONFIG_BLK_INLINE_ENCRYPTION_FALLBACK=y CONFIG_FS_ENCRYPTION_INLINE_CRYPT=y CONFIG_DM_DEFAULT_KEY=y
Если ваше устройство работает под управлением 32-битного ядра ARM, также включите инструкции NEON для повышения производительности:
CONFIG_KERNEL_MODE_NEON=y CONFIG_CRYPTO_AES_ARM=y CONFIG_CRYPTO_CHACHA20_NEON=y CONFIG_CRYPTO_NHPOLY1305_NEON=y
Android 9 и 10
Если ваше устройство работает под управлением Android 9 или 10, вам потребуются немного другие настройки ядра. Включите следующие параметры:
CONFIG_CRYPTO_ADIANTUM=y CONFIG_DM_CRYPT=y
Если ваше устройство использует файловое шифрование, также включите:
CONFIG_F2FS_FS_ENCRYPTION=y
Наконец, если ваше устройство работает на 32-битном ядре ARM, включите инструкции NEON для повышения производительности:
CONFIG_KERNEL_MODE_NEON=y CONFIG_CRYPTO_AES_ARM=y CONFIG_CRYPTO_CHACHA20_NEON=y CONFIG_CRYPTO_NHPOLY1305_NEON=y
Изменения в пользовательском пространстве
Для устройств под управлением Android 10 и выше изменения в пользовательском пространстве Adiantum уже реализованы.
Для устройств под управлением Android 9 выберите следующие изменения:
- cryptfs: добавить поддержку Adiantum
- cryptfs: разрешить настройку размера сектора dm-crypt
- cryptfs: округлить размер устройства dm-crypt до границы криптосектора
- cryptfs: улучшить логирование создания устройства dm-crypt
- libfscrypt: добавить поддержку Adiantum
- fs_mgr_fstab: Добавить поддержку Adiantum
Включите Adiantum на вашем устройстве
Во-первых, убедитесь, что на вашем устройстве правильно настроен параметр PRODUCT_SHIPPING_API_LEVEL , соответствующий версии Android, с которой оно запускается. Например, для устройства с Android 11 PRODUCT_SHIPPING_API_LEVEL := 30 Это важно, поскольку некоторые параметры шифрования имеют разные значения по умолчанию в разных версиях Android.
Устройства с файловым шифрованием
Чтобы включить файловое шифрование Adiantum во внутренней памяти устройства, добавьте следующую опцию в последний столбец (столбец fs_mgr_flags ) строки для раздела userdata в файле fstab устройства:
fileencryption=adiantum
Если ваше устройство работает под управлением Android 11 или более поздней версии, также требуется включить шифрование метаданных . Чтобы использовать Adiantum для шифрования метаданных во внутренней памяти, файл fs_mgr_flags для userdata также должен содержать следующие параметры:
metadata_encryption=adiantum,keydirectory=/metadata/vold/metadata_encryption
Затем включите шифрование Adiantum на адаптивном хранилище . Для этого настройте следующие системные свойства в PRODUCT_PROPERTY_OVERRIDES :
Для Android 11 и выше:
ro.crypto.volume.options=adiantum ro.crypto.volume.metadata.encryption=adiantum
Для Android 9 и 10:
ro.crypto.volume.contents_mode=adiantum ro.crypto.volume.filenames_mode=adiantum ro.crypto.fde_algorithm=adiantum ro.crypto.fde_sector_size=4096
Наконец, при желании добавьте blk-crypto-fallback.num_keyslots=1 в командную строку ядра. Это немного снизит потребление памяти при использовании шифрования метаданных Adiantum. Перед этим убедитесь, что в fstab не указан параметр монтирования inlinecrypt . Если он указан, удалите его, так как он не нужен для шифрования Adiantum и вызывает проблемы с производительностью в сочетании с blk-crypto-fallback.num_keyslots=1 .
Чтобы убедиться, что ваша реализация работает, создайте отчет об ошибке или выполните:
adb rootadb shell dmesg
Если Adiantum включен правильно, в журнале ядра вы должны увидеть следующее:
fscrypt: Adiantum using implementation "adiantum(xchacha12-neon,aes-arm,nhpoly1305-neon)"
Если вы включили шифрование метаданных, также выполните следующее, чтобы проверить, что шифрование метаданных Adiantum включено правильно:
adb rootadb shell dmctl table userdata
Третье поле вывода должно быть xchacha12,aes-adiantum-plain64 .
Устройства с полным шифрованием диска
Чтобы включить Adiantum и улучшить его производительность, задайте следующие свойства в PRODUCT_PROPERTY_OVERRIDES :
ro.crypto.fde_algorithm=adiantum ro.crypto.fde_sector_size=4096
Установка fde_sector_size равным 4096 повышает производительность, но не является обязательным для работы Adiantum. Для использования этого параметра раздел пользовательских данных должен начинаться с выровненного смещения 4096 байт на диске.
В fstab для набора пользовательских данных:
forceencrypt=footer
Чтобы убедиться, что ваша реализация работает, создайте отчет об ошибке или выполните:
adb rootadb shell dmesg
Если Adiantum включен правильно, в журнале ядра вы должны увидеть следующее:
device-mapper: crypt: adiantum(xchacha12,aes) using implementation "adiantum(xchacha12-neon,aes-arm,nhpoly1305-neon)"