Adiantum ist eine Verschlüsselungsmethode für Geräte mit Android 9 und höher, deren CPUs keine AES-Anweisungen haben. Wenn Sie ein ARM-basiertes Gerät mit ARMv8-Kryptografieerweiterungen oder ein x86-basiertes Gerät mit AES-NI ausliefern, sollten Sie keinesfalls Adiantum verwenden. AES ist hier schneller. Plattformen.
Für Geräte ohne diese AES-CPU-Anweisungen bietet Adiantum Verschlüsselung auf mit sehr geringem Leistungsaufwand. Für Benchmarking-Zahlen Weitere Informationen finden Sie im Adiantum-Artikel. Für die Benchmarking-Quelle die auf Ihrer Hardware ausgeführt werden soll, Adiantum-Quelle auf GitHub
Wenn Sie Adiantum auf einem Gerät mit Android 9 oder höher aktivieren möchten, müssen Sie Änderungen am Kernel und am Userspace vornehmen.
Kernel-Änderungen
Adiantum wird von den gängigen Android-Kerneln Version 4.9 und höher unterstützt.
Wenn der Kernel Ihres Geräts noch keine Adiantum-Unterstützung hat, können Sie die unten aufgeführten Änderungen auswählen. Wenn Sie Probleme beim Auswählen von Geräten haben, können Sie den fscrypt: -Patch für Geräte mit Datenträgervollverschlüsselung (Full Disk Encryption, FDE) ausschließen.
| Kernel-Version | Crypto- und fscrypt-Patches | dm-crypt-Patch |
|---|---|---|
| 4.19 | Kernel 4.19 | dm-crypt-Patch
|
| 4.14 | 4.14-Kernel | dm-crypt-Patch
|
| 4,9 | 4.9-Kernel | dm-crypt-Patch
|
Adiantum in Ihrem Kernel aktivieren
Android 11 und höher
Wenn auf deinem Gerät Android 11 oder höher installiert ist, Aktivieren Sie die folgenden Einstellungen in der Kernel-Konfiguration Ihres Geräts:
CONFIG_CRYPTO_ADIANTUM=y CONFIG_FS_ENCRYPTION=y CONFIG_BLK_INLINE_ENCRYPTION=y CONFIG_BLK_INLINE_ENCRYPTION_FALLBACK=y CONFIG_FS_ENCRYPTION_INLINE_CRYPT=y CONFIG_DM_DEFAULT_KEY=y
Wenn auf Ihrem Gerät ein 32-Bit-ARM-Kernel ausgeführt wird, aktivieren Sie auch die NEON-Anweisungen, um Leistung verbessern:
CONFIG_KERNEL_MODE_NEON=y CONFIG_CRYPTO_AES_ARM=y CONFIG_CRYPTO_CHACHA20_NEON=y CONFIG_CRYPTO_NHPOLY1305_NEON=y
Android 9 und 10
Wenn Ihr Gerät mit Android 9 oder 10, dann eine etwas andere Kernel-Konfiguration Einstellungen erforderlich. Aktivieren Sie die folgenden Einstellungen:
CONFIG_CRYPTO_ADIANTUM=y CONFIG_DM_CRYPT=y
Wenn auf Ihrem Gerät die dateibasierte Verschlüsselung verwendet wird, aktivieren Sie auch Folgendes:
CONFIG_F2FS_FS_ENCRYPTION=y
Wenn Ihr Gerät einen 32-Bit-ARM-Kernel ausführt, aktivieren Sie die NEON-Anweisungen, um Leistung verbessern:
CONFIG_KERNEL_MODE_NEON=y CONFIG_CRYPTO_AES_ARM=y CONFIG_CRYPTO_CHACHA20_NEON=y CONFIG_CRYPTO_NHPOLY1305_NEON=y
Änderungen im Userspace
Auf Geräten mit Android 10 oder höher sind die Adiantum-Änderungen im Userspace bereits vorhanden.
Wählen Sie für Geräte mit Android 9 folgende Änderungen:
- Cryptfs: Adiantum-Unterstützung hinzufügen
- cryptfs: Einstellung der dm-crypt-Sektorgröße zulassen
- cryptfs: dm-crypt-Gerätegröße auf die Grenze des Kryptosektors herunterrunden
- Cryptfs: Verbessertes Logging der Erstellung von dm-Crypt-Geräten
- libfscrypt: Adiantum-Unterstützung hinzufügen
- fs_mgr_fstab: Adiantum-Unterstützung hinzufügen
Adiantum auf Ihrem Gerät aktivieren
Prüfen Sie zuerst, ob PRODUCT_SHIPPING_API_LEVEL auf Ihrem Gerät richtig für die Android-Version festgelegt ist, mit der es gestartet wird. Beispiel:
Geräte, die mit Android 11 auf den Markt gebracht werden,
PRODUCT_SHIPPING_API_LEVEL := 30 Das ist wichtig, weil einige
haben die Verschlüsselungseinstellungen je nach Startversion unterschiedliche Standardeinstellungen.
Geräte mit dateibasierter Verschlüsselung
Um die dateibasierte Verschlüsselung von Adiantum im internen Speicher Ihres Geräts zu aktivieren, fügen Sie
die folgende Option in die letzte Spalte (fs_mgr_flags
Spalte) der Zeile für die Partition userdata im
fstab-Datei:
fileencryption=adiantum
Wenn Ihr Gerät mit Android 11 oder höher auf den Markt gebracht wird, muss außerdem die Verschlüsselung von Metadaten aktiviert werden. Wenn Sie Adiantum für die Metadatenverschlüsselung im internen Speicher verwenden möchten, müssen die fs_mgr_flags für userdata auch die folgenden Optionen enthalten:
metadata_encryption=adiantum,keydirectory=/metadata/vold/metadata_encryption
Aktivieren Sie als Nächstes die Adiantum-Verschlüsselung für den Adiantum-Speicher. Legen Sie dazu den Parameter
folgende Systemeigenschaften in PRODUCT_PROPERTY_OVERRIDES:
Ab Android 11:
ro.crypto.volume.options=adiantum ro.crypto.volume.metadata.encryption=adiantum
Für Android 9 und 10:
ro.crypto.volume.contents_mode=adiantum ro.crypto.volume.filenames_mode=adiantum ro.crypto.fde_algorithm=adiantum ro.crypto.fde_sector_size=4096
Fügen Sie abschließend optional blk-crypto-fallback.num_keyslots=1 zum
Kernel-Befehlszeile. Dadurch wird die Arbeitsspeichernutzung etwas reduziert,
Metadatenverschlüsselung verwendet wird. Prüfen Sie vorher, ob die Bereitstellungsoption inlinecrypt nicht in fstab angegeben ist.
Entfernen Sie sie, falls sie angegeben ist, da sie für die Adiantum-Verschlüsselung nicht erforderlich ist und in Kombination mit blk-crypto-fallback.num_keyslots=1 zu Leistungsproblemen führt.
Wenn Sie prüfen möchten, ob Ihre Implementierung funktioniert hat, erstellen Sie einen Fehlerbericht oder führen Sie Folgendes aus:
adb rootadb shell dmesg
Wenn Adiantum korrekt aktiviert ist, sollten Sie Folgendes im Kernel-Protokoll sehen:
fscrypt: Adiantum using implementation "adiantum(xchacha12-neon,aes-arm,nhpoly1305-neon)"
Wenn Sie die Metadatenverschlüsselung aktiviert haben, führen Sie auch den folgenden Befehl aus, um zu prüfen, ob die Adiantum-Metadatenverschlüsselung richtig aktiviert ist:
adb rootadb shell dmctl table userdata
Das dritte Feld der Ausgabe
xchacha12,aes-adiantum-plain64
Geräte mit Datenträgervollverschlüsselung
Um Adiantum zu aktivieren und die Leistung zu verbessern, legen Sie diese Eigenschaften in
PRODUCT_PROPERTY_OVERRIDES:
ro.crypto.fde_algorithm=adiantum ro.crypto.fde_sector_size=4096
Wenn Sie fde_sector_size auf 4096 festlegen, wird die Leistung verbessert. Dies ist jedoch nicht erforderlich, damit Adiantum funktioniert. Wenn Sie diese Einstellung verwenden möchten, muss die userdata-Partition auf dem Laufwerk an einem auf 4.096 Byte ausgerichteten Offset beginnen.
Legen Sie in der fstab für „userdata“ Folgendes fest:
forceencrypt=footer
Um zu prüfen, ob Ihre Implementierung funktioniert hat, erstellen Sie einen Fehlerbericht oder führen Sie Folgendes aus:
adb rootadb shell dmesg
Wenn Adiantum richtig aktiviert ist, sollte im Kernel-Log Folgendes angezeigt werden:
device-mapper: crypt: adiantum(xchacha12,aes) using implementation "adiantum(xchacha12-neon,aes-arm,nhpoly1305-neon)"