Adiantum to metoda szyfrowania przeznaczona dla urządzeń z Androidem 9 lub nowszym mających procesory AES. Jeśli wysyłasz urządzenie oparte na architekturze ARM urządzenia z rozszerzeniami kryptograficznymi ARMv8 lub urządzeniami z procesorami x86 i AES-NI, Nie należy korzystać z Adiantum. AES jest szybszy na tych platformach.
W przypadku urządzeń, które nie mają tych instrukcji dotyczących procesora AES, Adiantum zapewnia szyfrowanie z bardzo niewielkim spadkiem wydajności. Wartości porównawcze znajdziesz w publikacji Adiantum. W przypadku źródła testu porównawczego na swoim sprzęcie, zapoznaj się z Źródło Adiantum w GitHubie.
Aby włączyć Adiantum na urządzeniu z Androidem 9 lub nowszym, wprowadzania zmian w jądrze i przestrzeni użytkownika.
Zmiany jądra systemu
Adiantum jest obsługiwane przez wspólne jądro Androida w wersji 4.9 lub nowszej.
Jeśli jądro urządzenia nie obsługuje jeszcze Adiantum, wybierz
zmian wymienionych poniżej. Jeśli masz problem z wyborem funkcji, urządzenia korzystające z szyfrowania całego dysku (FDE) mogą wykluczyć
poprawki fscrypt: .
| Wersja jądra | Poprawki kryptograficzne i fscrypt | Poprawka dm-crypt |
|---|---|---|
| 4,19 | jądro 4.19, | Poprawka do dm-crypt
|
| 4,14 | Jądro 4.14 | dm-crypt poprawka
|
| 4.9 | Jądro 4.9 | dm-crypt poprawka
|
Włączanie Adiantum w jądrze
Android 11 lub nowszy
Jeśli masz urządzenie z Androidem 11 lub nowszym, włącz te ustawienia w konfiguracji jądra urządzenia:
CONFIG_CRYPTO_ADIANTUM=y CONFIG_FS_ENCRYPTION=y CONFIG_BLK_INLINE_ENCRYPTION=y CONFIG_BLK_INLINE_ENCRYPTION_FALLBACK=y CONFIG_FS_ENCRYPTION_INLINE_CRYPT=y CONFIG_DM_DEFAULT_KEY=y
Jeśli na urządzeniu jest 32-bitowe jądro ARM, włącz też instrukcje NEON, aby poprawić wydajność:
CONFIG_KERNEL_MODE_NEON=y CONFIG_CRYPTO_AES_ARM=y CONFIG_CRYPTO_CHACHA20_NEON=y CONFIG_CRYPTO_NHPOLY1305_NEON=y
Android 9 i 10
Jeśli urządzenie wprowadza na rynek z Androidem 9 lub 10, a potem nieco inną konfigurację jądra. potrzebne ustawienia. Włącz te ustawienia:
CONFIG_CRYPTO_ADIANTUM=y CONFIG_DM_CRYPT=y
Jeśli urządzenie korzysta z szyfrowania opartego na plikach, włącz też:
CONFIG_F2FS_FS_ENCRYPTION=y
Jeśli Twoje urządzenie korzysta z 32-bitowego jądra ARM, włącz instrukcje NEON, aby Popraw wydajność:
CONFIG_KERNEL_MODE_NEON=y CONFIG_CRYPTO_AES_ARM=y CONFIG_CRYPTO_CHACHA20_NEON=y CONFIG_CRYPTO_NHPOLY1305_NEON=y
Zmiany w przestrzeni użytkownika
W przypadku urządzeń z Androidem 10 lub nowszym obowiązują już zmiany w przestrzeni użytkownika Adiantum.
W przypadku urządzeń z Androidem 9 wybierz te zmiany:
- cryptfs: dodanie obsługi Adiantum
- cryptfs: zezwalaj na ustawienie rozmiaru sektora dm-crypt
- cryptfs: zaokrąglanie w dół rozmiaru urządzenia dm-crypt do granicy sektora kryptograficznego
- cryptfs: improve logging of dm-crypt device creation
- libfscrypt: dodanie obsługi Adiantum
- fs_mgr_fstab: Dodaj obsługę Adiantum
Włącz Adiantum na urządzeniu
Najpierw upewnij się, że na urządzeniu jest skonfigurowana PRODUCT_SHIPPING_API_LEVEL
tak, aby pasowały do wersji Androida, z którą wprowadza na rynek. Na przykład plik
na urządzeniach z Androidem 11 musi
PRODUCT_SHIPPING_API_LEVEL := 30 Jest to ważne, ponieważ niektóre ustawienia szyfrowania mają różne wartości domyślne w różnych wersjach.
Urządzenia z szyfrowaniem opartym na plikach
Aby włączyć szyfrowanie na poziomie plików Adiantum w pamięci wewnętrznej urządzenia, dodaj tę opcję do ostatniej kolumny (kolumna fs_mgr_flags) wiersza dla partycji userdata w pliku fstab urządzenia:
fileencryption=adiantum
Jeśli urządzenie jest uruchamiane z Androidem 11 lub nowszym, konieczne jest też włączenie szyfrowania metadanych. Używanie Adiantum do obsługi metadanych
w pamięci wewnętrznej, fs_mgr_flags dla
userdata musi też zawierać te opcje:
metadata_encryption=adiantum,keydirectory=/metadata/vold/metadata_encryption
Następnie włącz szyfrowanie Adiantum w pamięci adaptacyjnej. Aby to zrobić, ustaw w PRODUCT_PROPERTY_OVERRIDES te właściwości systemu:
Android 11 lub nowszy:
ro.crypto.volume.options=adiantum ro.crypto.volume.metadata.encryption=adiantum
Android 9 i 10:
ro.crypto.volume.contents_mode=adiantum ro.crypto.volume.filenames_mode=adiantum ro.crypto.fde_algorithm=adiantum ro.crypto.fde_sector_size=4096
Na koniec opcjonalnie dodaj blk-crypto-fallback.num_keyslots=1 do wiersza poleceń jądra. Zmniejsza to zużycie pamięci, gdy Adiantum
stosowane jest szyfrowanie metadanych. Zanim to zrobisz, sprawdź, czy opcja montażu inlinecrypt nie jest określona w fstab.
Jeśli jest określony, usuń go, ponieważ nie jest on potrzebny do szyfrowania Adiantum i powoduje problemy z wydajnością w połączeniu z blk-crypto-fallback.num_keyslots=1.
Aby sprawdzić, czy implementacja się powiodła, wygeneruj raport o błędzie lub uruchom:
adb rootadb shell dmesg
Jeśli usługa Adiantum jest włączona prawidłowo, w logu jądra powinna pojawić się taka informacja:
fscrypt: Adiantum using implementation "adiantum(xchacha12-neon,aes-arm,nhpoly1305-neon)"
Jeśli szyfrowanie metadanych zostało włączone, wykonaj też te czynności, aby sprawdzić, czy szyfrowanie metadanych Adiantum zostało prawidłowo włączone:
adb rootadb shell dmctl table userdata
Trzecie pole danych wyjściowych powinno być xchacha12,aes-adiantum-plain64.
Urządzenia z pełnym szyfrowaniem dysku
Aby włączyć Adiantum i poprawić jego skuteczność, ustaw te właściwości w polu PRODUCT_PROPERTY_OVERRIDES:
ro.crypto.fde_algorithm=adiantum ro.crypto.fde_sector_size=4096
Ustawienie fde_sector_size na 4096 zwiększa wydajność, ale nie
wymagane do działania Adiantum. Aby można było korzystać z tego ustawienia, partycja danych użytkownika musi
zaczynają się od wyrównanego 4096 bajtów przesunięcia na dysku.
Polecenie fstab dla zbioru danych użytkownika:
forceencrypt=footer
Aby sprawdzić, czy implementacja się powiodła, wygeneruj raport o błędzie lub uruchom:
adb rootadb shell dmesg
Jeśli usługa Adiantum jest włączona prawidłowo, w logu jądra powinna pojawić się taka informacja:
device-mapper: crypt: adiantum(xchacha12,aes) using implementation "adiantum(xchacha12-neon,aes-arm,nhpoly1305-neon)"