Festplattenverschlüsselung

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Bei der Festplattenvollverschlüsselung werden alle Nutzerdaten auf einem Android-Gerät mit einem verschlüsselten Schlüssel codiert. Sobald ein Gerät verschlüsselt ist, werden alle vom Nutzer erstellten Daten automatisch verschlüsselt, bevor sie auf die Festplatte geschrieben werden. Bei allen Lesevorgängen werden die Daten automatisch entschlüsselt, bevor sie an den aufrufenden Prozess zurückgegeben werden.

Die Datenträgervollverschlüsselung wurde in Android 4.4 eingeführt, Android 5.0 jedoch. diese neuen Funktionen:

• Es wurde eine schnelle Verschlüsselung erstellt, bei der nur verwendete Blöcke auf der Datenpartition verschlüsselt werden, um zu vermeiden, dass der erste Start lange dauert. Derzeit wird die schnelle Verschlüsselung nur von ext4- und f2fs-Dateisystemen unterstützt.
• Das forceencrypt-Fstab-Flag wurde hinzugefügt, um beim ersten Start zu verschlüsseln.
• Unterstützung für Muster und Verschlüsselung ohne Passwort hinzugefügt.
• Hardwaregestützter Speicher des Verschlüsselungsschlüssels mithilfe der Signaturfunktion der Trusted Execution Environment (TEE) hinzugefügt (z. B. in einer TrustZone). Weitere Informationen finden Sie unter Verschlüsselten Schlüssel speichern.

Achtung: Geräte, die auf Android 5.0 aktualisiert und dann verschlüsselt wurden, können durch Zurücksetzen auf die Werkseinstellungen wieder in den unverschlüsselten Zustand versetzt werden. Android 5.0 neu Geräte, die beim ersten Start verschlüsselt wurden, können nicht in einen unverschlüsselten Zustand zurückversetzt werden.

So funktioniert die Android-Vollverschlüsselungsverschlüsselung

Die Android-Volllaufwerkverschlüsselung basiert auf dm-crypt, einem Kernel die auf Blockgeräteebene eingesetzt wird. Aus funktioniert die Verschlüsselung mit Embedded MultiMediaCard (eMMC) und ähnliche Flash-Geräte, die sich dem Kernel als Block Geräte. Mit YAFFS ist keine Verschlüsselung möglich, da es direkt mit einem Roh-NAND-Flash-Chip kommuniziert.

Der Verschlüsselungsalgorithmus ist 128 Advanced Encryption Standard (AES) mit Cipher-Block Chaining (CBC) und ESSIV:SHA256. Der Masterschlüssel wird über Aufrufe der OpenSSL-Bibliothek mit 128-Bit-AES verschlüsselt. Sie müssen mindestens 128 Bit für den Schlüssel hinzu (wobei 256 optional ist).

Hinweis:OEMs können 128-Bit oder höher verwenden, um den Masterschlüssel zu verschlüsseln.

In der Android 5.0-Version gibt es vier Arten von Verschlüsselungsstatus:

• Standard
• PIN
• Passwort
• Muster

Beim ersten Start erstellt das Gerät einen zufällig generierten 128-Bit-Masterschlüssel. und es wird mit einem Standardpasswort und einem gespeicherten Salt versehen. Das Standardpasswort lautet „default_password“. Der resultierende Hash wird jedoch auch über eine TEE (z. B. TrustZone) signiert, die den Masterschlüssel mit einem Hash der Signatur verschlüsselt.

Das Standardpasswort finden Sie in der Datei cryptfs.cpp des Android Open Source Project.

Wenn der Nutzer die PIN, den Passcode oder das Passwort auf dem Gerät festlegt, wird nur der 128-Bit-Schlüssel neu verschlüsselt und gespeichert. (d. h. Änderungen an PIN, Pass/Muster führen NICHT zu Neuverschlüsselung von Nutzerdaten.) Beachten Sie, dass verwaltetes Gerät unterliegen möglicherweise PIN-, Muster- oder Passwortbeschränkungen.

Die Verschlüsselung wird von init und vold verwaltet. init ruft vold auf und vold legt Eigenschaften fest, um Ereignisse in init auszulösen. Andere Teile des Systems rufen die Properties ebenfalls auf, um Aufgaben wie den Berichtsstatus zu prüfen, ein Passwort anzufordern oder im Falle eines schwerwiegenden Fehlers zum Zurücksetzen auf die Werkseinstellungen aufzufordern. Zum Aufrufen von Verschlüsselungsfunktionen in vold verwendet das System die cryptfs-Befehle des Befehlszeilentools vdc: checkpw, restart, enablecrypto, changepw, cryptocomplete, verifypw, setfield, getfield, mountdefaultencrypted, getpwtype, getpw und clearpw.

Zum Verschlüsseln, Entschlüsseln oder Löschen von /data, /data darf nicht montiert werden. Damit jedoch eine Benutzeroberfläche angezeigt werden kann, muss das Framework gestartet werden. Dafür ist /data erforderlich. Um dieses Problem zu lösen, wird ein temporäres Dateisystem unter /data bereitgestellt. So kann Android nach Passwörtern fragen, den Fortschritt anzeigen oder bei Bedarf eine Datenlöschung vorschlagen. Es gibt jedoch die Einschränkung, dass zum Wechseln vom temporären Dateisystem zum echten /data-Dateisystem alle Prozesse mit geöffneten Dateien im temporären Dateisystem angehalten und im echten /data-Dateisystem neu gestartet werden müssen. Dazu müssen alle Dienste muss einer von drei Gruppen angehören: core, main und late_start

• core: Wird nach dem Start nie heruntergefahren.
• main: Nach Eingabe des Laufwerkpassworts herunterfahren und dann neu starten.
• late_start: startet erst, nachdem /data entschlüsselt und bereitgestellt wurde.

Um diese Aktionen auszulösen, wird die Property vold.decrypt auf verschiedene Strings festgelegt. So beenden und starten Sie Dienste mit init:

• class_reset: Beendet einen Dienst, lässt ihn aber mit class_start neu starten.
• class_start: Startet einen Dienst neu.
• class_stop: Beendet einen Dienst und fügt das Flag SVC_DISABLED hinzu. Gestoppte Dienste reagieren nicht auf class_start.

Abläufe

Für ein verschlüsseltes Gerät gibt es vier Abläufe. Ein Gerät wird nur einmal verschlüsselt und durchläuft dann einen normalen Bootvorgang.

• So verschlüsseln Sie ein zuvor unverschlüsseltes Gerät:
  • Verschlüsseln Sie ein neues Gerät mit forceencrypt: Verschlüsselung beim ersten Start obligatorisch (ab Android L).
  • Vorhandenes Gerät verschlüsseln: Vom Nutzer initiierte Verschlüsselung (Android K und darunter)
• Verschlüsseltes Gerät starten:
  • Verschlüsseltes Gerät ohne Passwort starten: Starten eines verschlüsselten Geräts, für das kein Passwort festgelegt wurde (relevant für Geräte mit Android 5.0 und höher).
  • Verschlüsseltes Gerät mit einem Passwort starten: Ein verschlüsseltes Gerät starten, das ein Passwort festgelegt hat.

Zusätzlich zu diesen Datenflüssen kann das Gerät auch /data nicht verschlüsseln. Jeder dieser Abläufe wird unten ausführlich erläutert.

Neues Gerät mit „forceencrypt“ verschlüsseln

Dies ist der normale erste Startvorgang für ein Gerät mit Android 5.0.

1. Unverschlüsseltes Dateisystem mit dem Flag forceencrypt erkennen

   /data ist nicht verschlüsselt, dies ist jedoch erforderlich, weil forceencrypt dies vorschreibt. Trennen Sie /data.

2. Verschlüsselung starten /data

   vold.decrypt = "trigger_encryption" löst init.rc aus Dadurch verschlüsselt vold /data ohne Passwort. (Es ist keine festgelegt, da es sich um ein neues Gerät handeln sollte.)

3. tmpfs bereitstellen

   vold stellt ein tmpfs-/data bereit (mit den tmpfs-Optionen aus ro.crypto.tmpfs_options) und setzt das Attribut vold.encrypt_progress auf 0. vold bereitet den tmpfs-/data für den Start eines verschlüsselten Systems vor und legt den Property vold.decrypt nach: trigger_restart_min_framework

4. Nennen Sie das Framework, um den Fortschritt zu zeigen.

   Da auf dem Gerät praktisch keine Daten zu verschlüsseln sind, wird die Fortschrittsanzeige nicht erscheinen häufig, weil die Verschlüsselung so schnell erfolgt. Weitere Informationen finden Sie unter Vorhandenes Gerät verschlüsseln, um weitere Details zur Fortschritts-UI.

5. Wenn /data verschlüsselt ist, Framework entfernen

   vold setzt vold.decrypt auf trigger_default_encryption, wodurch der Dienst defaultcrypto gestartet wird. Dadurch wird der unten beschriebene Ablauf zum Bereitstellen der standardmäßig verschlüsselten Nutzerdaten gestartet. trigger_default_encryption prüft die Verschlüsselungstyp, um festzustellen, ob /data mit oder ohne Passwort. Da Android 5.0-Geräte beim ersten Start verschlüsselt werden, kein Passwort festgelegt sein; deshalb wird /data entschlüsselt und bereitgestellt.

6. Mount /data

   init stellt dann /data auf einer tmpfs-RAMDisk mit werden vom festgelegten ro.crypto.tmpfs_options abgerufen. in init.rc

7. Framework starten

   vold setzt vold.decrypt auf trigger_restart_framework, wodurch der normale Bootvorgang fortgesetzt wird.

Vorhandenes Gerät verschlüsseln

Das passiert, wenn Sie ein unverschlüsseltes Android K- oder älteres Gerät verschlüsseln, das zu L migriert wurde.

Dieser Vorgang wird vom Nutzer initiiert und im Code als „In-Place-Verschlüsselung“ bezeichnet. Wenn ein Nutzer ein Gerät verschlüsseln möchte, wird auf der Benutzeroberfläche geprüft, ob der Akku vollständig geladen und das Netzteil angeschlossen ist, damit genügend Strom für die Verschlüsselung zur Verfügung steht.

Warnung:Wenn der Akku leer ist und das Gerät heruntergefahren wird, bevor der Vorgang abgeschlossen ist sind die Dateidaten nur teilweise verschlüsselt. Das Gerät muss werden auf die Werkseinstellungen zurückgesetzt und alle Daten gehen verloren.

Um die Vor-Ort-Verschlüsselung zu aktivieren, startet vold eine Schleife, um jeden Sektor des physischen Blockgeräts zu lesen und dann auf das Krypto-Blockgerät zu schreiben. vold prüft, ob sich ein Sektor befindet bevor Sie sie lesen und schreiben. auf einem neuen Gerät mit wenigen oder gar keinen Daten zu verschlüsseln.

Gerätestatus: ro.crypto.state = "unencrypted" festlegen und führen Sie den on nonencrypted-init-Trigger aus, um den Bootvorgang fortzusetzen.

1. Passwort prüfen

   Die Benutzeroberfläche ruft vold mit dem Befehl cryptfs enablecrypto inplace auf, wobei passwd das Passwort für den Sperrbildschirm des Nutzers ist.

2. Framework entfernen

   vold prüft auf Fehler, gibt -1 zurück, wenn die Verschlüsselung nicht möglich ist, und druckt einen Grund in das Protokoll. Wenn eine Verschlüsselung möglich ist, wird die Property vold.decrypt auf trigger_shutdown_framework festgelegt. Dadurch werden von init.rc die Dienste in den Klassen late_start und main angehalten.

3. Crypto-Fußzeile erstellen
4. Brotkrummendatei erstellen
5. Neu starten
6. Navigationspfaddatei erkennen
7. Verschlüsselung starten /data

   vold richtet dann die kryptografische Zuordnung ein, die ein virtuelles Krypto-Blockgerät erstellt. das auf das tatsächliche Blockgerät verweist, jedoch jeden Sektor verschlüsselt, während er geschrieben wird. und entschlüsselt jeden Sektor beim Lesen. vold erstellt dann die Krypto-Metadaten und schreibt sie aus.

8. Tmpfs während der Verschlüsselung bereitstellen

   vold stellt tmpfs-/data mit den tmpfs-Optionen bereit aus ro.crypto.tmpfs_options) und legt die Eigenschaft fest, vold.encrypt_progress auf 0 gesetzt. vold bereitet das tmpfs-/data für das Starten eines verschlüsselten Systems vor und legt die Eigenschaft vold.decrypt auf Folgendes fest: trigger_restart_min_framework

9. Framework aufrufen, um den Fortschritt anzuzeigen

   trigger_restart_min_framework bewirkt, dass init.rc die Dienstklasse main startet. Wenn das Framework feststellt, dass vold.encrypt_progress auf „0“ gesetzt ist, wird die Benutzeroberfläche mit der Fortschrittsanzeige angezeigt. Dabei wird diese Eigenschaft alle fünf Sekunden abgefragt und die Fortschrittsanzeige aktualisiert. Die Verschlüsselungsschleife aktualisiert vold.encrypt_progress jedes Mal, wenn ein weiteres Prozent der Partition verschlüsselt wird.

10. Wenn /data verschlüsselt ist, aktualisiere die Krypto-Fußzeile.

    Wenn /data erfolgreich verschlüsselt wurde, werden die Daten von vold gelöscht. das Flag ENCRYPTION_IN_PROGRESS in den Metadaten.

    Wenn das Gerät entsperrt wurde, wird das Passwort für folgende Zwecke verwendet: um den Masterschlüssel zu verschlüsseln und die Krypto-Fußzeile zu aktualisieren.

    Wenn der Neustart aus irgendeinem Grund fehlschlägt, setzt vold die Eigenschaft vold.encrypt_progress auf error_reboot_failed und auf der Benutzeroberfläche wird eine Meldung angezeigt, in der der Nutzer aufgefordert wird, eine Schaltfläche zum Neustarten zu drücken. Das wird nie passieren.

Verschlüsseltes Gerät mit Standardverschlüsselung starten

Das passiert, wenn Sie ein verschlüsseltes Gerät ohne Passwort starten. Da Android 5.0-Geräte beim ersten Start verschlüsselt werden, sollte kein Passwort festgelegt sein. Dies ist der Standardverschlüsselungsstatus.

1. Verschlüsselte /data ohne Passwort erkennen

   Erkennen, dass das Android-Gerät verschlüsselt ist, weil /data nicht bereitgestellt werden kann und eines der Flags encryptable oder forceencrypt gesetzt ist.

   vold setzt vold.decrypt auf trigger_default_encryption, wodurch der Dienst defaultcrypto gestartet wird. trigger_default_encryptionprüft den Verschlüsselungstyp, um festzustellen, ob /data mit oder ohne Passwort verschlüsselt ist.

2. /data entschlüsseln

   Das Gerät „dm-crypt“ wird über dem blockorientierten Gerät erstellt, sodass das Gerät ist einsatzbereit.

3. /data bereitstellen

   vold mountet dann die entschlüsselte echte /data-Partition und bereitet die neue Partition vor. Dabei wird das Attribut vold.post_fs_data_done auf 0 und dann vold.decrypt auf trigger_post_fs_data gesetzt. Dadurch führt init.rc seine post-fs-data-Befehle aus. Er erstellt alle erforderlichen Verzeichnisse oder Links und legt dann vold.post_fs_data_done auf 1 fest.

   Sobald vold die 1 in dieser Property sieht, setzt es die Property vold.decrypt auf: trigger_restart_framework.. Dadurch startet init.rc die Dienste in der Klasse main noch einmal und auch die Dienste in der Klasse late_start zum ersten Mal seit dem Start.

4. Framework starten

   Jetzt startet das Framework alle seine Dienste mit dem entschlüsselten /data und das System ist einsatzbereit.

Verschlüsseltes Gerät ohne Standardverschlüsselung starten

Das geschieht, wenn Sie ein verschlüsseltes Gerät starten, Passwort. Das Passwort des Geräts kann eine PIN, ein Muster oder ein Passwort sein.

1. Verschlüsseltes Gerät mit einem Passwort erkennen

   Erkennen, dass das Android-Gerät verschlüsselt ist, weil das Flag ro.crypto.state = "encrypted"

   vold legt vold.decrypt fest auf trigger_restart_min_framework, weil /data gleich mit einem Passwort verschlüsselt.

2. Tmpfs bereitstellen

   init legt fünf Eigenschaften fest, um die anfänglichen Bereitstellungsoptionen für /data mit Parametern aus init.rc zu speichern. vold verwendet diese Attribute, um die kryptografische Zuordnung einzurichten:

   1. ro.crypto.fs_type
   2. ro.crypto.fs_real_blkdev
   3. ro.crypto.fs_mnt_point
   4. ro.crypto.fs_options
   5. ro.crypto.fs_flags (8-stellige ASCII-Hexadezimalzahl mit vorangestelltem 0x)
3. Framework starten, um nach dem Passwort zu fragen

   Das Framework wird gestartet und erkennt, dass vold.decrypt auf trigger_restart_min_framework festgelegt ist. Dies teilt dem Framework mit, dass es von einem tmpfs-/data-Laufwerk gestartet wird und das Nutzerpasswort abrufen muss.

   Zuerst muss jedoch sichergestellt werden, dass das Laufwerk ordnungsgemäß verschlüsselt wurde. Er sendet den Befehl cryptfs cryptocomplete an vold. vold gibt 0 zurück, wenn die Verschlüsselung erfolgreich abgeschlossen wurde, -1 bei einem internen Fehler oder -2, wenn die Verschlüsselung nicht erfolgreich abgeschlossen wurde. vold ermittelt dies, indem es in den Krypto-Metadaten nach dem Flag CRYPTO_ENCRYPTION_IN_PROGRESS sucht. Wenn diese Option festgelegt ist, wurde der Verschlüsselungsprozess unterbrochen und es sind keine verwendbaren Daten auf dem Gerät vorhanden. Wenn vold einen Fehler zurückgibt, sollte die UI dem Nutzer eine Nachricht anzuzeigen, dass er das Gerät neu startet und auf die Werkseinstellungen zurücksetzt Nutzende eine Schaltfläche, um dies zu tun.

4. Daten mit Passwort entschlüsseln

   Wenn cryptfs cryptocomplete erfolgreich war, zeigt das Framework eine Benutzeroberfläche an, in der Sie nach dem Laufwerkpasswort gefragt werden. Die Benutzeroberfläche prüft das Passwort, indem der Befehl cryptfs checkpw an vold gesendet wird. Wenn die ist das richtige Passwort. Dies wird ermittelt, indem das /data an einem temporären Speicherort entschlüsselt und die Bereitstellung dann aufgehoben hat, vold speichert den Namen des entschlüsselten Blockgeräts in der Property ro.crypto.fs_crypto_blkdev und gibt den Status 0 an die UI zurück. Wenn das Passwort falsch ist, wird -1 an die Benutzeroberfläche zurückgegeben.

5. Stopp-Framework

   Die Benutzeroberfläche zeigt eine Krypto-Bootgrafik an und ruft dann vold mit dem Befehl cryptfs restart auf. vold legt das Attribut fest. vold.decrypt bis trigger_reset_main, was dazu führt, init.rc, um class_reset main zu machen. Dadurch werden alle Dienste in der Hauptklasse angehalten, sodass das tmpfs-Volume /data getrennt werden kann.

6. Montage /data

   vold stellt dann die entschlüsselte echte /data-Partition bereit. und bereitet die neue Partition vor (die möglicherweise nie vorbereitet worden ist, mit der Option zum Löschen verschlüsselt, die nicht unterstützt wird Release). Dabei wird das Attribut vold.post_fs_data_done auf 0 und dann vold.decrypt auf trigger_post_fs_data gesetzt. Das führt dazu, init.rc, um die post-fs-data-Befehle auszuführen. Er erstellt alle erforderlichen Verzeichnisse oder Links und legt dann vold.post_fs_data_done auf 1 fest. Wenn vold die 1 in dieser Property sieht, wird die Property vold.decrypt auf trigger_restart_framework festgelegt. Dadurch startet init.rc die Dienste in der Klasse main noch einmal und auch die Dienste in der Klasse late_start zum ersten Mal seit dem Start.

7. Vollständiges Framework starten

   Das Framework startet jetzt alle Dienste mit der entschlüsselten /data und das System ist einsatzbereit.

Fehler

Ein Gerät, das sich nicht entschlüsseln lässt, kann aus verschiedenen Gründen unpassend sein. Das Gerät mit der normalen Reihe von Schritten zum Starten beginnt:

1. Verschlüsseltes Gerät mit Passwort erkennen
2. tmpfs bereitstellen
3. Framework starten, um nach Passwort zu fragen

Nach dem Öffnen des Frameworks können jedoch auf dem Gerät Fehler auftreten:

• Passwort stimmt überein, Daten können jedoch nicht entschlüsselt werden
• Der Nutzer gibt 30 Mal das falsche Passwort ein

Wenn diese Fehler nicht behoben werden, bitten Sie den Nutzer, die Gerätedaten auf die Werkseinstellungen zu löschen:

Wenn vold während der Verschlüsselung einen Fehler erkennt und wenn Es wurden noch keine Daten gelöscht und das Framework ist eingerichtet. vold legt fest. die Eigenschaft vold.encrypt_progress auf error_not_encrypted. Die Benutzeroberfläche fordert den Nutzer zum Neustart auf und benachrichtigt ihn über den Verschlüsselungsprozess nicht gestartet. Wenn der Fehler auftritt, nachdem das Framework entfernt wurde, aber bevor die Fortschrittsanzeige angezeigt wird, startet vold das System neu. Wenn schlägt der Neustart fehl, wird vold.encrypt_progress auf error_shutting_down und gibt -1 zurück. aber es wird nichts um den Fehler zu erkennen. Das wird nicht erwartet.

Wenn vold während der Verschlüsselung einen Fehler erkennt, legt sie fest, vold.encrypt_progress bis error_partially_encrypted und gibt -1 zurück. Auf der Benutzeroberfläche sollte dann eine Meldung angezeigt werden, dass die Verschlüsselung fehlgeschlagen ist, und eine Schaltfläche, über die der Nutzer das Gerät auf die Werkseinstellungen zurücksetzen kann.

Verschlüsselten Schlüssel speichern

Der verschlüsselte Schlüssel wird in den kryptografischen Metadaten gespeichert. Die Hardwareunterstützung wird mithilfe der Signaturfunktion der Trusted Execution Environment (TEE) implementiert. Bisher haben wir den Masterschlüssel mit einem Schlüssel verschlüsselt, der durch Anwendung von Scrypt auf das Passwort des Nutzers und das gespeicherte Salt generiert wurde. Um den Schlüssel robust zu machen, wird dieser Algorithmus durch Signieren des resultierenden Schlüssels mit einem gespeicherten TEE-Schlüssel. Die resultierende Signatur wird dann durch eine weitere Anwendung von scrypt in einen Schlüssel mit geeigneter Länge umgewandelt. Dieser Schlüssel wird dann zum Verschlüsseln und Entschlüsseln des Masterschlüssels verwendet. So speichern Sie diesen Schlüssel:

1. Generieren Sie zufälligen 16-Byte-DEK (Disk Encryption Key) und 16-Byte-Salt.
2. Wende Scrypt auf das Nutzerpasswort und das Salt an, um den 32-Byte-Zwischenschlüssel 1 (IK1) zu generieren.
3. Auffüllen von IK1 mit null Byte zur Größe des hardwaregebundenen privaten Schlüssels (HBK). Insbesondere eintragen wir: 00 || IK1 || 00..00; Ein Nullbyte, 32 IK1-Byte, 223 Null Bytes.
4. Vorzeichen aufgefüllt IK1 mit HBK, um 256 Byte IK2 zu erzeugen.
5. Wenden Sie Scrypt auf IK2 und Salt an (gleiches Salt wie in Schritt 2), um 32-Byte-IK3 zu erzeugen.
6. Verwenden Sie die ersten 16 Byte von IK3 als KEK und die letzten 16 Byte als IV.
7. Verschlüsseln Sie den DEK mit AES_CBC, dem Schlüssel KEK und dem Initialisierungsvektor IV.

Passwort ändern

Wenn ein Nutzer in den Einstellungen sein Passwort ändern oder entfernen möchte, sendet die Benutzeroberfläche den Befehl cryptfs changepw an vold. vold verschlüsselt dann den Masterschlüssel des Laufwerks noch einmal mit dem neuen Passwort.

Verschlüsselungseigenschaften

vold und init kommunizieren miteinander über Eigenschaften festlegen. Hier ist eine Liste der verfügbaren Properties für die Verschlüsselung.

Vold-Properties

Init-Properties

init-Aktionen

on post-fs-data
on nonencrypted
on property:vold.decrypt=trigger_reset_main
on property:vold.decrypt=trigger_post_fs_data
on property:vold.decrypt=trigger_restart_min_framework
on property:vold.decrypt=trigger_restart_framework
on property:vold.decrypt=trigger_shutdown_framework
on property:vold.decrypt=trigger_encryption
on property:vold.decrypt=trigger_default_encryption