Cifrado de disco completo

El cifrado de disco completo es el proceso de codificar todos los datos del usuario en un dispositivo Android mediante una clave cifrada. Una vez que se cifra un dispositivo, todos los datos creados por el usuario se cifran automáticamente antes de enviarlos al disco y todas las lecturas descifran los datos automáticamente antes de devolverlos al proceso de llamada.

El cifrado de disco completo se introdujo en Android 4.4, pero Android 5.0 introdujo estas nuevas características:

  • Se creó un cifrado rápido, que solo cifra los bloques usados ​​en la partición de datos para evitar que el primer arranque demore mucho tiempo. Actualmente, sólo los sistemas de archivos ext4 y f2fs admiten cifrado rápido.
  • Se agregó el indicador fstab forceencrypt para cifrar en el primer arranque.
  • Se agregó soporte para patrones y cifrado sin contraseña.
  • Se agregó almacenamiento respaldado por hardware de la clave de cifrado utilizando la capacidad de firma de Trusted Execution Environment (TEE) (como en TrustZone). Consulte Almacenamiento de la clave cifrada para obtener más detalles.

Precaución: Los dispositivos actualizados a Android 5.0 y luego cifrados pueden volver a un estado no cifrado mediante el restablecimiento de los datos de fábrica. Los nuevos dispositivos Android 5.0 cifrados en el primer arranque no pueden devolverse a un estado no cifrado.

Cómo funciona el cifrado de disco completo de Android

El cifrado de disco completo de Android se basa en dm-crypt , que es una característica del kernel que funciona en la capa del dispositivo de bloque. Debido a esto, el cifrado funciona con Embedded MultiMediaCard ( eMMC) y dispositivos flash similares que se presentan al kernel como dispositivos de bloque. El cifrado no es posible con YAFFS, que se comunica directamente con un chip flash NAND sin formato.

El algoritmo de cifrado es 128 Estándar de cifrado avanzado (AES) con encadenamiento de bloques de cifrado (CBC) y ESSIV:SHA256. La clave maestra se cifra con AES de 128 bits mediante llamadas a la biblioteca OpenSSL. Debe utilizar 128 bits o más para la clave (siendo 256 opcional).

Nota: Los OEM pueden utilizar 128 bits o superior para cifrar la clave maestra.

En la versión Android 5.0, existen cuatro tipos de estados de cifrado:

  • por defecto
  • ALFILER
  • contraseña
  • patrón

En el primer arranque, el dispositivo crea una clave maestra de 128 bits generada aleatoriamente y luego la codifica con una contraseña predeterminada y sal almacenada. La contraseña predeterminada es: "default_password". Sin embargo, el hash resultante también se firma a través de un TEE (como TrustZone), que utiliza un hash de la firma para cifrar la clave maestra.

Puede encontrar la contraseña predeterminada definida en el archivo cryptfs.cpp del proyecto de código abierto de Android.

Cuando el usuario establece el PIN/contraseña o contraseña en el dispositivo, solo se vuelve a cifrar y almacena la clave de 128 bits. (es decir, los cambios de PIN/contraseña/patrón de usuario NO provocan el nuevo cifrado de los datos del usuario). Tenga en cuenta que el dispositivo administrado puede estar sujeto a restricciones de PIN, patrón o contraseña.

El cifrado lo gestionan init y vold . init llama a vold y vold establece propiedades para desencadenar eventos en init. Otras partes del sistema también analizan las propiedades para realizar tareas como informar el estado, solicitar una contraseña o solicitar un restablecimiento de fábrica en caso de un error fatal. Para invocar funciones de cifrado en vold , el sistema utiliza los comandos cryptfs de la herramienta de línea de comandos vdc : checkpw , restart , enablecrypto , changepw , cryptocomplete , verifypw , setfield , getfield , mountdefaultencrypted , getpwtype , getpw y clearpw .

Para cifrar, descifrar o borrar /data , no se debe montar /data . Sin embargo, para mostrar cualquier interfaz de usuario (UI), el marco debe iniciarse y requiere /data para ejecutarse. Para resolver este enigma, se monta un sistema de archivos temporal en /data . Esto permite que Android solicite contraseñas, muestre el progreso o sugiera un borrado de datos según sea necesario. Sí impone la limitación de que para cambiar del sistema de archivos temporal al verdadero sistema de archivos /data , el sistema debe detener todos los procesos con archivos abiertos en el sistema de archivos temporal y reiniciar esos procesos en el sistema de archivos real /data . Para hacer esto, todos los servicios deben estar en uno de tres grupos: core , main y late_start .

  • core : Nunca apague después de comenzar.
  • main : apague y luego reinicie después de ingresar la contraseña del disco.
  • late_start : no se inicia hasta que /data se haya descifrado y montado.

Para desencadenar estas acciones, la propiedad vold.decrypt se establece en varias cadenas . Para cerrar y reiniciar servicios, los comandos init son:

  • class_reset : Detiene un servicio pero permite reiniciarlo con class_start.
  • class_start : reinicia un servicio.
  • class_stop : Detiene un servicio y agrega un indicador SVC_DISABLED . Los servicios detenidos no responden a class_start .

Flujos

Hay cuatro flujos para un dispositivo cifrado. Un dispositivo se cifra solo una vez y luego sigue un flujo de inicio normal.

  • Cifrar un dispositivo previamente no cifrado:
    • Cifre un nuevo dispositivo con forceencrypt : cifrado obligatorio en el primer arranque (a partir de Android L).
    • Cifrar un dispositivo existente: cifrado iniciado por el usuario (Android K y versiones anteriores).
  • Inicie un dispositivo cifrado:
    • Iniciar un dispositivo cifrado sin contraseña: iniciar un dispositivo cifrado que no tiene una contraseña establecida (relevante para dispositivos que ejecutan Android 5.0 y versiones posteriores).
    • Iniciar un dispositivo cifrado con una contraseña: iniciar un dispositivo cifrado que tiene una contraseña establecida.

Además de estos flujos, el dispositivo también puede fallar al cifrar /data . Cada uno de los flujos se explica detalladamente a continuación.

Cifre un nuevo dispositivo con forceencrypt

Este es el primer inicio normal de un dispositivo con Android 5.0.

  1. Detectar sistema de archivos no cifrado con el indicador forceencrypt

    /data no está cifrado pero debe estarlo porque forceencrypt así lo exige. Desmontar /data .

  2. Comience a cifrar /data

    vold.decrypt = "trigger_encryption" activa init.rc , lo que hará que vold cifre /data sin contraseña. (No hay ninguno configurado porque debería ser un dispositivo nuevo).

  3. montar tmpfs

    vold monta un tmpfs /data (usando las opciones tmpfs de ro.crypto.tmpfs_options ) y establece la propiedad vold.encrypt_progress en 0. vold prepara el tmpfs /data para iniciar un sistema cifrado y establece la propiedad vold.decrypt en: trigger_restart_min_framework

  4. Mostrar el marco para mostrar el progreso.

    Debido a que el dispositivo prácticamente no tiene datos para cifrar, la barra de progreso a menudo no aparecerá porque el cifrado se realiza muy rápidamente. Consulte Cifrar un dispositivo existente para obtener más detalles sobre la interfaz de usuario de progreso.

  5. Cuando /data esté cifrado, elimine el marco

    vold establece vold.decrypt en trigger_default_encryption que inicia el servicio defaultcrypto . (Esto inicia el flujo a continuación para montar datos de usuario cifrados predeterminados) trigger_default_encryption comprueba el tipo de cifrado para ver si /data está cifrado con o sin contraseña. Debido a que los dispositivos Android 5.0 están cifrados en el primer arranque, no se debe establecer ninguna contraseña; por lo tanto desciframos y montamos /data .

  6. Monte /data

    init luego monta /data en un disco RAM tmpfs usando los parámetros que recoge de ro.crypto.tmpfs_options , que está configurado en init.rc

  7. Marco de inicio

    vold establece vold.decrypt en trigger_restart_framework , que continúa el proceso de arranque habitual.

Cifrar un dispositivo existente

Esto es lo que sucede cuando cifra un dispositivo Android K o anterior sin cifrar que se ha migrado a L.

Este proceso lo inicia el usuario y en el código se denomina "cifrado local". Cuando un usuario selecciona cifrar un dispositivo, la interfaz de usuario se asegura de que la batería esté completamente cargada y que el adaptador de CA esté enchufado para que haya suficiente energía para finalizar el proceso de cifrado.

Advertencia: si el dispositivo se queda sin energía y se apaga antes de terminar de cifrar, los datos del archivo quedan en un estado parcialmente cifrado. El dispositivo debe restablecerse de fábrica y se perderán todos los datos.

Para habilitar el cifrado local, vold inicia un bucle para leer cada sector del dispositivo de bloque real y luego escribirlo en el dispositivo de bloque criptográfico. vold comprueba si un sector está en uso antes de leerlo y escribirlo, lo que hace que el cifrado sea mucho más rápido en un dispositivo nuevo que tiene pocos o ningún dato.

Estado del dispositivo : establezca ro.crypto.state = "unencrypted" y ejecute el activador init on nonencrypted para continuar con el arranque.

  1. comprobar contraseña

    La interfaz de usuario llama a vold con el comando cryptfs enablecrypto inplace donde passwd es la contraseña de la pantalla de bloqueo del usuario.

  2. Derribar el marco

    vold busca errores, devuelve -1 si no puede cifrar e imprime un motivo en el registro. Si puede cifrar, establece la propiedad vold.decrypt en trigger_shutdown_framework . Esto hace que init.rc detenga los servicios en las clases late_start y main .

  3. Crear un pie de página criptográfico
  4. Crear un archivo de ruta de navegación
  5. Reiniciar
  6. Detectar archivo de ruta de navegación
  7. Comience a cifrar /data

    vold luego configura el mapeo criptográfico, que crea un dispositivo de bloque criptográfico virtual que se asigna al dispositivo de bloque real pero cifra cada sector a medida que se escribe y descifra cada sector a medida que se lee. vold luego crea y escribe los metadatos criptográficos.

  8. Mientras está encriptando, monte tmpfs

    vold monta un tmpfs /data (usando las opciones tmpfs de ro.crypto.tmpfs_options ) y establece la propiedad vold.encrypt_progress en 0. vold prepara el tmpfs /data para iniciar un sistema cifrado y establece la propiedad vold.decrypt en: trigger_restart_min_framework

  9. Mostrar el marco para mostrar el progreso.

    trigger_restart_min_framework hace que init.rc inicie la clase main de servicios. Cuando el marco ve que vold.encrypt_progress está establecido en 0, muestra la interfaz de usuario de la barra de progreso, que consulta esa propiedad cada cinco segundos y actualiza una barra de progreso. El bucle de cifrado actualiza vold.encrypt_progress cada vez que cifra otro porcentaje de la partición.

  10. Cuando /data esté cifrado, actualice el pie de página criptográfico

    Cuando /data se cifra correctamente, vold borra el indicador ENCRYPTION_IN_PROGRESS en los metadatos.

    Cuando el dispositivo se desbloquea correctamente, la contraseña se utiliza para cifrar la clave maestra y se actualiza el pie de página criptográfico.

    Si el reinicio falla por algún motivo, vold establece la propiedad vold.encrypt_progress en error_reboot_failed y la interfaz de usuario debería mostrar un mensaje solicitando al usuario que presione un botón para reiniciar. No se espera que esto suceda nunca.

Iniciar un dispositivo cifrado con cifrado predeterminado

Esto es lo que sucede cuando inicias un dispositivo cifrado sin contraseña. Debido a que los dispositivos Android 5.0 están cifrados en el primer arranque, no debe haber una contraseña establecida y, por lo tanto, este es el estado de cifrado predeterminado .

  1. Detectar /data cifrados sin contraseña

    Detecte que el dispositivo Android está cifrado porque no se puede montar /data y se establece uno de los indicadores encryptable o forceencrypt .

    vold establece vold.decrypt en trigger_default_encryption , lo que inicia el servicio defaultcrypto . trigger_default_encryption comprueba el tipo de cifrado para ver si /data está cifrado con o sin contraseña.

  2. Descifrar /datos

    Crea el dispositivo dm-crypt sobre el dispositivo de bloque para que el dispositivo esté listo para usar.

  3. Monte /datos

    vold luego monta la partición /data real descifrada y luego prepara la nueva partición. Establece la propiedad vold.post_fs_data_done en 0 y luego establece vold.decrypt en trigger_post_fs_data . Esto hace que init.rc ejecute sus comandos post-fs-data . Crearán los directorios o enlaces necesarios y luego establecerán vold.post_fs_data_done en 1.

    Una vez que vold ve el 1 en esa propiedad, establece la propiedad vold.decrypt en: trigger_restart_framework. Esto hace que init.rc inicie nuevamente los servicios en la clase main y también inicie los servicios en la clase late_start por primera vez desde el inicio.

  4. Marco de inicio

    Ahora el marco inicia todos sus servicios utilizando el /data descifrado y el sistema está listo para usar.

Iniciar un dispositivo cifrado sin cifrado predeterminado

Esto es lo que sucede cuando inicias un dispositivo cifrado que tiene una contraseña establecida. La contraseña del dispositivo puede ser un PIN, un patrón o una contraseña.

  1. Detectar dispositivo cifrado con contraseña

    Detectar que el dispositivo Android está cifrado porque aparece la bandera ro.crypto.state = "encrypted"

    vold establece vold.decrypt en trigger_restart_min_framework porque /data está cifrado con una contraseña.

  2. montar tmpfs

    init establece cinco propiedades para guardar las opciones de montaje iniciales dadas para /data con parámetros pasados ​​desde init.rc vold usa estas propiedades para configurar el mapeo criptográfico:

    1. ro.crypto.fs_type
    2. ro.crypto.fs_real_blkdev
    3. ro.crypto.fs_mnt_point
    4. ro.crypto.fs_options
    5. ro.crypto.fs_flags (número hexadecimal ASCII de 8 dígitos precedido por 0x)
  3. Inicie el marco para solicitar la contraseña

    El marco se inicia y ve que vold.decrypt está configurado en trigger_restart_min_framework . Esto le dice al marco que se está iniciando en un disco tmpfs /data y que necesita obtener la contraseña del usuario.

    Sin embargo, primero debe asegurarse de que el disco esté correctamente cifrado. Envía el comando cryptfs cryptocomplete a vold . vold devuelve 0 si el cifrado se completó correctamente, -1 en caso de error interno o -2 si el cifrado no se completó correctamente. vold determina esto buscando en los metadatos criptográficos el indicador CRYPTO_ENCRYPTION_IN_PROGRESS . Si está configurado, el proceso de cifrado se interrumpió y no hay datos utilizables en el dispositivo. Si vold devuelve un error, la interfaz de usuario debería mostrar un mensaje al usuario para que reinicie y restablezca los valores de fábrica del dispositivo, y le dará al usuario un botón para presionar para hacerlo.

  4. Descifrar datos con contraseña

    Una vez que cryptfs cryptocomplete tiene éxito, el marco muestra una interfaz de usuario que solicita la contraseña del disco. La interfaz de usuario verifica la contraseña enviando el comando cryptfs checkpw a vold . Si la contraseña es correcta (lo cual se determina montando con éxito los /data descifrados en una ubicación temporal y luego desmontándolos), vold guarda el nombre del dispositivo de bloque descifrado en la propiedad ro.crypto.fs_crypto_blkdev y devuelve el estado 0 a la interfaz de usuario. . Si la contraseña es incorrecta, devuelve -1 a la interfaz de usuario.

  5. Marco de parada

    La interfaz de usuario muestra un gráfico de arranque criptográfico y luego llama a vold con el comando cryptfs restart . vold establece la propiedad vold.decrypt en trigger_reset_main , lo que hace que init.rc haga class_reset main . Esto detiene todos los servicios de la clase principal, lo que permite desmontar tmpfs /data .

  6. Monte /data

    vold luego monta la partición /data real descifrada y prepara la nueva partición (que puede que nunca se haya preparado si se cifró con la opción de borrado, que no se admite en la primera versión). Establece la propiedad vold.post_fs_data_done en 0 y luego establece vold.decrypt en trigger_post_fs_data . Esto hace que init.rc ejecute sus comandos post-fs-data . Crearán los directorios o enlaces necesarios y luego establecerán vold.post_fs_data_done en 1. Una vez que vold ve el 1 en esa propiedad, establece la propiedad vold.decrypt en trigger_restart_framework . Esto hace que init.rc inicie nuevamente los servicios en la clase main y también inicie los servicios en la clase late_start por primera vez desde el inicio.

  7. Iniciar marco completo

    Ahora el marco inicia todos sus servicios utilizando el sistema de archivos /data descifrado y el sistema está listo para usar.

Falla

Un dispositivo que no logra descifrar puede estar defectuoso por varias razones. El dispositivo comienza con la serie normal de pasos para arrancar:

  1. Detectar dispositivo cifrado con contraseña
  2. montar tmpfs
  3. Inicie el marco para solicitar la contraseña

Pero una vez que se abre el marco, el dispositivo puede encontrar algunos errores:

  • La contraseña coincide pero no puede descifrar los datos
  • El usuario ingresa una contraseña incorrecta 30 veces

Si estos errores no se resuelven, solicite al usuario que borre los valores de fábrica :

Si vold detecta un error durante el proceso de cifrado, y si aún no se han destruido datos y el marco está activo, vold establece la propiedad vold.encrypt_progress en error_not_encrypted . La interfaz de usuario solicita al usuario que reinicie y le advierte que el proceso de cifrado nunca se inició. Si el error ocurre después de que se haya eliminado el marco, pero antes de que aparezca la interfaz de usuario de la barra de progreso, vold reiniciará el sistema. Si el reinicio falla, configura vold.encrypt_progress en error_shutting_down y devuelve -1; pero no habrá nada para detectar el error. No se espera que esto suceda.

Si vold detecta un error durante el proceso de cifrado, establece vold.encrypt_progress en error_partially_encrypted y devuelve -1. Luego, la interfaz de usuario debería mostrar un mensaje que indique que el cifrado falló y proporcionar un botón para que el usuario restablezca el dispositivo a los valores de fábrica.

Almacenamiento de la clave cifrada

La clave cifrada se almacena en los metadatos criptográficos. El respaldo de hardware se implementa mediante la capacidad de firma de Trusted Execution Environment (TEE). Anteriormente, ciframos la clave maestra con una clave generada aplicando scrypt a la contraseña del usuario y al salt almacenado. Para que la clave sea resistente contra ataques externos, ampliamos este algoritmo firmando la clave resultante con una clave TEE almacenada. Luego, la firma resultante se convierte en una clave de longitud adecuada mediante una aplicación más de scrypt. Luego, esta clave se utiliza para cifrar y descifrar la clave maestra. Para almacenar esta clave:

  1. Genere una clave de cifrado de disco (DEK) aleatoria de 16 bytes y sal de 16 bytes.
  2. Aplique scrypt a la contraseña del usuario y salt para producir la clave intermedia 1 (IK1) de 32 bytes.
  3. Rellene IK1 con cero bytes hasta alcanzar el tamaño de la clave privada vinculada al hardware (HBK). Específicamente, rellenamos como: 00 || IK1 || 00..00; un byte cero, 32 bytes IK1, 223 bytes cero.
  4. Firme IK1 rellenado con HBK para producir IK2 de 256 bytes.
  5. Aplique scrypt a IK2 y sal (la misma sal que en el paso 2) para producir IK3 de 32 bytes.
  6. Utilice los primeros 16 bytes de IK3 como KEK y los últimos 16 bytes como IV.
  7. Cifre DEK con AES_CBC, con clave KEK y vector de inicialización IV.

Cambiando la contraseña

Cuando un usuario elige cambiar o eliminar su contraseña en la configuración, la interfaz de usuario envía el comando cryptfs changepw a vold y vold vuelve a cifrar la clave maestra del disco con la nueva contraseña.

Propiedades de cifrado

vold e init se comunican entre sí estableciendo propiedades. Aquí hay una lista de propiedades disponibles para el cifrado.

Propiedades de Vold

Propiedad Descripción
vold.decrypt trigger_encryption Cifre la unidad sin contraseña.
vold.decrypt trigger_default_encryption Verifique la unidad para ver si está cifrada sin contraseña. Si es así, descifrelo y móntelo; de lo contrario, configure vold.decrypt en trigger_restart_min_framework.
vold.decrypt trigger_reset_main Configurado por vold para apagar la interfaz de usuario solicitando la contraseña del disco.
vold.decrypt trigger_post_fs_data Configurado por vold para preparar /data con los directorios necesarios, et al.
vold.decrypt trigger_restart_framework Configurado por vold para iniciar el marco real y todos los servicios.
vold.decrypt trigger_shutdown_framework Configurado por vold para cerrar el marco completo para iniciar el cifrado.
vold.decrypt trigger_restart_min_framework Configurado por vold para iniciar la interfaz de usuario de la barra de progreso para el cifrado o solicitar una contraseña, según el valor de ro.crypto.state .
vold.encrypt_progress Cuando se inicia el marco, si esta propiedad está configurada, ingrese al modo UI de la barra de progreso.
vold.encrypt_progress 0 to 100 La interfaz de usuario de la barra de progreso debe mostrar el valor porcentual establecido.
vold.encrypt_progress error_partially_encrypted La interfaz de usuario de la barra de progreso debería mostrar un mensaje indicando que el cifrado falló y brindarle al usuario la opción de restablecer el dispositivo a los valores de fábrica.
vold.encrypt_progress error_reboot_failed La interfaz de usuario de la barra de progreso debería mostrar un mensaje que diga que el cifrado se completó y darle al usuario un botón para reiniciar el dispositivo. No se espera que ocurra este error.
vold.encrypt_progress error_not_encrypted La interfaz de usuario de la barra de progreso debería mostrar un mensaje que indique que se produjo un error, que no se cifraron ni se perdieron datos y le debe dar al usuario un botón para reiniciar el sistema.
vold.encrypt_progress error_shutting_down La interfaz de usuario de la barra de progreso no se está ejecutando, por lo que no está claro quién responderá a este error. Y de todos modos, eso nunca debería suceder.
vold.post_fs_data_done 0 Establecido por vold justo antes de configurar vold.decrypt en trigger_post_fs_data .
vold.post_fs_data_done 1 Establecido por init.rc o init.rc justo después de finalizar la tarea post-fs-data .

propiedades de inicio

Propiedad Descripción
ro.crypto.fs_crypto_blkdev Establecido por el comando vold checkpw para uso posterior mediante el comando vold restart .
ro.crypto.state unencrypted Lo establece init para decir que este sistema se está ejecutando con un /data ro.crypto.state encrypted . Lo establece init para decir que este sistema se está ejecutando con un /data cifrado.

ro.crypto.fs_type
ro.crypto.fs_real_blkdev
ro.crypto.fs_mnt_point
ro.crypto.fs_options
ro.crypto.fs_flags

 Estas cinco propiedades las establece init cuando intenta montar /data con parámetros pasados ​​desde init.rc vold los usa para configurar el mapeo criptográfico.
ro.crypto.tmpfs_options Establecido por init.rc con las opciones que init debería usar al montar el sistema de archivos tmpfs /data .

acciones iniciales

on post-fs-data
on nonencrypted
on property:vold.decrypt=trigger_reset_main
on property:vold.decrypt=trigger_post_fs_data
on property:vold.decrypt=trigger_restart_min_framework
on property:vold.decrypt=trigger_restart_framework
on property:vold.decrypt=trigger_shutdown_framework
on property:vold.decrypt=trigger_encryption
on property:vold.decrypt=trigger_default_encryption