Android 7.0 以上版本支援檔案型加密 (FBE)。FBE 可讓不同檔案使用不同的金鑰進行加密,且可獨立解鎖。這些金鑰用於加密檔案內容和檔案名稱。使用 FBE 時,其他資訊 (例如目錄版面配置、檔案大小、權限和建立/修改時間) 不會加密。這些其他資訊統稱為檔案系統中繼資料。
Android 9 推出了中繼資料加密功能。若使用中繼資料加密,則啟動時的單一金鑰會加密任何未由 FBE 加密的內容。這個金鑰受到 Keymaster 保護,而 Keymaster 則受到驗證開機程序保護。
啟用 FBE 時,一律在採用儲存空間中啟用中繼資料加密。您也可以在內部儲存空間啟用中繼資料加密。如果是搭載 Android 11 以上版本的裝置,必須啟用內部儲存空間的中繼資料加密功能。
在內部儲存空間上實作
您可以在新裝置的內部儲存空間中設定中繼資料加密功能,方法是設定 metadata 檔案系統、變更初始化序列,並在裝置的 fstab 檔案中啟用中繼資料加密功能。
必要條件
您必須先將資料分區格式化,才能設定中繼資料加密。因此,這項功能僅適用於新裝置,OTA 不應變更這項設定。
如要加密中繼資料,您必須在核心中啟用 dm-default-key 模組。在 Android 11 以上版本中,Android 一般核心 4.14 以上版本支援 dm-default-key。這個版本的 dm-default-key 使用硬體和供應商獨立的加密架構,稱為 blk-crypto。
如要啟用 dm-default-key,請使用:
CONFIG_BLK_INLINE_ENCRYPTION=y CONFIG_FS_ENCRYPTION_INLINE_CRYPT=y CONFIG_DM_DEFAULT_KEY=y
dm-default-key 會在可用時使用內嵌加密硬體 (在傳輸至/從儲存裝置的過程中加密/解密資料的硬體)。如果您「並未」使用內嵌加密硬體,則還需要啟用核心密碼編譯 API 的備用方案:
CONFIG_BLK_INLINE_ENCRYPTION_FALLBACK=y
不使用內嵌加密硬體時,您也應按照 FBE 說明文件中的建議,啟用任何可用 CPU 為基礎的加速功能。
在 Android 10 以下版本中,Android 通用核心不支援 dm-default-key。因此,供應商必須實作 dm-default-key。
設定中繼資料檔案系統
由於在出現中繼資料加密金鑰之前,無法讀取使用者資料分區中的任何內容,因此分區表必須設定名為「中繼資料分區」的獨立分區,用於儲存用來保護此金鑰的 Keymaster Blob。中繼資料分區應為 16 MB。
fstab.hardware 必須包含中繼資料檔案系統的項目,該項目位於 /metadata 的掛載分區,並包含 formattable 標記,以確保在啟動時進行格式設定。f2fs 檔案系統不適用於較小的分區;我們建議改用 ext4。例如:
/dev/block/bootdevice/by-name/metadata /metadata ext4 noatime,nosuid,nodev,discard wait,check,formattable
為確保 /metadata 掛接點確實存在,請在 BoardConfig-common.mk 中新增以下這行程式碼:
BOARD_USES_METADATA_PARTITION := true
初始化序列的變更
使用中繼資料加密功能時,必須先執行 vold,才能掛載 /data。為確保能提早開始,請將下列段落新增至 init.hardware.rc:
# We need vold early for metadata encryption
on early-fs
start vold
Keymaster 必須在執行並準備就緒之後,才能嘗試掛接 /data。
init.hardware.rc 應該已包含 mount_all 指示,該指示會在 on
late-fs 節中掛接 /data 本身。在該行前方加入指令,執行 wait_for_keymaster 服務:
on late-fs … # Wait for keymaster exec_start wait_for_keymaster # Mount RW partitions which need run fsck mount_all /vendor/etc/fstab.${ro.boot.hardware.platform} --late
開啟中繼資料加密功能
最後將 keydirectory=/metadata/vold/metadata_encryption 新增至 userdata 的 fstab 項目的 fs_mgr_flags 資料欄中。例如,完整的 fstab 列可能如下所示:
/dev/block/bootdevice/by-name/userdata /data f2fs noatime,nosuid,nodev,discard,inlinecrypt latemount,wait,check,fileencryption=aes-256-xts:aes-256-cts:inlinecrypt_optimized,keydirectory=/metadata/vold/metadata_encryption,quota,formattable
根據預設,內部儲存空間上的中繼資料加密演算法為 AES-256-XTS。您也可以在 fs_mgr_flags 資料欄中設定 metadata_encryption 選項來覆寫這項設定:
- 在不支援 AES 加速的裝置上,設定
metadata_encryption=adiantum即可啟用 Adiantum 加密。 - 在支援硬體包裝金鑰的裝置上,設定
metadata_encryption=aes-256-xts:wrappedkey_v0(或同等的metadata_encryption=:wrappedkey_v0,因為aes-256-xts是預設演算法),即可讓中繼資料加密金鑰進行硬體包裝。
由於 Android 11 中 dm-default-key 的核心介面已變更,您也需要確保已在 device.mk 中為 PRODUCT_SHIPPING_API_LEVEL 設定正確的值。舉例來說,如果裝置搭載 Android 11 (API 級別 30),device.mk 應包含以下項目:
PRODUCT_SHIPPING_API_LEVEL := 30
此外,無論運送 API 級別為何,您也可以設定下列系統屬性,強制使用新的 dm-default-key API:
PRODUCT_PROPERTY_OVERRIDES += \
ro.crypto.dm_default_key.options_format.version=2
驗證
如要驗證中繼資料加密功能是否已啟用且運作正常,請執行下列測試。請注意下列常見問題。
測試
請先執行下列指令,確認內部儲存空間是否已啟用中繼資料加密功能:
adb rootadb shell dmctl table userdata
畫面上應該會顯示類似以下的輸出內容:
Targets in the device-mapper table for userdata: 0-4194304: default-key, aes-xts-plain64 - 0 252:2 0 3 allow_discards sector_size:4096 iv_large_sectors
如果您在裝置的 fstab 中設定 metadata_encryption 選項來覆寫預設加密設定,那麼輸出內容會與上述稍有不同。舉例來說,如果您啟用 Adiantum 加密,第三個欄位就是 xchacha12,aes-adiantum-plain64,而不是 aes-xts-plain64。
接著,請執行 vts_kernel_encryption_test 來驗證中繼資料加密和 FBE 的正確性:
atest vts_kernel_encryption_test
或:
vts-tradefed run vts -m vts_kernel_encryption_test
常見問題
在呼叫 mount_all 時 (掛接中繼資料加密的 /data 分區),init 會執行 vdc 工具。vdc 工具會透過 binder 連線至 vold,設定使用中繼資料加密的裝置,並掛載分割區。在這個呼叫期間,init 會遭到封鎖,並嘗試讀取或設定 init 屬性區塊,直到 mount_all 完成為止。如果在這個階段,vold 工作的任何部分會在讀取或設定屬性時直接或間接封鎖,導致出現死結結果。請務必確保 vold 能夠完成讀取鍵、與 Keymaster 互動,以及掛載資料目錄的工作,而無須進一步與 init 互動。
如果 Keymaster 在 mount_all 執行時尚未完全啟動,則在從 init 讀取特定屬性之前,金鑰不會回應 vold,進而導致確切的死結。將 exec_start wait_for_keymaster 置於根據設定在相關的 mount_all 叫用上方,可確保 Keymaster 會事先執行完畢,因此可避免發生這類死結。
在可採用儲存空間上設定
自 Android 9 起,只要啟用 FBE,在採用儲存空間上一律會啟用中繼資料加密的形式,即使內部儲存空間未啟用中繼資料加密功能也是如此。
在 AOSP 中,可採用儲存空間有兩種中繼資料加密實作方式:已淘汰的 dm-crypt 和較新的 dm-default-key。為確保為裝置選取正確的實作方式,請確認您已在 device.mk 中為 PRODUCT_SHIPPING_API_LEVEL 設定正確的值。舉例來說,如果裝置搭載 Android 11 (API 級別 30),device.mk 應包含:
PRODUCT_SHIPPING_API_LEVEL := 30
您也可以設定下列系統屬性,無論發布 API 級別為何,一律強制使用新的音量中繼資料加密方法 (以及新的預設 FBE 政策版本):
PRODUCT_PROPERTY_OVERRIDES += \
ro.crypto.volume.metadata.method=dm-default-key \
ro.crypto.dm_default_key.options_format.version=2 \
ro.crypto.volume.options=::v2
目前方法
在搭載 Android 11 以上版本的裝置上,可採用儲存空間上的中繼資料加密功能會使用 dm-default-key 核心模組,就像在內部儲存空間上一樣。如要瞭解要啟用的核心設定選項,請參閱上方的必要條件。請注意,在裝置內部儲存空間中運作的內嵌加密硬體可能無法在可採用的儲存空間中運作,因此可能需要 CONFIG_BLK_INLINE_ENCRYPTION_FALLBACK=y。
根據預設,dm-default-key 磁碟區中繼資料加密方法會使用 AES-256-XTS 加密演算法搭配 4096 位元組加密資料。您可以設定 ro.crypto.volume.metadata.encryption 系統屬性來覆寫演算法。這個屬性值的語法與上述 metadata_encryption fstab 選項相同。舉例來說,對於不支援 AES 加速功能的裝置,您可以設定 ro.crypto.volume.metadata.encryption=adiantum 來啟用 Adiantum 加密。
舊版方法
在搭載 Android 10 以下版本的裝置上,採用可採用儲存空間的中繼資料加密作業會使用 dm-crypt 核心模組,而非 dm-default-key:
CONFIG_DM_CRYPT=y
與 dm-default-key 方法不同,dm-crypt 方法會造成檔案內容加密兩次:一次是使用 FBE 金鑰,另一次則是使用中繼資料加密金鑰。這種雙重加密會降低效能,也不需要達到中繼資料加密的安全性目標,因為 Android 會確保 FBE 金鑰至少不像中繼資料加密金鑰被入侵。供應商可以自訂核心來避免雙重加密,特別是在系統屬性 ro.crypto.allow_encrypt_override 設為 true 時,實作 allow_encrypt_override 選項,由 Android 傳送至 dm-crypt。Android 通用核心不支援這些自訂項目。
根據預設,dm-crypt 磁碟區中繼資料加密方法會使用 AES-128-CBC 加密演算法,搭配 ESSIV 和 512 位元組加密區塊。您可以設定下列系統屬性 (也適用於 FDE) 來覆寫這項設定:
ro.crypto.fde_algorithm會選取中繼資料加密演算法。選項包括aes-128-cbc和adiantum。只有在裝置缺乏 AES 加速功能時,才能使用 Adiantum。ro.crypto.fde_sector_size會選取加密部門大小。可用的值包括 512、1024、2048 和 4096。如果是 Adiantum 加密,請使用 4096。