Android 7.0 und höher unterstützt Dateibasierte Verschlüsselung (File-based Encryption, FBE). FBE lässt zu, dass verschiedene Dateien mit verschiedenen Schlüsseln verschlüsselt werden, die entsperrt werden können unabhängig voneinander unterscheiden. Mit diesen Schlüsseln werden sowohl Dateiinhalte als auch Dateinamen verschlüsselt. Wenn FBE verwendet wird, können auch andere Informationen wie Verzeichnislayouts, Dateigrößen, Berechtigungen und Erstellungs-/Änderungszeiten werden nicht verschlüsselt. Diese anderen Informationen werden als Dateisystemmetadaten bezeichnet.
Mit Android 9 wurde die Metadatenverschlüsselung unterstützt. Bei der Metadatenverschlüsselung wird mit einem einzigen Schlüssel, der beim Booten vorhanden ist, alles verschlüsselt, Der Inhalt wird nicht von FBE verschlüsselt. Dieser Schlüssel wird durch Keymaster geschützt, der wird durch den verifizierten Bootmodus geschützt.
Die Metadatenverschlüsselung ist immer für angepassten Speicher aktiviert, wenn die FBE aktiviert ist. Die Metadatenverschlüsselung kann auch für den internen Speicher aktiviert werden. Auf den Markt gebrachte Geräte mit Android 11 oder höher muss Metadatenverschlüsselung haben im internen Speicher aktiviert.
Implementierung im internen Speicher
Sie können die Metadatenverschlüsselung im internen Speicher neuer Geräte einrichten, indem Sie
Einrichten des Dateisystems metadata, Ändern der Initialisierungssequenz und
Metadatenverschlüsselung in der fstab-Datei des Geräts aktivieren
Voraussetzungen
Die Metadatenverschlüsselung kann nur eingerichtet werden, wenn die Datenpartition zuerst ist formatiert sind. Daher ist diese Funktion nur für neue Geräte verfügbar. Sie sollte nicht über ein Over-the-air-Update geändert werden.
Für die Metadatenverschlüsselung muss das dm-default-key-Modul in Ihrem Kernel aktiviert sein. Unter Android 11 und höher wird dm-default-key von den Android Common Kernels ab Version 4.14 unterstützt. Diese Version von dm-default-key verwendet ein hardware- und anbieterunabhängiges Verschlüsselungsframework namens blk-crypto.
So aktivieren Sie dm-default-key:
CONFIG_BLK_INLINE_ENCRYPTION=y CONFIG_FS_ENCRYPTION_INLINE_CRYPT=y CONFIG_DM_DEFAULT_KEY=y
dm-default-key verwendet Inline-Verschlüsselungshardware (Hardware, die
verschlüsselt/entschlüsselt Daten auf dem Weg zum/vom Speichergerät), wenn
verfügbar. Wenn Sie keine Inline-Verschlüsselungshardware verwenden, ist es
Außerdem ist es erforderlich, ein Fallback auf die Cryptography API des Kernels zu aktivieren:
CONFIG_BLK_INLINE_ENCRYPTION_FALLBACK=y
Wenn Sie keine Inline-Verschlüsselungshardware verwenden, sollten Sie auch alle verfügbaren CPU-basierte Beschleunigung, wie in der FBE-Dokumentation empfohlen
Unter Android 10 und niedriger wurde dm-default-key vom Android Common Kernel nicht unterstützt. Daher ließen sich die Zulieferunternehmen
um dm-default-key zu implementieren.
Metadatendateisystem einrichten
Weil nichts in der Nutzerdatenpartition gelesen werden kann, bis die Metadaten Verschlüsselungsschlüssel vorhanden ist, muss die Partitionstabelle einen separaten Partition namens „Metadatenpartition“ zum Speichern der Keymaster-BLOBs, um diesen Schlüssel zu schützen. Die Metadatenpartition sollte 16 MB groß sein.
fstab.hardware muss einen Eintrag für das Metadatendateisystem enthalten
die auf dieser Partition gespeichert ist und sie unter /metadata bereitstellt, einschließlich
Das Flag formattable, damit es beim Booten formatiert wird. Das Dateisystem „f2fs“ funktioniert nicht auf kleineren Partitionen. Wir empfehlen stattdessen „ext4“. Beispiel:
/dev/block/bootdevice/by-name/metadata /metadata ext4 noatime,nosuid,nodev,discard wait,check,formattable
Damit der Bereitstellungspunkt /metadata vorhanden ist, fügen Sie BoardConfig-common.mk die folgende Zeile hinzu:
BOARD_USES_METADATA_PARTITION := true
Änderungen an der Init-Sequenz
Wenn Metadatenverschlüsselung verwendet wird, muss vold ausgeführt werden, bevor
/data wurde bereitgestellt. Fügen Sie
folgende Stanza in init.hardware.rc:
# We need vold early for metadata encryption
on early-fs
start vold
Keymaster muss aktiv und bereit sein, bevor init versucht wird, die Datei bereitzustellen
/data
init.hardware.rc sollte bereits eine mount_all-Anweisung enthalten, die /data selbst in der on
late-fs-Strophe bereitstellt. Fügen Sie vor dieser Zeile die Anweisung ein, um die
Dienst wait_for_keymaster:
on late-fs … # Wait for keymaster exec_start wait_for_keymaster # Mount RW partitions which need run fsck mount_all /vendor/etc/fstab.${ro.boot.hardware.platform} --late
Metadatenverschlüsselung aktivieren
Fügen Sie abschließend keydirectory=/metadata/vold/metadata_encryption der Spalte fs_mgr_flags des fstab-Eintrags für userdata hinzu. Eine vollständige fstab-Zeile könnte beispielsweise so aussehen:
/dev/block/bootdevice/by-name/userdata /data f2fs noatime,nosuid,nodev,discard,inlinecrypt latemount,wait,check,fileencryption=aes-256-xts:aes-256-cts:inlinecrypt_optimized,keydirectory=/metadata/vold/metadata_encryption,quota,formattable
Standardmäßig ist AES-256-XTS der Metadatenverschlüsselungsalgorithmus für den internen Speicher. Sie können dies überschreiben, indem Sie die Option metadata_encryption auch in der Spalte fs_mgr_flags festlegen:
- Auf Geräten ohne AES-Beschleunigung kann die Adiantum-Verschlüsselung
durch Festlegen von
metadata_encryption=adiantumaktiviert. - Auf Geräten, die hardwareverschlüsselte Schlüssel unterstützen, kann der Metadatenverschlüsselungsschlüssel hardwareverschlüsselt werden, indem
metadata_encryption=aes-256-xts:wrappedkey_v0(odermetadata_encryption=:wrappedkey_v0) festgelegt wird, daaes-256-xtsder Standardalgorithmus ist.
Da sich die Kernelschnittstelle zu dm-default-key in Android 11 geändert hat, müssen Sie auch darauf achten, dass Sie in device.mk den richtigen Wert für PRODUCT_SHIPPING_API_LEVEL festgelegt haben. Wenn Ihr Gerät beispielsweise mit Android 11 (API-Level 30) auf den Markt kommt, sollte device.mk Folgendes enthalten:
PRODUCT_SHIPPING_API_LEVEL := 30
Sie können auch die folgende Systemeigenschaft festlegen, um die Verwendung des neuen
dm-default-key API unabhängig vom Versand-API-Level:
PRODUCT_PROPERTY_OVERRIDES += \
ro.crypto.dm_default_key.options_format.version=2
Zertifizierungsstufe
Um zu überprüfen, ob die Metadatenverschlüsselung aktiviert ist und korrekt funktioniert, führen Sie den die nachfolgend beschriebenen Tests durchführen. Beachten Sie außerdem die häufigen beschrieben.
Tests
Führen Sie zuerst den folgenden Befehl aus, um zu prüfen, ob die Metadatenverschlüsselung im internen Speicher aktiviert:
adb rootadb shell dmctl table userdata
Die Ausgabe sollte in etwa so aussehen:
Targets in the device-mapper table for userdata: 0-4194304: default-key, aes-xts-plain64 - 0 252:2 0 3 allow_discards sector_size:4096 iv_large_sectors
Wenn Sie die Standardverschlüsselungseinstellungen durch Festlegen des
Option metadata_encryption in der fstab auf dem Gerät und dann
weicht die Ausgabe geringfügig von der obigen Beschreibung ab. Wenn Sie beispielsweise die Adiantum-Verschlüsselung aktiviert haben, wird die dritte
ist xchacha12,aes-adiantum-plain64 anstelle von
aes-xts-plain64.
Führen Sie als Nächstes vts_kernel_encryption_test aus, um die Richtigkeit der Metadatenverschlüsselung und der FBE zu prüfen:
atest vts_kernel_encryption_test
oder:
vts-tradefed run vts -m vts_kernel_encryption_test
Häufige Probleme
Während des Aufrufs von mount_all, bei dem die mit Metadaten verschlüsselte /data-Partition bereitgestellt wird, führt init das vdc-Tool aus. VDC
wird über binder mit vold verbunden, um den
mit Metadaten verschlüsselt und die Partition wird bereitgestellt. Für die Dauer dieses
Anruf blockiert, init wird blockiert und versucht, die Einstellungen
init-Properties werden blockiert, bis mount_all abgeschlossen ist.
Wenn in dieser Phase ein Teil der Arbeit von vold direkt oder indirekt beim Lesen oder Festlegen einer Property blockiert ist, kommt es zu einem Deadlock. Es ist
ist wichtig, damit vold die Lesematerialien
Schlüssel, Interaktion mit Keymaster und Bereitstellen des Datenverzeichnisses ohne
weitere Interaktionen mit init.
Wenn Keymaster bei der Ausführung von mount_all nicht vollständig gestartet wird, wird er nicht
auf vold antworten, bis bestimmte Eigenschaften aus
init, was genau zum beschriebenen Deadlock führt. Wenn du exec_start wait_for_keymaster wie oben beschrieben über die entsprechende mount_all-Aufrufmethode platzierst, wird Keymaster im Voraus vollständig ausgeführt und dieser Deadlock wird vermieden.
Konfiguration für akzeptablen Speicher
Seit Android 9 ist eine Form der Metadatenverschlüsselung immer für angepassten Speicher aktiviert, wenn die FBE aktiviert ist, auch wenn die Metadatenverschlüsselung für den internen Speicher nicht aktiviert ist.
Bei AOSP gibt es zwei Implementierungen der Metadatenverschlüsselung
Speicher: ein veralteter Speicher basierend auf dm-crypt und ein neuerer Speicher
am dm-default-key. Damit für Ihr Gerät die richtige Implementierung ausgewählt wird, müssen Sie in device.mk den richtigen Wert für PRODUCT_SHIPPING_API_LEVEL festlegen. Wenn Ihr Gerät beispielsweise mit Android 11 (API-Level 30) auf den Markt kommt, sollte device.mk Folgendes enthalten:
PRODUCT_SHIPPING_API_LEVEL := 30
Sie können auch die folgenden Systemeigenschaften festlegen, um die Verwendung der neuen Methode zur Verschlüsselung von Volume-Metadaten (und der neuen Standardversion der FBE-Richtlinie) unabhängig von der API-Auslieferungsebene zu erzwingen:
PRODUCT_PROPERTY_OVERRIDES += \
ro.crypto.volume.metadata.method=dm-default-key \
ro.crypto.dm_default_key.options_format.version=2 \
ro.crypto.volume.options=::v2
Aktuelle Methode
Auf Geräten, die mit Android 11 oder höher ausgeliefert werden, wird für die Verschlüsselung von Metadaten auf adoptable storage wie beim internen Speicher das dm-default-key-Kernelmodul verwendet. Welche Kernel-Konfiguration festgelegt ist, erfahren Sie in den Voraussetzungen oben.
zu aktivieren. Beachten Sie, dass die Inline-Verschlüsselungshardware auf dem
ist der interne Speicher des Geräts möglicherweise nicht verfügbar.
Möglicherweise ist CONFIG_BLK_INLINE_ENCRYPTION_FALLBACK=y erforderlich.
Standardmäßig verwendet die dm-default-key-Methode zur Verschlüsselung von Volume-Metadaten den AES-256-XTS-Verschlüsselungsalgorithmus mit 4.096-Byte-Kryptosektoren. Die
kann überschrieben werden, indem das Attribut
Systemeigenschaft ro.crypto.volume.metadata.encryption. Der Wert dieser Eigenschaft hat dieselbe Syntax wie die oben beschriebene metadata_encryption-fstab-Option. Auf Geräten ohne AES-Beschleunigung kann beispielsweise die Adiantum-Verschlüsselung durch Festlegen von ro.crypto.volume.metadata.encryption=adiantum aktiviert werden.
Alte Methode
Auf Geräten, die mit Android 10 oder niedriger auf den Markt kommen,
Die Verschlüsselung des akzeptablen Speichers verwendet das Kernelmodul dm-crypt
statt dm-default-key:
CONFIG_DM_CRYPT=y
Im Gegensatz zur dm-default-key-Methode wird bei der dm-crypt-Methode der Dateiinhalt zweimal verschlüsselt: einmal mit einem FBE-Schlüssel und einmal mit dem Metadaten-Verschlüsselungsschlüssel. Diese doppelte Verschlüsselung verringert die Leistung und ist
nicht erforderlich, um die Sicherheitsziele der
Metadatenverschlüsselung zu erreichen, da Android
stellt sicher, dass FBE-Schlüssel mindestens so schwer zu manipulieren sind wie die Metadaten
Verschlüsselungsschlüssel. Anbieter können Kernelanpassungen vornehmen, um die doppelte Verschlüsselung zu vermeiden. Dazu können sie insbesondere die Option allow_encrypt_override implementieren, die Android an dm-crypt weitergibt, wenn die Systemeigenschaft ro.crypto.allow_encrypt_override auf true gesetzt ist.
Diese Anpassungen werden vom allgemeinen Android-Kernel nicht unterstützt.
Standardmäßig wird für die Verschlüsselungsmethode der dm-crypt-Volume-Metadaten der AES-128-CBC-Verschlüsselungsalgorithmus mit ESSIV und 512-Byte-Krypto-Sektoren verwendet. Dieses
kann überschrieben werden, indem die folgenden Systemeigenschaften festgelegt werden (die ebenfalls
verwendet für FDE):
ro.crypto.fde_algorithmzum Auswählen der Metadatenverschlüsselung Algorithmus. Die Auswahlmöglichkeiten sindaes-128-cbcundadiantum. Adiantum kann nur verwendet werden, wenn das Gerät keine AES-Beschleunigung hat.ro.crypto.fde_sector_sizewählt die Größe des Kryptosektors aus. Zur Auswahl stehen 512, 1024, 2048 und 4096. Verwenden Sie für die Adiantum-Verschlüsselung 4096.