Szyfrowanie to proces kodowania wszystkich danych użytkownika na urządzeniu z Androidem za pomocą kluczy szyfrowania symetrycznego. Po zaszyfrowaniu urządzenia wszystkie dane utworzone przez użytkownika są automatycznie szyfrowane przed zapisaniem na dysku, a wszystkie odczyty automatycznie odszyfrowywane przed przekazaniem do procesu wywołania. Szyfrowanie zapewnia, że nawet jeśli nieupoważniona osoba spróbuje uzyskać dostęp do danych, nie będzie mogła ich odczytać.
Android obsługuje 2 metody szyfrowania urządzenia: szyfrowanie oparte na plikach i szyfrowanie całego dysku.
Szyfrowanie oparte na plikach
Android 7.0 i nowsze wersje obsługują szyfrowanie plików. Szyfrowanie na poziomie pliku umożliwia szyfrowanie różnych plików za pomocą różnych kluczy, które można odblokować niezależnie. Urządzenia obsługujące szyfrowanie plików mogą też obsługiwać Direct Boot, co pozwala na uruchamianie zaszyfrowanych urządzeń bezpośrednio na ekranie blokady, zapewniając w ten sposób szybki dostęp do ważnych funkcji urządzenia, takich jak usługi ułatwień dostępu i alarmy.
Dzięki szyfrowaniu opartym na plikach i interfejsach API, które informują aplikacje o szyfrowaniu, aplikacje mogą działać w ograniczonym kontekście. Może się to zdarzyć, zanim użytkownicy podadzą swoje dane logowania, a prywatne informacje o użytkownikach pozostają chronione.
Szyfrowanie metadanych
Android 9 wprowadza obsługę szyfrowania metadanych, jeśli jest dostępna obsługa sprzętowa. W przypadku szyfrowania metadanych jeden klucz obecny w momencie uruchamiania szyfruje wszystkie treści, które nie są szyfrowane przez FBE, takie jak układy katalogów, rozmiary plików, uprawnienia i czas utworzenia/modyfikacji. Ten klucz jest chroniony przez Keymaster, który z kolei jest chroniony przez weryfikowany rozruch.
Szyfrowanie całego dysku
Android 5.0 do Androida 9 obsługuje pełne szyfrowanie dysku. Szyfrowanie całego dysku używa jednego klucza chronionego hasłem użytkownika, aby chronić całą partycję danych użytkownika na urządzeniu. Po uruchomieniu użytkownik musi podać swoje dane logowania, zanim będzie można uzyskać dostęp do dowolnej części dysku.
Jest to bardzo korzystne z poziomu bezpieczeństwa, ale oznacza, że większość podstawowych funkcji telefonu nie jest od razu dostępna po ponownym uruchomieniu urządzenia przez użytkownika. Ponieważ dostęp do ich danych jest chroniony przez pojedyncze dane logowania użytkownika, funkcje takie jak alarmy nie działały, usługi ułatwień dostępu były niedostępne, a telefony nie mogły odbierać połączeń.