A criptografia é o processo de codificação de todos os dados do usuário em um dispositivo Android usando chaves de criptografia simétricas. Depois que um dispositivo é criptografado, todos os dados criados pelo usuário são criptografados automaticamente antes de enviá-los para o disco e todas as leituras descriptografam os dados automaticamente antes de devolvê-los ao processo de chamada. A criptografia garante que, mesmo que uma parte não autorizada tente acessar os dados, eles não poderão lê-los.
O Android tem dois métodos para criptografia de dispositivos: criptografia baseada em arquivo e criptografia de disco completo.
Criptografia baseada em arquivo
O Android 7.0 e versões posteriores são compatíveis com criptografia baseada em arquivo . A criptografia baseada em arquivo permite que arquivos diferentes sejam criptografados com chaves diferentes que podem ser desbloqueadas independentemente. Dispositivos que suportam criptografia baseada em arquivo também podem oferecer suporte a inicialização direta , que permite que dispositivos criptografados sejam inicializados diretamente na tela de bloqueio, permitindo acesso rápido a recursos importantes do dispositivo, como serviços de acessibilidade e alarmes.
Com criptografia baseada em arquivo e APIs que tornam os aplicativos cientes da criptografia, os aplicativos podem operar dentro de um contexto limitado. Isso pode acontecer antes que os usuários forneçam suas credenciais enquanto ainda protegem as informações privadas do usuário.
Criptografia de metadados
O Android 9 apresenta suporte para criptografia de metadados , onde o suporte de hardware está presente. Com a criptografia de metadados, uma única chave presente no momento da inicialização criptografa qualquer conteúdo não criptografado pelo FBE, como layouts de diretório, tamanhos de arquivo, permissões e tempos de criação/modificação. Essa chave é protegida pelo Keymaster, que por sua vez é protegido por inicialização verificada.
Criptografia de disco completo
O Android 5.0 até o Android 9 suporta criptografia de disco completo . A criptografia de disco completo usa uma única chave—protegida com a senha do dispositivo do usuário—para proteger toda a partição userdata de um dispositivo. Na inicialização, o usuário deve fornecer suas credenciais antes que qualquer parte do disco seja acessível.
Embora isso seja ótimo para a segurança, significa que a maior parte da funcionalidade principal do telefone não está disponível imediatamente quando os usuários reinicializam o dispositivo. Como o acesso aos seus dados é protegido por sua credencial de usuário único, recursos como alarmes não podem funcionar, serviços de acessibilidade não estão disponíveis e telefones não podem receber chamadas.