Szyfrowanie to proces kodowania wszystkich danych użytkownika na urządzeniu z Androidem przy użyciu symetrycznych kluczy szyfrowania. Po zaszyfrowaniu urządzenia wszystkie dane utworzone przez użytkownika są automatycznie szyfrowane przed przesłaniem ich na dysk, a wszystkie odczyty automatycznie odszyfrowują dane przed zwróceniem ich do procesu wywołującego. Szyfrowanie gwarantuje, że nawet jeśli nieupoważniona osoba spróbuje uzyskać dostęp do danych, nie będzie w stanie ich odczytać.
W systemie Android dostępne są dwie metody szyfrowania urządzeń: szyfrowanie oparte na plikach i szyfrowanie całego dysku.
Szyfrowanie oparte na plikach
Android 7.0 i nowsze obsługują szyfrowanie plików . Szyfrowanie oparte na plikach umożliwia szyfrowanie różnych plików przy użyciu różnych kluczy, które można odblokować niezależnie. Urządzenia obsługujące szyfrowanie plików mogą również obsługiwać funkcję Direct Boot , która umożliwia zaszyfrowanym urządzeniom uruchamianie się bezpośrednio na ekranie blokady, umożliwiając w ten sposób szybki dostęp do ważnych funkcji urządzenia, takich jak usługi dostępności i alarmy.
Dzięki szyfrowaniu opartemu na plikach i interfejsom API, które informują aplikacje o szyfrowaniu, aplikacje mogą działać w ograniczonym kontekście. Może się to zdarzyć, zanim użytkownicy podają swoje dane uwierzytelniające, jednocześnie chroniąc prywatne informacje o użytkownikach.
Szyfrowanie metadanych
Android 9 wprowadza obsługę szyfrowania metadanych , tam gdzie dostępna jest obsługa sprzętowa. Dzięki szyfrowaniu metadanych pojedynczy klucz obecny podczas uruchamiania szyfruje całą zawartość, która nie jest szyfrowana przez FBE, taką jak układ katalogów, rozmiary plików, uprawnienia i czas tworzenia/modyfikacji. Klucz ten jest chroniony przez Keymaster, który z kolei jest chroniony przez zweryfikowany rozruch.
Szyfrowanie całego dysku
Android 5.0 do Android 9 obsługuje szyfrowanie całego dysku . Szyfrowanie całego dysku wykorzystuje pojedynczy klucz — chroniony hasłem urządzenia użytkownika — w celu ochrony całej partycji danych użytkownika urządzenia. Podczas uruchamiania użytkownik musi podać swoje dane uwierzytelniające, zanim jakakolwiek część dysku stanie się dostępna.
Chociaż jest to świetne rozwiązanie ze względów bezpieczeństwa, oznacza to, że większość podstawowych funkcji telefonu nie jest natychmiast dostępna po ponownym uruchomieniu urządzenia. Ponieważ dostęp do ich danych jest chroniony za pomocą pojedynczego uwierzytelnienia użytkownika, funkcje takie jak alarmy nie mogły działać, usługi ułatwień dostępu były niedostępne, a telefony nie mogły odbierać połączeń.