Mã hóa

Mã hoá là quá trình mã hoá tất cả dữ liệu người dùng trên thiết bị Android bằng khoá mã hoá đối xứng. Sau khi thiết bị được mã hoá, tất cả dữ liệu do người dùng tạo sẽ tự động được mã hoá trước khi được ghi vào ổ đĩa và tất cả các thao tác đọc sẽ tự động giải mã dữ liệu trước khi trả về cho quy trình gọi. Quy trình mã hoá đảm bảo rằng ngay cả khi một bên không được uỷ quyền cố gắng truy cập vào dữ liệu, họ cũng sẽ không thể đọc được dữ liệu đó.

Android có hai phương thức mã hoá thiết bị: mã hoá dựa trên tệp và mã hoá toàn bộ đĩa.

Mã hoá dựa trên tệp

Android 7.0 trở lên hỗ trợ mã hoá dựa trên tệp. Tính năng mã hoá dựa trên tệp cho phép mã hoá các tệp khác nhau bằng các khoá khác nhau có thể được mở khoá độc lập. Các thiết bị hỗ trợ phương thức mã hoá dựa trên tệp cũng có thể hỗ trợ chế độ Khởi động trực tiếp. Chế độ này cho phép các thiết bị được mã hoá khởi động thẳng đến màn hình khoá, nhờ đó cho phép truy cập nhanh vào các tính năng quan trọng của thiết bị như dịch vụ hỗ trợ tiếp cận và báo thức.

Với tính năng mã hoá dựa trên tệp và các API giúp ứng dụng nhận biết được hoạt động mã hoá, các ứng dụng có thể hoạt động trong một bối cảnh hạn chế. Điều này có thể xảy ra trước khi người dùng cung cấp thông tin đăng nhập mà vẫn bảo vệ thông tin riêng tư của người dùng.

Mã hoá siêu dữ liệu

Android 9 hỗ trợ mã hoá siêu dữ liệu khi có sự hỗ trợ của phần cứng. Với tính năng mã hoá siêu dữ liệu, một khoá duy nhất có trong thời gian khởi động sẽ mã hoá mọi nội dung không được FBE mã hoá, chẳng hạn như bố cục thư mục, kích thước tệp, quyền và thời gian tạo/sửa đổi. Khoá này được bảo vệ bằng KeyMint (trước đây là Keymaster), và KeyMint lại được bảo vệ bằng tính năng Xác minh quy trình khởi động.

Mã hoá toàn bộ ổ đĩa

Android 5.0 đến Android 9 hỗ trợ mã hoá toàn bộ đĩa. Tính năng mã hoá toàn bộ ổ đĩa sử dụng một khoá duy nhất (được bảo vệ bằng mật khẩu thiết bị của người dùng) để bảo vệ toàn bộ phân vùng dữ liệu người dùng của thiết bị. Khi khởi động, người dùng phải cung cấp thông tin xác thực trước khi có thể truy cập vào bất kỳ phần nào của ổ đĩa.

Mặc dù điều này rất tốt cho việc bảo mật, nhưng có nghĩa là hầu hết chức năng cốt lõi của điện thoại sẽ không hoạt động ngay khi người dùng khởi động lại thiết bị. Vì quyền truy cập vào dữ liệu của họ được bảo vệ bằng thông tin đăng nhập duy nhất của người dùng, nên các tính năng như báo thức không hoạt động, dịch vụ hỗ trợ tiếp cận không dùng được và điện thoại không nhận được cuộc gọi.