Bei der Verschlüsselung werden alle Nutzerdaten auf einem Android-Gerät mithilfe von symmetrischen Verschlüsselungsschlüsseln codiert. Sobald ein Gerät verschlüsselt ist, werden alle vom Nutzer erstellten Daten automatisch verschlüsselt, bevor sie auf die Festplatte geschrieben werden. Bei allen Lesevorgängen werden die Daten automatisch entschlüsselt, bevor sie an den aufrufenden Prozess zurückgegeben werden. Durch die Verschlüsselung wird sichergestellt, dass Unbefugte die Daten nicht lesen können, auch wenn sie versuchen, darauf zuzugreifen.
Android bietet zwei Methoden zur Geräteverschlüsselung: die dateibasierte Verschlüsselung und die Volllaufwerkverschlüsselung.
Dateibasierte Verschlüsselung
Android 7.0 und höher unterstützen die dateibasierte Verschlüsselung. Bei der dateibasierten Verschlüsselung können verschiedene Dateien mit unterschiedlichen Schlüsseln verschlüsselt und unabhängig voneinander entsperrt werden. Geräte, die die dateibasierte Verschlüsselung unterstützen, können auch Direct Boot unterstützen. Dadurch können verschlüsselte Geräte direkt zum Sperrbildschirm booten und so schnell auf wichtige Gerätefunktionen wie Bedienungshilfen und Wecker zugreifen.
Mit der dateibasierten Verschlüsselung und APIs, die Apps über die Verschlüsselung informieren, können Apps in einem begrenzten Kontext ausgeführt werden. Dies kann geschehen, bevor Nutzer ihre Anmeldedaten angegeben haben, und dabei werden private Nutzerinformationen geschützt.
Metadatenverschlüsselung
In Android 9 wird die Verschlüsselung von Metadaten unterstützt, sofern Hardware-Unterstützung vorhanden ist. Bei der Metadatenverschlüsselung werden alle Inhalte, die nicht durch die FBE verschlüsselt werden, mit einem einzigen Schlüssel verschlüsselt, der zum Zeitpunkt des Starts vorhanden ist. Dazu gehören Verzeichnislayouts, Dateigrößen, Berechtigungen und Erstellungs-/Änderungszeiten. Dieser Schlüssel wird von Keymaster geschützt, der wiederum durch den verifizierten Bootmodus geschützt wird.
Datenträgervollverschlüsselung
Android 5.0 bis Android 9 unterstützen die Vollständige Datenträgerverschlüsselung. Die Datenträgervollverschlüsselung verwendet einen einzigen Schlüssel, der mit dem Gerätepasswort des Nutzers geschützt ist, um die gesamte Nutzerdatenpartition eines Geräts zu schützen. Beim Starten muss der Nutzer seine Anmeldedaten angeben, bevor ein Teil des Laufwerks zugänglich ist.
Das ist zwar sehr vorteilhaft für die Sicherheit, bedeutet aber, dass die meisten Hauptfunktionen des Smartphones nicht sofort verfügbar sind, wenn Nutzer ihr Gerät neu starten. Da der Zugriff auf ihre Daten durch Anmeldedaten eines einzelnen Nutzers geschützt ist, konnten Funktionen wie Alarme nicht ausgeführt werden, Bedienungshilfen waren nicht verfügbar und Smartphones konnten keine Anrufe empfangen.