La encriptación es el proceso de codificar todos los datos del usuario en un dispositivo Android con claves de encriptación simétrica. Una vez que se encripta un dispositivo, todos los datos creados por el usuario se encriptan automáticamente antes de confirmarlos en el disco, y todas las operaciones de lectura desencriptan automáticamente los datos antes de devolverlos al proceso de llamada. La encriptación garantiza que, incluso si un tercero no autorizado intenta acceder a los datos, no podrá leerlos.
Android tiene dos métodos para la encriptación de dispositivos: la encriptación basada en archivos y la encriptación de disco completo.
Encriptación basada en archivos
Android 7.0 y versiones posteriores admiten la encriptación basada en archivos. La encriptación basada en archivos permite que diferentes archivos se encripten con diferentes claves que se pueden desbloquear de forma independiente. Los dispositivos que admiten la encriptación basada en archivos también pueden admitir el inicio directo, que permite que los dispositivos encriptados se inicien directamente en la pantalla de bloqueo, lo que permite un acceso rápido a funciones importantes del dispositivo, como los servicios de accesibilidad y las alarmas.
Con la encriptación basada en archivos y las APIs que reconocen la encriptación a las apps, estas pueden funcionar en un contexto limitado. Esto puede ocurrir antes de que los usuarios proporcionen sus credenciales y, al mismo tiempo, proteger su información privada.
Encriptación de metadatos
Android 9 incluye compatibilidad con la encriptación de metadatos, que es compatible con el hardware. Con la encriptación de metadatos, una sola clave presente al momento del inicio encripta todo el contenido que la FBE no encripta, como los diseños de directorios, los tamaños de archivo, los permisos y los tiempos de creación o modificación. Esta clave está protegida por Keymaster, que, a su vez, cuenta con el inicio verificado.
Encriptación de disco completo
Las versiones de Android 5.0 a Android 9 admiten la encriptación de disco completo. La encriptación de todo el disco usa una sola clave, protegida con la contraseña del dispositivo del usuario, para proteger toda la partición de datos del usuario de un dispositivo. Al iniciarse, el usuario debe proporcionar sus credenciales antes de que se pueda acceder a cualquier parte del disco.
Si bien esta opción es excelente para la seguridad, significa que la mayor parte de la funcionalidad principal del teléfono no está disponible de inmediato cuando los usuarios lo reinician. Debido a que el acceso a sus datos está protegido por su credencial de usuario único, las funciones como las alarmas no podían funcionar, los servicios de accesibilidad no estaban disponibles y los teléfonos no podían recibir llamadas.