رمزگذاری فرآیند رمزگذاری تمام دادههای کاربر در دستگاه Android با استفاده از کلیدهای رمزگذاری متقارن است. هنگامی که یک دستگاه رمزگذاری می شود، تمام داده های ایجاد شده توسط کاربر به طور خودکار قبل از انتقال آن به دیسک رمزگذاری می شوند و همه داده ها به طور خودکار قبل از بازگرداندن آنها به فرآیند تماس، رمزگشایی می شوند. رمزگذاری تضمین می کند که حتی اگر یک شخص غیرمجاز سعی کند به داده ها دسترسی پیدا کند، قادر به خواندن آن نخواهند بود.
اندروید دو روش برای رمزگذاری دستگاه دارد: رمزگذاری مبتنی بر فایل و رمزگذاری فول دیسک.
رمزگذاری مبتنی بر فایل
Android 7.0 و بالاتر از رمزگذاری مبتنی بر فایل پشتیبانی می کند. رمزگذاری مبتنی بر فایل اجازه می دهد تا فایل های مختلف با کلیدهای مختلف رمزگذاری شوند که می توانند به طور مستقل باز شوند. دستگاههایی که از رمزگذاری مبتنی بر فایل پشتیبانی میکنند میتوانند از Direct Boot نیز پشتیبانی کنند، که به دستگاههای رمزگذاریشده اجازه میدهد مستقیماً روی صفحه قفل راهاندازی شوند، بنابراین دسترسی سریع به ویژگیهای مهم دستگاه مانند خدمات دسترسی و هشدارها را امکانپذیر میسازد.
با رمزگذاری مبتنی بر فایل و API هایی که برنامه ها را از رمزگذاری آگاه می کند، برنامه ها می توانند در یک زمینه محدود عمل کنند. این ممکن است قبل از اینکه کاربران اعتبار خود را ارائه دهند و در عین حال از اطلاعات خصوصی کاربر محافظت کنند، رخ دهد.
رمزگذاری متادیتا
اندروید 9 از رمزگذاری ابرداده پشتیبانی میکند، جایی که پشتیبانی سختافزاری وجود دارد. با رمزگذاری ابرداده، یک کلید موجود در زمان راهاندازی، هر محتوایی را که توسط FBE رمزگذاری نشده است، رمزگذاری میکند، مانند طرحبندی فهرست، اندازه فایل، مجوزها، و زمان ایجاد/تغییر. این کلید توسط KeyMint (قبلاً Keymaster) محافظت می شود که به نوبه خود توسط Verified Boot محافظت می شود.
رمزگذاری فول دیسک
Android 5.0 تا Android 9 از رمزگذاری تمام دیسک پشتیبانی می کند. رمزگذاری فول دیسک از یک کلید واحد – محافظت شده با رمز عبور دستگاه کاربر – برای محافظت از کل پارتیشن دادههای کاربر دستگاه استفاده میکند. پس از راهاندازی، کاربر باید قبل از دسترسی به هر بخشی از دیسک، اعتبار خود را ارائه کند.
در حالی که این برای امنیت عالی است، به این معنی است که بسیاری از عملکردهای اصلی تلفن بلافاصله هنگامی که کاربران دستگاه خود را راه اندازی مجدد می کنند، در دسترس نیستند. از آنجایی که دسترسی به دادههای آنها پشت اعتبار کاربری تک کاربر محافظت میشود، ویژگیهایی مانند زنگ هشدار نمیتوانند کار کنند، سرویسهای دسترسپذیری در دسترس نبودند و تلفنها نمیتوانستند تماسها را دریافت کنند.