Mã hóa toàn đĩa

Mã hóa toàn bộ đĩa là quá trình mã hóa tất cả dữ liệu người dùng trên thiết bị Android bằng khóa được mã hóa. Sau khi thiết bị được mã hóa, tất cả dữ liệu do người dùng tạo sẽ tự động được mã hóa trước khi đưa vào đĩa và tất cả sẽ tự động đọc dữ liệu giải mã trước khi đưa dữ liệu đó trở lại quy trình gọi.

Mã hóa toàn bộ ổ đĩa đã được giới thiệu cho Android ở phiên bản 4.4, nhưng Android 5.0 đã giới thiệu các tính năng mới sau:

  • Tạo mã hóa nhanh, chỉ mã hóa các khối được sử dụng trên phân vùng dữ liệu để tránh lần khởi động đầu tiên mất nhiều thời gian. Hiện chỉ có hệ thống tệp ext4 và f2fs hỗ trợ mã hóa nhanh.
  • Đã thêm cờ forceencrypt để mã hóa trong lần khởi động đầu tiên.
  • Đã thêm hỗ trợ cho các mẫu và mã hóa mà không cần mật khẩu.
  • Đã thêm bộ lưu trữ được hỗ trợ bằng phần cứng của khóa mã hóa bằng khả năng ký của Môi trường thực thi tin cậy (TEE) (chẳng hạn như trong TrustZone). Xem Lưu trữ khóa mã hóa để biết thêm chi tiết.

Thận trọng: Các thiết bị được nâng cấp lên Android 5.0 và sau đó được mã hóa có thể được đưa về trạng thái không được mã hóa bằng cách đặt lại dữ liệu ban đầu. Không thể đưa các thiết bị Android 5.0 mới được mã hóa ở lần khởi động đầu tiên về trạng thái không được mã hóa.

Cách mã hóa toàn bộ đĩa Android hoạt động

Mã hóa toàn bộ đĩa của Android dựa trên dm-crypt , đây là một tính năng hạt nhân hoạt động ở lớp thiết bị khối. Do đó, mã hóa hoạt động với Embedded MultiMediaCard ( eMMC) và các thiết bị flash tương tự tự hiển thị trong kernel dưới dạng thiết bị khối. Không thể mã hóa với YAFFS, giao tiếp trực tiếp với chip flash NAND thô.

Thuật toán mã hóa là 128 Tiêu chuẩn mã hóa nâng cao (AES) với chuỗi khối mật mã (CBC) và ESSIV:SHA256. Khóa chính được mã hóa bằng AES 128 bit thông qua các cuộc gọi đến thư viện OpenSSL. Bạn phải sử dụng 128 bit trở lên cho khóa (với 256 là tùy chọn).

Lưu ý: OEM có thể sử dụng 128 bit trở lên để mã hóa khóa chính.

Trong bản phát hành Android 5.0, có bốn loại trạng thái mã hóa:

  • mặc định
  • GHIM
  • mật khẩu
  • mẫu

Trong lần khởi động đầu tiên, thiết bị sẽ tạo khóa chính 128 bit được tạo ngẫu nhiên, sau đó băm khóa đó bằng mật khẩu mặc định và muối được lưu trữ. Mật khẩu mặc định là: "default_password" Tuy nhiên, hàm băm kết quả cũng được ký thông qua TEE (chẳng hạn như TrustZone), sử dụng hàm băm của chữ ký để mã hóa khóa chính.

Bạn có thể tìm thấy mật khẩu mặc định được xác định trong tệp cryptfs.cpp của Dự án mã nguồn mở Android.

Khi người dùng đặt mã PIN/pass hoặc mật khẩu trên thiết bị, chỉ khóa 128 bit được mã hóa lại và lưu trữ. (tức là các thay đổi về mã PIN/mật khẩu/mẫu của người dùng KHÔNG gây ra việc mã hóa lại dữ liệu người dùng.) Lưu ý rằng thiết bị được quản lý có thể phải chịu các hạn chế về mã PIN, mẫu hoặc mật khẩu.

Mã hóa được quản lý bởi initvold . init gọi vold và vold đặt thuộc tính để kích hoạt các sự kiện trong init. Các phần khác của hệ thống cũng xem xét các thuộc tính để thực hiện các tác vụ như báo cáo trạng thái, yêu cầu mật khẩu hoặc nhắc khôi phục cài đặt gốc trong trường hợp xảy ra lỗi nghiêm trọng. Để gọi các tính năng mã hóa trong vold , hệ thống sử dụng các lệnh cryptfs của công cụ dòng lệnh vdc : checkpw , restart , enablecrypto , changepw , cryptocomplete , verifypw , setfield , getfield , mountdefaultencrypted , getpwtype , getpwclearpw .

Để mã hóa, giải mã hoặc xóa /data , /data không được gắn kết. Tuy nhiên, để hiển thị bất kỳ giao diện người dùng (UI) nào, khung phải khởi động và khung yêu cầu /data để chạy. Để giải quyết câu hỏi hóc búa này, một hệ thống tệp tạm thời được gắn vào /data . Điều này cho phép Android nhắc nhập mật khẩu, hiển thị tiến trình hoặc đề xuất xóa dữ liệu nếu cần. Nó áp đặt giới hạn rằng để chuyển từ hệ thống tệp tạm thời sang hệ thống tệp đúng /data , hệ thống phải dừng mọi quy trình với các tệp đang mở trên hệ thống tệp tạm thời và khởi động lại các quy trình đó trên hệ thống tệp thực /data . Để thực hiện việc này, tất cả các dịch vụ phải thuộc một trong ba nhóm: core , mainlate_start .

  • core : Không bao giờ tắt sau khi khởi động.
  • main : Tắt và sau đó khởi động lại sau khi nhập mật khẩu đĩa.
  • late_start : Không bắt đầu cho đến khi /data được giải mã và gắn kết.

Để kích hoạt những hành động này, thuộc tính vold.decrypt được đặt thành nhiều chuỗi khác nhau . Để tắt và khởi động lại dịch vụ, các lệnh init là:

  • class_reset : Dừng dịch vụ nhưng cho phép khởi động lại dịch vụ đó bằng class_start.
  • class_start : Khởi động lại dịch vụ.
  • class_stop : Dừng dịch vụ và thêm cờ SVC_DISABLED . Các dịch vụ bị dừng không phản hồi class_start .

Chảy

Có bốn luồng cho một thiết bị được mã hóa. Thiết bị chỉ được mã hóa một lần và sau đó thực hiện quy trình khởi động bình thường.

  • Mã hóa thiết bị chưa được mã hóa trước đó:
    • Mã hóa thiết bị mới bằng forceencrypt : Mã hóa bắt buộc ở lần khởi động đầu tiên (bắt đầu từ Android L).
    • Mã hóa thiết bị hiện có: Mã hóa do người dùng thực hiện (Android K trở về trước).
  • Khởi động một thiết bị được mã hóa:
    • Khởi động thiết bị được mã hóa không có mật khẩu: Khởi động thiết bị được mã hóa không có mật khẩu được đặt (phù hợp với các thiết bị chạy Android 5.0 trở lên).
    • Khởi động thiết bị được mã hóa bằng mật khẩu: Khởi động thiết bị được mã hóa đã đặt mật khẩu.

Ngoài các luồng này, thiết bị cũng có thể không mã hóa được /data . Mỗi luồng được giải thích chi tiết dưới đây.

Mã hóa thiết bị mới bằng mã hóa bắt buộc

Đây là lần khởi động đầu tiên bình thường đối với thiết bị Android 5.0.

  1. Phát hiện hệ thống tập tin không được mã hóa bằng cờ forceencrypt

    /data không được mã hóa nhưng cần phải mã hóa vì buộc phải forceencrypt nó. Ngắt kết nối /data .

  2. Bắt đầu mã hóa /data

    vold.decrypt = "trigger_encryption" kích hoạt init.rc , điều này sẽ khiến vold mã hóa /data mà không cần mật khẩu. (Không có cài đặt nào vì đây phải là thiết bị mới.)

  3. Gắn tmpfs

    vold gắn kết một tmpfs /data (sử dụng các tùy chọn tmpfs từ ro.crypto.tmpfs_options ) và đặt thuộc tính vold.encrypt_progress thành 0. vold chuẩn bị tmpfs /data để khởi động hệ thống được mã hóa và đặt thuộc tính vold.decrypt thành: trigger_restart_min_framework

  4. Đưa ra khuôn khổ để hiển thị sự tiến bộ

    Vì thiết bị hầu như không có dữ liệu để mã hóa nên thanh tiến trình thường sẽ không thực sự xuất hiện vì quá trình mã hóa diễn ra quá nhanh. Xem Mã hóa thiết bị hiện có để biết thêm chi tiết về giao diện người dùng tiến trình.

  5. Khi /data được mã hóa, hãy gỡ khung xuống

    vold đặt vold.decrypt thành trigger_default_encryption để khởi động dịch vụ defaultcrypto . (Điều này bắt đầu quy trình bên dưới để gắn dữ liệu người dùng được mã hóa mặc định.) trigger_default_encryption kiểm tra loại mã hóa để xem liệu /data có được mã hóa có hoặc không có mật khẩu hay không. Vì thiết bị Android 5.0 được mã hóa trong lần khởi động đầu tiên nên không cần đặt mật khẩu; do đó chúng tôi giải mã và gắn kết /data .

  6. Gắn kết /data

    init sau đó gắn /data trên RAMDisk tmpfs bằng cách sử dụng các tham số mà nó chọn từ ro.crypto.tmpfs_options , được đặt trong init.rc .

  7. Bắt đầu khung

    vold đặt vold.decrypt thành trigger_restart_framework , quá trình này tiếp tục quá trình khởi động thông thường.

Mã hóa thiết bị hiện có

Đây là điều xảy ra khi bạn mã hóa một thiết bị Android K hoặc cũ hơn không được mã hóa đã được di chuyển sang L.

Quá trình này do người dùng thực hiện và được gọi là "mã hóa tại chỗ" trong mã. Khi người dùng chọn mã hóa thiết bị, giao diện người dùng sẽ đảm bảo pin đã được sạc đầy và bộ chuyển đổi AC được cắm vào để có đủ năng lượng để hoàn tất quá trình mã hóa.

Cảnh báo: Nếu thiết bị hết điện và tắt trước khi mã hóa xong, dữ liệu tệp sẽ ở trạng thái được mã hóa một phần. Thiết bị phải được khôi phục cài đặt gốc và tất cả dữ liệu sẽ bị mất.

Để kích hoạt mã hóa tại chỗ, vold bắt đầu một vòng lặp để đọc từng khu vực của thiết bị khối thực và sau đó ghi nó vào thiết bị khối mật mã. vold kiểm tra xem một khu vực có được sử dụng hay không trước khi đọc và ghi nó, điều này giúp mã hóa nhanh hơn nhiều trên một thiết bị mới có ít hoặc không có dữ liệu.

Trạng thái của thiết bị : Đặt ro.crypto.state = "unencrypted" và thực thi trình kích hoạt init on nonencrypted để tiếp tục khởi động.

  1. Kiểm tra mật khẩu

    Giao diện người dùng gọi vold bằng lệnh cryptfs enablecrypto inplace trong đó passwd là mật khẩu màn hình khóa của người dùng.

  2. Hạ khung xuống

    vold kiểm tra lỗi, trả về -1 nếu không thể mã hóa và in lý do vào nhật ký. Nếu nó có thể mã hóa, nó sẽ đặt thuộc tính vold.decrypt thành trigger_shutdown_framework . Điều này khiến init.rc dừng các dịch vụ trong các lớp late_startmain .

  3. Tạo chân trang tiền điện tử
  4. Tạo một tập tin đường dẫn
  5. Khởi động lại
  6. Phát hiện tập tin breadcrumb
  7. Bắt đầu mã hóa /data

    sau đó vold thiết lập ánh xạ mật mã, tạo ra một thiết bị khối mật mã ảo ánh xạ lên thiết bị khối thực nhưng mã hóa từng khu vực khi nó được ghi và giải mã từng khu vực khi nó được đọc. vold sau đó tạo và ghi siêu dữ liệu mật mã.

  8. Trong khi nó đang mã hóa, hãy gắn tmpfs

    vold gắn kết một tmpfs /data (sử dụng các tùy chọn tmpfs từ ro.crypto.tmpfs_options ) và đặt thuộc tính vold.encrypt_progress thành 0. vold chuẩn bị tmpfs /data để khởi động hệ thống được mã hóa và đặt thuộc tính vold.decrypt thành: trigger_restart_min_framework

  9. Đưa ra khuôn khổ để hiển thị sự tiến bộ

    trigger_restart_min_framework khiến init.rc khởi động lớp dịch vụ main . Khi khung thấy rằng vold.encrypt_progress được đặt thành 0, nó sẽ hiển thị giao diện người dùng của thanh tiến trình, truy vấn thuộc tính đó cứ sau 5 giây và cập nhật thanh tiến trình. Vòng mã hóa cập nhật vold.encrypt_progress mỗi khi nó mã hóa một phần trăm khác của phân vùng.

  10. Khi /data được mã hóa, hãy cập nhật chân trang mật mã

    Khi /data được mã hóa thành công, vold sẽ xóa cờ ENCRYPTION_IN_PROGRESS trong siêu dữ liệu.

    Khi thiết bị được mở khóa thành công, mật khẩu sẽ được sử dụng để mã hóa khóa chính và chân trang mật mã sẽ được cập nhật.

    Nếu vì lý do nào đó quá trình khởi động lại không thành công, vold sẽ đặt thuộc tính vold.encrypt_progress thành error_reboot_failed và giao diện người dùng sẽ hiển thị thông báo yêu cầu người dùng nhấn nút để khởi động lại. Điều này dự kiến ​​sẽ không bao giờ xảy ra.

Khởi động thiết bị được mã hóa bằng mã hóa mặc định

Đây là điều xảy ra khi bạn khởi động một thiết bị được mã hóa mà không có mật khẩu. Vì thiết bị Android 5.0 được mã hóa trong lần khởi động đầu tiên nên không cần đặt mật khẩu và do đó đây là trạng thái mã hóa mặc định .

  1. Phát hiện /data được mã hóa không có mật khẩu

    Phát hiện thiết bị Android được mã hóa vì /data không thể được gắn kết và một trong các cờ encryptable hoặc forceencrypt được đặt.

    vold đặt vold.decrypt thành trigger_default_encryption , khởi động dịch vụ defaultcrypto . trigger_default_encryption kiểm tra loại mã hóa để xem liệu /data có được mã hóa có hoặc không có mật khẩu hay không.

  2. Giải mã /dữ liệu

    Tạo thiết bị dm-crypt trên thiết bị khối để thiết bị sẵn sàng sử dụng.

  3. Gắn kết/dữ liệu

    vold sau đó gắn kết phân vùng /data thực đã được giải mã và chuẩn bị phân vùng mới. Nó đặt thuộc tính vold.post_fs_data_done thành 0 và sau đó đặt vold.decrypt thành trigger_post_fs_data . Điều này khiến init.rc chạy các lệnh post-fs-data . Họ sẽ tạo bất kỳ thư mục hoặc liên kết cần thiết nào rồi đặt vold.post_fs_data_done thành 1.

    Khi vold nhìn thấy số 1 trong thuộc tính đó, nó sẽ đặt thuộc tính vold.decrypt thành: trigger_restart_framework. Điều này khiến init.rc khởi động lại các dịch vụ trong lớp main và cũng bắt đầu các dịch vụ trong lớp late_start lần đầu tiên kể từ khi khởi động.

  4. Bắt đầu khung

    Bây giờ, khung khởi động tất cả các dịch vụ của nó bằng cách sử dụng /data đã được giải mã và hệ thống đã sẵn sàng để sử dụng.

Khởi động một thiết bị được mã hóa mà không có mã hóa mặc định

Đây là điều xảy ra khi bạn khởi động một thiết bị được mã hóa đã đặt mật khẩu. Mật khẩu của thiết bị có thể là mã pin, mẫu hoặc mật khẩu.

  1. Phát hiện thiết bị được mã hóa bằng mật khẩu

    Phát hiện thiết bị Android bị mã hóa do gắn cờ ro.crypto.state = "encrypted"

    vold đặt vold.decrypt thành trigger_restart_min_framework/data được mã hóa bằng mật khẩu.

  2. Gắn tmpfs

    init đặt năm thuộc tính để lưu các tùy chọn gắn kết ban đầu được cung cấp cho /data với các tham số được truyền từ init.rc . vold sử dụng các thuộc tính này để thiết lập ánh xạ mật mã:

    1. ro.crypto.fs_type
    2. ro.crypto.fs_real_blkdev
    3. ro.crypto.fs_mnt_point
    4. ro.crypto.fs_options
    5. ro.crypto.fs_flags (Số hex 8 chữ số ASCII đứng trước 0x)
  3. Bắt đầu khung để nhắc mật khẩu

    Khung khởi động và thấy rằng vold.decrypt được đặt thành trigger_restart_min_framework . Điều này cho khung biết rằng nó đang khởi động trên đĩa tmpfs /data và nó cần lấy mật khẩu người dùng.

    Tuy nhiên, trước tiên, nó cần đảm bảo rằng đĩa đã được mã hóa chính xác. Nó gửi lệnh cryptfs cryptocomplete tới vold . vold trả về 0 nếu quá trình mã hóa được hoàn thành thành công, -1 do lỗi nội bộ hoặc -2 nếu quá trình mã hóa không được hoàn thành thành công. vold xác định điều này bằng cách xem xét siêu dữ liệu mật mã để tìm cờ CRYPTO_ENCRYPTION_IN_PROGRESS . Nếu được đặt, quá trình mã hóa sẽ bị gián đoạn và không có dữ liệu nào có thể sử dụng được trên thiết bị. Nếu vold trả về lỗi, giao diện người dùng sẽ hiển thị thông báo cho người dùng để khởi động lại và khôi phục cài đặt gốc cho thiết bị, đồng thời cung cấp cho người dùng một nút để nhấn để thực hiện việc đó.

  4. Giải mã dữ liệu bằng mật khẩu

    Sau khi cryptfs cryptocomplete thành công, khung sẽ hiển thị giao diện người dùng yêu cầu mật khẩu ổ đĩa. Giao diện người dùng kiểm tra mật khẩu bằng cách gửi lệnh cryptfs checkpw tới vold . Nếu mật khẩu đúng (được xác định bằng cách gắn thành công /data đã giải mã vào một vị trí tạm thời, sau đó ngắt kết nối nó), vold sẽ lưu tên của thiết bị khối được giải mã trong thuộc tính ro.crypto.fs_crypto_blkdev và trả về trạng thái 0 cho giao diện người dùng . Nếu mật khẩu không chính xác, nó sẽ trả về -1 cho giao diện người dùng.

  5. Dừng khung

    Giao diện người dùng hiển thị đồ họa khởi động tiền điện tử và sau đó gọi vold bằng lệnh cryptfs restart . vold đặt thuộc tính vold.decrypt thành trigger_reset_main , điều này khiến init.rc thực hiện class_reset main . Điều này dừng tất cả các dịch vụ trong lớp chính, cho phép ngắt kết nối tmpfs /data .

  6. Gắn kết /data

    vold sau đó gắn kết phân vùng thực /data đã được giải mã và chuẩn bị phân vùng mới (có thể chưa bao giờ được chuẩn bị nếu nó được mã hóa bằng tùy chọn xóa, tùy chọn này không được hỗ trợ trong bản phát hành đầu tiên). Nó đặt thuộc tính vold.post_fs_data_done thành 0 và sau đó đặt vold.decrypt thành trigger_post_fs_data . Điều này khiến init.rc chạy các lệnh post-fs-data . Họ sẽ tạo bất kỳ thư mục hoặc liên kết cần thiết nào rồi đặt vold.post_fs_data_done thành 1. Khi vold nhìn thấy số 1 trong thuộc tính đó, nó sẽ đặt thuộc tính vold.decrypt thành trigger_restart_framework . Điều này khiến init.rc khởi động lại các dịch vụ trong lớp main và cũng bắt đầu các dịch vụ trong lớp late_start lần đầu tiên kể từ khi khởi động.

  7. Bắt đầu khung đầy đủ

    Bây giờ, khung khởi động tất cả các dịch vụ của nó bằng hệ thống tệp /data đã được giải mã và hệ thống đã sẵn sàng để sử dụng.

Sự thất bại

Một thiết bị không giải mã được có thể bị trục trặc vì một số lý do. Thiết bị bắt đầu với chuỗi các bước khởi động thông thường:

  1. Phát hiện thiết bị được mã hóa bằng mật khẩu
  2. Gắn tmpfs
  3. Bắt đầu khung để nhắc mật khẩu

Nhưng sau khi framework mở ra, thiết bị có thể gặp một số lỗi:

  • Mật khẩu trùng khớp nhưng không thể giải mã dữ liệu
  • Người dùng nhập sai mật khẩu 30 lần

Nếu những lỗi này không được giải quyết, hãy nhắc người dùng xóa sạch nhà máy :

Nếu vold phát hiện lỗi trong quá trình mã hóa và nếu chưa có dữ liệu nào bị hủy và khung hoạt động, vold sẽ đặt thuộc tính vold.encrypt_progress thành error_not_encrypted . Giao diện người dùng nhắc người dùng khởi động lại và cảnh báo họ rằng quá trình mã hóa chưa bao giờ bắt đầu. Nếu lỗi xảy ra sau khi khung bị phá bỏ, nhưng trước khi giao diện người dùng của thanh tiến trình hoạt động, vold sẽ khởi động lại hệ thống. Nếu khởi động lại không thành công, nó sẽ đặt vold.encrypt_progress thành error_shutting_down và trả về -1; nhưng sẽ không có gì để bắt lỗi. Điều này không được mong đợi sẽ xảy ra.

Nếu vold phát hiện lỗi trong quá trình mã hóa, nó sẽ đặt vold.encrypt_progress thành error_partially_encrypted và trả về -1. Sau đó, giao diện người dùng sẽ hiển thị thông báo cho biết mã hóa không thành công và cung cấp nút để người dùng khôi phục cài đặt gốc cho thiết bị.

Lưu trữ khóa được mã hóa

Khóa mã hóa được lưu trữ trong siêu dữ liệu mật mã. Sao lưu phần cứng được triển khai bằng cách sử dụng khả năng ký của Môi trường thực thi tin cậy (TEE). Trước đây, chúng tôi đã mã hóa khóa chính bằng khóa được tạo bằng cách áp dụng mật mã cho mật khẩu của người dùng và muối được lưu trữ. Để giúp khóa có khả năng phục hồi trước các cuộc tấn công ngoài hộp, chúng tôi mở rộng thuật toán này bằng cách ký khóa kết quả bằng khóa TEE được lưu trữ. Chữ ký kết quả sau đó được biến thành một khóa có độ dài thích hợp bằng một ứng dụng mã hóa khác. Khóa này sau đó được sử dụng để mã hóa và giải mã khóa chính. Để lưu trữ khóa này:

  1. Tạo khóa mã hóa đĩa 16 byte ngẫu nhiên (DEK) và muối 16 byte.
  2. Áp dụng mật mã cho mật khẩu người dùng và muối để tạo khóa trung gian 32 byte 1 (IK1).
  3. Pad IK1 có 0 byte theo kích thước của khóa riêng được giới hạn phần cứng (HBK). Cụ thể, chúng tôi đệm như sau: 00 || IK1 || 00..00; một byte 0, 32 byte IK1, 223 byte 0.
  4. Ký IK1 được đệm bằng HBK để tạo ra IK2 256 byte.
  5. Áp dụng mật mã cho IK2 và muối (cùng muối với bước 2) để tạo IK3 32 byte.
  6. Sử dụng 16 byte đầu tiên của IK3 làm KEK và 16 byte cuối cùng làm IV.
  7. Mã hóa DEK bằng AES_CBC, bằng khóa KEK và vectơ khởi tạo IV.

Thay đổi mật khẩu

Khi người dùng chọn thay đổi hoặc xóa mật khẩu của họ trong cài đặt, giao diện người dùng sẽ gửi lệnh cryptfs changepw tới voldvold mã hóa lại khóa chính của đĩa bằng mật khẩu mới.

Thuộc tính mã hóa

voldinit giao tiếp với nhau bằng cách thiết lập thuộc tính. Dưới đây là danh sách các thuộc tính có sẵn để mã hóa.

Thuộc tính Vold

Tài sản Sự miêu tả
vold.decrypt trigger_encryption Mã hóa ổ đĩa không cần mật khẩu.
vold.decrypt trigger_default_encryption Kiểm tra ổ đĩa xem nó có được mã hóa bằng mật khẩu không. Nếu đúng như vậy, hãy giải mã và gắn kết nó, nếu không thì đặt vold.decrypt thành trigger_restart_min_framework.
vold.decrypt trigger_reset_main Đặt bởi vold để tắt giao diện người dùng yêu cầu mật khẩu đĩa.
vold.decrypt trigger_post_fs_data Đặt bởi vold để chuẩn bị /data với các thư mục cần thiết, et al.
vold.decrypt trigger_restart_framework Được đặt bởi vold để bắt đầu khung thực và tất cả các dịch vụ.
vold.decrypt trigger_shutdown_framework Đặt bởi vold để tắt toàn bộ khung để bắt đầu mã hóa.
vold.decrypt trigger_restart_min_framework Được đặt bởi vold để khởi động giao diện người dùng thanh tiến trình để mã hóa hoặc nhắc nhập mật khẩu, tùy thuộc vào giá trị của ro.crypto.state .
vold.encrypt_progress Khi khung khởi động, nếu thuộc tính này được đặt, hãy vào chế độ giao diện người dùng của thanh tiến trình.
vold.encrypt_progress 0 to 100 Giao diện người dùng thanh tiến trình sẽ hiển thị giá trị phần trăm được đặt.
vold.encrypt_progress error_partially_encrypted Giao diện người dùng của thanh tiến trình sẽ hiển thị thông báo rằng mã hóa không thành công và cung cấp cho người dùng tùy chọn khôi phục cài đặt gốc cho thiết bị.
vold.encrypt_progress error_reboot_failed Giao diện người dùng của thanh tiến trình sẽ hiển thị thông báo cho biết quá trình mã hóa đã hoàn tất và cung cấp cho người dùng nút để khởi động lại thiết bị. Lỗi này dự kiến ​​sẽ không xảy ra.
vold.encrypt_progress error_not_encrypted Giao diện người dùng của thanh tiến trình sẽ hiển thị thông báo cho biết đã xảy ra lỗi, không có dữ liệu nào được mã hóa hoặc bị mất và cung cấp cho người dùng nút để khởi động lại hệ thống.
vold.encrypt_progress error_shutting_down Giao diện người dùng thanh tiến trình không chạy nên không rõ ai sẽ phản hồi lỗi này. Và dù sao thì nó cũng không bao giờ nên xảy ra.
vold.post_fs_data_done 0 Được đặt bởi vold ngay trước khi đặt vold.decrypt thành trigger_post_fs_data .
vold.post_fs_data_done 1 Được đặt bởi init.rc hoặc init.rc ngay sau khi hoàn thành nhiệm vụ post-fs-data .

thuộc tính ban đầu

Tài sản Sự miêu tả
ro.crypto.fs_crypto_blkdev Đặt bằng lệnh vold checkpw để sử dụng sau bằng lệnh vold restart .
ro.crypto.state unencrypted Được đặt bởi init để cho biết hệ thống này đang chạy với mã hóa /data ro.crypto.state encrypted . Được đặt bởi init để cho biết hệ thống này đang chạy với /data được mã hóa.

ro.crypto.fs_type
ro.crypto.fs_real_blkdev
ro.crypto.fs_mnt_point
ro.crypto.fs_options
ro.crypto.fs_flags

Năm thuộc tính này được thiết lập bởi init khi nó cố gắn kết /data với các tham số được truyền vào từ init.rc . vold sử dụng những thứ này để thiết lập ánh xạ mật mã.
ro.crypto.tmpfs_options Được thiết lập bởi init.rc với các tùy chọn init nên sử dụng khi gắn hệ thống tệp tmpfs /data .

Hành động khởi tạo

on post-fs-data
on nonencrypted
on property:vold.decrypt=trigger_reset_main
on property:vold.decrypt=trigger_post_fs_data
on property:vold.decrypt=trigger_restart_min_framework
on property:vold.decrypt=trigger_restart_framework
on property:vold.decrypt=trigger_shutdown_framework
on property:vold.decrypt=trigger_encryption
on property:vold.decrypt=trigger_default_encryption