הצפנת מטא-נתונים

Android 7.0 ואילך תומך בהצפנה מבוססת-קבצים (FBE). FBE מאפשר להצפין קבצים שונים באמצעות מפתחות שונים, שאפשר לבטל את הנעילה שלהם בנפרד. המפתחות האלה משמשים להצפנת תוכן הקבצים וגם את שמות הקבצים. כשמשתמשים ב-FBE, מידע אחר לא מוצפן, כמו פריסות הספריות, גודל הקבצים, הרשאות וזמני היצירה/שינוי. המידע הזה נקרא 'מטא-נתונים של מערכת הקבצים'.

בגרסה Android 9 נוספה תמיכה בהצפנת מטא-נתונים. באמצעות הצפנת המטא-נתונים, מפתח יחיד שנמצא בזמן ההפעלה מצפין את כל התוכן שלא הוצפן על ידי FBE. המפתח הזה מוגן על ידי Keymaster, שמוגן בתורו על ידי אתחול מאומת.

הצפנת מטא-נתונים תמיד מופעלת באחסון מותאם בכל פעם ש-FBE מופעל. אפשר להפעיל הצפנה של מטא-נתונים גם באחסון הפנימי. במכשירים שמושקעים עם Android מגרסה 11 ואילך, צריכה להיות מופעלת הצפנת מטא-נתונים באחסון הפנימי.

הטמעה באחסון פנימי

כדי להגדיר הצפנת מטא-נתונים באחסון הפנימי של מכשירים חדשים, צריך להגדיר את מערכת הקבצים metadata, לשנות את רצף ה-init ולהפעיל את הצפנת המטא-נתונים בקובץ fstab של המכשיר.

דרישות מוקדמות

אפשר להגדיר הצפנה של מטא-נתונים רק בפעם הראשונה שמפורמטים את מחיצה הנתונים. כתוצאה מכך, התכונה הזו מיועדת רק למכשירים חדשים. זה לא משהו שצריך לשנות ב-OTA.

כדי להצפין את המטא-נתונים, צריך להפעיל את המודול dm-default-key בליבה (kernel) שלכם. ב-Android מגרסה 11 ואילך, dm-default-key נתמך על ידי הליבות הנפוצות של Android, גרסה 4.14 ואילך. בגרסה הזו של dm-default-key נעשה שימוש במסגרת הצפנה שאינה תלויה בחומרה ובספק, שנקראת blk-crypto.

כדי להפעיל את dm-default-key, צריך להשתמש בפקודה:

CONFIG_BLK_INLINE_ENCRYPTION=y
CONFIG_FS_ENCRYPTION_INLINE_CRYPT=y
CONFIG_DM_DEFAULT_KEY=y

dm-default-key משתמש בחומרת הצפנה מוטבעת (חומרה שמצפינה/מפענחת נתונים בזמן שהם בדרך למכשיר האחסון או ממנו) כשהיא זמינה. אם לא משתמשים בחומרה של הצפנה מוטמעת, צריך גם להפעיל חזרה ל-API הקריפטוגרפי של הליבה:

CONFIG_BLK_INLINE_ENCRYPTION_FALLBACK=y

כשלא משתמשים בחומרת הצפנה מוטבעת, צריך גם להפעיל כל האצה זמינה שמבוססת על המעבד (CPU), כפי שהומלץ במסמכי התיעוד של FBE.

ב-Android מגרסה 10 ומטה, הליבה של Android לא נתמכת ב-dm-default-key. לכן, הספקים היו צריכים להטמיע את dm-default-key.

הגדרת מערכת קבצים של מטא-נתונים

מכיוון שאי אפשר לקרוא שום דבר במחיצת נתוני המשתמש עד שמפתח ההצפנה של המטא-נתונים נמצא, טבלת המחיצות חייבת להקצות מחיצה נפרדת שנקראת 'מחיצת מטא-נתונים' לאחסון ה-blobs של Keymaster שמגינים על המפתח הזה. מחיצת המטא-נתונים צריכה להיות בגודל 16MB.

fstab.hardware חייב לכלול רשומה למערכת הקבצים של המטא-נתונים שנמצאת במחיצה הזו שטעונה על /metadata, כולל הדגל formattable כדי לוודא שהפורמט שלה בזמן ההפעלה. מערכת הקבצים f2fs לא פועלת במחיצות קטנות יותר. מומלץ להשתמש ב-ext4 במקום זאת. לדוגמה:

/dev/block/bootdevice/by-name/metadata              /metadata          ext4        noatime,nosuid,nodev,discard                          wait,check,formattable

כדי לוודא שנקודת הטעינה /metadata קיימת, מוסיפים את השורה הבאה ל-BoardConfig-common.mk:

BOARD_USES_METADATA_PARTITION := true

שינויים ברצף ה-init

כשמשתמשים בהצפנת מטא-נתונים, vold חייב לפעול לפני הטעינה של /data. כדי להבטיח שההפעלה תתחיל מספיק מוקדם, הוסיפו את הבית הבא ל-init.hardware.rc:

# We need vold early for metadata encryption
on early-fs
    start vold

‏Keymaster צריך לפעול ולהיות מוכן לפני ש-init מנסה לטעון את /data.

init.hardware.rc כבר צריך להכיל הוראה mount_all שמרכיבה את /data בעצמה בסטנזה on late-fs. לפני הקו הזה, מוסיפים את ההוראה להפעלת השירות wait_for_keymaster:

on late-fs
   … 
    # Wait for keymaster
    exec_start wait_for_keymaster

    # Mount RW partitions which need run fsck
    mount_all /vendor/etc/fstab.${ro.boot.hardware.platform} --late

הפעלה של הצפנת מטא-נתונים

לבסוף, מוסיפים את keydirectory=/metadata/vold/metadata_encryption לעמודה fs_mgr_flags של הערך fstab עבור userdata. לדוגמה, שורה מלאה ב-fstab עשויה להיראות כך:

/dev/block/bootdevice/by-name/userdata              /data              f2fs        noatime,nosuid,nodev,discard,inlinecrypt latemount,wait,check,fileencryption=aes-256-xts:aes-256-cts:inlinecrypt_optimized,keydirectory=/metadata/vold/metadata_encryption,quota,formattable

כברירת מחדל, אלגוריתם ההצפנה של המטא-נתונים באחסון הפנימי הוא AES-256-XTS. אפשר לשנות את זה על ידי הגדרה של האפשרות metadata_encryption, גם בעמודה fs_mgr_flags:

• במכשירים שאין בהם האצת AES, אפשר להפעיל הצפנה ב-Adiantum על ידי הגדרה של metadata_encryption=adiantum.
• במכשירים שתומכים במפתחות מוצפנים בחומרה, אפשר להגדיר את המפתח להצפנת המטא-נתונים כמפתח מוצפן בחומרה על ידי הגדרת הערך metadata_encryption=aes-256-xts:wrappedkey_v0 (או הערך המקביל metadata_encryption=:wrappedkey_v0, כי aes-256-xts הוא אלגוריתם ברירת המחדל).

מכיוון שממשק הליבה ל-dm-default-key השתנה ב-Android 11, צריך גם לוודא שהגדרתם את הערך הנכון של PRODUCT_SHIPPING_API_LEVEL ב-device.mk. לדוגמה, אם המכשיר מופעל עם Android 11 (רמת API 30), device.mk צריך להכיל:

PRODUCT_SHIPPING_API_LEVEL := 30

אפשר גם להגדיר את מאפיין המערכת הבא כדי לאלץ את השימוש ב-API החדש של dm-default-key, ללא קשר לרמת ה-API של המשלוח:

PRODUCT_PROPERTY_OVERRIDES += \
    ro.crypto.dm_default_key.options_format.version=2

אימות

כדי לוודא שהצפנת המטא-נתונים מופעלת ופועלת כראוי, מריצים את הבדיקות שמתוארות בהמשך. חשוב גם לשים לב לבעיות הנפוצות שמתוארות בהמשך.

בדיקות

מתחילים בהרצת הפקודה הבאה כדי לוודא שהצפנת המטא-נתונים מופעלת באחסון הפנימי:

adb root
adb shell dmctl table userdata

הפלט אמור להיראות כך:

Targets in the device-mapper table for userdata:
0-4194304: default-key, aes-xts-plain64 - 0 252:2 0 3 allow_discards sector_size:4096 iv_large_sectors

אם שיניתם את הגדרות ברירת המחדל להצפנה על ידי הגדרת האפשרות metadata_encryption ב-fstab של המכשיר, הפלט יהיה שונה מעט מזה שמופיע למעלה. לדוגמה, אם הפעלתם הצפנת Adiantum, השדה השלישי יהיה xchacha12,aes-adiantum-plain64 במקום aes-xts-plain64.

לאחר מכן, מריצים את vts_kernel_encryption_test כדי לוודא שהצפנת המטא-נתונים וה-FBE נכונים:

atest vts_kernel_encryption_test

או:

vts-tradefed run vts -m vts_kernel_encryption_test

בעיות נפוצות

במהלך הקריאה ל-mount_all, שטוענת את המחיצה /data עם הצפנת המטא-נתונים, init מפעיל את הכלי vdc. הכלי vdc מתחבר ל-vold דרך binder כדי להגדיר את המכשיר עם ההצפנה של המטא-נתונים ולטעון את המחיצה. במהלך הקריאה הזו, init חסום, ומנסה לקרוא או להגדיר את חסימת המאפיינים של init עד לסיום mount_all. אם בשלב הזה, חלק כלשהו ביצירה של vold חסום באופן ישיר או עקיף בקריאה או בהגדרה של נכס, יתקבלו תוצאות מבוימות. חשוב לוודא ש-vold יכול להשלים את העבודה של קריאת המפתחות, האינטראקציה עם Keymaster והרכבת ספריית הנתונים בלי אינטראקציה נוספת עם init.

אם Keymaster לא מופעל במלואו כשהפעולה mount_all פועלת, הוא לא מגיב ל-vold עד שהוא קורא מאפיינים מסוימים מ-init, וכתוצאה מכך נוצרת בדיוק אותה נעילה מרומזת שמתוארת. הצבת exec_start wait_for_keymaster מעל ההפעלה הרלוונטית של mount_all כפי שהוגדרה מבטיחה ש-Keymaster יפעל במלואו מראש, כדי למנוע את המבוי סתום הזה.

הגדרה באחסון שניתן להתאמה

החל מ-Android 9, סוג של הצפנת מטא-נתונים תמיד מופעל באחסון מותאם בכל פעם ש-FBE מופעל, גם אם הצפנת המטא-נתונים לא מופעלת באחסון הפנימי.

ב-AOSP יש שתי הטמעות של הצפנת מטא-נתונים באחסון שניתן לאמץ: הטמעה הוצאה משימוש על סמך dm-crypt ויישום חדש יותר שמבוסס על dm-default-key. כדי לוודא שבחרתם את ההטמעה המתאימה למכשיר, חשוב לוודא שהגדרתם את הערך הנכון של PRODUCT_SHIPPING_API_LEVEL בקובץ device.mk. לדוגמה, אם המכשיר הושק עם Android 11 (רמת API‏ 30), השדה device.mk צריך להכיל את הפרטים הבאים:

PRODUCT_SHIPPING_API_LEVEL := 30

אפשר גם להגדיר את מאפייני המערכת הבאים כדי לאלץ את השימוש בשיטת ההצפנה החדשה של מטא-נתונים בנפח (וגם בגרסה החדשה של מדיניות ברירת המחדל של FBE), ללא קשר לרמת ה-API למשלוח:

PRODUCT_PROPERTY_OVERRIDES += \
    ro.crypto.volume.metadata.method=dm-default-key \
    ro.crypto.dm_default_key.options_format.version=2 \
    ro.crypto.volume.options=::v2

השיטה הנוכחית

במכשירים שמריצים Android מגרסה 11 ואילך, ההצפנה של המטא-נתונים באחסון שניתן להתאמה מתבצעת באמצעות מודול הליבה dm-default-key, בדיוק כמו באחסון הפנימי. בדרישויות המוקדמות שלמעלה מפורטות אפשרויות ההגדרה של הליבה שצריך להפעיל. חשוב לזכור שחומרת הצפנה בקוד שעובדת באחסון הפנימי של המכשיר עשויה להיות לא זמינה באחסון שניתן להתאמה, ולכן יכול להיות שיהיה צורך ב-CONFIG_BLK_INLINE_ENCRYPTION_FALLBACK=y.

כברירת מחדל, שיטת ההצפנה של המטא-נתונים של נפח dm-default-key מתבססת על אלגוריתם ההצפנה AES-256-XTS עם פלחי קריפטוגרפיה בגודל 4096 בייטים. אפשר לשנות את האלגוריתם על ידי הגדרת מאפיין המערכת ro.crypto.volume.metadata.encryption. התחביר של הערך של המאפיין הזה זהה לזה של האפשרות metadata_encryption ב-fstab שמתוארת למעלה. לדוגמה, במכשירים בלי האצת AES, אפשר להפעיל הצפנת Adiantum באמצעות ההגדרה ro.crypto.volume.metadata.encryption=adiantum.

השיטה הקודמת

במכשירים עם Android מגרסה 10 ומטה, הצפנת מטא-נתונים באחסון מותאם משתמשת במודול הליבה של dm-crypt במקום ב-dm-default-key:

CONFIG_DM_CRYPT=y

בניגוד לשיטה dm-default-key, בשיטה dm-crypt תוכן הקובץ מוצפן פעמיים: פעם אחת באמצעות מפתח FBE ופעם אחת באמצעות מפתח ההצפנה של המטא-נתונים. ההצפנה הכפולה הזו מפחיתה את הביצועים ולא נדרשת כדי להשיג את יעדי האבטחה של הצפנת המטא-נתונים, כי מערכת Android מוודאת שרמת הקושי של מפתחות FBE היא לפחות כמו מפתח ההצפנה של המטא-נתונים. ספקים יכולים לבצע התאמות אישיות של הליבה כדי להימנע מהצפנה כפולה, במיוחד על ידי הטמעת האפשרות allow_encrypt_override ש-Android מעביר אל dm-crypt כשמאפיין המערכת ro.crypto.allow_encrypt_override מוגדר ל-true. ההתאמות האישיות האלה לא נתמכות על ידי הליבה המשותפת של Android.

כברירת מחדל, ב-method dm-crypt להצפנת מטא-נתונים של נפח אחסון נעשה שימוש באלגוריתם ההצפנה AES-128-CBC עם סקטורים קריפטוגרפיים ESSIV ו-512 בייטים. אפשר לשנות את ההגדרה הזו על ידי הגדרת מאפייני המערכת הבאים (שמשמשים גם ל-FDE):

• ro.crypto.fde_algorithm בוחר את אלגוריתם ההצפנה של המטא-נתונים. האפשרויות הן aes-128-cbc ו-adiantum. אפשר להשתמש ב-Adiantum רק אם במכשיר אין האצה של AES.
• ro.crypto.fde_sector_size בוחרת את הגודל של סקטור הקריפטו. האפשרויות הן 512, 1024, 2048 ו-4096. להצפנה של Adiantum, צריך להשתמש בפונקציה 4096.