Bei der Verschlüsselung werden alle Nutzerdaten auf einem Android-Gerät mit symmetrischen Verschlüsselungsschlüsseln codiert. Sobald ein Gerät verschlüsselt ist, werden alle vom Nutzer erstellten Daten automatisch verschlüsselt, bevor sie auf das Laufwerk geschrieben werden. Alle Lesevorgänge entschlüsseln Daten automatisch, bevor sie an den aufrufenden Prozess zurückgegeben werden. Durch die Verschlüsselung wird sichergestellt, dass Unbefugte die Daten nicht lesen können, selbst wenn sie versuchen, darauf zuzugreifen.
Android bietet zwei Methoden zur Geräteverschlüsselung: dateibasierte Verschlüsselung und vollständige Festplattenverschlüsselung.
Dateibasierte Verschlüsselung
Android 7.0 und höher unterstützt die dateibasierte Verschlüsselung. Bei der dateibasierten Verschlüsselung können verschiedene Dateien mit unterschiedlichen Schlüsseln verschlüsselt werden, die unabhängig voneinander entsperrt werden können. Geräte, die die dateibasierte Verschlüsselung unterstützen, können auch Direct Boot unterstützen. Dadurch können verschlüsselte Geräte direkt zum Sperrbildschirm hochgefahren werden, was einen schnellen Zugriff auf wichtige Gerätefunktionen wie Barrierefreiheitsdienste und Wecker ermöglicht.
Durch die dateibasierte Verschlüsselung und APIs, die Apps über die Verschlüsselung informieren, können Apps in einem eingeschränkten Kontext ausgeführt werden. Das kann passieren, bevor Nutzer ihre Anmeldedaten angegeben haben, und schützt gleichzeitig private Nutzerinformationen.
Verschlüsselung von Metadaten
Unter Android 9 wird die Metadatenverschlüsselung unterstützt, sofern die Hardware dies zulässt. Bei der Metadatenverschlüsselung wird ein einzelner Schlüssel verwendet, der beim Booten vorhanden ist, um alle Inhalte zu verschlüsseln, die nicht durch FBE verschlüsselt werden, z. B. Verzeichnislayouts, Dateigrößen, Berechtigungen und Erstellungs-/Änderungszeiten. Dieser Schlüssel wird durch KeyMint (früher Keymaster) geschützt, das wiederum durch Verified Boot geschützt wird.
Festplattenverschlüsselung
Android 5.0 bis Android 9 unterstützen die vollständige Datenträgerverschlüsselung. Bei der vollständigen Festplattenverschlüsselung wird ein einzelner Schlüssel verwendet, der mit dem Gerätepasswort des Nutzers geschützt ist, um die gesamte Datenpartition eines Geräts zu schützen. Beim Booten muss der Nutzer seine Anmeldedaten angeben, bevor auf einen Teil der Festplatte zugegriffen werden kann.
Das ist zwar gut für die Sicherheit, bedeutet aber, dass die meisten Kernfunktionen des Smartphones nicht sofort verfügbar sind, wenn Nutzer ihr Gerät neu starten. Da der Zugriff auf ihre Daten durch ihre einzelnen Anmeldedaten geschützt ist, konnten Funktionen wie Alarme nicht ausgeführt werden, Bedienungshilfen waren nicht verfügbar und Telefone konnten keine Anrufe empfangen.