Full Disk Encryption (整体磁盘加密)
从Android 3.0开始,为了保护用户数据安全,Android 系统启动过程中会使用一个秘钥将设备的磁盘加密,加密完成后,所有用户创建的数据在提交到磁盘存储之前会自动被加密,当数据再次被读取时,又会被系统自动解密。
Android M 的变化
- 创建了快速加密模式,只加密被使用的磁盘空间从而避免设备第一次启动过慢(目前只支持ext4和f2fs文件系统)
- 增加了forceencrypt标志来控制是否做磁盘加密
- 秘钥可以保存在基于硬件安全(TEE)的存储空间
Android 启动过程中加密流程
根据设备的加密情况,有四种不同的启动过程,具体分为两种情况
- 加密一个之前未被加密的设备
- 加密一个新的设备(forceencrypt标志使能): 在第一次启动过程中必须执行加密过程(从Android L开始)
- 加密一个已经存在的设备: (Android K之前的版本迁移到Android M)
- 启动一个之前被加密的设备
- 使用系统默认的密码加密(Android 5.0 之后的版本)
- 使用设置的密码加密
在设备启动过程中,主要是通过Android 存储管理进程Vold(Volume Daemon)来控制各种不同的系统服务的停止和启动。触发方式是通过设置vold.decrypt的值。在Android初始化脚本init.rc中,不同的服务会根据这个值在不同时间触发