Postoji puno informacija o tome Android 5.0 Lollipop "zadani" puni disk šifriranje (FDE). Neke od njih su dobre informacije, neke loše informacije, a dosta su samo ponovljeni isječci nagađanja. Iako ovo čini dobar razgovor - i FDE je nešto o čemu vrijedi razgovarati - željeli smo raščlaniti sitnije točke u diskusiju koja se lako čita.
Ovo ne bi trebao biti dokument "sve za kraj" o šifriranju Androida. Google je to već objavio. Riješit ćemo pitanja orijentirana na potrošača koja i dalje čujemo. Kao i uvijek, upotrijebite komentare za raspravu, pa tako i mi svi mogu naučiti nešto malo.
Što je šifriranje?
Šifriranje je postupak zaštite podataka pomoću ključa za šifriranje. Zamislite lozinku kao ključ, a šifriranje je a vrlo sigurna brava. Trebate ključ da biste ušli da biste nešto učinili. I dok je ulazak bez pravog ključa moguć, nije vrlo vjerojatno. (Da, bilo koji i svaki sustav šifriranja - barem teoretski - mogu biti poraženi od strpljivih i lukavih pojedinaca.)
Verizon nudi Pixel 4a za samo 10 USD mjesečno na novim Neograničenim linijama
Na našim Androidima svi korisnički podaci na uređaju (od Android 3.0) može se šifrirati. Podaci se zapravo kriptiraju u letu, prije nego što se ikad upišu na disk. Zauzvrat, podaci se dešifriraju prije nego što se vrate bilo kojem programu koji ih traži. Sve što trebate je ispravan ključ koji se temelji na lozinci pomoću glavne lozinke uređaja.
Promjene u lizalici
Iako je FDE dostupan u Androidu od zlosretnog Android 3.x saća, Android 5.0 donosi neke prilično velike promjene i poboljšanja u načinu rada.
U Lollipopu se FDE vrši sa značajkom jezgre koja djeluje izravno na blokovski sloj pohrane. To znači da šifriranje može raditi na flash uređajima poput eMMC pohrane - koji nemaju izvorne značajke šifriranja - jer se jezgri predstavljaju kao standardni blok uređaj. Šifriranje nije moguće s datotečnim sustavima koji izravno razgovaraju sa pohranom (poput YAFFS). Ljudi koji su izradili vaš telefon ili tablet možda su uključili metod za šifriranje vanjske pohrane (poput SD kartice), ali Android AOSP uglavnom se bavi internom pohranom. Upotrijebljeni algoritam je 128-bitni AES s CBC-om i šifrirani vektor inicijalizacije sektora soli pomoću SHA256 hash funkcije. Glavni ključ također koristi pozive u OpenSSL knjižnicu.
Drugim riječima, prokleto je sigurno.
Pri prvom pokretanju Androida, vaš uređaj stvara slučajni 128-bitni glavni ključ, zatim ga raspršuje i pohranjuje u kripto metapodatke. Te podatke otključava vaša korisnička lozinka. (I imajte na umu, ljudi, nemojte koristiti slabe lozinke.) Rezultirajuće raspršivanje također se potpisuje pomoću hardverske podloge, poput značajki temeljenih na TEE (to je Trusted Execution Environment) poput TrustZonea. Prije Androida 5.0, glavni je ključ bio šifriran samo na temelju korisničke lozinke, koja je mogla biti ranjiva na off-box napade putem ADB-a.
Zanimljivo, Google ne koristi Qualcommov hardverski kriptografski mehanizam u AOSP-u ili za Nexus 6. To je neučinkovito jer prisiljava šifriranje i dešifriranje zasnovano na CPU-u tijekom I / O diska (vjerojatno na svakih 512 bajtnih intervala) u odnosu na Qualcommove hardverske značajke performansi. Nećemo drugo pogađati zašto to je učinjeno, ali znajte da proizvođači originalne opreme to mogu slobodno primijeniti kako žele. Nadamo se da hoće.
Google je puno učinio kako bi osigurao potpunu enkripciju diska na Androidu. Sve u svemu, napravili su prilično dobar posao.
Problemi s izvedbom
Vjerojatno jesi čuo za loše performanse za čitanje i pisanje s diska na Nexus uređajima s omogućenom enkripcijom. Istina je - kad trebate kriptirati i dešifrirati u letu, brzine ulazno-izlaznih diskova će patiti. Kao što je gore spomenuto, Google je ne koristeći Qualcommove hardverske značajke jezgre na Nexusu 6, što uzrokuje još veću patnju. Ali koliko je loše?
Diskovni je ulaz / izlaz u Lollipopu nekoliko puta brži nego što je bio Kit Kat i prethodne verzije Androida. Optimizacija softvera i kod specifičan za uređaj znači da Android može čitati i pisati iz pohrane brže nego ikad. Ovo je vrlo dobra stvar koju sporiji I / O vremena uglavnom negiraju zbog šifriranja.
Ako trebate koristiti FDE (ili ste prisiljeni koristiti ga jer ste kupili novi Nexus i ne želite ga instalirati prilagođeni firmware) vaše će performanse i dalje biti bolje (na papiru) nego što bi bile Kit Kat. Jednostavno neće biti onoliko dobro koliko bi moglo biti bez šifriranja. U stvarnoj upotrebi većina korisnika s kojima smo razgovarali ne primjećuje kašnjenje uređaja zbog sporog I / O-a. Vaše iskustvo može biti drugačije.
Ako želite ili trebate FDE, kompromis se vjerojatno isplati.
Šifriranje nije obvezno (i treba li vam to svejedno?)
Svatko s telefonom koji već ima ažuriranje Lollipop može vam reći da vas Lollipop ne prisiljava na šifriranje. Iako se Nexus 6 i Nexus 9 (a možda i svi budući Nexus uređaji) isporučuju s omogućenim i nimalo lakim načinom isključivanja, telefoni koji su ažurirani na Lollipop - poput Galaxy Note 4 - nemaju automatski omogućeno potpuno šifriranje diska.
Isto vrijedi i za nove uređaje koji se isporučuju s Androidom 5.x poput LG G Flex 2. Postoji mogućnost ako je želite omogućiti, ali prema zadanim postavkama potpuno je šifriranje isključeno. To nas dovodi do izbora - trebamo li potpunu enkripciju diska?
Dosta nas će biti korisno potpuno šifriranje diska. Ako imate osjetljive informacije koje nikada, a nikada ne želite pasti u pogrešne ruke na telefonu, FDE je božji dar. Da bi netko ušao u vaše podatke, mora znati lozinku vašeg uređaja. Nikakvo petljanje po žici neće im dopustiti da provale, a pod uvjetom da ste upotrijebili jaku lozinku, vaši su podaci na sigurnom jer se nakon pregršt pogrešnih pretpostavki sve nastavlja na zaključavanje.
Za ostale će biti dovoljna samo standardna sigurnost zaključanog zaslona. Ako izgubimo telefon, možemo ga obrisati na daljinu putem Upravitelja Android uređaja ili drugog uslužnog programa, a ako netko može prijeći izvan mreže prije nego što ga obrišemo, onda dovoljno sretan da zaobiđu lozinku za zaključani zaslon (to se može dogoditi), sve što dobiju je nekoliko slika i pristup Google računu da možemo brzo promijeniti lozinku na.
Tu je i cijelo vladino pitanje prisluškivanja o kojem treba razmišljati. Iako većina nas nema razloga za strah od posljedica onoga što smo pohranili na svojim telefonima, ipak zaslužujemo malo privatnosti i zaštite kada su u pitanju naši osobni podaci. Potpuna enkripcija diska približava nas zaštiti podataka od državnih agencija koje misle da ih trebaju vidjeti.
Samo vas znam trebate li potpunu enkripciju uređaja.
Jeste li slušali ovotjedni Android Central Podcast?
Svaki tjedan Android Central Podcast donosi vam najnovije tehnološke vijesti, analize i popularne snimke, uz poznate suvoditelje i posebne goste.
- Pretplatite se na Pocket Casts: Audio
- Pretplatite se na Spotify: Audio
- Pretplatite se na iTunes: Audio
Proviziju za kupnju možemo zaraditi putem naših poveznica. Saznajte više.
Ovo su najbolje bežične slušalice koje možete kupiti po svakoj cijeni!
Najbolje bežične slušalice su udobne, zvuče sjajno, ne koštaju previše i lako se stave u džep.
Sve što trebate znati o PS5: Datum izlaska, cijena i još mnogo toga.
Sony je službeno potvrdio da radi na PlayStationu 5. Evo svega što o tome zasad znamo.
Nokia lansira dva nova proračunska Android One telefona ispod 200 dolara.
Nokia 2.4 i Nokia 3.4 najnoviji su dodaci proračunskoj liniji pametnih telefona tvrtke HMD Global. Budući da su oba Android One uređaja, zajamčeno će dobiti dva glavna ažuriranja OS-a i redovita sigurnosna ažuriranja do tri godine.
Ovo su najbolji bendovi za Fitbit Sense i Versa 3.
Zajedno s izdanjem Fitbit Sense i Versa 3, tvrtka je također predstavila nove beskonačne bendove. Odabrali smo najbolje kako bismo vam olakšali posao.