Jest tam wiele informacji Android 5.0 Lollipop's „domyślny” pełny dysk szyfrowanie (FDE). Część z nich to dobre informacje, część to złe informacje, a wiele z nich to tylko powtarzające się urywki spekulacji. Chociaż to zapewnia dobrą rozmowę - i FDE jest coś, o czym warto porozmawiać - chcieliśmy rozbić drobne punkty na łatwą do odczytania dyskusję.
To nie ma być ostatecznym dokumentem dotyczącym szyfrowania Androida. Google już to opublikował. Zamierzamy zająć się pytaniami zorientowanymi na konsumentów, które wciąż słyszymy. Jak zawsze, używaj komentarzy do dyskusji, więc my wszystko można się czegoś nauczyć.
Co to jest szyfrowanie?
Szyfrowanie to proces ochrony danych za pomocą klucza szyfrowania. Pomyśl o haśle jak o kluczu, a szyfrowanie to plik bardzo bezpieczny zamek. Aby coś zrobić, potrzebujesz klucza. I chociaż wejście bez odpowiedniego klucza jest możliwe, nie jest to bardzo prawdopodobne. (Tak, każdy system szyfrowania może - przynajmniej teoretycznie - zostać pokonany przez cierpliwe i przebiegłe osoby).
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
Na naszych Androidach wszystkie dane użytkownika na urządzeniu (od Android 3.0) mogą być zaszyfrowane. Dane są faktycznie szyfrowane w locie, zanim zostaną zapisane na dysku. Z kolei dane są odszyfrowywane, zanim zostaną zwrócone do dowolnego programu, który o to poprosi. Wszystko, czego potrzebujesz, to poprawny klucz, który jest oparty na haśle przy użyciu hasła głównego urządzenia.
Zmiany w Lollipopie
Podczas gdy FDE jest dostępne na Androida od niefortunnego Androida 3.x Honeycomb, Android 5.0 wprowadza kilka całkiem dużych zmian i ulepszeń w działaniu.
W Lollipopie FDE jest realizowane za pomocą funkcji jądra, która działa bezpośrednio na warstwie blokowej pamięci. Oznacza to, że szyfrowanie może działać na urządzeniach flash, takich jak pamięć eMMC - które nie mają natywnych funkcji szyfrowania - ponieważ przedstawiają się jądru jako standardowe urządzenie blokowe. Szyfrowanie nie jest możliwe w przypadku systemów plików, które komunikują się bezpośrednio z magazynem (np. YAFFS). Ludzie, którzy stworzyli Twój telefon lub tablet, mogli uwzględnić metodę szyfrowania pamięci zewnętrznej (takiej jak karta SD), ale Android AOSP zajmuje się głównie pamięcią wewnętrzną. Zastosowany algorytm to 128-bitowy AES z CBC i zaszyfrowanym wektorem inicjalizującym sektor solny przy użyciu funkcji skrótu SHA256. Klucz główny używa również wywołań biblioteki OpenSSL.
Innymi słowy, jest cholernie bezpieczny.
Przy pierwszym uruchomieniu systemu Android urządzenie tworzy losowy 128-bitowy klucz główny, a następnie haszuje go i przechowuje w metadanych kryptograficznych. Te dane są odblokowywane za pomocą hasła użytkownika. (I pamiętajcie, ludzie, nie używajcie słabych haseł). Wynikowy skrót jest również podpisywany przez sprzęt, na przykład funkcje oparte na TEE (czyli Trusted Execution Environment), takie jak TrustZone. Przed Androidem 5.0 klucz główny był szyfrowany wyłącznie na podstawie hasła użytkownika, które mogło być podatne na ataki poza polem za pośrednictwem ADB.
Co ciekawe, Google nie używa sprzętowego silnika kryptograficznego Qualcomm w AOSP lub dla Nexus 6. Jest to nieefektywne, ponieważ wymusza szyfrowanie i deszyfrowanie oparte na procesorze podczas operacji we / wy dysku (prawdopodobnie co 512 bajtów) w porównaniu z funkcjami wydajności sprzętowymi Qualcomm. Nie będziemy się zastanawiać czemu to się robi, ale wiedz, że producenci OEM mogą wdrażać to tak, jak im się podoba. Mamy nadzieję, że tak.
Firma Google zrobiła wiele, aby pełne szyfrowanie dysku w systemie Android było bezpieczne. Podsumowując, wykonali całkiem dobrą robotę.
Problemy z wydajnością
Prawdopodobnie słyszałem o słabej wydajności do odczytu i zapisu na dyskach na urządzeniach Nexus z włączonym szyfrowaniem. To prawda - kiedy musisz szyfrować i odszyfrowywać w locie, ucierpią prędkości wejścia / wyjścia dysku. Jak wspomniano powyżej, Google jest nie używając sprzętowych funkcji jądra Qualcomm na Nexusie 6, co powoduje, że cierpi jeszcze bardziej. Ale czy to jest złe?
We / wy dysku w Lollipop jest kilka razy szybsze niż było KitKat i poprzednie wersje Androida. Optymalizacja oprogramowania i kod specyficzny dla urządzenia oznacza, że Android może czytać i pisać z pamięci masowej szybciej niż kiedykolwiek. To bardzo dobra rzecz, która jest przeważnie negowana przez wolniejsze czasy wejścia / wyjścia z powodu szyfrowania.
Jeśli potrzebujesz użyć FDE (lub jesteś zmuszony z niego korzystać, ponieważ kupiłeś nowy Nexus i nie chcesz go instalować niestandardowe oprogramowanie układowe), wydajność nadal będzie lepsza (na papierze) niż byłaby na KitKat. Po prostu nie będzie tak dobre, jak mogłoby być bez szyfrowania. W świecie rzeczywistym większość użytkowników, z którymi rozmawialiśmy, nie zauważa żadnego opóźnienia urządzenia z powodu wolnego wejścia / wyjścia. Twoje doświadczenie może być inne.
Jeśli chcesz lub potrzebujesz FDE, kompromis jest prawdopodobnie tego wart.
Szyfrowanie nie jest obowiązkowe (a czy i tak go potrzebujesz?)
Każdy, kto ma telefon, który ma już aktualizację Lollipop, może powiedzieć, że Lollipop nie zmusza Cię do korzystania z szyfrowania. Podczas gdy Nexus 6 i Nexus 9 (i prawdopodobnie wszystkie przyszłe urządzenia Nexus) są dostarczane z włączoną obsługą i nie ma łatwego sposobu na wyłączenie, telefony zaktualizowane do Lollipop - takie jak Galaxy Note 4 - nie włączaj automatycznie pełnego szyfrowania dysku.
To samo dotyczy nowych urządzeń, które są dostarczane z systemem Android 5.x, takich jak LG G Flex 2. Ta opcja jest dostępna, jeśli chcesz ją włączyć, ale domyślnie pełne szyfrowanie jest wyłączone. To prowadzi nas do wyboru - czy potrzebujemy pełnego szyfrowania dysku?
Wielu z nas uzna pełne szyfrowanie dysku za przydatne. Jeśli masz poufne informacje, których nigdy, przenigdy nie chcesz wpaść w niepowołane ręce w telefonie, FDE jest darem niebios. Aby ktoś mógł dostać się do Twoich danych, musi znać hasło do Twojego urządzenia. Żadne majstrowanie po kablu nie pozwoli im się włamać, a pod warunkiem, że użyłeś silnego hasła, Twoje dane są bezpieczne, ponieważ po kilku błędnych domysłach wszystko zostaje zablokowane.
Dla innych wystarczy standardowe zabezpieczenie ekranu blokady. Jeśli zgubimy telefon, możemy go zdalnie wyczyścić za pomocą Menedżera urządzeń Android lub innego narzędzia, a jeśli ktoś będzie w stanie przejść do trybu offline, zanim będziemy mogli wyczyścić, to na szczęście ominą nasze hasło blokady ekranu (może się zdarzyć), jedyne co dostają to kilka zdjęć i dostęp do konta Google, które możemy szybko zmienić hasło na.
Trzeba też przemyśleć całą sprawę szpiegowania rządu. Chociaż większość z nas nie ma powodu, aby obawiać się konsekwencji za to, co przechowujemy na naszych telefonach, nadal zasługujemy na odrobinę prywatności i ochrony, jeśli chodzi o nasze dane osobowe. Szyfrowanie całego dysku przybliża nas do zabezpieczenia naszych danych przed agencjami rządowymi, które uważają, że muszą je zobaczyć.
Tylko ty wiesz, czy potrzebujesz pełnego szyfrowania urządzenia.
Czy słuchałeś podcastu Android Central z tego tygodnia?
Co tydzień podcast Android Central Podcast przedstawia najnowsze wiadomości techniczne, analizy i gorące ujęcia ze znajomymi współgospodarzami i gośćmi specjalnymi.
- Subskrybuj w Pocket Casts: Audio
- Subskrybuj w Spotify: Audio
- Subskrybuj w iTunes: Audio
Możemy otrzymać prowizję za zakupy za pomocą naszych linków. Ucz się więcej.
To najlepsze bezprzewodowe słuchawki douszne, które możesz kupić za każdą cenę!
Najlepsze bezprzewodowe słuchawki douszne są wygodne, świetnie brzmią, nie kosztują zbyt wiele i łatwo mieszczą się w kieszeni.
Wszystko, co musisz wiedzieć o PS5: data premiery, cena i nie tylko.
Sony oficjalnie potwierdziło, że pracuje nad PlayStation 5. Oto wszystko, co o nim wiemy.
Nokia wprowadza na rynek dwa nowe, budżetowe telefony z Androidem One poniżej 200 dolarów.
Nokia 2.4 i Nokia 3.4 to najnowsze dodatki do budżetowej linii smartfonów HMD Global. Ponieważ oba są urządzeniami z Androidem One, mają gwarancję otrzymania dwóch głównych aktualizacji systemu operacyjnego i regularnych aktualizacji zabezpieczeń przez okres do trzech lat.
To są najlepsze zespoły dla Fitbit Sense i Versa 3.
Wraz z wydaniem Fitbit Sense i Versa 3 firma wprowadziła także nowe pasma nieskończoności. Wybraliśmy najlepsze, aby ułatwić Ci pracę.