Je tu veľa informácií o Lollipop pre Android 5.0 "predvolený" plný disk šifrovanie (FDE). Niektoré z nich sú dobré informácie, iné zlé informácie a veľa z nich sú iba opakované úryvky špekulácií. Aj keď to umožňuje dobrú konverzáciu - a FDE je niečo, o čom sa oplatí hovoriť - chceli sme podrobnejšie body rozdeliť do ľahko čitateľnej diskusie.
Toto by nemalo byť úplným dokumentom v šifrovaní systému Android. Google už tento zverejnil. Budeme riešiť otázky zamerané na spotrebiteľa, ktoré stále počúvame. Ako vždy, použite komentáre na diskusiu, aby sme aj my všetko sa môže niečo naučiť.
Čo je šifrovanie?
Šifrovanie je proces ochrany údajov pomocou šifrovacieho kľúča. Predstavte si heslo ako kľúč a šifrovanie je veľmi bezpečný zámok. Potrebujete kľúč, aby ste sa do niečoho pustili. A aj keď je nastupovanie bez správneho kľúča možné, nie je to veľmi pravdepodobné. (Áno, každý a každý šifrovací systém môžu - aspoň teoreticky - poraziť trpezliví a prefíkaní jednotlivci.)
Verizon ponúka Pixel 4a na nových linkách Unlimited iba za 10 dolárov za mesiac
Na našich androidoch všetky používateľské údaje v zariadení (od Android 3.0) je možné zašifrovať. Dáta sú skutočne šifrované za behu, skôr ako sa vôbec zapíšu na disk. Dáta sa naopak dešifrujú predtým, ako sa vrátia späť do ľubovoľného programu, ktorý o ne požiada. Potrebujete iba správny kľúč, ktorým je heslo založené na hlavnom hesle zariadenia.
Zmeny v lízatku
Zatiaľ čo FDE je v Androide dostupné od nešťastného Androidu 3.x Honeycomb, Android 5.0 prináša niekoľko dosť veľkých zmien a vylepšení v tom, ako to celé funguje.
V Lollipop sa FDE vykonáva s funkciou jadra, ktorá pôsobí priamo na blokovú vrstvu úložiska. To znamená, že šifrovanie môže fungovať na zariadeniach typu flash, ako je úložisko eMMC - ktoré nemajú natívne funkcie šifrovania - pretože sa v jadre prezentujú ako štandardné blokové zariadenie. Šifrovanie nie je možné v súborových systémoch, ktoré komunikujú priamo s úložiskom (napríklad YAFFS). Ľudia, ktorí vytvorili váš telefón alebo tablet, mohli zahrnúť spôsob šifrovania externého úložiska (napríklad SD karty), ale Android AOSP sa zaoberá väčšinou vnútorným úložiskom. Použitým algoritmom je 128-bitový AES s CBC a šifrovaný inicializačný vektor soľného sektoru pomocou hashovacej funkcie SHA256. Hlavný kľúč tiež používa volania do knižnice OpenSSL.
Inými slovami, je to prekliate bezpečné.
Pri prvom zavedení systému Android vytvorí vaše zariadenie náhodný 128-bitový hlavný kľúč, potom ho zahašuje a uloží do kryptometadát. Tieto údaje sú odomknuté vašou prístupovou frázou používateľa. (A pamätajte, priatelia, nepoužívajte slabé heslá.) Výsledný hash sa podpisuje aj prostredníctvom hardvérovej podpory, napríklad funkcií založených na TEE (to je prostredie Trusted Execution Environment), ako je TrustZone. Pred Androidom 5.0 bol hlavný kľúč šifrovaný iba na základe hesla používateľa, ktoré mohlo byť citlivé na útoky typu „off-box“ prostredníctvom služby ADB.
Je zaujímavé, že Google nepoužíva hardvérový kryptografický engine Qualcomm v AOSP alebo pre Nexus 6. To je neefektívne, pretože to vynúti šifrovanie a dešifrovanie založené na CPU počas I / O disku (pravdepodobne v každom intervale 512 bajtov) v porovnaní s využitím hardvérových výkonových funkcií Qualcomm. Nejdeme druhý hádať prečo je to hotové, ale vedzte, že výrobcovia OEM ich môžu implementovať, ako sa im páči. Dúfame, že budú.
Google urobil veľa pre zabezpečenie šifrovania celého disku v systéme Android. Celkovo odviedli celkom dobrú prácu.
Problémy s výkonom
Pravdepodobne si počul o zlom výkone na čítanie a zápis na disk na zariadeniach Nexus so zapnutým šifrovaním. Je to pravda - keď potrebujete šifrovať a dešifrovať za behu, rýchlosť I / O diskov bude trpieť. Ako už bolo spomenuté vyššie, Google je nie používanie hardvérových funkcií jadra Qualcommu na Nexus 6, čo spôsobuje, že trpí ešte o niečo viac. Ale aké je to zlé?
Disk I / O v Lollipop je niekoľkonásobne rýchlejší, ako bol v Kit Kat a predchádzajúce verzie systému Android. Vďaka optimalizácii softvéru a kódu špecifickému pre zariadenie dokáže Android čítať a zapisovať z úložiska rýchlejšie ako kedykoľvek predtým. To je veľmi dobrá vec, ktorú väčšinou negujú pomalšie časy I / O kvôli šifrovaniu.
Ak potrebujete použiť FDE (alebo ste nútení ho používať, pretože ste si kúpili nový Nexus a nechcete ho inštalovať vlastný firmvér), váš výkon bude stále lepší (na papieri), ako by bol k dispozícii Kit Kat. Bez šifrovania to jednoducho nebude také dobré, ako by to mohlo byť. Pri používaní v reálnom svete si väčšina používateľov, s ktorými sme hovorili, nevšimne žiadne oneskorenie zariadenia kvôli pomalým vstupom a výstupom. Vaše skúsenosti môžu byť odlišné.
Ak chcete alebo potrebujete FDE, kompromis pravdepodobne stojí za to.
Šifrovanie nie je povinné (a potrebujete ho vôbec?)
Každý, kto má telefón, ktorý už má aktualizáciu Lollipop, vám môže povedať, že Lollipop vás nenúti používať šifrovanie. Zatiaľ čo sú Nexus 6 a Nexus 9 (a možno aj všetky budúce zariadenia Nexus) dodávané s povolenou funkciou a nie je ľahké ich vypnúť, telefóny, ktoré boli aktualizované na Lollipop - napríklad Galaxy Note 4 - nemajú automaticky povolené šifrovanie celého disku.
To isté platí pre nové zariadenia, ktoré sa dodávajú s Androidom 5.x ako LG G Flex 2. Táto možnosť je k dispozícii, ak ju chcete povoliť, ale predvolene je úplné šifrovanie vypnuté. To nás privádza k voľbe - potrebujeme úplné šifrovanie disku?
Pre mnohých z nás bude užitočné šifrovanie celého disku. Ak máte citlivé informácie, ktoré by ste nikdy nechceli, aby sa váš telefón dostal do nesprávnych rúk, je FDE darom z nebies. Aby niekto mohol získať vaše údaje, musí poznať heslo vášho zariadenia. Žiadna manipulácia s káblom ich nenechá preniknúť a za predpokladu, že ste použili silné heslo, sú vaše údaje v bezpečí, pretože po niekoľkých nesprávnych odhadoch sa všetko uzamkne.
Ostatným stačí iba štandardné zabezpečenie uzamknutej obrazovky. Ak telefón stratíme, môžeme ho na diaľku vymazať pomocou Správcu zariadenia Android alebo iného pomocného programu. Ak niekto dokáže prejsť do režimu offline skôr, ako ho môžeme vymazať, získajte ak majú to šťastie, že obídu naše heslo na uzamknutej obrazovke (môže sa to stať), dostanú iba niekoľko obrázkov a prístup k účtu Google, vďaka ktorým môžeme rýchlo zmeniť heslo na.
Je tu tiež na zamyslenie sa celá otázka vlády. Aj keď väčšina z nás nemá dôvod obávať sa akýchkoľvek dôsledkov na to, čo máme uložené v našich telefónoch, stále si zaslúžime trochu súkromia a ochrany, pokiaľ ide o naše osobné údaje. Šifrovanie celého disku nás posúva bližšie k zabezpečeniu našich údajov pred vládnymi agentúrami, ktoré si myslia, že ich potrebujú vidieť.
Iba ty vedieť, či potrebujete úplné šifrovanie zariadenia.
Počúvali ste tento týždeň Android Central Podcast?
Každý týždeň vám Android Central Podcast prináša najnovšie technologické správy, analýzy a zaujímavé novinky so známymi spolupracovníkmi a špeciálnymi hosťami.
- Prihlásiť sa na odber vo vrecku: Zvuk
- Prihlásiť sa na odber v Spotify: Zvuk
- Prihlásiť sa na odber v iTunes: Zvuk
Za nákupy môžeme získať províziu pomocou našich odkazov. Uč sa viac.
Toto sú najlepšie bezdrôtové slúchadlá do uší, ktoré si môžete kúpiť za každú cenu!
Najlepšie bezdrôtové slúchadlá do uší sú pohodlné, vynikajúco znejú, nestoja príliš veľa a ľahko sa zmestia do vrecka.
Všetko, čo potrebujete vedieť o PS5: Dátum vydania, cena a ďalšie.
Spoločnosť Sony oficiálne potvrdila, že pracuje na PlayStation 5. Tu je všetko, čo o nej zatiaľ vieme.
Spoločnosť Nokia predstavuje dva nové lacné telefóny Android One s cenou do 200 dolárov.
Nokia 2.4 a Nokia 3.4 sú najnovším prírastkom do cenovej ponuky inteligentných telefónov spoločnosti HMD Global. Pretože sú to obe zariadenia Android One, je zaručené, že budú dostávať dve hlavné aktualizácie operačného systému a pravidelné bezpečnostné aktualizácie až na tri roky.
Toto sú najlepšie pásma pre Fitbit Sense a Versa 3.
Spolu s vydaním Fitbit Sense a Versa 3 spoločnosť predstavila aj nové nekonečné pásma. Vybrali sme tie najlepšie, aby sme vám uľahčili prácu.