Android lolipopta tam disk şifreleme nedir?

Android 5.0 Lollipop'un "varsayılan" tam disk şifrelemesi (FDE) hakkında birçok bilgi var. Bazıları iyi bilgi, bazıları kötü bilgi ve birçoğu sadece tekrarlanan spekülasyon parçacıkları. Bu iyi konuşmayı sağlarken - ve FDE hakkında konuşmaya değer bir şey olsa da - ince noktaları kolay okunur bir tartışmaya bölmek istedik.

Bu Android şifreleme ile ilgili her şeyden önce olmak anlamına gelmiyor. Google bunu zaten gönderdi. İşitmeye devam ettiğimiz tüketici odaklı soruları ele alacağız. Her zaman olduğu gibi, yorumları tartışma için kullanın, böylece hepimiz bir şeyler öğrenebiliriz.

Şifreleme nedir?

Şifreleme, bir şifreleme anahtarı kullanarak verileri koruma işlemidir. Bir şifre olarak anahtar olarak düşünün ve şifreleme çok güvenli bir kilit. Bir şeyler yapmak için anahtara ihtiyacın var. Ve doğru anahtar olmadan içeri girmek mümkün olsa da, pek olası değildir. (Evet, her şifreleme sistemi - teorik olarak, en azından - hasta ve kurnaz bireyler tarafından yenilebilir.)

Android'lerimizde, bir cihazdaki (Android 3.0'dan beri) tüm kullanıcı verileri şifrelenebilir. Veriler aslında diske yazılmadan önce anında şifrelenir. Buna karşılık, sorulan herhangi bir programa geri gönderilmeden önce verilerin şifresi çözülür. İhtiyacınız olan tek şey, cihaz ana şifresini kullanarak şifreye dayalı olan doğru anahtardır.

Lolipop'taki Değişiklikler

FDE, kötü muamele görmüş Android 3.x Honeycomb'ten bu yana Android'de mevcut olsa da, Android 5.0, tüm çalışma biçimlerinde bazı büyük değişiklikler ve iyileştirmeler getiriyor.

Lollipop'ta, FDE, doğrudan deponun blok katmanına etki eden bir çekirdek özelliği ile yapılır. Bu, şifrelemenin eMMC depolama gibi flash cihazlarda (yerel şifreleme özelliği olmayan) çalışabileceği anlamına gelir çünkü kendilerini çekirdeğe standart bir blok aygıtı olarak sunarlar. Doğrudan depolama ile konuşan (YAFFS gibi) dosya sistemlerinde şifreleme mümkün değildir. Telefonunuzu veya tabletinizi yapan kişiler, harici depolamayı şifrelemek için bir yöntem (SD Kart gibi) içerebilir, ancak Android AOSP çoğunlukla dahili depolama alanıyla ilgilenir. Kullanılan algoritma CBC'li 128-bit AES ve SHA256 karma fonksiyonunu kullanan şifreli bir tuz sektörü başlatma vektörüdür. Ana anahtar ayrıca OpenSSL kütüphanesine yapılan çağrıları kullanır.

Başka bir deyişle, lanet olası güvenli.

Android'in ilk açılışında, cihazınız rastgele bir 128-bit ana anahtar oluşturur, daha sonra hash eder ve kripto meta verilerinde saklar. Bu veri kullanıcı parolanız tarafından açılmıştır. (Ve unutmayın, millet, zayıf şifreler kullanmayın.) Sonuçta ortaya çıkan karma, TrustZone gibi TEE tabanlı (Güvenilir Uygulama Ortamı) özellikleri gibi donanım desteğiyle de imzalanır. Android 5.0'dan önce, ana anahtar yalnızca kullanıcının ADB aracılığıyla yapabileceği saldırılara açık olabilecek kullanıcı şifresine dayanarak şifrelenmiştir.

İlginç bir şekilde Google, AOSP’de veya Nexus 6’da Qualcomm donanım şifreleme motorunu kullanmıyor. Bu, Qualcomm’un donanım tabanlı özelliğini kullanmak yerine disk G / Ç işlemlerinde (muhtemelen her 512 bayt aralığında) CPU tabanlı şifreleme ve şifre çözme işlemlerini zorladığından, bu yetersiz performans özellikleri. Bunun neden yapıldığını ikinci bir tahmin edemeyiz, ancak OEM'lerin istedikleri gibi uygulamada serbest olduğunu biliriz. İnşallah olurlar.

Google, Android'de tam disk şifrelemesini güvenli hale getirmek için çok şey yaptı. Sonuç olarak, oldukça iyi bir iş çıkardılar.

Performans sorunları

Şifrelemenin etkin olduğu Nexus cihazlarında disk okuma ve yazma konusunda performansın düşük olduğunu muhtemelen duymuşsunuzdur. Doğru - anında şifrelemeniz ve şifresini çözmeniz gerektiğinde, disk G / Ç hızları zarar görecek. Yukarıda bahsedildiği gibi, Google, Qualcomm’un Nexus 6’daki donanım tabanlı çekirdek özelliklerini kullanmıyor ve bu durum biraz daha fazla acı çekmesine neden oluyor. Ama ne kadar kötü?

Lollipop'taki disk G / Ç, KitKat'ta ve Android'in önceki sürümlerinde olduğundan birkaç kat daha hızlı. Yazılım optimizasyonu ve cihaza özel kod, Android'in depolama alanından her zamankinden daha hızlı okuma ve yazma anlamına gelir. Bu, çoğunlukla şifreleme nedeniyle daha yavaş G / Ç zamanları tarafından olumsuzlanan çok iyi bir şeydir.

FDE kullanmanız gerekiyorsa (veya yeni bir Nexus aldığınız ve özel ürün yazılımı yüklemek istemediğiniz için kullanmak zorunda kalırsanız) performansınız KitKat'ta olduğundan daha iyi (kağıt üzerinde) olacak. Şifreleme olmadan olabileceği kadar iyi olmayacak. Gerçek dünya kullanımında, konuştuğumuz çoğu kullanıcı yavaş G / Ç nedeniyle hiçbir cihazın geciktiğini fark etmiyor. Deneyiminiz farklı olabilir.

FDE'ye ihtiyacınız varsa veya ihtiyacınız olursa, takas muhtemelen buna değer.

Şifreleme zorunlu değildir (ve yine de ihtiyacınız var mı?)

Zaten Lollipop güncellemesi olan bir telefonu olan herhangi biri size Lollipop'un şifreleme kullanmaya zorlamadığını söyleyebilir. Nexus 6 ve Nexus 9 (ve muhtemelen gelecekteki tüm Nexus cihazları) etkinken ve kapatmanın kolay bir yolu olmasa da, Lollipop'a güncellenmiş telefonlar - Galaxy Note 4 gibi - otomatik olarak tam disk şifrelemesine sahip değil.

Aynısı, LG G Flex 2 gibi Android 5.x ile birlikte gelen yeni cihazlar için de geçerli. Seçenek, etkinleştirmek istemeniz gerektiği, ancak varsayılan olarak tam şifreleme kapalı. Bu bizi bir seçeneğe getiriyor - tam disk şifrelemeye ihtiyacımız var mı?

Birçoğumuz tam disk şifrelemesini faydalı bulacağız. Telefonunuzda asla ve asla yanlış ellere düşmek istemediğiniz konusunda hassas bilgileriniz varsa, FDE bir nimettir. Birinin verilerinize girmesi için cihaz şifrenizi bilmeleri gerekir. Bir tel üzerinden hiçbir paramparça etmek zorla girmelerine izin vermeyecek ve güçlü bir şifre kullanmanız şartıyla, verileriniz güvende olacak çünkü bir avuç yanlış tahminden sonra, her şey kilitlenmeye devam edecek.

Diğerleri için, sadece standart kilit ekranı güvenliği yeterli olacaktır. Bir telefonu kaybedersek, Android Aygıt Yöneticisi veya başka bir yardımcı program aracılığıyla uzaktan silebiliriz, ve silme işleminden önce birileri çevrimdışı duruma geçebilirse, o zaman kilit ekranı şifremizi atlayabilir (bu olabilir) olsun bir kaç resim ve hızlı bir şekilde şifresini değiştirebiliriz Google hesabı erişim.

Ayrıca düşünülmesi gereken tüm hükümetin gözetleme sorunu da var. Birçoğumuz, telefonlarımızda sakladığımız şeylerden herhangi bir sonuçtan korkmak için bir nedenimiz olmasa da, kişisel verilerimiz söz konusu olduğunda hala biraz gizlilik ve korumayı hak ediyoruz. Tam disk şifreleme, verilerimizi görmeleri gerektiğini düşünen devlet kurumlarından güvende tutmak için bizi daha da yakınlaştırıyor.

Yalnızca tam cihaz şifrelemesine ihtiyacınız varsa bilirsiniz.