Le chiffrement consiste à encoder toutes les données utilisateur sur un appareil Android à l'aide de clés de chiffrement symétriques. Une fois qu'un appareil est chiffré, toutes les données créées par l'utilisateur sont automatiquement chiffrées avant d'être validées sur le disque. Toutes les lectures déchiffrent automatiquement les données avant de les renvoyer au processus d'appel. Le chiffrement garantit que même si un tiers non autorisé tente d'accéder aux données, il ne pourra pas les lire.
Android propose deux méthodes de chiffrement des appareils: le chiffrement basé sur les fichiers et le chiffrement de disque complet.
Chiffrement basé sur les fichiers
Android 7.0 et versions ultérieures sont compatibles avec le chiffrement basé sur les fichiers. Le chiffrement par fichier permet de chiffrer différents fichiers avec différentes clés qui peuvent être déverrouillées indépendamment. Les appareils compatibles avec le chiffrement basé sur les fichiers peuvent également prendre en charge le démarrage direct, qui permet aux appareils chiffrés de démarrer directement sur l'écran de verrouillage, ce qui permet d'accéder rapidement à des fonctionnalités importantes de l'appareil telles que les services d'accessibilité et les alarmes.
Avec le chiffrement basé sur les fichiers et les API qui rendent les applications conscientes du chiffrement, les applications peuvent fonctionner dans un contexte limité. Cela peut se produire avant que les utilisateurs n'aient fourni leurs identifiants, tout en protégeant leurs informations privées.
Chiffrement des métadonnées
Android 9 prend en charge le chiffrement des métadonnées, lorsque la prise en charge matérielle est disponible. Avec le chiffrement des métadonnées, une seule clé présente au démarrage chiffre tout contenu qui n'est pas chiffré par le FBE, comme les mises en page de répertoires, les tailles de fichiers, les autorisations et les heures de création/modification. Cette clé est protégée par Keymaster, qui à son tour est protégé par le démarrage validé.
Chiffrement complet de disque
Android 5.0 à Android 9 est compatible avec le chiffrement de disque complet. Le chiffrement de disque complet utilise une seule clé, protégée par le mot de passe de l'appareil de l'utilisateur, pour protéger l'intégralité de la partition de données utilisateur d'un appareil. Au démarrage, l'utilisateur doit fournir ses identifiants avant que toute partie du disque ne soit accessible.
Bien que cela soit excellent pour la sécurité, cela signifie que la plupart des fonctionnalités de base du téléphone ne sont pas immédiatement disponibles lorsque les utilisateurs redémarrent leur appareil. Étant donné que l'accès à leurs données est protégé par leurs identifiants utilisateur uniques, les fonctionnalités telles que les alarmes ne pouvaient pas fonctionner, les services d'accessibilité étaient indisponibles et les téléphones ne pouvaient pas recevoir d'appels.