Adiantum — это метод шифрования, разработанный для устройств под управлением Android 9 и выше, процессоры которых не поддерживают инструкции AES . Если вы поставляете устройство на базе ARM с ARMv8 Cryptography Extensions или устройство на базе x86 с AES-NI, вам не следует использовать Adiantum. AES работает быстрее на этих платформах.
Для устройств, не имеющих этих инструкций AES CPU, Adiantum обеспечивает шифрование на вашем устройстве с очень небольшими издержками производительности. Для бенчмаркинговых чисел см. статью Adiantum . Для бенчмаркингового исходника для запуска на вашем оборудовании см. исходник Adiantum на GitHub .
Чтобы включить Adiantum на устройстве под управлением Android 9 или выше, вам необходимо внести изменения в ядро и пространство пользователя.
Изменения ядра
Adiantum поддерживается стандартными ядрами Android версии 4.9 и выше.
Если ядро вашего устройства еще не поддерживает Adiantum, выберите изменения, перечисленные ниже. Если у вас возникли проблемы с выбором, устройства, использующие полное шифрование диска (FDE), могут исключить патч fscrypt:
| Версия ядра | Патчи Crypto и fscrypt | патч dm-crypt |
|---|---|---|
| 4.19 | 4.19 ядро | патч dm-crypt |
| 4.14 | 4.14 ядро | патч dm-crypt |
| 4.9 | 4.9 ядро | патч dm-crypt |
Включите Adiantum в вашем ядре
Android 11 и выше
Если ваше устройство работает под управлением Android 11 или более поздней версии, включите следующие параметры в конфигурации ядра вашего устройства:
CONFIG_CRYPTO_ADIANTUM=y CONFIG_FS_ENCRYPTION=y CONFIG_BLK_INLINE_ENCRYPTION=y CONFIG_BLK_INLINE_ENCRYPTION_FALLBACK=y CONFIG_FS_ENCRYPTION_INLINE_CRYPT=y CONFIG_DM_DEFAULT_KEY=y
Если ваше устройство работает под управлением 32-битного ядра ARM, также включите инструкции NEON для повышения производительности:
CONFIG_KERNEL_MODE_NEON=y CONFIG_CRYPTO_AES_ARM=y CONFIG_CRYPTO_CHACHA20_NEON=y CONFIG_CRYPTO_NHPOLY1305_NEON=y
Андроид 9 и 10
Если ваше устройство запускается с Android 9 или 10, то необходимы немного другие настройки конфигурации ядра. Включите следующие настройки:
CONFIG_CRYPTO_ADIANTUM=y CONFIG_DM_CRYPT=y
Если ваше устройство использует файловое шифрование, также включите:
CONFIG_F2FS_FS_ENCRYPTION=y
Наконец, если ваше устройство работает на 32-битном ядре ARM, включите инструкции NEON для повышения производительности:
CONFIG_KERNEL_MODE_NEON=y CONFIG_CRYPTO_AES_ARM=y CONFIG_CRYPTO_CHACHA20_NEON=y CONFIG_CRYPTO_NHPOLY1305_NEON=y
Изменения в пользовательском пространстве
Для устройств под управлением Android 10 и выше изменения в пользовательском пространстве Adiantum уже присутствуют.
Для устройств под управлением Android 9 выберите следующие изменения:
- cryptfs: Добавить поддержку Adiantum
- cryptfs: разрешить установку размера сектора dm-crypt
- cryptfs: округлить размер устройства dm-crypt до границы криптосектора
- cryptfs: улучшение логирования создания устройства dm-crypt
- libfscrypt: Добавить поддержку Adiantum
- fs_mgr_fstab: Добавить поддержку Adiantum
Включите Adiantum на вашем устройстве
Во-первых, убедитесь, что на вашем устройстве PRODUCT_SHIPPING_API_LEVEL настроен правильно, чтобы соответствовать версии Android, с которой оно запускается. Например, устройство, запускаемое с Android 11, должно иметь PRODUCT_SHIPPING_API_LEVEL := 30 . Это важно, поскольку некоторые параметры шифрования имеют разные значения по умолчанию в разных версиях запуска.
Устройства с файловым шифрованием
Чтобы включить файловое шифрование Adiantum во внутренней памяти вашего устройства, добавьте следующую опцию в последний столбец (столбец fs_mgr_flags ) строки для раздела userdata в файле fstab устройства:
fileencryption=adiantum
Если ваше устройство запускается с Android 11 или выше, то также требуется включить шифрование метаданных . Чтобы использовать Adiantum для шифрования метаданных во внутреннем хранилище, fs_mgr_flags для userdata также должен содержать следующие параметры:
metadata_encryption=adiantum,keydirectory=/metadata/vold/metadata_encryption
Далее включите шифрование Adiantum на адаптируемом хранилище . Для этого установите следующие системные свойства в PRODUCT_PROPERTY_OVERRIDES :
Для Android 11 и выше:
ro.crypto.volume.options=adiantum ro.crypto.volume.metadata.encryption=adiantum
Для Android 9 и 10:
ro.crypto.volume.contents_mode=adiantum ro.crypto.volume.filenames_mode=adiantum ro.crypto.fde_algorithm=adiantum ro.crypto.fde_sector_size=4096
Наконец, по желанию добавьте blk-crypto-fallback.num_keyslots=1 в командную строку ядра. Это немного снижает использование памяти при использовании шифрования метаданных Adiantum. Перед этим убедитесь, что в fstab не указан параметр монтирования inlinecrypt . Если он указан, удалите его, так как он не нужен для шифрования Adiantum и вызывает проблемы с производительностью при использовании в сочетании с blk-crypto-fallback.num_keyslots=1 .
Чтобы убедиться, что ваша реализация работает, создайте отчет об ошибке или выполните:
adb rootadb shell dmesg
Если Adiantum включен правильно, вы должны увидеть это в журнале ядра:
fscrypt: Adiantum using implementation "adiantum(xchacha12-neon,aes-arm,nhpoly1305-neon)"
Если вы включили шифрование метаданных, также выполните следующую команду, чтобы убедиться, что шифрование метаданных Adiantum включено правильно:
adb rootadb shell dmctl table userdata
Третье поле вывода должно быть xchacha12,aes-adiantum-plain64 .
Устройства с полным шифрованием диска
Чтобы включить Adiantum и улучшить его производительность, задайте следующие свойства в PRODUCT_PROPERTY_OVERRIDES :
ro.crypto.fde_algorithm=adiantum ro.crypto.fde_sector_size=4096
Установка fde_sector_size на 4096 повышает производительность, но не является обязательной для работы Adiantum. Чтобы использовать эту настройку, раздел пользовательских данных должен начинаться с выровненного смещения на диске в 4096 байт.
В fstab для набора пользовательских данных:
forceencrypt=footer
Чтобы убедиться, что ваша реализация работает, создайте отчет об ошибке или выполните:
adb rootadb shell dmesg
Если Adiantum включен правильно, вы должны увидеть это в журнале ядра:
device-mapper: crypt: adiantum(xchacha12,aes) using implementation "adiantum(xchacha12-neon,aes-arm,nhpoly1305-neon)"