Adiantum 是一種加密方法,適用於搭載 Android 9 以上版本的裝置,這類裝置的 CPU 缺少 AES 指令。如果您運送的 ARM 裝置搭載 ARMv8 密碼編譯擴充功能,或是 x86 裝置搭載 AES-NI,則不應使用 Adiantum。在這些平台上,AES 的速度較快。
如果裝置缺少這些 AES CPU 指令,Adiantum 就能在裝置上進行加密,且效能負擔極小。如需基準測試數據,請參閱 Adiantum 論文。如要在硬體上執行基準化來源,請參閱 GitHub 上的 Adiantum 來源。
如要在搭載 Android 9 以上版本的裝置上啟用 Adiantum,您需要進行核心變更和使用者空間變更。
核心異動
Android 通用核心 4.9 以上版本支援 Adiantum。
如果裝置核心尚未支援 Adiantum,請挑選下列變更。如果無法順利挑選修補程式,使用全磁碟加密 (FDE) 的裝置可以排除 fscrypt: 修補程式。
| 核心版本 | Crypto 和 fscrypt 修補程式 | dm-crypt 修補程式 |
|---|---|---|
| 4.19 | 4.19 核心 | dm-crypt 修補程式
|
| 4.14 | 4.14 核心 | dm-crypt 修補程式
|
| 4.9 | 4.9 核心 | dm-crypt 修補程式
|
在核心中啟用 Adiantum
Android 11 以上版本
如果裝置搭載 Android 11 以上版本,請在裝置的 Kernel 設定中啟用下列設定:
CONFIG_CRYPTO_ADIANTUM=y CONFIG_FS_ENCRYPTION=y CONFIG_BLK_INLINE_ENCRYPTION=y CONFIG_BLK_INLINE_ENCRYPTION_FALLBACK=y CONFIG_FS_ENCRYPTION_INLINE_CRYPT=y CONFIG_DM_DEFAULT_KEY=y
如果裝置執行的是 32 位元 ARM 核心,請一併啟用 NEON 指令,以提升效能:
CONFIG_KERNEL_MODE_NEON=y CONFIG_CRYPTO_AES_ARM=y CONFIG_CRYPTO_CHACHA20_NEON=y CONFIG_CRYPTO_NHPOLY1305_NEON=y
Android 9 和 10
如果裝置搭載 Android 9 或 10,則需要稍微不同的核心設定。啟用下列設定:
CONFIG_CRYPTO_ADIANTUM=y CONFIG_DM_CRYPT=y
如果裝置使用檔案型加密,請一併啟用下列項目:
CONFIG_F2FS_FS_ENCRYPTION=y
最後,如果裝置執行 32 位元 ARM 核心,請啟用 NEON 指令來提升效能:
CONFIG_KERNEL_MODE_NEON=y CONFIG_CRYPTO_AES_ARM=y CONFIG_CRYPTO_CHACHA20_NEON=y CONFIG_CRYPTO_NHPOLY1305_NEON=y
使用者空間變更
搭載 Android 10 以上版本的裝置已包含 Adiantum 使用者空間變更。
如果是執行 Android 9 的裝置,請挑選下列變更:
- cryptfs:新增 Adiantum 支援
- cryptfs:允許設定 dm-crypt 磁區大小
- cryptfs:將 dm-crypt 裝置大小向下捨入至加密磁區邊界
- cryptfs:改善 dm-crypt 裝置建立作業的記錄
- libfscrypt:新增 Adiantum 支援
- fs_mgr_fstab:新增 Adiantum 支援
在裝置上啟用 Adiantum
首先,請確認裝置已PRODUCT_SHIPPING_API_LEVEL正確設定,與啟動時的 Android 版本相符。舉例來說,如果裝置推出時搭載 Android 11,就必須具備 PRODUCT_SHIPPING_API_LEVEL := 30。這項資訊非常重要,因為不同發布版本的預設加密設定有所不同。
使用檔案型加密的裝置
如要在裝置的內部儲存空間啟用 Adiantum 檔案加密功能,請在裝置 fstab 檔案中,將下列選項新增至 userdata 分區列的最後一欄 (fs_mgr_flags 欄):
fileencryption=adiantum
如果裝置搭載 Android 11 以上版本,則必須啟用中繼資料加密。如要在內部儲存空間使用 Adiantum 進行中繼資料加密,userdata 的 fs_mgr_flags 也必須包含下列選項:
metadata_encryption=adiantum,keydirectory=/metadata/vold/metadata_encryption
接著,請在可採用儲存空間上啟用 Adiantum 加密功能。如要這麼做,請在 PRODUCT_PROPERTY_OVERRIDES 中設定下列系統屬性:
Android 11 以上版本:
ro.crypto.volume.options=adiantum ro.crypto.volume.metadata.encryption=adiantum
Android 9 和 10:
ro.crypto.volume.contents_mode=adiantum ro.crypto.volume.filenames_mode=adiantum ro.crypto.fde_algorithm=adiantum ro.crypto.fde_sector_size=4096
最後,視需要將 blk-crypto-fallback.num_keyslots=1 新增至核心指令列。使用 Adiantum 中繼資料加密時,這項功能可稍微減少記憶體用量。執行這項操作前,請先確認 fstab 中未指定 inlinecrypt 掛接選項。如果已指定,請移除,因為 Adiantum 加密不需要此項目,且與 blk-crypto-fallback.num_keyslots=1 搭配使用時會導致效能問題。
如要確認導入作業是否正常運作,請擷取錯誤報告或執行下列指令:
adb rootadb shell dmesg
如果 Adiantum 已正確啟用,您應該會在核心記錄中看到以下內容:
fscrypt: Adiantum using implementation "adiantum(xchacha12-neon,aes-arm,nhpoly1305-neon)"
如果您已啟用中繼資料加密功能,請執行下列指令,確認 Adiantum 中繼資料加密功能已正確啟用:
adb rootadb shell dmctl table userdata
輸出內容的第三個欄位應為 xchacha12,aes-adiantum-plain64。
全磁碟加密裝置
如要啟用 Adiantum 並提升效能,請在 PRODUCT_PROPERTY_OVERRIDES 中設定下列屬性:
ro.crypto.fde_algorithm=adiantum ro.crypto.fde_sector_size=4096
將 fde_sector_size 設為 4096 可提升效能,但 Adiantum 不一定要這樣才能運作。如要使用這項設定,userdata 分區必須從磁碟上 4096 位元組對齊的偏移開始。
在 fstab 中,針對使用者資料集:
forceencrypt=footer
如要確認導入作業是否正常運作,請擷取錯誤報告或執行下列指令:
adb rootadb shell dmesg
如果 Adiantum 已正確啟用,您應該會在核心記錄中看到以下內容:
device-mapper: crypt: adiantum(xchacha12,aes) using implementation "adiantum(xchacha12-neon,aes-arm,nhpoly1305-neon)"