这是一份 Android 手机的加密指南。
编者按:在一个私人信息不那么私人的世界里,我们的银行账户与我们的智能手机密切相关联,而眼下监控和网络犯罪比以往任何时候都要猖獗,安全问题已经成为技术领域避不开的话题了。但 Android 设备不 Root 就意味着安全呢?那可不一定,因为还有其他的方式强行突破你的手机,所以今天给大家科普的是保证 Android 的另一条路径——全盘加密。
本文编译自 Xda-developer,图片来源于网络。
人们使用 Pin 码和图形密码作为锁屏已经很长时间了,但直到 Android 3.0(Honeycomb),Android 上才出现了「全盘加密」。在读写用户数据的时候,基于一台设备的主密码,采用加密和解密的方式,将会极大地增加安全性。
在 Android 5.0(Lollipop)之前,上述的主密码只是基于用户设置的密码,解开这个主密码之后,通过如 ADB 这类的外置工具,设备显得脆弱不堪。然而 Lollipop 执行的是内核层级的全盘加密,采用的是初次启动时生成的 128 位 AES 加密,而这个与密封的硬件层级的 TrustZone 协同工作,使得设备摆脱了 ADB 侵入的隐患。
硬件加密与软件加密
磁盘加密名义上可以从两个层级实现——软件层级或者硬件层级。软件加密使用 CPU 要么通过与用户密码相对应的随机数要么直接通过用户密码,进行数据加密或解密数据。另一方面,硬件加密采用的是专用的处理模块生成加密密钥,减轻 CPU 的负担,这使得关键的密钥和参数都能够远离强行破解和冷启动攻击。
尽管新一代的高通 SoC 支持硬件加密,但 Google 依然替 Android 选择了基于 CPU 的软件加密,这意味着在读写磁盘数据的时候,会占用一部分 CPU 资源,给设备的性能表现造成不小的影响。随着 Lollipop 允许全盘加密,Nexus 6 成为了这种糟糕加密方式的第一批受害者。
在上线 Lollipop 之后,使用全盘加密 Nexus 6 与未使用全盘加密的 Nexus 6 的许多跑分图展示了这个问题——结果不容乐观,加密设备要明显地更慢。与之形成鲜明对比的是,苹果的设备自从 iPhone 3GS 起就开始支持全盘硬件加密,到了 iPhone 5s 之时,由于 64 位 ARM V8 的 A7 处理器的支持,iPhone 已经能通过 硬件加速 AES 与 SHA1 加密。
与之形成鲜明对比的是,苹果的设备自从 iPhone 3GS 起就开始支持全盘硬件加密,到了 iPhone 5s 之时,由于 64 位 ARM V8 的 A7 处理器的支持,iPhone 已经能通过 硬件加速 AES 与 SHA1 加密。
加密与 Nexus 的表现
去年 Moto Nexus 6 是第一部强制用户执行软件加密的 Nexus 设备,它造成了储存上的读写操作缓慢,这一点受到了广泛的批评。在 Nexus 5X 和 Nexus 6P 发布之后,Google 负责工程师这方面 的副总裁 Dave Burke 马上就在 Reddit AMA 版块(著名在线论坛)声明这次也是采用的软件加密,并且由于引用了 64 位 ARM V8 架构的 SoC,保证将会比硬件加密要快。
不幸的是,Anand Tech 的一份评测指出,尽管相对于 Nexus 6 来说,Nexus 5X 提升了一大截,但与采用了同样配置,同样采用 eMMC 5.0 的 LG G4 相比,Nexus 5X 从头到尾要慢上 30% 左右。
对于用户体验的影响
尽管 Nexus 6 和 Nexus 5X 由于加密的原因而不得不忍受读写磁盘带来的问题,不过 Lollipop 的软件优化上还是不足了性能表现上的不足。这意味着运行 Lollipop 的 Nexus 6 一定要比理论上能够运行 KitKat 的 Nexus 6 要快。
然而眼尖的用户一定能偶尔注意到手机在运行需要检索全盘的 app(如图库)之时,或者在观看本地 2K 或 4K 内容时,会有些许卡顿。但另一方面,加密能够明显地保护你的私人信息,也能让你免受类似政府监控这样的程序的监视。换来这些安全性的代价只不过是手机一丝丝的卡顿罢了。如果你能忍受这个代价,那加密一定是你最佳的选择。
第三方厂商如何看待加密
尽管对于用户来说,设备加密总体是一项善意的机制,但有些 OEM 总会站到这项措施的阴面,其中声名最为狼藉的便是三星。这家韩国 OEM 厂商的智能手表 Gear S2 和它的移动支付解决方案 Samsung Pay 居然与加密的三星设备不兼容……
前一项设备压根就不支持而后者则是不允许用户添加支付卡,并且通知用户要想使用此项功能需要完全解密设备。鉴于加密将会提升设备的安全性,在设备加密情况下不允许用户添加支付卡,这是一项奇怪的举动。在移动支付中,安全性才是整个解决方案的精髓。
你的数据需要加密吗
对于大多数用户,尤其是追求极致性能的用户来说,加密设备是他们不愿意做的事情。全盘加密一定会确保设备数据的安全,并使之免受监控,尽管这会牺牲掉一些性能。同时,虽然「Android 设备管理」在设备落入他人手中之时,能很好地抹除数据,但加密将安全性提升了一个层级。所以如果你愿意牺牲掉一些设备的性能,那么全盘加密一定能够确保你的数据不会落入他人之手。
那么如何加密我们的 Android 手机呢?就拿手上的这台 Android 版本为 5.1 的三星 Note 4 为例,打开设置之后,点击「锁定屏幕与安全」,再点击「其他安全设定」,点击「加密设备」,然后手机就开始加密了,加密时间视设备内部文件而定。其他的 Android 设备,尤其是国产「深度定制」UI 里的「加密设备」选项需要仔细探索……有些设备在这方面是缺失的。毕竟这对于手机内部储存读写速度要求很高。
本来 Google 是打算在全部运行 Android 5.0 设备上强制推行全盘加密的,不过囿于各类设备的读写问题而最终放弃了——只有 Nexus 6 以及之后的 Nexus 设备才会被强行加密。Google 虽然官方表示 Android 6.0 设备会全部强行全盘加密,但是否又会因为低端 Android 设备的读写速度而被迫放弃呢?不得而知。
你怎么看待全盘加密这个事情?你觉得 Google 应该采用硬件加密的手段吗?如果已经你采用了加密的手段来保护你的手机,你面临过性能上的困扰吗?在评论区告诉我们你的想法吧!
如果你想了解、试用更多新鲜有趣的硬件产品,掌握最新的硬件行业动态,欢迎关注「极客之选」微信帐号。查看历史文章请点击:传送门 。
(头图来自视觉中国)
