Android a šifrovanie údajov. O tom, aké zlé je všetko a prečo je nepravdepodobné, že sa to zlepší. Šifrovanie karty. Pred kým by mal chrániť údaje telefónu. Alternatívne šifrovanie dát na pamäťovej karte Čo to znamená, že SD karta je šifrovaná

Šifrovanie dát v operačnom systéme Android úzko súvisí s dvoma problémami: riadením prístupu k pamäťovým kartám a prenosom aplikácií na ne. Mnohé programy obsahujú aktivačné údaje, fakturáciu a dôverné informácie. Jeho ochrana vyžaduje správu prístupových práv, ktoré typický súborový systém FAT32 pre karty nepodporuje. Preto sa v každej verzii Androidu dramaticky zmenili prístupy k šifrovaniu – od úplnej absencie kryptografickej ochrany vymeniteľných médií až po ich hlbokú integráciu do jedinej sekcie so šifrovaním za chodu.

POZOR

Každý modul gadget s OS Android má svoje vlastné významné rozdiely - vo firmvéri aj na úrovni hardvéru. Dokonca aj rôzne verzie toho istého modelu sa môžu veľmi líšiť. Pamäťové karty majú tiež svoje vlastné charakteristiky. Preto podrobné pokyny na používanie šifrovania na jednom zariadení často nefungujú bez úprav na inom. Neexistujú tu žiadne univerzálne metódy. Existujú iba všeobecné prístupy, ktoré sú popísané v tomto článku.

Špeciálna úloha pamäťovej karty

Pôvodne vývojári Androidu zamýšľali používať pamäťovú kartu iba ako samostatné úložisko pre používateľské súbory. Bol to len multimediálny sklad bez akýchkoľvek požiadaviek na jeho ochranu a spoľahlivosť. MicroSD(HC) karty s FAT32 si dobre poradili s úlohou najjednoduchšieho úložiska, uvoľňujúc vnútornú pamäť od fotografií, videí a hudby.

Možnosť prenášať nielen multimediálne súbory, ale aj aplikácie na pamäťovú kartu sa prvýkrát objavila v Androide 2.2 Froyo. Bol implementovaný pomocou konceptu šifrovaných kontajnerov pre každú aplikáciu, ale chránil iba pred pádom do nesprávnych rúk karty - ale nie smartfónu.

Navyše išlo o polovičné opatrenie: veľa programov sa prenieslo čiastočne, časť dát zostala vo vnútornej pamäti a niektoré (napríklad systémové alebo obsahujúce widgety) sa na kartu nepreniesli vôbec. Samotná možnosť prenosu aplikácií závisela od ich typu (predinštalované alebo tretej strany) a vnútornej štruktúry. Pre niektorých bol adresár s používateľskými údajmi umiestnený okamžite samostatne, zatiaľ čo pre iných bol v podadresári samotného programu.

Ak aplikácie intenzívne používali operácie čítania / zápisu, spoľahlivosť a rýchlosť kariet už nemohli uspokojiť vývojárov. Zámerne to urobili tak, že prenos programov bežnými prostriedkami sa stal nemožným. Vďaka takémuto triku bolo zaručené, že ich vytvorenie dostane povolenie na pobyt vo vnútornej pamäti s veľkým prepisovacím zdrojom a vysokou rýchlosťou.

Od štvrtej verzie v Androide je možné vybrať si, kam aplikáciu umiestniť. Štandardne bolo možné priradiť pamäťovú kartu ako disk na inštaláciu programov, no nie všetky firmvéry túto funkciu správne podporovali. Ako to funguje v konkrétnom zariadení - bolo možné zistiť iba empiricky.

V piatom Androide sa Google opäť rozhodol vrátiť pôvodný koncept a urobil všetko pre to, aby prenos aplikácií na pamäťovú kartu čo najviac sťažil. Významní výrobcovia signál zachytili a do firmvéru pridali vlastné monitorovacie funkcie, ktoré určujú pokusy používateľa o násilné presuny aplikácií na kartu pomocou rootu. Viac-menej fungovala iba možnosť s vytvorením tvrdých alebo symbolických odkazov. Aplikácia bola zároveň určená štandardnou adresou vo vstavanej pamäti, no v skutočnosti sa nachádzala na karte. Zmätok však zaviedli správcovia súborov, z ktorých mnohé nespracovali odkazy správne. Ukázali nesprávne množstvo voľného miesta, pretože sa domnievali, že aplikácia údajne zaberá miesto vo vstavanej pamäti aj na karte súčasne.

Prispôsobte sa!

Android Marshmallow predstavil kompromis s názvom Adoptable Storage. Toto je pokus spoločnosti Google udržať ovce v bezpečí a spokojných vojakov.

Funkcia Adoptable Storage vám umožňuje spojiť užívateľský oddiel vo vstavanej pamäti s oddielom na karte do jedného logického zväzku. V skutočnosti vytvorí na karte oddiel ext4 alebo F2FS a pridá ho do oddielu vnútornej pamäte používateľa. Toto je čisto logická operácia zlúčenia, ktorá trochu pripomína vytvorenie rozloženého zväzku z viacerých fyzických diskov v systéme Windows.

V procese spájania s internou pamäťou sa karta preformátuje. V predvolenom nastavení sa v zreťazenom zväzku použije celý jeho objem. V tomto prípade sa súbory na karte už nedajú prečítať na inom zariadení – budú zašifrované jedinečným kľúčom zariadenia, ktorý je uložený v dôveryhodnom prostredí spúšťania.

Prípadne môžete vyhradiť miesto na karte pre druhý oddiel s FAT32. Súbory na ňom uložené budú viditeľné na všetkých zariadeniach, ako doteraz.

Spôsob rozdelenia karty sa nastavuje buď cez menu Adoptable Storage, alebo cez debug bridge pre Android (Android Debug Bridge - ADB). Posledná možnosť sa používa v prípadoch, keď výrobca schoval Adoptable Storage z ponuky, no neodstránil túto funkciu z firmvéru. Ukrýva sa napríklad v Samsungu Galaxy S7 a špičkových smartfónoch LG. V poslednej dobe existuje všeobecný trend odstraňovať Adoptable Storage z vlajkových zariadení. Považuje sa za barličku pre lacné smartfóny a tablety, ktoré nemajú dostatok vstavanej pamäte Flash.

Nie je však na obchodníkoch, aby rozhodli, ako naše zariadenia využijeme. Prostredníctvom ADB na počítači so systémom Windows sa funkcia Adoptable Storage aktivuje nasledovne.

Urobíme zálohu všetkých údajov na karte - bude preformátovaná.
Java SE Development kit zo stránky Oracle.
Nainštalujte najnovší Android SDK Manager.
Zapnite ladenie USB na svojom smartfóne.
Spustite SDK Manager a na príkazový riadok napíšte: $ adb shell $ sm list-disks
Zapíšeme si číslo disku, pod ktorým je pamäťová karta definovaná (zvyčajne vyzerá ako 179:160, 179:32 alebo podobne).
Ak chcete pridať celý objem karty do internej pamäte, napíšte do príkazového riadka: $ sm partition disk: x: y private
kde x:y je číslo pamäťovej karty.
Ak chcete ponechať časť pre zväzok FAT32, zmeňte príkaz z kroku 7 na tento: $ sm partition disk:x:y mixed nn
kde nn je percento zostávajúce pre objem FAT32.

Napríklad príkaz sm partition disk:179:32 mixed 20 pridá 80 % kapacity karty do internej pamäte a ponechá na nej objem FAT32 na 1/5 jej kapacity.

Na niektorých smartfónoch už táto metóda vo verzii „tak ako je“ nefunguje a vyžaduje si ďalšie triky. Výrobcovia robia všetko preto, aby svoje produkty umelo rozdelili do trhových výklenkov. Špičkové modely sú dostupné s rôznou veľkosťou vnútornej pamäte a ľudí, ktorí si to chcú priplatiť, je stále menej.

Niektoré smartfóny nemajú slot na pamäťovú kartu (napríklad séria Nexus), ale podporujú pripojenie USB-Flash médií v režime OTG. V tomto prípade je možné flash disk použiť aj na rozšírenie vstavanej pamäte. To sa vykonáva nasledujúcim príkazom:

$ adb shell sm set-force-adoptable true

V predvolenom nastavení je možnosť použiť USB-OTG na vytvorenie vlastného úložiska zakázaná, pretože jeho neočakávané odstránenie môže viesť k strate údajov. Pravdepodobnosť náhleho odpojenia pamäťovej karty je oveľa nižšia z dôvodu jej fyzického umiestnenia vo vnútri zariadenia.

Ak sa vyskytnú problémy s pridaním zväzku vymeniteľného média alebo jeho rozdelením, najskôr z neho odstráňte všetky informácie o predchádzajúcom logickom usporiadaní. To sa dá spoľahlivo vykonať pomocou linuxovej utility gparted , ktorá sa na počítači so systémom Windows spúšťa zo zavádzacieho disku alebo z virtuálneho počítača.

Podľa oficiálnych pravidiel spoločnosti Google je možné aplikácie okamžite nainštalovať alebo migrovať do vlastného obchodu, ak to vývojár špecifikoval v atribúte android:installLocation. Iróniou je, že nie všetky vlastné aplikácie Google to zatiaľ umožňujú. Pre „prispôsobené úložisko“ v Androide neexistujú žiadne praktické limity. Teoretický limit pre Adoptable Storage je deväť zettabajtov. Toľko ich nie je ani v dátových centrách a ani väčšie pamäťové karty sa v najbližších rokoch neobjavia.

Samotný postup šifrovania pri vytváraní prispôsobeného úložiska sa vykonáva pomocou dm-crypt - rovnakého modulu jadra Linuxu, ktorý vykonáva šifrovanie celého disku vstavanej pamäte smartfónu (pozri predchádzajúci článok „“). Algoritmus AES sa používa v režime Ciphertext Block Chaining (CBC). Pre každý sektor sa vygeneruje samostatný inicializačný vektor so soľou (ESSIV). Dĺžka konvolúcie hash SHA je 256 bitov a dĺžka samotného kľúča je 128 bitov.

Takáto implementácia, hoci má horšiu spoľahlivosť ako AES-XTS-256, je oveľa rýchlejšia a považuje sa za dostatočne spoľahlivú pre používateľské zariadenia. Je nepravdepodobné, že by zvedavý sused otvoril zašifrovaný upravený trezor v primeranom čase, no spravodajské agentúry sa už dávno naučili využívať nedostatky schémy CBC. Navyše nie všetkých 128 bitov kľúča je v skutočnosti úplne náhodných. Neúmyselné alebo zámerné oslabenie vstavaného generátora pseudonáhodných čísel je najčastejším problémom v kryptografii. Ovplyvňuje to nie tak gadgety Android, ako všetky spotrebiteľské zariadenia vo všeobecnosti. Najspoľahlivejším spôsobom, ako si zabezpečiť súkromie, je preto citlivé dáta do smartfónu vôbec neukladať.

INFO

Ak po zlúčení pamäte pomocou Adoptable Storage vykonáte obnovenie továrenských nastavení, údaje na karte sa tiež stratia. Preto by ste si ich mali najskôr zálohovať, alebo lepšie, okamžite priradiť cloudovú synchronizáciu.

Alternatívne šifrovanie dát na pamäťovej karte

Teraz, keď sme sa zaoberali zvláštnosťami ukladania súborov na pamäťovú kartu v rôznych verziách Androidu, prejdime k ich priamemu šifrovaniu. Ak máte zariadenie so šiestym Androidom a novším, tak s vysokou pravdepodobnosťou je možné v ňom tak či onak aktivovať funkciu Adoptable Storage. Potom budú všetky údaje na karte zašifrované, ako vo vstavanej pamäti. Otvorené zostanú iba súbory na dodatočnom oddiele FAT32, ak ste ho chceli vytvoriť pri preformátovaní karty.

Pokračovanie dostupné len pre členov

Možnosť 1. Pripojte sa ku komunite „stránky“ a prečítajte si všetky materiály na stránke

Členstvo v komunite počas určeného obdobia vám umožní prístup ku VŠETKÝM materiálom hackerov, zvýši vašu osobnú kumulatívnu zľavu a umožní vám získať profesionálne hodnotenie Xakep Score!

Čítate dôležité e-maily, nakupujete online pomocou kreditnej karty, upravujete a zdieľate dôležité dokumenty? Ak je vaša odpoveď áno, mali by ste zvážiť šifrovanie svojho zariadenia.

Po dokončení procesu šifrovania - máte hotovo! Heslo si uložte na bezpečné miesto, pretože ho teraz budete potrebovať vždy, keď budete chcieť získať prístup k telefónu. Upozorňujeme, že ak zabudnete svoje heslo, momentálne neexistuje spôsob, ako ho obnoviť.

V skutočnosti má šifrovanie zariadení Android spolu so zjavnými výhodami aj významné nevýhody:

Predstavte si, že zakaždým, keď chcete uskutočniť hovor, musíte zadať zložité heslo. Zaujímalo by ma, ako skoro ťa to omrzí?
Zašifrované zariadenie nebudete môcť dešifrovať, jednoducho sa neposkytuje. Existuje len jeden spôsob, ako dešifrovať - obnoviť továrenské nastavenia telefónu. V takom prípade sa samozrejme všetky vaše dáta stratia. Bude to vyzerať obzvlášť zaujímavo, ak si predtým zabudnete zálohovať.

Dnes je teda ťažká voľba – buď svoje zariadenie zašifrujete a zmierite sa s obrovským nepohodlím, alebo získate použiteľnosť, no na úkor bezpečnosti. Ktorú cestu si vyberiete? Neviem. Ktorú cestu by som si vybral? Ani ja neviem odpovedať. len neviem.

Vladimír BEZMALY ,
MVP Consumer Security,
Microsoft Security Trusted Advisor

Z bezpečnostného hľadiska je váš smartfón s Androidom kompaktná škatuľka plná dôležitých osobných informácií a len ťažko by ste chceli, aby sa dostal do nesprávnych rúk. Aby sme to vyjadrili reálnejšie, zamyslite sa nad svojimi e-mailami, textovými správami, uloženými číslami kreditných kariet, osobnými fotografiami a inými citlivými údajmi.

Myslím si, že nikto by sa nechcel ocitnúť v situácii, keď by sa týchto údajov zmocnil cudzinec, pretože je dokonca desivé pomyslieť na dôsledky toho. A to je hlavný dôvod, prečo prichádzame k rôznym metódam organizácie ochrany nášho telefónu alebo tabletu a šifrovanie údajov je hlavným prostriedkom ochrany údajov.

čo je šifrovanie?

Šifrovanie je reverzibilný proces, pri ktorom sú údaje nečitateľné pre všetkých okrem tých, ktorí ich vedia dešifrovať. Jediný spôsob, ako získať údaje späť v čitateľnej forme, je dešifrovať ich späť pomocou správneho kľúča.

Takéto veci sa dajú ľahšie pochopiť na jednoduchých príkladoch, povedzme, že ste stratili svoj denník a ten, kto ho nájde a vie po rusky, môže ľahko prečítať a naučiť sa vaše najvnútornejšie tajomstvá, ale ak ste si viedli denník v nejakom tajnom kóde, resp. jazyk zrozumiteľný len vám, nikto iný ho nedokázal prečítať.

Podobný prístup možno použiť na údaje uložené vo vašom zariadení so systémom Android. Zlodej sa môže zmocniť vášho smartfónu alebo tabletu a získať prístup k osobným údajom, no ak sú údaje zašifrované, bude to len sada zbytočných blábolov, ktoré nevie prečítať.

Šifrovanie vášho Androidu

Šifrovanie systému Android je veľmi jednoduchý postup. Upozorňujeme, že ponuky na šifrovanie údajov sa môžu na rôznych zariadeniach nachádzať na rôznych miestach. Okrem toho, vlastný firmvér a používateľské rozhranie, ako napríklad Samsung TouchWiz UX, môžu mať odlišné požiadavky.

Najprv si nastavte heslo alebo PIN na uzamknutie obrazovky. Toto heslo alebo PIN bude súčasťou kľúča na dešifrovanie údajov, preto je dôležité nastaviť ho pred spustením šifrovania.

Niektorí výrobcovia zariadení majú ďalšie bezpečnostné požiadavky, ako napríklad Galaxy S3 a Galaxy S4.

Po nastavení PIN alebo hesla prejdite do podsekcie „Zabezpečenie“ hlavnej ponuky a vyberte „Šifrovať telefón“ alebo „Šifrovať tablet“ (Šifrovať telefón alebo Šifrovať tablet). Na rôznych zariadeniach môže byť ponuka na šifrovanie údajov umiestnená na rôznych miestach, napríklad na HTC One sa nachádza v časti „Pamäť“ v hlavnom menu.

Ponuka šifrovania bude vyzerať takto:

Proces šifrovania trvá dlho, preto je dôležité, aby bola batéria úplne nabitá. Ak batéria nestačí, pred spustením šifrovania dostanete upozornenie.

Ak je všetko pripravené, kliknite na tlačidlo v spodnej časti obrazovky „Šifrovať telefón“ alebo „Šifrovať tablet“ (Šifrovať telefón alebo Šifrovať tablet). Tu vás telefón požiada o heslo alebo PIN kód, zadajte ho na potvrdenie. Znova sa zobrazí varovná správa, kliknite na tlačidlo „Zašifrovať telefón“.

Vaše zariadenie sa reštartuje a až potom sa spustí šifrovanie. Na obrazovke uvidíte indikátor priebehu šifrovania. Kým je spustený proces šifrovania, nehrajte sa s telefónom a nepokúšajte sa vykonávať žiadne akcie. Ak proces šifrovania prerušíte, môžete stratiť všetky alebo časť údajov.

Po dokončení šifrovania sa telefón (tablet) reštartuje a na dešifrovanie všetkých údajov budete musieť zadať heslo alebo PIN. Po zadaní hesla sa všetky dáta dešifrujú a spustí sa bežný Android.

Šifrovanie externej SD karty

Niektoré zariadenia, ako napríklad Galaxy S3 a Galaxy S4, umožňujú šifrovať dáta aj na externých diskoch – pamäťových kartách SD.

Zvyčajne máte možnosť vybrať si, ktoré súbory na pamäťovej karte chcete šifrovať. Máte nasledujúce možnosti šifrovania: celú kartu SD, zahrnúť/vylúčiť multimediálne súbory alebo šifrovať iba nové súbory.

Údaje, ktoré ste zašifrovali na SD karte, nebudú čitateľné na inom zariadení so systémom Android. Niektoré zariadenia budú hlásiť, že pamäťová karta je prázdna alebo má neznámy súborový systém.

Na rozdiel od šifrovania vstavanej pamäte je možné šifrovanie SD karty zrušiť. Na zariadeniach Galaxy S3 a Galaxy S4 môžete dekódovať údaje na externej karte microSD pomocou ponuky Šifrovať externú kartu SD. Pri šifrovaní na kartách SD buďte opatrní, pretože niektoré zariadenia so systémom Android môžu počas šifrovania alebo dešifrovania zničiť všetky údaje.

Páči sa mi to

V skratke: Ak na prístup k telefónu použijete grafický kľúč, tak to v 99 % stačí na to, aby sa k informáciám v telefóne nikto bez vášho vedomia nedostal. Ak sú údaje v telefóne veľmi citlivé, malo by sa použiť vstavané úplné šifrovanie telefónu.

Nositeľmi dôležitých osobných či firemných dát sa dnes stali takmer všetky smartfóny. Prostredníctvom telefónu majiteľa môžete tiež ľahko pristupovať k jeho účtom, ako sú Gmail, DropBox, FaceBook a dokonca aj k podnikovým službám. Preto sa do tej či onej miery oplatí obávať sa dôvernosti týchto údajov a použiť špeciálne nástroje na ochranu telefónu pred neoprávneným prístupom v prípade jeho krádeže alebo straty.

Pred kým by mal chrániť údaje telefónu.
Zabudovaná ochrana údajov v systéme Android.
Úplné šifrovanie pamäte telefónu
Výsledky

Aké informácie sú uložené v telefóne a prečo ich chrániť?

Smartfón alebo tablet často funguje ako mobilný sekretár a oslobodzuje hlavu majiteľa od ukladania veľkého množstva dôležitých informácií. Telefónny zoznam obsahuje čísla priateľov, zamestnancov, rodinných príslušníkov. Do zošita si často píšu čísla kreditných kariet, prístupové kódy k nim, heslá na sociálne siete, e-mail a platobné systémy.
Veľmi dôležitý je aj zoznam posledných hovorov.
Strata telefónu môže byť skutočnou katastrofou. Niekedy sú ukradnuté zámerne, aby prenikli do súkromia alebo sa podelili o zisky s majiteľom.
Niekedy nie sú ukradnuté vôbec, ale sú používané krátkodobo, nepostrehnuteľne, no skúsenému zlomyseľnému používateľovi stačí pár minút, aby zistil všetky podrobnosti.

Strata dôverných informácií môže mať za následok finančný krach, kolaps osobného života, rozpad rodiny.
Bodaj by som to nemal! - hovorí bývalý majiteľ. - Dobre, že si to mal! povie útočník.

Čo teda treba na telefóne chrániť:

účty. Sem patrí napríklad prístup k vašej gmailovej schránke. Ak si nastavíte synchronizáciu s facebookom, dropboxom, twitterom. Prihlasovacie údaje a heslá pre tieto systémy sú uložené ako čistý text v priečinku profilu telefónu /data/system/accounts.db.
História SMS-korešpondencie a telefónneho zoznamu obsahujú aj dôverné informácie.
Program webového prehliadača. Celý profil prehliadača musí byť chránený. Je známe, že webový prehliadač (zabudovaný alebo tretej strany) si za vás pamätá všetky heslá a prihlasovacie údaje. To všetko je uložené v otvorenej podobe v priečinku profilu programu v pamäti telefónu. Okrem toho si vás zvyčajne samotné stránky (pomocou súborov cookie) pamätajú a nechávajú prístup k účtu otvorený, aj keď ste nešpecifikovali zapamätanie hesla.
Ak používate mobilný prehliadač (Chrome, FireFox, Maxthon atď.) na synchronizáciu s počítačovým prehliadačom na prenos záložiek a hesiel medzi zariadeniami, potom môžete predpokladať, že všetky heslá z iných stránok sú dostupné z vášho telefónu.
Pamäťová karta. Ak ukladáte dôverné súbory na pamäťovú kartu alebo sťahujete dokumenty z internetu. Bežne sa fotografie a nahrané videá ukladajú na pamäťovú kartu.
Fotoalbum.

Pred kým by mal chrániť údaje telefónu:

Od náhodného človeka, ktorý nájde váš stratený telefónl z "náhodnej" krádeže telefónu.
Je nepravdepodobné, že údaje v telefóne budú mať v tomto prípade pre nového majiteľa hodnotu. Bezpečnosť dát preto zaistí aj jednoduchá ochrana grafickým kľúčom. S najväčšou pravdepodobnosťou bude telefón jednoducho preformátovaný na opätovné použitie.
Od zvedavých očí(kolegovia/deti/manželky), ktorý má prístup k vášmu telefónu bez vášho vedomia a využíva vašu neprítomnosť. Jednoduchá ochrana zabezpečí bezpečnosť dát.
Vynútiť prístup
Stáva sa, že ste dobrovoľne nútení poskytnúť telefón a otvorený prístup do systému (informácií). Napríklad, keď vás manželka požiada, aby ste sa pozreli na telefón, zástupca úradov alebo zamestnanec servisného strediska, kde ste telefón zobrali na opravu. V tomto prípade je akákoľvek ochrana zbytočná. Aj keď je možné pomocou ďalších programov skryť skutočnosť prítomnosti niektorých informácií: skryť časť korešpondencie SMS, časť kontaktov, niektoré súbory.
Z účelovej krádeže telefónu.
Niekto chcel napríklad naozaj vedieť, čo je na vašom telefóne, a snažil sa to získať.
V tomto prípade pomáha iba úplné šifrovanie telefónu a SD karty.

Zabudovaná ochrana údajov na zariadeniach so systémom Android .

1. Obrazovka uzamknutia vzoru.
Táto metóda je veľmi účinná v prvom a druhom prípade (ochrana pred náhodnou stratou telefónu a ochrana pred zvedavými očami). Ak náhodou stratíte telefón alebo ho zabudnete v práci, nikto ho nebude môcť použiť. Ak sa však váš telefón zámerne dostal do nesprávnych rúk, je nepravdepodobné, že by sa to zachránilo. K hackovaniu môže dôjsť aj na úrovni hardvéru.

Obrazovku je možné uzamknúť pomocou hesla, PIN a vzoru. Spôsob uzamknutia si môžete vybrať spustením nastavení a výberom časti Zabezpečenie -> Zámok obrazovky.

Grafický kľúč (vzor) - c Najpohodlnejší a zároveň spoľahlivý spôsob ochrany telefónu.

žiadne- nedostatok ochrany
Šmykľavka- Ak chcete odomknúť, musíte prejsť prstom po obrazovke v určitom smere.

vzor- toto je grafický kľúč, vyzerá asi takto:

Úroveň zabezpečenia môžete zvýšiť dvoma spôsobmi.
1. Zväčšite vstupné pole vzoru. Môže sa líšiť od 3x3 bodov na obrazovke po 6x6 (Android 4.2 sa nachádza v niektorých modeloch v závislosti od verzie Androidu a modelu telefónu).
2. Skryť zobrazenie bodov a „cestu“ grafického kľúča na obrazovke smartfónu tak, aby nebolo možné kľúč prehliadnuť.

3. Nastavte automatický zámok obrazovky po 1 minúte nečinnosti telefónu.

Pozor!!! Čo sa stane, ak zabudnete vzor na odomknutie:

Počet nesprávnych pokusov o vytiahnutie grafického kľúča je obmedzený na 5-krát (v rôznych modeloch telefónov môže byť počet pokusov až 10-krát).
Potom, čo ste použili všetky pokusy, ale nevytiahli ste grafický kľúč správne, telefón sa na 30 sekúnd zablokuje. Potom s najväčšou pravdepodobnosťou budete mať znova niekoľko pokusov v závislosti od modelu telefónu a verzie systému Android.
Ďalej telefón požiada o prihlasovacie meno a heslo vášho účtu Gmail, ktorý je zaregistrovaný v nastaveniach účtov v telefóne.
Táto metóda bude fungovať iba vtedy, ak je váš telefón alebo tablet pripojený k internetu. V opačnom prípade sa zablokuje alebo reštartuje podľa nastavení výrobcu.

Stáva sa, že telefón padne do rúk dieťaťa - začne sa hrať, mnohokrát vytiahne kľúč a to vedie k zablokovaniu kľúča.

PIN je heslo pozostávajúce z niekoľkých číslic.

A nakoniec heslo- najspoľahlivejšia ochrana so schopnosťou používať písmená a čísla. Ak sa rozhodnete použiť heslo, môžete povoliť možnosť Šifrovanie telefónu.

Šifrovanie úložiska telefónu.

Táto funkcia je zahrnutá v systéme Android verzie 4.0* a vyššej. pre tablety. Táto funkcia však môže chýbať v mnohých lacných telefónoch.
Umožňuje zašifrovať internú pamäť telefónu tak, aby k nej bolo možné pristupovať iba pomocou hesla alebo kódu PIN. Šifrovanie pomáha chrániť informácie vo vašom telefóne, ak c cielená krádež.Útočníci nebudú mať prístup k vašim údajom z vášho telefónu.

Predpokladom pre používanie šifrovania je nastavenie zámku obrazovky pomocou hesla.
Touto metódou je dosiahnuté uchovanie užívateľských dát nachádzajúcich sa v pamäti telefónu, ako je telefónny zoznam, nastavenia prehliadača, heslá používané na internete, fotografie a videá, ktoré užívateľ získal pomocou fotoaparátu a nepreniesol na SD kartu.

Šifrovanie SD karty umožňuje samostatná možnosť.
- Šifrovanie pamäte môže trvať až hodinu v závislosti od množstva pamäte vo vašom zariadení. Telefón nie je možné používať počas šifrovania.

Čo ak ste zabudli svoje heslo?

Obnovenie hesla sa v tomto prípade neposkytuje. Na svojom telefóne alebo tablete môžete vykonať úplný RESET, t.j. preinštalujte Android, ale používateľské údaje z pamäte telefónu alebo tabletu sa vymažú. Ak teda útočník nepozná heslo na odomknutie telefónu, nebude ho môcť použiť. Taktiež nebude možné zobraziť údaje z pamäte telefónu pomocou iných programov pripojením telefónu k počítaču, pretože celá vnútorná pamäť je šifrovaná. Jediný spôsob, ako telefón znova spustiť, je preformátovať ho.

Pozor, funkcia úplného šifrovania je prítomná iba v systéme Android OS 4.0 - 4.1 a na niektorých modeloch telefónov jednoducho nemusí byť k dispozícii. Najčastejšie sa vyskytuje v telefónoch Samsung, HTC, LG, Sony. Niektoré čínske modely majú aj funkciu šifrovania. Pri niektorých telefónoch sa táto funkcia nachádza v časti „Pamäť“.

Nevýhody:

Budete musieť neustále zadávať pomerne zložité heslo (6-10 znakov), aj keď chcete len volať. Aj keď je možné nastaviť dlhý časový interval (30 minút), počas ktorého sa pri zapnutí obrazovky telefónu nebude vyžadovať heslo. Na niektorých modeloch telefónov môže byť minimálna dĺžka hesla od 3 znakov.
Na niektorých modeloch telefónov nie je možné vypnúť šifrovanie, ak chcete deaktivovať vždy zadávanie hesla. Šifrovanie sa deaktivuje iba obnovením továrenských nastavení telefónu a odstránením všetkých údajov.

Šifrovanie externej pamäťovej karty SD

Funkcia je súčasťou štandardného balíka Android 4.1.1 pre tablety. Chýba v mnohých zostavách rozpočtu.
Funkcia poskytuje spoľahlivú ochranu dát na externej SD karte. Tu je možné ukladať osobné fotografie, textové súbory s komerčnými a osobnými informáciami.
Umožňuje šifrovať súbory na SD karte bez zmeny ich názvov, štruktúry súborov, pri zachovaní náhľadu grafických súborov (ikon). Funkcia vyžaduje nastavenie hesla na uzamknutie displeja s dĺžkou aspoň 6 znakov.

Je možné zrušiť šifrovanie. Keď zmeníte heslo, automaticky sa znova zašifruje.
Ak používateľ stratí pamäťovú kartu, zašifrované súbory nebude možné prečítať prostredníctvom čítačky kariet. Ak to dáte na iný tablet, kde je iné heslo, tak sa nedajú prečítať ani zašifrované dáta.
Ďalšie vlastnosti šifrovania:

Transparentné šifrovanie. Ak je karta vložená do tabletu a používateľ odomkol obrazovku heslom, každá aplikácia vidí súbory v dešifrovanej podobe.
Ak tablet pripojíte cez USB kábel k počítaču, po odomknutí karty z obrazovky mobilného zariadenia je možné čítať zašifrované súbory aj na počítači.
Ak sa na kartu cez čítačku kariet zapíšu nejaké ďalšie nezašifrované súbory, zašifrujú sa aj po vložení karty do tabletu.
Ak máte zašifrovanú kartu, nemôžete zrušiť heslo zámku.
Údaje sú šifrované na úrovni súboru (názvy súborov sú viditeľné, ale obsah súboru je šifrovaný).

Nevýhoda programu:o chýba vo väčšine verzií Androidu.

Je potrebné zdôrazniť, že najlepšou bezpečnosťou údajov je ich úplná kópia na vašom počítači Smartfón je pomerne krehké zariadenie malej veľkosti, čo znamená, že vždy existuje možnosť jeho poruchy alebo straty.

Zlepšenie použiteľnosti zabezpečeného smartfónu

Úplné šifrovanie telefónu poskytuje najsilnejšiu úroveň ochrany, ale neustále zadávanie 6-miestneho prístupového kódu sťažuje používanie. Ale existuje riešenie.

Vyberte si vzor, PIN alebo heslo na nastavenie zabezpečenia.

Bude vám ponúknutá možnosť výberu: ochrana pomocou PIN kódu, hesla alebo vzoru pri spustení. Výber je len na vás, no aj tak odporúčame zvoliť si nejaký druh ochrany, pretože zvyšuje bezpečnosť vášho zariadenia.

Upozorňujeme, že ani so snímačom odtlačkov prstov nemôžete na odomknutie zariadenia pri prvom spustení použiť odtlačok prsta – budete musieť zadať heslo, PIN alebo vzor. Po dešifrovaní zariadenia správnou metódou je už možné na odomknutie obrazovky použiť snímač odtlačkov prstov.

Odteraz bude vaše zariadenie šifrované, ale ak chcete šifrovanie zakázať, môžete tak urobiť obnovením továrenských nastavení. Ak máte nové zariadenie, ktoré má automaticky povolené šifrovanie, neexistuje spôsob, ako ho vypnúť, a to ani pri obnovení továrenských nastavení.

Šifrovanie údajov v operačnom systéme Android úzko súvisí s dvoma problémami: riadením prístupu k pamäťovým kartám a prenosom aplikácií na ne. Mnohé programy obsahujú aktivačné údaje, fakturáciu a dôverné informácie. Jeho ochrana vyžaduje správu prístupových práv, ktoré typický súborový systém FAT32 pre karty nepodporuje. Preto sa v každej verzii Androidu dramaticky zmenili prístupy k šifrovaniu – od úplnej absencie kryptografickej ochrany vymeniteľných médií až po ich hlbokú integráciu do jedinej sekcie so šifrovaním za chodu.

Špeciálna úloha pamäťovej karty

V piatom Androide sa Google opäť rozhodol vrátiť pôvodný koncept a urobil všetko pre to, aby prenos aplikácií na pamäťovú kartu čo najviac sťažil. Významní výrobcovia signál zachytili a do firmvéru pridali vlastné monitorovacie funkcie, ktoré určujú pokusy používateľa o násilné presuny aplikácií na kartu pomocou rootu. Viac-menej fungovala iba možnosť s vytvorením tvrdých alebo symbolických odkazov. V tomto prípade bola aplikácia určená štandardnou adresou vo vstavanej pamäti, ale v skutočnosti bola na karte. Zmätok však zaviedli správcovia súborov, z ktorých mnohé nesprávne spracovali odkazy. Ukázali nesprávne množstvo voľného miesta, pretože sa domnievali, že aplikácia údajne zaberá miesto vo vstavanej pamäti aj na karte súčasne.

Prispôsobte sa!

Android Marshmallow predstavil kompromis s názvom Adoptable Storage. Toto je pokus spoločnosti Google udržať ovce v bezpečí a spokojných vojakov.

Prípadne môžete vyhradiť miesto na karte pre druhý oddiel s FAT32. Súbory na ňom uložené budú viditeľné na všetkých zariadeniach, ako doteraz.

Nie je však na obchodníkoch, aby rozhodli, ako naše zariadenia využijeme. Prostredníctvom ADB na počítači so systémom Windows sa funkcia Adoptable Storage aktivuje nasledovne.

Urobíme zálohu všetkých údajov na karte - bude preformátovaná.
Java SE Development kit zo stránky Oracle.
Nainštalujte najnovší Android SDK Manager.
Zapnite ladenie USB na svojom smartfóne.
Spustite SDK Manager a do príkazového riadka napíšte nasledovné:
Kde x:y je číslo pamäťovej karty.
Ak chcete ponechať časť pre zväzok FAT32, zmeňte príkaz z kroku 7 na tento:

$ sm oddiel disku: x: y zmiešaný nn

kde nn je percento zostávajúce pre objem FAT32.

Napríklad príkaz sm partition disk:179:32 mixed 20 pridá 80 % kapacity karty do internej pamäte a ponechá na nej objem FAT32 na 1/5 jej kapacity.

Na niektorých smartfónoch už táto metóda vo verzii „tak ako je“ nefunguje a vyžaduje si ďalšie triky. Výrobcovia robia všetko preto, aby svoje produkty umelo rozdelili do trhových výklenkov. Top modely sa vyrábajú s rôznym množstvom vstavanej pamäte a tých, ktorí to chcú preplatiť, je menej.

$ adb shell sm set - force - adoptable true

Ak sa vyskytnú problémy s pridaním zväzku vymeniteľného média alebo jeho rozdelením, najskôr z neho odstráňte všetky informácie o predchádzajúcom logickom usporiadaní. To sa dá spoľahlivo urobiť pomocou linuxovej utility gparted , ktorá sa na počítači so systémom Windows spúšťa zo zavádzacieho disku alebo z virtuálneho stroja.

Podľa oficiálnych pravidiel spoločnosti Google je možné aplikácie ihneď nainštalovať alebo migrovať do vlastného úložiska, ak to vývojár určil v atribúte android:installLocation. Iróniou je, že nie všetky vlastné aplikácie Google to zatiaľ umožňujú. Pre „prispôsobené úložisko“ v Androide neexistujú žiadne praktické limity. Teoretický limit pre Adoptable Storage je deväť zettabajtov. Toľko ich nie je ani v dátových centrách a ani väčšie pamäťové karty sa v najbližších rokoch neobjavia.

Ak po zlúčení pamäte pomocou Adoptable Storage vykonáte obnovenie továrenských nastavení, údaje na karte sa tiež stratia. Preto by ste si ich mali najskôr zálohovať, alebo lepšie, okamžite priradiť cloudovú synchronizáciu.

Alternatívne šifrovanie dát na pamäťovej karte

V skorších vydaniach Androidu sú veci oveľa komplikovanejšie, keďže pred verziou 5.0 kryptografická ochrana vôbec neovplyvňovala pamäťové karty (samozrejme s výnimkou prenesených dát aplikácií). "Normálne" súbory na karte zostali otvorené. Aby ste ich zatvorili pred zvedavými očami, budete potrebovať pomocné programy tretích strán (ktoré sa často ukážu ako len grafický shell pre vstavané nástroje). Pri všetkej rozmanitosti existujúcich metód existujú štyri zásadne odlišné:

použitie univerzálneho kryptokontajnera - súboru s obrázkom zašifrovaného zväzku v populárnom formáte, s ktorým môžu pracovať aplikácie pre rôzne operačné systémy;
transparentné šifrovanie súborov v zadanom adresári pomocou ovládača FUSE a nástroja tretej strany na vytvorenie/pripojenie šifrovaného oddielu ako súboru;
šifrovanie celej pamäťovej karty cez dm-crypt;
používanie „čiernej skrinky“ – samostatnej aplikácie, ktorá ukladá šifrované dáta vo vlastnom formáte a neposkytuje k nim prístup programom tretích strán.

Prvá možnosť je dobre známa každému, kto používa TrueCrypt alebo niektorý z jeho forkov na počítači. Existujú aplikácie pre Android, ktoré podporujú kontajnery TrueCrypt, ale majú iné obmedzenia.

Druhá možnosť vám umožňuje organizovať „transparentné šifrovanie“, to znamená ukladať všetky údaje zašifrované a dešifrovať ich pri prístupe z akejkoľvek aplikácie. Na tento účel sú všetky údaje z vybraného adresára prezentované ako obsah virtuálneho súborového systému s podporou šifrovania za chodu. Zvyčajne sa používa EncFS, o ktorom budeme podrobnejšie diskutovať nižšie.

Treťou možnosťou je vstavaný dm-crypt. Môžete to využiť napríklad cez LUKS Manager. Aplikácia vyžaduje root a nainštalovaný BusyBox. Rozhranie na ňom - na ventilátore.

LUKS Manager vytvorí kryptografický kontajner na karte ako súbor. Tento kontajner je možné pripojiť k ľubovoľnému adresáru a pracovať s ním ako s bežným. Výhodou je, že toto riešenie má podporu viacerých platforiem. S kontajnerom môžete pracovať nielen na miniaplikácii pre Android, ale aj na pracovnej ploche: v systéme Linux - prostredníctvom cryptsetup a v systéme Windows - prostredníctvom programu alebo jeho vidlice LibreCrypt. Mínus - nepohodlie pri používaní v spojení s cloudovými službami. Zakaždým, keď ste v cloude, musíte znova uložiť celý kontajner, aj keď sa zmenil jeden bajt.

Štvrtá možnosť je vo všeobecnosti málo zaujímavá, pretože značne obmedzuje scenáre používania šifrovaných súborov. Otvoriť ich môže len nejaká špecializovaná aplikácia a dúfať, že sa jej vývojárovi podarilo naučiť sa kryptografiu. Bohužiaľ, väčšina z týchto aplikácií neobstojí pri kontrole. Mnohé z nich nemajú s kryptografiou vôbec nič spoločné, pretože súbory namiesto šifrovania jednoducho maskujú. Zároveň sa v popise môžu spomenúť silné algoritmy (AES, 3DES ...) a citácie zo Schneier's Applied Cryptography. V najlepšom prípade budú mať takéto programy veľmi slabú implementáciu šifrovania a v najhoršom prípade nebude existovať žiadne.

Oficiálny Android klient pre VeraCrypt neexistuje a ani sa neplánuje, no jeho autori odporúčajú používať aplikáciu EDS (Encrypted Data Store). Ide o ruský vývoj, ktorý existuje v plnohodnotnej a odľahčenej verzii. Plná verzia EDS stojí 329 rubľov. Podporuje krypto kontajnery TrueCrypt, VeraCrypt, CyberSafe, ako aj LUKS a EncFS. Dokáže pracovať s lokálnym, sieťovým a cloudovým úložiskom a poskytuje ostatným aplikáciám transparentné šifrovanie. Šifrovanie za chodu vyžaduje, aby jadro podporovalo rámec FUSE a oprávnenia root. Bežná práca s kryptokontajnermi je možná na akomkoľvek firmvéri.

Verzia EDS Lite je distribuovaná bezplatne a má funkčné obmedzenia. Napríklad môže pracovať výlučne s kontajnermi obsahujúcimi vo vnútri zväzok so súborovým systémom FAT, šifrovaným pomocou algoritmu AES s dĺžkou kľúča 256 bitov a pomocou hašovacej funkcie SHA-512. Ostatné možnosti nie sú podporované. Preto sa oplatí zamerať sa na platenú verziu.

Kryptokontajner je najspoľahlivejší a univerzálny spôsob. Môže byť uložený v akomkoľvek súborovom systéme (dokonca aj FAT32) a použitý na akomkoľvek zariadení. Všetky dáta, ktoré ste zašifrovali na ploche, budú dostupné na smartfóne a naopak.

EncFS

V roku 2003 vydal Valient Gough (Valient Gough – softvérový inžinier zo Seattlu, ktorý napísal softvér pre NASA a neskôr pracoval pre Google a Amazon) prvé vydanie bezplatného súborového systému so vstavaným transparentným šifrovacím mechanizmom – EncFS. Interaguje s jadrom OS cez vrstvu spätného volania a prijíma požiadavky cez rozhranie libfuse rámca FUSE. Podľa voľby používateľa EncFS používa jeden zo symetrických algoritmov implementovaných v knižnici OpenSSL - AES a Blowfish.

Keďže EncFS využíva princíp vytvárania virtuálneho súborového systému, nevyžaduje samostatný oddiel. V systéme Android stačí nainštalovať aplikáciu podporujúcu EncFS a jednoducho ju nasmerovať do niekoľkých adresárov. Jeden z nich bude uchovávať zašifrovaný obsah (nech sa nazýva trezor) a druhý - dočasne dešifrované súbory (nazvime to otvorené).

Po zadaní hesla sa súbory načítajú z adresára trezor a uložené dešifrované v otvorené(ako v novom bode pripojenia), ak je k dispozícii pre všetky aplikácie. Po skončení práce stlačte v aplikácii tlačidlo Forget Decryption (alebo jeho ekvivalent). Katalóg otvorené bude odpojený a všetky dešifrované súbory z neho zmiznú.

Nevýhody: EncFS nepodporuje pevné odkazy, keďže dáta nie sú viazané na inode, ale na názov súboru. Z rovnakého dôvodu sú podporované názvy súborov do 190 bajtov. V katalógu trezor názvy súborov a ich obsah budú skryté, ale metadáta zostanú dostupné. Môžete zistiť počet zašifrovaných súborov, ich oprávnenia, posledný prístup či čas úpravy. Existuje tiež jasný znak používania EncFS - ide o súbor nastavení s predponou encfs a číslom verzie v jeho názve. Parametre šifrovania sú zapísané vo vnútri súboru, vrátane algoritmu, dĺžky kľúča a veľkosti bloku.

Platený audit EncFS bol dokončený vo februári 2014. Dospel k záveru, že "EncFS je pravdepodobne bezpečný, pokiaľ má útočník iba jednu sadu zašifrovaných súborov a nič iné." Ak má útočník k dispozícii viac údajov (napríklad dve snímky súborového systému urobené v rôznych časoch), potom EncFS nemožno považovať za spoľahlivé.

Po nainštalovaní bude EncFS viditeľný ako samostatný súborový systém používateľského priestoru prostredníctvom ovládača FUSE. Prístup k nemu bude realizovaný cez nejakú aplikáciu tretích strán – napríklad správcu súborov Encdroid alebo Cryptonite. Ten je založený na zdrojovom kóde EncFS, tak sa poďme zamerať naň.

kryptonit

Najnovšia verzia aplikácie Cryptonite je 0.7.17 beta z 15. marca 2015. Dá sa nainštalovať na akékoľvek zariadenie s Androidom 4.1 a vyšším, avšak niektoré funkcie fungujú stabilnejšie v Androide 4.3 a novších verziách.

Väčšina operácií v Cryptonite nevyžaduje root ani žiadne špecifické komponenty. Vytváranie zväzkov EncFS a synchronizácia s Dropboxom môže byť vykonaná na oficiálnych aj vlastných ROM.

Cloudová synchronizácia šifrovaných súborov

Množstvo operácií si však bude vyžadovať pripojenie zväzkov EncFS, ktoré vyžadujú práva root a podporu pre rámec FUSE zo strany jadra OS. Použitie FUSE je nevyhnutné pre organizáciu „transparentného šifrovania“, to znamená, aby iné aplikácie mohli pristupovať k zašifrovaným údajom a prijímať ich už dešifrované. Väčšina staršieho firmvéru nepodporuje FUSE, ale je k dispozícii v CyanogenMod, MIUI, AOKP a ďalších vlastných. Od Androidu 4.4 sa FUSE pravidelne používa na emuláciu SD karty v vstavanej pamäti.

Nevýhody: Keď kliknete na „Dešifrovať“ a úspešne zadáte svoje heslo, Cryptonite vytvorí dočasnú kópiu dešifrovaného súboru v /data/data/csh.cryptonite/app_open/. Kópia súboru je označená ako celosvetovo čitateľná (čitateľná a spustiteľná pre každého). Dešifrované súbory môžete odstrániť kliknutím na tlačidlo Zabudnúť na dešifrovanie.

závery

Spôsob šifrovania údajov na pamäťovej karte by sa mal zvoliť na základe dvoch hlavných kritérií: scenár použitia a verzia systému Android. Na moderných gadgetoch s Androidom 6.0 a vyšším je najjednoduchšia možnosť použiť Adoptable Storage, priložiť kartu k internej pamäti a transparentne zašifrovať celý logický zväzok. Ak potrebujete sprístupniť súbory na iných zariadeniach alebo pridať šifrovanie dát na karte v starých zariadeniach, poslúžia krypto kontajnery osvedčených formátov. Pomôckam tretích strán „vec sama o sebe“ je lepšie sa úplne vyhnúť, pretože namiesto skutočnej ochrany údajov ju často iba napodobňujú.

Posledná aktualizácia 18. februára 2017 .

Akýkoľvek mobilný gadget možno stratiť, opustiť, zabudnúť a jednoducho ukradnúť. Akékoľvek informácie, ktoré sú na ňom uložené v nechránenej forme, môžu byť prečítané a použité proti vám. A najúčinnejší spôsob ochrany informácií je . V tomto článku si povieme niečo o vlastnostiach implementácie systému šifrovania údajov v nových verziách Androidu, ako aj o nástrojoch, ktoré umožňujú implementovať selektívne šifrovanie jednotlivých adresárov.

Úvod

Android je založený na linuxovom jadre, ktoré zase obsahuje množstvo mechanizmov implementujúcich šifrovanie širokej škály entít. Na kryptografickú ochranu diskov a diskových oddielov je k dispozícii systém s názvom dm-crypt – akýsi kryptofilter, cez ktorý môžete preniesť všetky požiadavky na disk alebo diskový oddiel a získať tak šifrovanie údajov za behu.

Programátori Google naučili Android používať dm-crypt od verzie 3.0 Honeycombu, ktorá zaviedla možnosť rýchleho aktivovania šifrovania a nastavenia PIN pre prístup k údajom. Z užívateľskej strany všetko vyzerá veľmi jednoducho a bezproblémovo: Pripojil som telefón k nabíjačke, počkal, kým sa úplne nabije a stlačil drahocenné tlačidlo. Systém začal šifrovať existujúce dáta. Všetko to vyzerá zvnútra oveľa zaujímavejšie.

Špecifický prístup pre Android

V každej linuxovej distribúcii je za správu dm-crypt zodpovedná pomôcka cryptsetup, ktorá vytvára zväzok zašifrovaný podľa štandardu LUKS, ku ktorému je možné pristupovať aj pomocou nástrojov tretích strán z Windows alebo OS X. dm-crypt na disk , ktorý sa potom namontuje.

V systéme Android sú veci iné. Kvôli licenčným požiadavkám pre všetky komponenty nad jadrom s licenciou kompatibilnou s Apache nie je cryptsetup, ktorý je distribuovaný pod GPL2, súčasťou systému Android. Namiesto toho používa modul cryptfs vyvinutý od nuly pre miestneho správcu zväzkov vold (nezamieňať si s natívnymi nástrojmi Linuxu: vold a cryptfs, to sú úplne odlišné zmeny).

Android štandardne používa šifrovanie cryptfs na šifrovanie používateľských údajov, nastavení a aplikácií (adresár /data). Mal by byť spustený skoro pri zavádzaní OS, ešte pred spustením grafického prostredia a základných aplikácií, aby komponenty systému vyššej úrovne mohli systém uviesť do požadovaného stavu prečítaním nastavení a vytiahnutím potrebných údajov z vyrovnávacej pamäte. .

Toto nie je možné vykonať v automatickom režime, pretože systém si musí od užívateľa vypýtať heslo na dešifrovanie, čo si vyžaduje spustenie grafického prostredia a ten sa zase nedá spustiť bez pripojenia adresára /data, ktorý sa nedá pripojiť bez hesla. Aby sa Android z tejto situácie dostal, použil nezvyčajný trik, keď prinútil operačný systém spustiť „dvakrát“. K prvému spusteniu minimálneho systému dôjde pred spustením cryptfs na vyžiadanie dešifrovacieho hesla s pripojením k /data dočasného súborového systému, po ktorom sa systém v podstate vypne, pripojí sa šifrovaná /data partícia a finálna verzia OS je spustený.

Povoliť šifrovanie

Šifrovanie údajov v systéme Android je povolené pomocou ponuky "Nastavenia -> Zabezpečenie -> Šifrovať údaje". V tomto prípade musí byť smartfón plne nabitý a pripojený k nabíjačke a spôsob odomknutia musí byť PIN kód alebo heslo (Nastavenia -> Zabezpečenie -> Zámok obrazovky -> PIN kód), ktoré je potrebné zadať pred spustením šifrovania. prevádzka. Smartfón vás upozorní, že operácia bude trvať približne hodinu, počas ktorej sa zariadenie niekoľkokrát reštartuje.

Čo sa stane potom, je presne to, čo je popísané v predchádzajúcej časti. Smartfón načíta minimálnu verziu systému s pripojením dočasného súborového systému k dátovému bodu / a začne šifrovať údaje, pričom na obrazovke zobrazí priebeh operácie. Samotné šifrovanie prebieha takto:

Najprv vold/cryptfs vygeneruje 128-bitový hlavný kľúč na základe náhodných údajov z /dev/urandom a použije tento kľúč na mapovanie oddielu obsahujúceho adresár /data na nové virtuálne šifrovacie zariadenie, do ktorého sa automaticky zašifrujú údaje pomocou hlavný kľúč, kľúč a čítanie - na dešifrovanie.
Hlavný kľúč je zašifrovaný pomocou PIN užívateľa a umiestnený na konci sekcie. Odteraz si systém pri bootovaní vypýta od užívateľa PIN kód, načíta zašifrovaný hlavný kľúč z partície, dešifruje ho pomocou PIN kódu a pripojí šifrovanú /dátovú partíciu.
Na zašifrovanie údajov, ktoré sa už na oddiele nachádzajú, systém postupne číta bloky údajov z oddielu a zapisuje ich do šifrovacieho zariadenia, takže v skutočnosti prebehne sekvenčná operácia „prečítať blok -> zašifrovať -> zapísať späť“. až po celú sekciu okrem posledných 16 KB, kde je uložený hlavný kľúč.
Na konci operácie sa smartfón reštartuje a pri ďalšom spustení systém požiada o PIN kód na dešifrovanie údajov.

V prípade 16 GB disku Galaxy Nexus všetky tieto operácie trvajú približne 30 minút a hlavne sú plne automatizované, takže šifrovanie zvládne aj dieťa.

Jedno heslo na odomknutie a dešifrovanie?

Aby sa používateľom uľahčil život, Google sa rozhodol použiť rovnaké heslo na odomykanie a dešifrovanie dát, výsledkom čoho je dosť rozporuplný obraz. Na jednej strane musí byť heslo na dešifrovanie dlhé a zložité, pretože útočník si ho môže zvoliť aj mimo smartfónu, a to jednoduchým odstránením obrazu partície. Na druhej strane, heslo na odomknutie môže byť ponechané veľmi jednoducho, keďže po niekoľkých neúspešných pokusoch Android natrvalo uzamkne obrazovku, čo vás prinúti zadať heslo Google.

V dôsledku toho si musíte vybrať medzi pohodlím odomykania a bezpečnosťou šifrovaných dát (ovládanie tvárou nepovažujeme za prostriedok ochrany). Našťastie, ak je telefón rootovaný, dešifrovacie heslo možno zadať manuálne pomocou klienta konzoly vold. Môžete to urobiť takto:

$ su -c vdc cryptfs zmeniť heslo pw

Odteraz budú heslá na odomknutie a dešifrovanie odlišné, ale ak zmeníte heslo na odomknutie (PIN kód), budú opäť rovnaké. Aby ste neliezli do konzoly, môžete použiť jedno z grafických rozhraní, napríklad EncPassChanger.

Vrátenie zmien a kompatibilita firmvéru

Bohužiaľ, z nejakého dôvodu vám Android neumožňuje vrátiť sa späť na nezašifrovaný oddiel. Ak sú teda dáta už zašifrované, zostanú tak presne, kým sa nevykoná továrenské nastavenie (úplné vymazanie) – operácia, ktorá preformátuje partíciu obsahujúcu adresár /data, ich automaticky zmení na nezašifrované.

Tu však môže vzniknúť otázka: „Čo sa stane, ak aktualizujem Android alebo nainštalujem vlastný firmvér? V tomto prípade všetko závisí od spôsobu inštalácie. Vo väčšine prípadov pri aktualizácii firmvéru alebo inštalácii alternatívneho firmvéru približne rovnakej verzie (napríklad výmena CyanogenMod 10.1 za Paranoid Android 3 alebo MIUI 5) nie je potrebné vymazať. To znamená, že nainštalovaný firmvér pri pokuse o pripojenie oddielu / data si „uvedomí“, že pracuje so šifrovaným oddielom, požiada vás o heslo a pokojne údaje dešifruje.

Ak si inštalácia vyžaduje úplné vymazanie, čo je zvyčajne potrebné pri prechode na nové verzie Androidu, tak tu je situácia ešte jednoduchšia. Počas vymazania sa oddiel /data preformátuje a automaticky sa zmení na nezašifrovaný. Hlavná vec je urobiť zálohu pred aktualizáciou pomocou Titanium Backup alebo Carbon.

SD karta

Google už dlho vyjadruje svoj postoj vo vzťahu k pamäťovej karte ako nevyžiadanej skládke, kde podľa definície nemôžu existovať žiadne dôverné údaje, a ak aj existujú, nemá zmysel ich šifrovať, pretože používateľ sa môže rozhodnúť vložiť kartu do iného telefónu. Preto neexistujú žiadne štandardné spôsoby šifrovania pamäťovej karty v systéme Android a na získanie takejto funkcie budete musieť použiť softvér tretích strán.

V rámci šifrovacieho softvéru tretích strán máme na výber z troch rôznych tried aplikácií:

Vec sama o sebe. Aplikácia, ktorá dokáže vytvárať a otvárať krypto kontajnery, ale neumožňuje ich pripojenie k súborovému systému. Akýsi správca súborov s podporou šifrovaných zväzkov. Vec je málo použiteľná, nakoľko je vhodná len na vedenie denníka a zapisovanie poznámok.
PseudoFS. V linuxových jadrách mnohých skladových a alternatívnych firmvérov existuje podpora pre ovládač súborového systému používateľského priestoru FUSE, na základe ktorého bolo naraz vyvinutých niekoľko šifrovacích súborových systémov. Jedným z nich je EncFS. V systéme Android je k dispozícii ako aplikácia pre Cryptonite, Encdroid a ďalšie. Takéto softins vám umožňujú zašifrovať akýkoľvek adresár tak, aby k nemu mali prístup úplne všetky aplikácie.
Na základe dm-crypt. Funkčnosťou a implementáciou sú podobné predchádzajúcim, ale na šifrovanie používajú natívny dm-crypt. LUKS Manager je najlepším zástupcom triedy takýchto softinov. Umožňuje vytvoriť obrazový súbor na pamäťovej karte, ktorý možno kedykoľvek pripojiť k ľubovoľnému adresáru a získať tak prístup k údajom. To isté sa dá urobiť z Linuxu pomocou cryptsetup alebo z Windowsu pomocou FreeOTFE.

kryptonit

Cryptonite je obal okolo systému šifrovacích súborov EncFS a umožňuje vám vytvárať a prezerať šifrované zväzky na pamäťovej karte a vo vnútri Dropboxu, ako aj pripájať zväzky do adresárov pamäťových kariet, aby boli viditeľné pre všetky aplikácie. Nás v prvom rade zaujíma posledný prípad použitia ako jediný prijateľný pre každodenné použitie, no vyžaduje práva roota, ako aj prítomnosť podpory FUSE v jadre.

Používanie Cryptonitu v tejto funkcii je celkom jednoduché, ale aby nedošlo k zámene, pochopíme princípy jeho fungovania. Aplikácia je založená na známom nástroji Linux s názvom EncFS. V skutočnosti ide o pomôcku, ktorá vám umožňuje mapovať jeden adresár do druhého, takže to, čo je zapísané do druhého adresára, automaticky spadá do prvého v zašifrovanej forme a pri čítaní sa dešifruje. Kým je displej zapnutý, prístup k dátam je, po jeho vypnutí však obsah druhého adresára zmizne a zostane len prvý, ktorého obsah je plne zašifrovaný.

Z tohto dôvodu Cryptonite vyžaduje dva adresáre: prvý je na ukladanie zašifrovaných údajov a druhý je prázdny adresár, kde sa obsah prvého zobrazí v dešifrovanej forme. Pre jednoduchosť ich nazvime kryptovať a dešifrovať. Tieto dva adresáre vytvoríme na pamäťovej karte pomocou ľubovoľného správcu súborov. Spustite Cryptonite, prejdite na „Nastavenia -> Bod pripojenia“ a vyberte adresár na dešifrovanie. Teraz sa bude vždy používať ako prístupový bod k šifrovaným údajom. Vrátime sa späť, prejdeme na kartu LOCAL a kliknutím na tlačidlo "Vytvoriť lokálny zväzok" inicializujeme šifrovaný adresár. Vyberte adresár crypt a zadajte heslo. Teraz zostáva vrátiť sa na hlavnú obrazovku a kliknúť na tlačidlo "Mount EncFS" (a znova zadať heslo). Odteraz všetko, čo skopírujete do adresára na dešifrovanie, automaticky skončí v adresári crypt v zašifrovanej forme a keď je dešifrovanie zakázané, nikto nemôže čítať jeho obsah (môžete to skontrolovať skopírovaním niekoľkých súborov do adresára dešifrovania a zobrazením obsah krypty).

Mimochodom, rovnakým spôsobom môžete v Dropboxe organizovať šifrovanie údajov. Cryptonite vám to umožňuje hneď po vybalení, ale v tomto prípade je možné pristupovať k údajom iba cez samotnú aplikáciu, to znamená, že pri akýchkoľvek operáciách so šifrovanými údajmi budete musieť spustiť Cryptonite a vykonať všetky akcie prostredníctvom jeho vstavaného- v správcovi súborov. Samotný Dropbox pre Android sa, samozrejme, správa rovnako, no má aspoň otvorené API, ktoré môžu využívať iné aplikácie a tu ide len o manuálny prístup.

Ak chcete tento problém obísť, môžete si nainštalovať službu Dropsync, ktorá visí na pozadí a pravidelne synchronizuje obsah vybraných adresárov s Dropboxom. Stačí ho nastaviť na synchronizáciu kryptovacieho (ale nie dešifrovaného) adresára a zašifrované dáta automaticky prejdú do Dropboxu. Na prístup k údajom od veľkého brata môžete použiť verziu EncFS pre Linux alebo Windows. Len leniví nepísali o tom, ako ich používať.

manažér LUKS

Druhou aplikáciou na našom zozname je LUKS Manager, čo je v podstate rovnaká aplikácia z hľadiska funkčnosti, ktorá vo svojom jadre používa dm-crypt namiesto EncFS a namiesto adresárov šifrované binárne obrázky. Z praktického hľadiska je táto možnosť lepšia ako predchádzajúca v tom, že obrázky ňou zašifrované je možné prezerať alebo upravovať takmer v akomkoľvek OS vrátane Linuxu, Windowsu a OS X. Nevýhodou je nepohodlné používanie na šifrovanie súborov v Dropboxe, pretože klient Dropbox bude musieť zakaždým synchronizovať celý obrázok, ktorý môže byť veľmi veľký, na rozdiel od jednotlivých súborov, ako je to v prípade EncFS.

Aby LUKS Manager správne fungoval, potrebujete jadro s podporou dm-crypt a loopback, ale ak je prvé dostupné aj v jadrách Android 2.3, potom druhé nie je dostupné vo všetkých akciových jadrách. Preto s najväčšou pravdepodobnosťou budete potrebovať firmvér s alternatívnym jadrom, ako je CyanogenMod, AOKP alebo MIUI.

Všetko ostatné je jednoduché. Rozhranie programu pozostáva iba zo šiestich tlačidiel: Stav, Odpojiť všetko, Pripojiť, Odpojiť, Vytvoriť a Odstrániť. Ak chcete vytvoriť nový obraz a získať k nemu prístup, stačí kliknúť na „Vytvoriť“, vybrať adresár na pripojenie, veľkosť a zadať heslo a súborový systém (FAT32 pre kompatibilitu so systémom Windows alebo ext2 pre Linux). Súčasne môže na pamäťovej karte existovať niekoľko obrázkov, ktoré môžu byť pripojené naraz, čo je možné vypnúť pomocou tlačidiel „Odpojiť“ alebo odstrániť pomocou tlačidla „Odstrániť“.

V správe aplikácie nie je nič zložité, môžem len povedať, že súčasťou balíka s LUKS Manager je aj verzia utility cryptsetup zostavená pre Android, pomocou ktorej je možné snímky manuálne spravovať a spájať.

Iná aplikácia

Dm-crypt a cryptfs sa v systéme Android používajú na viac než len ochranu adresára /data pred zvedavými očami. S ich pomocou, aj keď sa to môže zdať zvláštne, je tu implementovaný systém inštalácie aplikácií na pamäťovú kartu. Je založený na myšlienke šifrovaných obrázkov, jeden pre každú nainštalovanú aplikáciu. Deje sa tak na ochranu citlivých údajov, ktoré môže aplikácia uložiť, pred inými aplikáciami, ktoré majú v systéme Android úplný prístup na čítanie na kartu SD, ako aj pred tými, ktorí kartu SD vlastnia.

Spustením terminálu a spustením príkazu df môžete sami vidieť, ako je to implementované. Snímka obrazovky „Galaxy Nexus a df“ zobrazuje výstup tohto príkazu na mojom smartfóne. Je jasne vidieť, že okrem /dev/block/dm–0 pseudo-crypto zariadenia, ktoré je pripojené k adresáru /data a je zodpovedné za šifrovanie dát na smartfóne, existuje ešte 15 podobných zariadení pripojených k rôznym adresárom. vnútri /mnt/asec. Toto sú aplikácie nainštalované na pamäťovej karte. Samotné aplikácie sú uložené v zašifrovaných obrázkoch v adresári .asec na pamäťovej karte a šifrovacie kľúče sú uložené v hlavnej pamäti smartfónu.

Môžete si tiež všimnúť, že k /storage/emulated/legacy ako aj k niektorým ďalším adresárom je pripojené aj pseudo zariadenie /dev/fuse. Nejde o nič iné ako o „emulátor“ pamäťovej karty implementovaný pomocou ovládača FUSE opísaného vyššie (samotný Galaxy Nexus pamäťové karty nepodporuje). V podstate ide o jednoduché zrkadlenie adresára /storage/emulated/legacy do /data/media/0. V tomto prípade je adresár /sdcard odkazom na /storage/emulated/legacy. Spustením príkazu ps môžete vidieť, že zrkadlenie je implementované pomocou aplikácie /system/bin/sdcard, ktorá používa FUSE ako základ. V skutočnosti ide o alternatívnu implementáciu unionfs, ktorú poznajú všetci používatelia Linuxu.

POZOR

Modul dm-crypt nemožno použiť na šifrovanie oddielov pomocou súborového systému YAFFS, pretože tento používa pri prístupe k pamäti NAND operácie na nízkej úrovni.

závery

Ako vidíte, získanie vysokokvalitného šifrovania údajov v systéme Android je veľmi jednoduché a vo väčšine prípadov na to ani nemusíte inštalovať ďalší softvér. Jediným obmedzením je potreba mať smartfón založený na Androide 4.0 a vyššom, ale keďže všetko, čo bolo pred 4.0, je dosť ťažké pomenovať OS, potom tu nie je žiadny zvláštny problém :).

INFO

Podrobnosti o implementácii predvoleného šifrovacieho systému Androidu pre paranoidov: 128-bitový AES v režime CBC a ESSIV: SHA–256. Hlavný kľúč je zašifrovaný ďalším 128-bitovým kľúčom AES odvodeným od hesla používateľa pomocou 2000 iterácií PBKDF2 so 128 bitmi náhodnej soli.

Používate svoj smartfón (tablet) so systémom Android na ukladanie osobných fotografií, čítanie dôležitých e-mailov, online nákupy pomocou kreditnej karty, úpravu a prenos dôležitých dokumentov? Ak je vaša odpoveď áno, mali by ste zvážiť šifrovanie svojho zariadenia.

Na rozdiel od iPhonu zariadenia so systémom Android automaticky nešifrujú dáta, ktoré ukladajú, aj keď na odomknutie zariadenia použijete prístupový kód, ale ak používate Android Gingerbread 2.3.4 alebo vyšší, šifrovanie je jednoduché povoliť.

Šifrovanie telefónu znamená, že ak je telefón uzamknutý, súbory sú zašifrované. Žiadne súbory odoslané a prijaté z vášho telefónu nebudú zašifrované, pokiaľ nepoužijete ďalšie metódy.

Jediný rozdiel medzi nešifrovaným a šifrovaným telefónom z pohľadu používateľa je ten, že na odomykanie telefónu (tabletu) budete musieť po novom použiť heslo.

Ak váš telefón nie je šifrovaný, heslo je iba zámok obrazovky. V skutočnosti v tomto prípade heslo jednoducho uzamkne obrazovku - to znamená, že nechráni súbory, ktoré sú uložené v zariadení. Ak teda útočníci nájdu spôsob, ako obísť uzamknutú obrazovku, získajú úplný prístup k vašim súborom.

Ak je telefón zašifrovaný, heslo je kľúč, ktorý dešifruje zašifrované súbory.

To znamená, že keď je telefón zamknutý, všetky dáta sú zašifrované a aj keď útočníci nájdu spôsob, ako obísť uzamknutú obrazovku, potom nájdu len zašifrované dáta.

Ako povoliť šifrovanie na zariadení so systémom Android?

1. Otvorte ponuku Nastavenia.

2. V Nastaveniach vyberte Zabezpečenie > Šifrovanie (Šifrovať zariadenie).

3. Podľa potreby musíte zadať heslo, ktoré má aspoň šesť znakov, z ktorých aspoň jedno je číslo.

Hneď po nastavení hesla sa spustí proces šifrovania vašich súborov. Šifrovanie môže trvať hodinu alebo viac, takže pred spustením šifrovania musíte zapnúť nabíjačku.

Po dokončení procesu šifrovania ste hotoví! Heslo si uložte na bezpečné miesto, pretože ho teraz budete potrebovať vždy, keď budete chcieť získať prístup k telefónu. Upozorňujeme, že ak zabudnete svoje heslo, momentálne neexistuje spôsob, ako ho obnoviť.

V skutočnosti má šifrovanie zariadení Android spolu so zjavnými výhodami aj významné nevýhody:

Predstavte si, že zakaždým, keď chcete uskutočniť hovor, musíte zadať zložité heslo. Zaujímalo by ma, ako skoro ťa to omrzí?
Zašifrované zariadenie nebudete môcť dešifrovať, jednoducho sa neposkytuje. Na dešifrovanie existuje len jeden spôsob - resetovanie telefónu na výrobné nastavenia. V takom prípade sa samozrejme všetky vaše dáta stratia. Bude to vyzerať obzvlášť zaujímavo, ak si predtým zabudnete zálohovať.

Preto je dnes ťažká voľba - buď zašifrujete svoje zariadenie a zmierite sa s obrovskými nepríjemnosťami, alebo získate jednoduché používanie, ale na úkor bezpečnosti. Ktorú cestu si vyberiete? Neviem. Ktorú cestu by som si vybral? Ani ja neviem odpovedať. len neviem.

Vladimír BEZMALY , MVP Consumer Security, Microsoft Security Trusted Advisor