Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Xiaomi Mi A2 - Android 10 - szyfrowanie telefonu

05 Mar 2020 11:37 177 4
  • Poziom 18  
    Szyfrowanie Androida 10 - Xiaomi Mi A2 (należący do programu AndroidOne - czysty android).

    Pytanie - wiem, że ten android z "deafulta" szyfruje telefon, już od momentu "wyciągnięcia z pudełka", pytanie tylko - jak mogę na tym telefonie z czystym Androidem 10 wymusić, aby po każdorazowym uruchomieniu telefonu, podczas bootowania telefon pytał mnie o odblokowanie telefonu (nie mylić z kodem blokady ekranu)? Taka opcja była w starszych Androidach (przykłdowo Android 5, 6 na Samsungach czy też Android 7 / 8.1 na innych telefonach Xiaomi z MIUI).

    Pytam ponieważ nie jestem pewien czy mój telefon obecnie jest szyfrowany moim kodem blokady (FBE - file base encryption, używając mojego kodu blokady), zamiast łatwego i banalnego hasła jakim zaszyfrowane są zazwyczaj telefony po wyciągnięciu z pudełka -> "default_password" (więcej info https://source.android.com/security/encryption/full-disk ). Obawiam się, że pomimo aktywnego szyfrowania, takie szyfrowanie jest słabe ze względu na powszechnie znane hasło które podlinkowałem. Chcę mieć pewność, że telefon będzie szyfrowany moim hasłem (i/lub moim kodem blokady znanym tylko mi).
  • Pomocny post
    Poziom 26  
    szyfrowanie danych w androidzie nie jest robione hasłem "default_password" tylko losowany jest master key min. 128bitów (przechowywany w TrustZone) i jest on szyfrowany tym "default_password" + salt. Jak ustawisz PIN, haslo czy wzór odblokowania, wtedy master key jest rozszyfrowywany i szyfrowany przy uzyciu twojego PIN czy co tam będziesz miał, to samo przy zmianie PINu czy sposobu zabezpieczenia. Generalnie warto mieć ustawione jakieś zabezpieczenie ale starczy kod blokady ekranu. To tak w uproszczonej formie wygląda.
  • Poziom 18  
    n6210 napisał:
    szyfrowanie danych w androidzie nie jest robione hasłem "default_password" tylko losowany jest master key min. 128bitów (przechowywany w TrustZone) i jest on szyfrowany tym "default_password" + salt. Jak ustawisz PIN, haslo czy wzór odblokowania, wtedy master key jest rozszyfrowywany i szyfrowany przy uzyciu twojego PIN czy co tam będziesz miał, to samo przy zmianie PINu czy sposobu zabezpieczenia. Generalnie warto mieć ustawione jakieś zabezpieczenie ale starczy kod blokady ekranu. To tak w uproszczonej formie wygląda.


    Czyli mogę być pewny, że jak ustawię kod blokady (np. hasło / PIN / gestura) to w przypadku gdy ktoś wylutuje kość eMMC z tego telefonu, zrobi kopię binarna to nie uzyska dostępu do danych (multimedia / bazy danych aplikacji) przy użyciu tego default_password? I aby uzyskać dostęp do danych (odszyfrowanie) to potrzebne jest siłowe łamanie kodu blokady (brute-force) lub metoda słownikowa lub po prostu musi poznać hasło?

    Dopytam tylko - w Android 10 nadal jest FBE czy FDE tak jak w przypadku starszych Androidów (do <6)?
  • Pomocny post
    Poziom 26  
    Google twierdzi, że od Android 10 urządzenia mają obowiązkowo używać FBE, nie wiem co w przypadku upgradu ze starszych Androidów uzywających FDE na A 10

    Dodano po 1 [godziny] 18 [minuty]:

    Swoją drogą salt do tego default_password też jest w TrustZone przechowywany więc nawet jakby ktoś wylutował kość eMMC nie powinien móc tego rozszyfrować bo salt jest losowa. Nawet jakby zasobnik TZ był w RPMB karty to powinno to być szyfrowane co najmniej MasterKey z chipu procesora :) Oczywiście to teoria jak być powinno, a jak zostało zaimplementowane zależy od producenta telefonu i nie mam pojęcia jak do tego podchodzi Xiaomi.
    Pomijam tez błędy w implementacji, które mogą ułatwić/umożliwić wyłowienie klucza jak np. to https://www.androidpolice.com/2013/07/08/infa...nmod-following-suit-today-oems-at-some-point/
  • Pomocny post
    Poziom 34  
    mariomario napisał:
    Pytam ponieważ nie jestem pewien czy mój telefon obecnie jest szyfrowany moim kodem blokady (FBE - file base encryption, używając mojego kodu blokady), zamiast łatwego i banalnego hasła jakim zaszyfrowane są zazwyczaj telefony po wyciągnięciu z pudełka -> "default_password" (więcej info https://source.android.com/security/encryption/full-disk ). Obawiam się, że pomimo aktywnego szyfrowania, takie szyfrowanie jest słabe ze względu na powszechnie znane hasło które podlinkowałem. Chcę mieć pewność, że telefon będzie szyfrowany moim hasłem (i/lub moim kodem blokady znanym tylko mi).


    Mi A2 powinien fabrycznie korzystac z FDE, ale nawet uzycie "default_password" nie swiadczy o tym ze szyfrowanie jest slabe bo to nie jest wlasciwy klucz, a ten jest zalezny i od twojego hasla i CPU a takiego obrazu partycji nie da sie odszyfrowac poza urzadzeniem, zaden zrzut z eMMC tutaj nie pomoze a zeby ewentualnie dane odzyskac trzeba telefon w pelni uruchomic. Nikt nie lamie silowo 128 bitowych kluczy.
    Problem jest taki, ze urzadzenie w trakcie uruchamia automatycznie montuje sobie odszyfrowana partycje userdata wiec jesli znajdzie sie exploit pozwlajacy na dostep do tych danych z pominieciem kodu blokady to dostep do danych uzyska. W praktyce, ten model procesora poki co jest bezpieczny.

    To o co pytasz to tzw "secure startup". Zobacz w "Dodatkowe ustawienia -> Prywatnosc -> Szyfrowanie i dane logowania" czy jest opcja "Zaszyfruj urzadzenie korzystajac z hasla ekranu blokady".

    Android 10 wymusza uzycie FBE dla urzadzen ktore wchodza na rynek z tym systemem. Samo FBE jest dostepne i uzywane np w telefonach Huawei nawet od Androida 7.