Pixel 安全：更好，更快，更强

Question

如果你的手机落入他人手中，加密功能可以保护你的数据。新的 Google Pixel 和 Pixel XL 在默认情况下进行了加密，以提供强大的数据保护，同时保持良好的用户体验，并具有较高的 I / O 性能和较长的电池寿命。除了加密之外，Pixel 手机还推出了 Android Nougat 版本，这个版本的 安全性进一步提升 。

本博客文章介绍了 Google Pixel 设备上的加密实现，以及它如何改进设备的用户体验，性能和安全性。

基于文件的加密直接启动体验

Android Nougat 中引入的安全功能之一是 基于文件的加密 。基于文件的加密（FBE）意味着不同的文件用不同的密钥加密，可以独立解锁。FBE 还将数据分离为设备加密（DE）数据和凭证加密（CE）数据。

直接启动 使用基于文件的加密，以便在设备通过组合解锁和解密屏幕重新启动时提供无缝的用户体验。对于用户来说，这意味着应用程序（如闹钟，辅助功能设置和电话）在启动后立即可用。

增强了 TrustZone®安全性

现代处理器提供了一种手段来执行代码，即使在内核受到攻击的情况下，仍然保持安全的模式。在基于 ARM®的处理器上，这种模式称为 TrustZone。从 Android Nougat 开始，所有磁盘加密密钥都使用 TrustZone 软件所拥有的密钥加密存储。这通过两种方式保护加密的数据：

• TrustZone 强制执行 验证的启动 过程。如果 TrustZone 检测到操作系统已被修改，则不会解密磁盘加密密钥; 这有助于保护设备加密（DE）数据。
• TrustZone 强制执行用户凭证猜测之间的等待期，在一系列错误的猜测之后得到更长的时间。有 1624 个有效的四点模式和 TrustZone 不断增长的等待期，尝试所有模式将需要四年多的时间。这可以提高所有用户的安全性，尤其是那些拥有更短，更容易猜测的模式，PIN 或密码的用户。

在 Pixel 手机上加密

使用不同的密钥保护不同的文件夹需要采用 全磁盘加密 （FDE）的独特方法。基于 Linux 的系统的自然选择是行业标准的 eCryptFS。但是，eCryptFS 不符合我们的性能要求。幸运的是，eCryptFS 的创造者之一 Michael Halcrow 与 ext4 的维护者 Ted Ts'o 合作，为 ext4 增加了本地加密功能，而 Android 成为该技术的第一个消费者。ext4 加密性能类似于全盘加密，这与纯软件解决方案相同。

此外，Pixel 手机还有一个内联硬件加密引擎，可以使用线速将加密数据写入闪存。为了利用这个优势，我们修改了 ext4 加密，通过在 ext4 驱动程序中添加一个生物结构的关键引用来使用这个硬件，然后把它传递给块层。（生物结构是 Linux 内核中块 I / O 的基本容器。）然后，我们修改了内联加密块驱动程序，将其传递给硬件。与 ext4 加密一样，密钥由 Linux 密钥环管理。要查看我们的实现，请查看 Pixel 内核的 源代码 。

虽然使用内联加密的 ext4 进行基于文件的加密的具体实现有利于 Pixel 用户，但是 FBE 可以在 AOSP 中使用，并且可以随时使用以及本文中提到的其他功能。