การเข้ารหัสอุปกรณ์เต็มรูปแบบปกป้องข้อมูลของฉันจาก Google และรัฐบาลหรือไม่

เมื่อไม่นานมานี้ Apple ได้สร้างคลื่นภายในชุมชนเทคโนโลยีโดยปฏิเสธที่จะปฏิบัติตามกฎหมายที่เกี่ยวข้องกับการเข้าถึงข้อมูลผู้ใช้ที่เข้ารหัส คำสั่งของพวกเขาคือพวกเขาไม่มีความสามารถด้านเทคนิคในการถอดรหัสข้อมูลนี้

ในฐานะผู้ใช้ Android มีความเป็นไปได้ที่คล้ายกันไหม (ควรติดตั้งไว้ในระบบปฏิบัติการแทนที่จะเป็นบุคคลที่สาม) ที่ฉันสามารถใช้เพื่อให้ได้การป้องกันที่คล้ายคลึงกันจาก Google และผู้ผลิตอุปกรณ์ของฉัน ฉันรู้ว่ามี "การเข้ารหัสอุปกรณ์เต็มรูปแบบ" ในการตั้งค่าของฉัน แต่สิ่งนี้ทำให้ Google ฯลฯ ไม่สามารถเข้าถึงได้หรือไม่

สำหรับการอ้างอิงอุปกรณ์ของฉันใช้ Android Lollipop และเป็น OnePlus Two หากรุ่นอื่น ๆ เช่น Marshmallow อนุญาตให้ฉันทำสิ่งนี้ได้

security encryption

— malexdev
แหล่งที่มา

Google ไม่ทราบว่ารหัสการเข้ารหัสสำหรับอุปกรณ์ของคุณคืออะไร กระบวนการทั้งหมดจะเกิดขึ้นบนอุปกรณ์ของคุณและคีย์จะไม่ถูกส่งไปที่ใด รหัสตัวเองยังไม่ได้เก็บไว้ในข้อความธรรมดาบนอุปกรณ์ของคุณ :

การจัดเก็บคีย์เข้ารหัส

คีย์การเข้ารหัสถูกเก็บไว้ในเมทาดาทา crypto การสำรองข้อมูลฮาร์ดแวร์ดำเนินการโดยใช้ความสามารถในการลงนาม (TEE) ของ Trusted Execution Environment ก่อนหน้านี้เราเข้ารหัสคีย์หลักด้วยคีย์ที่สร้างขึ้นโดยใช้ scrypt กับรหัสผ่านของผู้ใช้และเกลือที่เก็บไว้ เพื่อที่จะทำให้คีย์ยืดหยุ่นจากการโจมตีนอกกล่องเราได้ขยายอัลกอริทึมนี้โดยการเซ็นชื่อคีย์ผลลัพธ์ด้วยคีย์ TEE ที่เก็บไว้ จากนั้นลายเซ็นผลลัพธ์จะกลายเป็นคีย์ความยาวที่เหมาะสมโดยแอปพลิเคชันอีกหนึ่ง Scrypt คีย์นี้จะใช้ในการเข้ารหัสและถอดรหัสคีย์หลัก

ดังนั้นแม้ว่าบางคนมีสำเนาของคีย์หลักที่เข้ารหัสของคุณพวกเขาไม่สามารถถอดรหัสได้หากไม่มีคีย์ TEE จาก SoC ของอุปกรณ์

ดังนั้นนอกเหนือจากข้อบกพร่องในการใช้งานการเข้ารหัสอุปกรณ์เต็มรูปแบบจะป้องกันไม่ให้ใครก็ตามเข้าถึงข้อมูลของคุณจนกว่าพวกเขาจะรู้ / รับรหัสผ่านของคุณหรือสามารถเดารหัสผ่านของคุณ (เช่นผ่านการบังคับใช้วิธีการทางวิทยาศาสตร์ บนอุปกรณ์ที่ขาดการสนับสนุนฮาร์ดแวร์ที่จำเป็น FDE จะพยายามเข้ารหัสคีย์โดยใช้วิธีการเฉพาะซอฟต์แวร์

— eldarerathis
แหล่งที่มา

@beeshyams มันเป็นคุณสมบัติของโปรเซสเซอร์ การใช้ ARM นั้นเรียกว่า "TrustZone" แต่สถาปัตยกรรมอื่น ๆ ก็มีกลไกที่คล้ายคลึงกัน แนวคิดคือคุณสามารถสร้างคีย์อุปกรณ์เก็บไว้ในที่ที่ TEE เข้าถึงได้เท่านั้นจากนั้นไม่เคยเปิดเผยกับโลกภายนอก เมื่อคุณต้องการเข้ารหัส / ถอดรหัสบางสิ่งคุณถามรหัสที่ทำงานใน TEE เพื่อทำเพื่อคุณดังนั้นคีย์จะยังคงปลอดภัย วิกิพีเดียมีดี (-ish) บทความ

— eldarerathis

@eldarerathis สิ่งที่ผมเคยได้ยินว่า iPhone 6 และรุ่นใหม่ที่มีความปลอดภัยจากการปรับปรุงได้ OEM เช่นการตรวจสอบรหัสผ่าน ( รวมหมดเวลาล่าช้า / กิจ) จะดำเนินการทั้งในด้านฮาร์ดแวร์ สิ่งที่ฉันถามคือว่า Android ทำสิ่งที่คล้ายกันหรือว่าเป็นการปิดซอฟต์แวร์อย่างแท้จริงซึ่งแน่นอนว่าสามารถข้ามผ่านการอัปเดตเฟิร์มแวร์ได้ ฉันยังถามด้วยว่ามีโทรศัพท์ที่ใช้ Android ที่มี bootloaders ที่ปฏิเสธการอัปเดตโดยไม่ต้องป้อนรหัสผ่านที่ผู้ใช้ระบุหรือไม่ซึ่งจะทำให้การปิดใช้งานซอฟต์แวร์ทำได้ง่ายขึ้น

— บ๊อบ

อีกวิธีหนึ่งในการปรับเปลี่ยนใหม่คือมีวิธีการที่ต้องการให้ถอดรหัส (รหัสผ่าน w / ผู้ใช้) เกิดขึ้นก่อนที่จะมีการปรับปรุงหรือไม่ กล่าวอีกนัยหนึ่งคือ (OEM ที่ลงชื่อ) อัปเดตให้ติดตั้งได้โดยไม่ต้องใช้คีย์ถอดรหัส (โดยไม่ต้องลบข้อมูลผู้ใช้)

— บ๊อบ

@ บ๊อบสำหรับความรู้ของฉัน Android ไม่จำเป็นต้องใช้รหัสผ่านการถอดรหัสเพื่อดำเนินการอัปเดตเนื่องจากจะเข้ารหัส/userdataพาร์ติชันเท่านั้นไม่ใช่พาร์ติชันที่การอัปเดตจะแก้ไขจริง ๆ ( /systemและ/bootโดยทั่วไป) มันค่อนข้างมากในเรือลำเดียวกันกับ iPhone 5 (และต่ำกว่า)

— eldarerathis

ฉันจะเพิ่มฉันไม่แน่ใจว่าความล่าช้าทั่วไปต่อความพยายามเป็นสิ่งที่สามารถ "ปิดการใช้งาน" โดยการอัปเดตหรือหาก Android ปรับขนาดมันเทียม Android ใช้รอบการเข้ารหัสลับในระหว่างกระบวนการสร้างคีย์ดังนั้นจึงจำเป็นต้องใช้เมื่อถอดรหัสคีย์ด้วยเช่นกันและ Scrypt ได้รับการออกแบบมาโดยเฉพาะเพื่อให้ยากต่อการเร่งความเร็วเพื่อลดการบังคับใช้เดรัจฉาน นั่นจะยังคงสอดคล้องกันมาก การล็อกหลังจากจำนวนความพยายามที่ล้มเหลวจำนวน X (หรือการกำหนดอัตราส่วนหากมี) จะถูกนำไปใช้ในซอฟต์แวร์แม้ว่า AFAIK

— eldarerathis

-1

การเข้ารหัสอุปกรณ์เต็มรูปแบบจะปกป้องอุปกรณ์ของคุณหากคุณใช้กุญแจยาวเกินไปในการบังคับเดรัจฉานแม้เมื่อผู้โจมตีสามารถใช้เทคนิคกำลังดุร้าย - โดยสมมติว่ามีวิธีที่อนุญาตให้ทำเช่นนี้ Snowden กล่าวว่า 64 ตัวอักษรนั้นยาวพอสำหรับการเข้ารหัสที่ไม่สามารถแตกได้อย่างแท้จริง ดังนั้นการรักษาความปลอดภัยที่สมบูรณ์จึงเป็นไปได้ - หากคุณไม่รังเกียจที่จะพิมพ์ข้อความรหัสผ่าน 64 ตัวอักษรทุกครั้งที่คุณปลุกโทรศัพท์

— แอนดรูว์บราวน์
แหล่งที่มา

คุณทราบถึงข้อจำกัดความยาวของการล็อคหน้าจอหรือไม่? ลองรีบูตคำตอบของคุณตามนั้น

— beeshyams

ใช่ 16 ตัวอักษรเป็นข้อ จำกัดถ้าคุณตรวจสอบรหัสที่มา

— Firelord