Android 新特性之文件加密对TEE的要求

昨天聊到Android新版本对于指纹开发的要求，很多朋友问我，Android新版本对于TEE有哪些具体要求，我们知道android后续版本只会更加强化安全的机制，因此对于TEE的要求就更全面了。前面聊了一下Android O中对TEE加解密算法的新要求。今天我们聊一聊文件加密这个新特性对于TEE有哪些要求！

加密是使用对称加密密钥对Android 设备上的所有用户数据进行编码的过程。加密可确保未经授权方在尝试访问相应数据时无法读取它们。

Android 有两种设备加密方法：全盘加密和文件级加密。

Android5.0后支持全盘加密，设备启动后，用户必须提供其凭据才能访问磁盘的任何部分。采用这种加密方式，当用户重新启动设备后，手机的大多数核心功能都将无法立即可用。由于对数据的访问受单个用户凭据的保护，因此闹钟等功能将无法运行，无障碍服务将无法使用，并且手机将无法接听电话。

Android7.0 及更高版本支持文件级加密。该功能处于启用状态时，已加密设备在启动后将直接进入锁定屏幕，从而可让用户快速访问重要的设备功能，例如无障碍服务和闹钟。 引入文件级加密和新 API 后，便可以将应用设为加密感知型应用，这样一来，它们将能够在受限环境中运行。这些应用将可以在用户提供凭据之前运行，同时系统仍能保护私密用户信息。支持文件级加密的设备还支持一种称为直接启动的新功能。

那直接启动是个啥功能？

当设备已开机但用户尚未解锁设备时，Android N 将在安全的模式下运行。这就是直接启动。一个APP应用比如说闹钟应用，如果需要在直接启动模式下，则使用的是设备加密存储。

启用了 FBE 的设备上，每位用户均有两个可供应用使用的存储位置：

· 凭据加密 (CE) 存储空间：这是默认存储位置，只有在用户解锁设备后才可用。

· 设备加密 (DE) 存储空间：在直接启动模式期间以及用户解锁设备后均可用。

Android 开放源代码项目 (AOSP) 中提供了 EXT4 文件系统中的文件级加密的完整实现。在满足相关要求的设备上，只需启用该实现即可使用该功能。选择使用 FBE 的制造商可能想要了解根据所用系统芯片 (SoC) 优化该功能的方法。

划重点来了,完整的实现FBE需要以下条件！

对于广大手机方案商所关心的内核版本问题，Google将EXT4 加密移植到了 Android 公共代码库内的 3.10 内核以及Google自己所支持的Nexus 内核。

https://android.googlesource.com/kernel/common/+/android-3.10.y

不过需要在最新的稳定版 Linux 内核（目前是 linux-4.6）中应用 EXT4 和 JBD2 项目提供的最新补丁程序。Nexus 设备内核已经包含其中很多补丁程序。

对于TEE方案商来说，涉及到的工作是Keymaster、Gatekeeper的版本升级工作以及确保确保 Keymaster 在 /data 装载之前启动，且必须支持 XTS 模式的 AES-256 算法。不然CTS也许测不过，就抓瞎了！