Ice Cream Sandwich (ICS) - Verschlüsselung, wählen Sie eine andere PIN als die Bildschirmsperre

Ich habe mich gefragt, ob man in ICS verschiedene Passwörter für die Geräteverschlüsselung auswählen kann.

Dasselbe Passwort für die Verschlüsselung und das Entsperren des Bildschirms zu haben, ist nicht ganz so sicher ...

Danke für Hinweise.

Nein. Ein Zitat von http://support.google.com/android/bin/answer.py?hl=de&answer=1663755 :

Beachten Sie, dass dies dieselbe PIN oder dasselbe Kennwort ist, die Sie zum unverschlüsselten Entsperren Ihres Telefons verwenden, und dass diese nicht unabhängig voneinander festgelegt werden können.

EDIT: Ich fand dies auf xda, aber ich denke, es könnte riskant sein und die Mühe nicht wert. http://forum.xda-developers.com/showthread.php?t=1680857

Bei Handys, die bereits verschlüsselt sind, hat sich der Befehl für Android 5.x (Lollipop) etwas geändert. Anstatt das Kennwort in Anführungszeichen einzugeben, müssen Sie es zunächst hexadezimal codieren und nach Erhalt von root die folgenden Befehle ausführen:

vdc cryptfs changepw password HEX_ENCODED_PASSWORD_HERE

Da das Kennwort hexadezimal verschlüsselt ist, sind für den resultierenden Wert keine Anführungszeichen erforderlich.

Der andere erwähnte Befehl vdc cryptfs changepw 'plaintext password here'hat keine Auswirkung auf Android 5.x und spätere Versionen.

Wenn ich mein Passwort auf ändern testingwürde, würde ich diesen Befehl ausführen, nachdem ich root erhalten habe:

vdc cryptfs changepw password 74657374696e67

Wenn ich wollte mein Passwort etwas exotischere (die Sonderzeichen enthalten ändern, Zitate und andere Interpunktion zB What's up "Doc"?würde ich den folgenden Befehl in der Ausgabe adb shellnach Erhalt suroot:

vdc cryptfs changepw password 5768617427732075702022446f63223f

Starten Sie nun das Telefon neu (Sie können einen rebootBefehl eingeben) und Sie werden aufgefordert, das neue Kennwort einzugeben.

Wenn das Gerät derzeit überhaupt nicht verschlüsselt ist, geben Sie den folgenden Befehl ein:

vdc cryptfs enablecrypto inplace HEX_ENCODED_PASSWORD_HERE

Das Telefon wird automatisch neu gestartet und der Verschlüsselungsvorgang kann eine Stunde oder länger dauern.

EncPassChanger behauptet dies zu tun, habe es aber nicht getestet.

Das Verschlüsselungskennwort muss nicht mit der PIN zum Entsperren des Bildschirms übereinstimmen. Tatsächlich können Sie Ihr Gerät mit einem Kennwort verschlüsseln, ohne dass ein Kennwort / eine PIN zum Sperren des Bildschirms erforderlich ist. (Dies war anfangs bei meinem neu installierten Gerät der Fall).

Wenn Sie über eine mögliche sichere Implementierung nachdenken, ist dies sinnvoll. Die Verschlüsselungs-Passphrase wird nicht direkt zum Verschlüsseln Ihrer Daten verwendet. Zunächst wird eine Schlüsselableitungsfunktion auf die Passphrase angewendet. Der resultierende Schlüssel wird dann zum Verschlüsseln des Hauptschlüssels verwendet. (Dieser Hauptschlüssel wird für die Festplattenverschlüsselung verwendet.)

Das Ändern des Hauptschlüssels ist nicht möglich, ohne alle Daten neu zu verschlüsseln, was einige Zeit in Anspruch nimmt. Möglich und viel schneller ist es, die Passphrase zu ändern, die den Hauptschlüssel schützt. Im Gegensatz zur GPLv2-lizenzierten LUKS- Software können Sie nur eine Passphrase angeben.

Bedarf:

• Superuser-Berechtigungen.
• Entweder eine Terminalanwendung auf Ihrem Gerät oder ein Computer mit adb.
• Eine gute Passphrase .

Anleitung:

1. Betritt die Shell. Dies kann durch Öffnen der Terminal-App oder durch Ausführen adb shellauf Ihrem Computer erfolgen. (siehe auch 2)
2. Erhalten Sie Root-Rechte, indem Sie ausführensu

3. Unter der Annahme, dass Ihr Passwort lautet Give Mom batteries, führen Sie den folgenden Befehl aus:

   vdc cryptfs changepw 'Give Mom batteries'
   

   Wenn Sie für Ihre Passphrase exotische Zeichen ausgewählt haben, müssen Sie diese ordnungsgemäß maskieren .

4. Die Passphrase hat sich sofort geändert und ersetzt die alte. Sie können neu starten, um es selbst zu überprüfen.

Ich habe diese Argumente gefunden, indem ich mir den Quellcode von vold angesehen habe, insbesondere CommandListener.cpp . Dieser Befehl ist seit der Einführung der Festplattenverschlüsselung in ICS immer verfügbar:

$git log -n1 --oneline 70a4b3fd7a84a84bbe6e9d6d4ca3ee2098259fd 
70a4b3f Change cryptfs changepw to only require a new password.
$ git branch --contains 70a4b3fd7a84a84bbe6e9d6d4ca3ee2098259fd -a
* cm-10.1
  remotes/origin/HEAD -> origin/cm-10.1
  remotes/origin/cm-10.1
  remotes/origin/cm-9.0.0
  remotes/origin/cm-9.1.0
  remotes/origin/ics
  remotes/origin/ics-release
  remotes/origin/jellybean
  remotes/origin/jellybean-stable
  remotes/origin/mr1.1-staging

Ja, Sie können ein anderes Kennwort für die Geräteverschlüsselung festlegen als für die Bildschirmsperre.