喜讯:西数科技获批CMA资质扩项认定,能力涵盖司法鉴定物证领域电子数据、声纹、图像视频检验检测

中国数据恢复协会 数据恢复与存储安全研发中心 [ 咨询免费 检测免费 ] 24小时电话: 13813824669 技术部:025-83608636(白天)  RAID专家:13813824669

站内搜索

联系我们

  • 276570401
  • 025-83608636
  • 18651607829
当前位置:首页 > 西数新闻 > 司法鉴定 司法鉴定
细说Android-userdata分区加密形式

细说Android-userdata分区加密形式

 

01SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

Android加密类型
 

1. 无加密类型SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

2. Fde加密类型SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

3. Fbe加密类型SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

4. Metadata Fbe加密类型SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

02SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

各加密类型分布版本
 
 

1. 无加密类型(Android1.0-Android5.1之间)SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

2. Fde加密类型(Android6.0-Android8.1,厂家还是会用该方案加密,比较成熟稳定,不会影响系统的启动速度)SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

3. Fbe加密类型(Android7.0-Android9.0,该加密在早起由于不稳定因素,比较少厂家使用,近两年由于芯片平台大力优化,使得该加密方案逐渐成熟)SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

4. Metadata Fbe加密类型(Android8.1-Android9.0,搭载该方案的手机至今只有两款手机,完善难度大,不够成熟。)SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

 SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

03SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

各种数据加密类型的理解
 
 
 
 
1.无加密类型
 
 
 

 SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  无加密的userdata分区(用户数据分区),将该分区提取出来后,我们可以借助各种工具,将分区内的数据解析出来,能从手机上提取分区镜像并能在PC端直接解析的类型,叫无加密数据。SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

 SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

 
 
 
2.Fde加密类型
 
 
 

 SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  Fde加密,在Android5.0时代,由谷歌率先使用,但由于早期的Android5.0,平台存在众多问题(内存溢出),国内的手机厂家,抗拒使用Fde加密,这就造成了在国内Android手机的发展史中,Fde加密是从Android6.0开始启用的。Fde加密的特性是全盘加密,从手机出厂设置之后,一开机,底层就会默认的加密Userdata分区上的所有数据,但是该加密有个特点是用户设置的锁屏密码不影响该加密的性质;换句话说,一般加密都会有个私钥key文件作为媒介来加密数据,但是这个Fde加密不会拿你设置的锁屏密码作为媒介去加密数据,但是也会有个媒介文件,来加密用户数据,所以,这种加密的特性是在于,所谓的key文件,都是固定的,加密解密的私钥,会被写在Userdata整个分区的尾部16KB的位置,开机后,vold会去读取这个位置的key进行数据解密,一旦一看到锁屏界面时,你此时的数据已经解密了,你再输入锁屏密码,会直接进入到桌面,浏览你的数据,无需等待。这种Fde加密,如果在未解密数据的时候把全盘镜像提取出来,会是乱码状态,无法正常浏览数据。SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

 SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

 
 
 
3.Fbe加密类型
 
 
 

 SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  Fbe加密,在Android7.0初期,并不被待见,原因是解密速度出奇的慢,原因是因为闪存的读写协议跟不上解密的速度,无法做到瞬间解密,但是在安全方案,确实是毋庸置疑的,该加密类型,是以用户设置的锁屏密码作为私钥,存储在userdata中。Fbe加密的特点跟Fde加密是相反的,同时,该加密目前无人能够直接的破除,堪称绝对的安全。Fbe加密并不是全盘的,是基于文件级目录加密,说白了,在你无法解密数据之前,你看到的文件都是以乱码显示,你看不到任何你想要的数据,但是该数据确实是在本地。在设置锁屏密码之前,fbe加密并未启动,但是也是属于全盘加密的一种,在保护着本地数据。在设置锁屏密码之后,会产生一个凭据私钥,存储在CE分区,CE分区相当于是用户数据分区,只有解密了数据了,CE分区才能正常使用,如果未解密之前,还有一个叫DE分区,DE分区在解密前也可以使用的,但是DE分区上的数据并不是用户数据,而是一些系统数据,我们正常的输入锁屏密码后,会将密码生成的token,去验证CE分区中的私钥产生的token进行比对,比对正确了,会通知vold去解密CE中的数据内容。如果在未知密码情况下,使用adb shell#权限去删除锁屏密码(/data/system下的password.key那些文件)会导致该userdata永久性的无法解密数据,所以,清除锁屏密码之前,请确认该机型是否是fbe加密机型。在手机厂家中,华为为了能够保护用户数据安全,在Android7.0就开始全面强制性的使用该加密,旗下所有系列品牌机型,小到低端老人机,大到期间高端机,均采用了fbe加密。并且,谷歌在开发fbe加密时有要求,如果要使用fbe加密,须使用ufs闪存协议,才能够提高解密速度,华为为了使用这套方案,自己独自适配了emmc5.1ufs协议的fbe加密方案,这也使华为的低端机也能够使用fbe加密。SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

 SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

 
 
 
4.Metadata Fbe加密类型
 
 
 

 SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  Metadata fbe加密,其实在Android8.0就开始出现了,但是那时候只有Google Pixel 3 采用了这套加密,在2019年,联想发布的Z5Pro GT版本(Qualcomm855芯片)也搭载了该方案,现今只有这两款采用了这种加密。这种加密的特点,可以将上述的Fde加密与Fbe加密加起来一起理解。笔者也是刚接触不久。Metadata fbe加密,目前是将数据第一层加密,进行了全盘加密,在全盘加密后,再以里面的数据以文件目录加密。所以在手机出厂设置之后,设置了锁屏之后,手机开机时,会进行两次的数据解密,第一次会读取Userdata下的默认私钥密码,来解密第一层加密数据,当正确的解密该数据之后,会继续解密第二层Fbe数据,也就是说,当你看到锁屏要提示你输入密码时,这时刚进行了第一层数据解密,需要你输入密码进行文件目录解密。笔者猜测,该metadata fbe加密方案的底层适配应该是由被联想收购的Motorola研发支持的,不然也不会作为除了谷歌之外第一家上metadata fbe加密,这种加密,目前几乎无法通过其他技术方案进行数据解密。但因为该方案的技术开发难度以及优化难度较大,目前国产手机,仅此一款。SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

 SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

 SPW南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

上一篇:司法鉴定电子数据提取与分析CNAS SF0029能力认证证书
下一篇:teamviwer日志分析
Copyright(C)2014 西数科技(江苏)有限公司 wdsos.com 备案号:苏ICP备09074223号 苏公网安备:32010202010982号
地址:江苏省南京市玄武区珠江路435号华海大厦6楼601室(麦当劳同庆楼右侧上电梯) 
地址:江苏省淮安市清江浦区枚皋路中兴软件园研发楼503室 
数据恢复:025-86883952  司法鉴定:13813824669 
|公众号|微博|论坛|百家号|