Android 7.0 wird im sicheren Direktstart ausgeführt, wenn das Gerät eingeschaltet, aber nicht entsperrt wurde. Dazu bietet das System zwei Speicherorte für Daten:
- Verschlüsselter Anmeldedatenspeicher: Dies ist der Standardspeicherort und er ist nur verfügbar, nachdem der Nutzer das Gerät entsperrt hat.
- Vom Gerät verschlüsselter Speicher: Dieser Speicherort ist sowohl im Direct Boot-Modus als auch nach dem Entsperren des Geräts verfügbar.
Standardmäßig werden Apps im Direktstartmodus nicht ausgeführt. Wenn Ihre App im Direktstartmodus Aktionen ausführen muss, können Sie App-Komponenten registrieren, die in diesem Modus ausgeführt werden sollen. Hier einige häufige Anwendungsfälle für Apps, die im Direktstartmodus ausgeführt werden müssen:
- Apps mit geplanten Benachrichtigungen, z. B. Wecker-Apps
- Apps, die wichtige Nutzerbenachrichtigungen senden, z. B. SMS-Apps
- Apps, die Bedienungshilfen wie TalkBack bieten
Wenn Ihre App im Direktstartmodus auf Daten zugreifen muss, verwenden Sie den vom Gerät verschlüsselten Speicher. Der verschlüsselte Gerätespeicher enthält Daten, die mit einem Schlüssel verschlüsselt sind, der erst verfügbar ist, nachdem ein Gerät einen erfolgreichen verifizierten Start ausgeführt hat.
Verwenden Sie den verschlüsselten Anmeldedatenspeicher für Daten, die mit einem Schlüssel verschlüsselt werden müssen, der mit Nutzeranmeldedaten wie einer PIN oder einem Passwort verknüpft ist. Der mit Anmeldedaten verschlüsselte Speicher ist verfügbar, nachdem der Nutzer das Gerät erfolgreich entsperrt hat, und bis er das Gerät neu startet. Wenn der Nutzer nach dem Entsperren des Geräts den Sperrbildschirm aktiviert, bleibt der mit Anmeldedaten verschlüsselte Speicher verfügbar.
Zugriff anfordern, um während des direkten Starts ausgeführt zu werden
Apps müssen ihre Komponenten beim System registrieren, bevor sie im Direct Boot-Modus ausgeführt werden oder auf den verschlüsselten Gerätespeicher zugreifen können. Apps registrieren sich beim System, indem sie Komponenten als verschlüsselungsbewusst kennzeichnen. Wenn Sie Ihre Komponente als verschlüsselungsbewusst kennzeichnen möchten, setzen Sie das Attribut android:directBootAware in Ihrem Manifest auf „true“.
Verschlüsselungsbewusste Komponenten können sich registrieren, um eine ACTION_LOCKED_BOOT_COMPLETED-Broadcastnachricht vom System zu erhalten, wenn das Gerät neu gestartet wurde. Zu diesem Zeitpunkt ist der verschlüsselte Gerätespeicher verfügbar und Ihre Komponente kann Aufgaben ausführen, die im Direktstartmodus ausgeführt werden müssen, z. B. das Auslösen eines geplanten Weckers.
Das folgende Code-Snippet ist ein Beispiel dafür, wie Sie eine BroadcastReceiver als verschlüsselungsbewusst registrieren und im App-Manifest einen Intent-Filter für ACTION_LOCKED_BOOT_COMPLETED hinzufügen:
<receiver android:directBootAware="true" > ... <intent-filter> <action android:name="android.intent.action.LOCKED_BOOT_COMPLETED" /> </intent-filter> </receiver>
Sobald der Nutzer das Gerät entsperrt hat, können alle Komponenten sowohl auf den verschlüsselten Gerätespeicher als auch auf den verschlüsselten Anmeldedatenspeicher zugreifen.
Auf verschlüsselten Gerätespeicher zugreifen
Wenn Sie auf den verschlüsselten Gerätespeicher zugreifen möchten, erstellen Sie eine zweite Context-Instanz, indem Sie Context.createDeviceProtectedStorageContext() aufrufen. Alle Storage API-Aufrufe, die mit diesem Kontext erfolgen, greifen auf den verschlüsselten Gerätespeicher zu. Im folgenden Beispiel wird auf den verschlüsselten Gerätespeicher zugegriffen und eine vorhandene App-Datendatei geöffnet:
Kotlin
val directBootContext: Context = appContext.createDeviceProtectedStorageContext() // Access appDataFilename that lives in device encrypted storage val inStream: InputStream = directBootContext.openFileInput(appDataFilename) // Use inStream to read content...
Java
Context directBootContext = appContext.createDeviceProtectedStorageContext(); // Access appDataFilename that lives in device encrypted storage FileInputStream inStream = directBootContext.openFileInput(appDataFilename); // Use inStream to read content...
Verwenden Sie den verschlüsselten Gerätespeicher nur für Informationen, auf die im Direktstartmodus zugegriffen werden muss. Verwenden Sie den verschlüsselten Gerätespeicher nicht als verschlüsselten Speicher für allgemeine Zwecke. Verwenden Sie für private Nutzerinformationen oder verschlüsselte Daten, die im Direktstartmodus nicht benötigt werden, einen mit Anmeldedaten verschlüsselten Speicher.
Benachrichtigungen über Entsperrung durch Nutzer erhalten
Wenn der Nutzer das Gerät nach dem Neustart entsperrt, kann Ihre App zum Zugriff auf den mit Anmeldedaten verschlüsselten Speicher wechseln und normale Systemdienste verwenden, die von Nutzeranmeldedaten abhängen.
Wenn Sie benachrichtigt werden möchten, wenn der Nutzer das Gerät nach einem Neustart entsperrt, registrieren Sie eine BroadcastReceiver von einer laufenden Komponente, um auf Benachrichtigungsnachrichten zur Entsperrung zu warten. Wenn der Nutzer das Gerät nach dem Starten entsperrt:
- Wenn Ihre App Prozesse im Vordergrund hat, die eine sofortige Benachrichtigung erfordern, achten Sie auf die Meldung
ACTION_USER_UNLOCKED. - Wenn Ihre App nur Hintergrundprozesse verwendet, die auf eine verzögerte Benachrichtigung reagieren können, warten Sie auf die Meldung
ACTION_BOOT_COMPLETED.
Ob der Nutzer das Gerät entsperrt hat, können Sie herausfinden, indem Sie UserManager.isUserUnlocked() anrufen.
Vorhandene Daten migrieren
Wenn ein Nutzer sein Gerät auf den Direct Boot-Modus umstellt, müssen möglicherweise vorhandene Daten in den verschlüsselten Gerätespeicher migriert werden. Verwenden Sie Context.moveSharedPreferencesFrom() und Context.moveDatabaseFrom(), wobei der Zielkontext als Methode aufruft und der Quellkontext als Argument dient, um Präferenz- und Datenbankdaten zwischen mit Anmeldedaten verschlüsseltem Speicher und mit dem Gerät verschlüsseltem Speicher zu migrieren.
Migrieren Sie keine privaten Nutzerdaten wie Passwörter oder Autorisierungstokens aus dem mit Anmeldedaten verschlüsselten Speicher in den mit dem Gerät verschlüsselten Speicher. Entscheiden Sie nach eigenem Ermessen, welche anderen Daten Sie in den verschlüsselten Gerätespeicher migrieren möchten. In einigen Fällen müssen Sie möglicherweise separate Datensätze in den beiden verschlüsselten Speichern verwalten.
Verschlüsselungsfreundliche App testen
Testen Sie Ihre verschlüsselungsbewusste App mit aktiviertem Direktstartmodus.
Auf den meisten Geräten mit aktuellen Android-Versionen ist der Direktstartmodus aktiviert, wenn Anmeldedaten für den Sperrbildschirm (PIN, Muster oder Passwort) festgelegt wurden. Das gilt insbesondere für alle Geräte, auf denen die dateibasierte Verschlüsselung verwendet wird. Führen Sie den folgenden Shell-Befehl aus, um zu prüfen, ob auf einem Gerät die dateibasierte Verschlüsselung verwendet wird:
adb shell getprop ro.crypto.type
Wenn die Ausgabe file lautet, ist die dateibasierte Verschlüsselung auf dem Gerät aktiviert.
Auf Geräten, auf denen standardmäßig keine dateibasierte Verschlüsselung verwendet wird, gibt es möglicherweise andere Optionen zum Testen des Direktstartmodus:
-
Einige Geräte mit datenträgervollverschlüsselung (
ro.crypto.type=block) und Android 7.0 bis Android 12 können auf die dateibasierte Verschlüsselung umgestellt werden. Dafür gibt es zwei Möglichkeiten:- Aktivieren Sie auf dem Gerät die Entwickleroptionen, falls noch nicht geschehen. Gehen Sie dazu zu Einstellungen > Über das Telefon und tippen Sie siebenmal auf die Build-Nummer. Gehen Sie dann zu Einstellungen > Entwickleroptionen und wählen Sie In Dateiverschlüsselung konvertieren aus.
- Alternativ können Sie die folgenden Shell-Befehle ausführen:
adb reboot-bootloaderfastboot --wipe-and-use-fbe
Warnung : Bei beiden Methoden zur Umstellung auf die dateibasierte Verschlüsselung werden alle Nutzerdaten auf dem Gerät gelöscht.
-
Geräte mit Android 13 oder niedriger unterstützen einen „emulierten“ Direct Boot-Modus, bei dem die Auswirkungen des Sperrens und Entsperrens verschlüsselter Dateien anhand von Dateiberechtigungen simuliert werden. Verwenden Sie den emulierten Modus nur während der Entwicklung, da er zu Datenverlusten führen kann. Wenn Sie den emulierten Direktstartmodus aktivieren möchten, legen Sie auf dem Gerät ein Sperrmuster fest. Wählen Sie „Nein danke“ aus, wenn Sie beim Festlegen eines Sperrmusters aufgefordert werden, einen sicheren Startbildschirm festzulegen. Führen Sie dann den folgenden Shell-Befehl aus:
adb shell sm set-emulate-fbe true
Führen Sie den folgenden Shell-Befehl aus, um den emulierten Direct Boot-Modus zu deaktivieren:
adb shell sm set-emulate-fbe false
Wenn Sie einen dieser Befehle ausführen, wird das Gerät neu gestartet.
Verschlüsselungsstatus der Geräterichtlinie prüfen
Mit DevicePolicyManager.getStorageEncryptionStatus() können Apps zur Geräteverwaltung den aktuellen Verschlüsselungsstatus des Geräts prüfen.
Wenn Ihre App auf ein API-Level niedriger als Android 7.0 (API 24) ausgerichtet ist, gibt getStorageEncryptionStatus() ENCRYPTION_STATUS_ACTIVE zurück, wenn auf dem Gerät entweder die Volllaufwerkverschlüsselung oder die dateibasierte Verschlüsselung mit Direct Boot verwendet wird. In beiden Fällen werden Daten immer im Ruhezustand verschlüsselt gespeichert.
Wenn Ihre App auf Android 7.0 (API 24) oder höher ausgerichtet ist, gibt getStorageEncryptionStatus() ENCRYPTION_STATUS_ACTIVE zurück, wenn auf dem Gerät die Volldisk-Verschlüsselung verwendet wird. Es wird ENCRYPTION_STATUS_ACTIVE_PER_USER zurückgegeben, wenn auf dem Gerät die dateibasierte Verschlüsselung mit Direct Boot verwendet wird.
Wenn Sie eine App zur Geräteverwaltung entwickeln, die auf Android 7.0 ausgerichtet ist, prüfen Sie sowohl ENCRYPTION_STATUS_ACTIVE als auch ENCRYPTION_STATUS_ACTIVE_PER_USER, um festzustellen, ob das Gerät verschlüsselt ist.
Weitere Codebeispiele
Im Beispiel DirectBoot wird die Verwendung der auf dieser Seite beschriebenen APIs veranschaulicht.