پشتیبانی از حالت Direct Boot

زمانی که دستگاه روشن شده باشد اما کاربر قفل دستگاه را باز نکرده باشد، اندروید 7.0 در حالت راه‌اندازی مستقیم و ایمن اجرا می‌شود. برای پشتیبانی از این، سیستم دو مکان ذخیره سازی برای داده ها فراهم می کند:

  • فضای ذخیره‌سازی رمزگذاری‌شده اعتبار ، که مکان ذخیره‌سازی پیش‌فرض است و تنها پس از باز کردن قفل دستگاه توسط کاربر در دسترس است.
  • ذخیره‌سازی رمزگذاری‌شده دستگاه ، که یک مکان ذخیره‌سازی است که هم در حالت راه‌اندازی مستقیم و هم پس از باز کردن قفل دستگاه توسط کاربر در دسترس است.

به‌طور پیش‌فرض، برنامه‌ها در حالت Direct Boot اجرا نمی‌شوند. اگر برنامه شما نیاز به اقدامی در هنگام راه‌اندازی مستقیم دارد، می‌توانید اجزای برنامه را برای اجرا در این حالت ثبت کنید. برخی از موارد استفاده رایج برای برنامه‌هایی که نیاز به اجرا در حالت راه‌اندازی مستقیم دارند عبارتند از:

  • برنامه هایی که اعلان های برنامه ریزی شده دارند، مانند برنامه های ساعت زنگ دار.
  • برنامه‌هایی که اعلان‌های مهم کاربر را ارائه می‌کنند، مانند برنامه‌های پیام کوتاه.
  • برنامه‌هایی که خدمات دسترس‌پذیری را ارائه می‌کنند، مانند Talkback.

اگر برنامه شما نیاز به دسترسی به داده ها در هنگام اجرا در حالت راه اندازی مستقیم دارد، از حافظه رمزگذاری شده دستگاه استفاده کنید. فضای ذخیره‌سازی رمزگذاری‌شده دستگاه حاوی داده‌های رمزگذاری‌شده با یک کلید است که تنها پس از راه‌اندازی تأییدشده توسط دستگاه در دسترس است.

برای داده‌هایی که باید با یک کلید مرتبط با اطلاعات کاربری کاربر، مانند پین یا رمز عبور رمزگذاری شوند، از فضای ذخیره‌سازی رمزگذاری شده اعتبار استفاده کنید. پس از اینکه کاربر با موفقیت قفل دستگاه را باز کرد و تا زمانی که کاربر دستگاه را راه اندازی مجدد کند، فضای ذخیره رمزگذاری شده اعتبارنامه در دسترس است. اگر کاربر پس از باز کردن قفل دستگاه، صفحه قفل را فعال کند، فضای ذخیره‌سازی رمزگذاری شده اعتبارنامه در دسترس باقی می‌ماند.

درخواست دسترسی برای اجرا در هنگام راه‌اندازی مستقیم

برنامه‌ها قبل از اینکه بتوانند در حالت راه‌اندازی مستقیم اجرا شوند یا به فضای ذخیره‌سازی رمزگذاری‌شده دستگاه دسترسی پیدا کنند، باید اجزای خود را در سیستم ثبت کنند. برنامه ها با علامت گذاری مؤلفه ها به عنوان آگاه از رمزگذاری در سیستم ثبت می شوند. برای علامت گذاری مؤلفه خود به عنوان آگاه از رمزگذاری، ویژگی android:directBootAware در مانیفست خود روی true تنظیم کنید.

مؤلفه‌های آگاه از رمزگذاری می‌توانند برای دریافت پیام پخش ACTION_LOCKED_BOOT_COMPLETED از سیستم پس از راه‌اندازی مجدد دستگاه ثبت نام کنند. در این مرحله فضای ذخیره‌سازی رمزگذاری‌شده دستگاه در دسترس است و مؤلفه شما می‌تواند وظایفی را که باید در حالت راه‌اندازی مستقیم اجرا شوند، مانند راه‌اندازی زنگ برنامه‌ریزی‌شده، اجرا کند.

قطعه کد زیر نمونه ای از نحوه ثبت یک BroadcastReceiver به عنوان آگاه از رمزگذاری، و افزودن فیلتر قصد برای ACTION_LOCKED_BOOT_COMPLETED در مانیفست برنامه است:

<receiver
  android:directBootAware="true" >
  ...
  <intent-filter>
    <action android:name="android.intent.action.LOCKED_BOOT_COMPLETED" />
  </intent-filter>
</receiver>

هنگامی که کاربر قفل دستگاه را باز کرد، همه اجزا می توانند به حافظه رمزگذاری شده دستگاه و همچنین حافظه رمزگذاری شده اعتبار دسترسی داشته باشند.

به حافظه رمزگذاری شده دستگاه دسترسی پیدا کنید

برای دسترسی به حافظه رمزگذاری شده دستگاه، با فراخوانی Context.createDeviceProtectedStorageContext() یک نمونه Context دوم ایجاد کنید. همه تماس‌های API ذخیره‌سازی که با استفاده از این زمینه انجام می‌شوند به فضای ذخیره‌سازی رمزگذاری‌شده دستگاه دسترسی دارند. مثال زیر به حافظه رمزگذاری شده دستگاه دسترسی پیدا می کند و یک فایل داده برنامه موجود را باز می کند:

کاتلین

val directBootContext: Context = appContext.createDeviceProtectedStorageContext()
// Access appDataFilename that lives in device encrypted storage
val inStream: InputStream = directBootContext.openFileInput(appDataFilename)
// Use inStream to read content...

جاوا

Context directBootContext = appContext.createDeviceProtectedStorageContext();
// Access appDataFilename that lives in device encrypted storage
FileInputStream inStream = directBootContext.openFileInput(appDataFilename);
// Use inStream to read content...

از حافظه رمزگذاری شده دستگاه فقط برای اطلاعاتی استفاده کنید که باید در حالت راه‌اندازی مستقیم قابل دسترسی باشند. از حافظه رمزگذاری شده دستگاه به عنوان یک فروشگاه رمزگذاری شده همه منظوره استفاده نکنید. برای اطلاعات خصوصی کاربر، یا داده‌های رمزگذاری‌شده که در حالت راه‌اندازی مستقیم مورد نیاز نیستند، از فضای ذخیره‌سازی رمزگذاری شده اعتبار استفاده کنید.

از باز شدن قفل کاربر مطلع شوید

وقتی کاربر پس از راه‌اندازی مجدد قفل دستگاه را باز می‌کند، برنامه شما می‌تواند به فضای ذخیره‌سازی رمزگذاری‌شده اعتبارنامه دسترسی پیدا کند و از سرویس‌های سیستمی معمولی که به اطلاعات کاربری کاربر بستگی دارد استفاده کند.

برای اینکه وقتی کاربر بعد از راه‌اندازی مجدد قفل دستگاه را باز می‌کند مطلع شوید، یک BroadcastReceiver از یک مؤلفه در حال اجرا ثبت کنید تا به پیام‌های اعلان باز کردن قفل گوش دهید. هنگامی که کاربر پس از بوت شدن دستگاه را باز می کند:

  • اگر برنامه شما دارای فرآیندهای پیش زمینه است که نیاز به اعلان فوری دارند، به پیام ACTION_USER_UNLOCKED گوش دهید.
  • اگر برنامه شما فقط از فرآیندهای پس‌زمینه استفاده می‌کند که می‌توانند روی اعلان تاخیری عمل کنند، به پیام ACTION_BOOT_COMPLETED گوش دهید.

اگر کاربر قفل دستگاه را باز کرده باشد، می توانید با تماس با UserManager.isUserUnlocked() متوجه شوید.

انتقال داده های موجود

اگر کاربر دستگاه خود را برای استفاده از حالت راه‌اندازی مستقیم به‌روزرسانی کند، ممکن است داده‌های موجودی داشته باشید که باید به فضای ذخیره‌سازی رمزگذاری شده دستگاه منتقل شوند. از Context.moveSharedPreferencesFrom() و Context.moveDatabaseFrom() با متن مقصد به عنوان فراخوان متد و زمینه منبع به عنوان آرگومان، برای انتقال اولویت و داده های پایگاه داده بین حافظه رمزگذاری شده اعتبار و حافظه رمزگذاری شده دستگاه استفاده کنید.

اطلاعات خصوصی کاربر، مانند گذرواژه‌ها یا نشانه‌های مجوز، را از فضای ذخیره‌سازی رمزگذاری‌شده اعتبارنامه به فضای ذخیره‌سازی رمزگذاری‌شده دستگاه منتقل نکنید. هنگام تصمیم گیری برای انتقال داده های دیگر به حافظه رمزگذاری شده دستگاه، بهترین قضاوت خود را به کار ببرید. در برخی سناریوها، ممکن است لازم باشد مجموعه های جداگانه ای از داده ها را در دو فروشگاه رمزگذاری شده مدیریت کنید.

برنامه آگاه از رمزگذاری خود را آزمایش کنید

برنامه آگاه از رمزگذاری خود را با فعال کردن حالت مستقیم بوت آزمایش کنید.

اکثر دستگاه‌هایی که نسخه‌های اخیر اندروید را اجرا می‌کنند، هر زمان که یک اعتبار صفحه قفل (پین، الگو یا رمز عبور) تنظیم شده باشد، حالت راه‌اندازی مستقیم را فعال می‌کنند. به طور خاص، این مورد در همه دستگاه‌هایی است که از رمزگذاری مبتنی بر فایل استفاده می‌کنند. برای بررسی اینکه آیا یک دستگاه از رمزگذاری مبتنی بر فایل استفاده می کند یا خیر، دستور پوسته زیر را اجرا کنید:

adb shell getprop ro.crypto.type

اگر خروجی file باشد، پس دستگاه رمزگذاری مبتنی بر فایل را فعال کرده است.

در دستگاه‌هایی که به‌طور پیش‌فرض از رمزگذاری مبتنی بر فایل استفاده نمی‌کنند، ممکن است گزینه‌های دیگری برای آزمایش حالت راه‌اندازی مستقیم وجود داشته باشد:

  • برخی از دستگاه‌هایی که از رمزگذاری فول دیسک ( ro.crypto.type=block ) استفاده می‌کنند و از Android 7.0 تا Android 12 استفاده می‌کنند، می‌توانند به رمزگذاری مبتنی بر فایل تبدیل شوند. دو راه برای این کار وجود دارد:

      هشدار: هر یک از روش‌های تبدیل به رمزگذاری مبتنی بر فایل، تمام داده‌های کاربر روی دستگاه را پاک می‌کند.

    • اگر قبلاً این کار را نکرده اید، در دستگاه، گزینه های برنامه نویس را با رفتن به تنظیمات > درباره تلفن و هفت بار ضربه زدن روی Build number فعال کنید. سپس به Settings > Developer options رفته و Convert to file encryption را انتخاب کنید.
    • همچنین، دستورات پوسته زیر را اجرا کنید:
      adb reboot-bootloader
      fastboot --wipe-and-use-fbe
      
  • دستگاه‌هایی که Android 13 یا پایین‌تر دارند، از یک حالت راه‌اندازی مستقیم «شبیه‌شده» پشتیبانی می‌کنند که از مجوزهای فایل برای شبیه‌سازی اثرات قفل و باز شدن قفل فایل‌های رمزگذاری‌شده استفاده می‌کند. فقط از حالت شبیه سازی شده در طول توسعه استفاده کنید. می تواند باعث از دست رفتن اطلاعات شود. برای فعال کردن حالت راه‌اندازی مستقیم شبیه‌سازی‌شده، یک الگوی قفل را روی دستگاه تنظیم کنید، اگر هنگام تنظیم الگوی قفل از صفحه راه‌اندازی ایمن خواسته شد، «نه متشکرم» را انتخاب کنید و سپس دستور پوسته زیر را اجرا کنید:

    adb shell sm set-emulate-fbe true
    

    برای خاموش کردن حالت مستقیم بوت شبیه سازی شده، دستور پوسته زیر را اجرا کنید:

    adb shell sm set-emulate-fbe false
    

    اجرای هر یک از این دستورات باعث راه اندازی مجدد دستگاه می شود.

وضعیت رمزگذاری خط مشی دستگاه را بررسی کنید

برنامه‌های مدیریت دستگاه می‌توانند از DevicePolicyManager.getStorageEncryptionStatus() برای بررسی وضعیت رمزگذاری فعلی دستگاه استفاده کنند.

اگر برنامه شما سطح API کمتر از Android 7.0 (API 24) را هدف قرار دهد، اگر دستگاه از رمزگذاری تمام دیسک یا رمزگذاری مبتنی بر فایل با Direct Boot استفاده می‌کند، getStorageEncryptionStatus() ENCRYPTION_STATUS_ACTIVE را برمی‌گرداند. در هر دوی این موارد، داده ها همیشه به صورت رمزگذاری شده در حالت استراحت ذخیره می شوند.

اگر برنامه شما Android 7.0 (API 24) یا بالاتر را هدف قرار می‌دهد، اگر دستگاه از رمزگذاری تمام دیسک استفاده می‌کند، getStorageEncryptionStatus() ENCRYPTION_STATUS_ACTIVE برمی‌گرداند. اگر دستگاه از رمزگذاری مبتنی بر فایل با راه‌انداز مستقیم استفاده می‌کند، ENCRYPTION_STATUS_ACTIVE_PER_USER برمی‌گرداند.

اگر یک برنامه مدیریت دستگاه می‌سازید که Android 7.0 را هدف قرار می‌دهد، حتماً ENCRYPTION_STATUS_ACTIVE و ENCRYPTION_STATUS_ACTIVE_PER_USER را بررسی کنید تا تشخیص دهید که آیا دستگاه رمزگذاری شده است یا خیر.

نمونه کد اضافی

نمونه DirectBoot بیشتر استفاده از APIهای پوشش داده شده در این صفحه را نشان می دهد.