当前位置：首页 > news >正文

数字大宅的安保进化论：起底安卓 FBE 与元数据加密的工作细节

news 2026/4/25 10:23:00

我们把这次深入拆解分为：总指挥vold、内核执行官fscrypt和蒙面侠dm-default-key。

1. FBE 的工作细节：给每个文件发“身份证”

在安卓里，负责加密的总调度官叫vold(Volume Daemon)。它的工作是根据用户的锁屏密码，去TEE（安全芯片）那里“取经”，然后把钥匙塞给内核。

A. 核心代码逻辑：设置加密策略

当系统创建一个新文件夹（比如用户的CE存储区）时，vold会通过ioctl系统调用，告诉内核：“嘿，这个文件夹以后的文件都要按这个规矩加密！”

在system/vold/FsCrypt.cpp中，关键逻辑如下：

// 简化后的逻辑：为目录设置加密政策boolinstall_storage_policy(conststd::string&path,constEncryptionPolicy&policy){// 1. 打开文件夹句柄android::base::unique_fdfd(TEMP_FAILURE_RETRY(open(path.c_str(),O_DIRECTORY|O_RDONLY|O_CLOEXEC)));// 2. 使用 ioctl 告诉内核：FS_IOC_SET_ENCRYPTION_POLICY// 这是下达“加密指令”的金牌if(ioctl(fd,FS_IOC_SET_ENCRYPTION_POLICY,&policy.raw())!=0){PLOG(ERROR)<<"Failed to set encryption policy on "<<path;returnfalse;}returntrue;}

B. 内核里的“隐形眼镜”：`fscrypt`

内核收到指令后，fscrypt驱动就接管了。

读取时：当应用请求读取photo.jpg，内核会自动去找钥匙，在内存里瞬间解密，应用拿到的是“明文”。
存放位置：钥匙通常存在 CPU 的寄存器里，绝不会落到硬盘上。

2. Metadata（元数据）加密：地基底层的“迷雾”

元数据加密比 FBE 藏得更深，它工作在块设备层（Block Level）。

A. 为什么它能加密文件名？

FBE 是在“文件系统”里面工作的，它能管文件内容，但管不了文件系统本身的结构（比如 inode 表）。而Metadata Encryption是在文件系统的下面垫了一层“加密地垫”。

安卓使用的是谷歌专门定制的dm-default-key（基于 Linux 的dm-crypt修改而来）。

B. 代码层面的实现：`fstab`配置文件

元数据加密不是在系统运行后再开启的，而是在**挂载（Mount）**硬盘的一瞬间就定死了。在手机的vendor/etc/fstab.hardware文件里，你会看到类似这样的配置：

/dev/block/by-name/userdata /data f2fs noatime... fileencryption=aes-256-xts:aes-256-cts:v2+inlinecrypt_optimized,metadata_encryption=aes-256-xts

metadata_encryption=aes-256-xts：这句话就是命令。
实现流程：
1. vold读取fstab。
2. vold向 TEE 请求一个硬件绑定密钥（Ephemeral Key）。
3. 通过dm-setup创建一个虚拟设备/dev/block/dm-0。
4. 以后所有发往/data的数据，都会先经过这个虚拟设备进行一次 AES-256-XTS 加密。

3. 拟人化的“钥匙传递”：谁拿到了密码？

这里有一个非常精妙的设计，我们叫它**“锁盒理论”**：

第一层（硬件钥匙）：手机出厂时，TEE 芯片里就写死了一段代码。它生成一个Per-Boot Key。这个钥匙用来解开Metadata，所以手机一开机，文件系统就能挂载，系统就能启动。
第二层（DE 钥匙）：系统启动中，TEE 自动释放 DE 钥匙。闹钟、电话这些“公共房间”的锁就开了。
第三层（CE 钥匙）：当你终于输入了 PIN 码（比如1234）。
- 系统把1234发给 TEE。
- TEE 验证正确后，才会合成出真正的CE 主密钥。
- vold拿到这个密钥，通过ioctl塞给内核的fscrypt槽位。
- 瞬间，你的微信照片、私人文档全部“变亮”了。