Android——全盘加密
人们使用 Pin 码和图形密码作为锁屏已经很长时间了，但直到 Android 3.0（Honeycomb），Android 上才出现了「全盘加密」。在读写用户数据的时候，基于一台设备的主密码，采用加密和解密的方式，将会极大地增加安全性。

在 Android 5.0（Lollipop）之前，上述的主密码只是基于用户设置的密码，解开这个主密码之后，通过如 ADB 这类的外置工具，设备显得脆弱不堪。然而 Lollipop 执行的是内核层级的全盘加密，采用的是初次启动时生成的 128 位 AES 加密，而这个与密封的硬件层级的 TrustZone 协同工作，使得设备摆脱了 ADB 侵入的隐患。

硬件加密与软件加密
磁盘加密名义上可以从两个层级实现——软件层级或者硬件层级。软件加密使用 CPU 要么通过与用户密码相对应的随机数要么直接通过用户密码，进行数据加密或解密数据。另一方面，硬件加密采用的是专用的处理模块生成加密密钥，减轻 CPU 的负担，这使得关键的密钥和参数都能够远离强行破解和冷启动攻击。



尽管新一代的高通 SoC 支持硬件加密，但 Google 依然替 Android 选择了基于 CPU 的软件加密，这意味着在读写磁盘数据的时候，会占用一部分 CPU 资源，给设备的性能表现造成不小的影响。随着 Lollipop 允许全盘加密，Nexus 6 成为了这种糟糕加密方式的第一批受害者。

在上线 Lollipop 之后，使用全盘加密 Nexus 6 与未使用全盘加密的 Nexus 6 的许多跑分图展示了这个问题——结果不容乐观，加密设备要明显地更慢。与之形成鲜明对比的是，苹果的设备自从 iPhone 3GS 起就开始支持全盘硬件加密，到了 iPhone 5s 之时，由于 64 位 ARM V8 的 A7 处理器的支持，iPhone 已经能通过 硬件加速 AES 与 SHA1 加密。



与之形成鲜明对比的是，苹果的设备自从 iPhone 3GS 起就开始支持全盘硬件加密，到了 iPhone 5s 之时，由于 64 位 ARM V8 的 A7 处理器的支持，iPhone 已经能通过 硬件加速 AES 与 SHA1 加密。

加密与 Nexus 的表现
去年 Moto Nexus 6 是第一部强制用户执行软件加密的 Nexus 设备，它造成了储存上的读写操作缓慢，这一点受到了广泛的批评。



不幸的是，Anand Tech 的一份评测指出，尽管相对于 Nexus 6 来说，Nexus 5X 提升了一大截，但与采用了同样配置，同样采用 eMMC 5.0 的 LG G4 相比，Nexus 5X 从头到尾要慢上 30% 左右。

对于用户体验的影响
尽管 Nexus 6 和 Nexus 5X 由于加密的原因而不得不忍受读写磁盘带来的问题，不过 Lollipop 的软件优化上还是不足了性能表现上的不足。这意味着运行 Lollipop 的 Nexus 6 一定要比理论上能够运行 KitKat 的 Nexus 6 要快。



然而眼尖的用户一定能偶尔注意到手机在运行需要检索全盘的 app（如图库）之时，或者在观看本地 2K 或 4K 内容时，会有些许卡顿。

第三方厂商如何看待加密
尽管对于用户来说，设备加密总体是一项善意的机制，但有些 OEM 总会站到这项措施的阴面，其中声名最为狼藉的便是三星。



前一项设备压根就不支持而后者则是不允许用户添加支付卡，并且通知用户要想使用此项功能需要完全解密设备。鉴于加密将会提升设备的安全性，在设备加密情况下不允许用户添加支付卡，这是一项奇怪的举动。在移动支付中，安全性才是整个解决方案的精髓。

你的数据需要加密吗
对于大多数用户，尤其是追求极致性能的用户来说，加密设备是他们不愿意做的事情。全盘加密一定会确保设备数据的安全，并使之免受监控，尽管这会牺牲掉一些性能。同时，虽然「Android 设备管理」在设备落入他人手中之时，能很好地抹除数据，但加密将安全性提升了一个层级。所以如果你愿意牺牲掉一些设备的性能，那么全盘加密一定能够确保你的数据不会落入他人之手。



那么如何加密我们的 Android 手机呢？就拿手上的这台 Android 版本为 5.1 的三星 Note 4 为例，打开设置之后，点击「锁定屏幕与安全」，再点击「其他安全设定」，点击「加密设备」，然后手机就开始加密了，加密时间视设备内部文件而定。其他的 Android 设备，尤其是国产「深度定制」UI 里的「加密设备」选项需要仔细探索……有些设备在这方面是缺失的。毕竟这对于手机内部储存读写速度要求很高。



本来 Google 是打算在全部运行 Android 5.0 设备上强制推行全盘加密的，不过囿于各类设备的读写问题而最终放弃了——只有 Nexus 6 以及之后的 Nexus 设备才会被强行加密。Google 虽然官方表示 Android 6.0 设备会全部强行全盘加密，但是否又会因为低端 Android 设备的读写速度而被迫放弃呢？不得而知。