Ice Cream Sandwich (ICS) - Cryptage, sélectionnez un code PIN différent du verrouillage de l'écran

Je me demandais si l'on pouvait sélectionner différents mots de passe pour le chiffrement des appareils dans ICS?

Avoir le même mot de passe pour le chiffrement et le déverrouillage de l'écran n'est pas aussi sûr ...

Merci pour les indices.

Non. Une citation de http://support.google.com/android/bin/answer.py?hl=en&answer=1663755 :

Notez qu'il s'agit du même code PIN ou mot de passe que vous utilisez pour déverrouiller votre téléphone sans cryptage, et ne peut pas être défini indépendamment.

EDIT: J'ai trouvé cela sur xda, mais je pense que cela pourrait être risqué et ne vaut pas la peine. http://forum.xda-developers.com/showthread.php?t=1680857

Pour les téléphones déjà cryptés, Android 5.x (Lollipop), la commande a quelque peu changé. Maintenant, au lieu de taper le mot de passe entre guillemets, vous devez d'abord coder le mot de passe en hexadécimal et émettre les commandes suivantes après avoir obtenu root:

vdc cryptfs changepw password HEX_ENCODED_PASSWORD_HERE

Comme le mot de passe est codé en hexadécimal, la valeur résultante n'a pas besoin de guillemets l'entourant.

L'autre commande mentionnée vdc cryptfs changepw 'plaintext password here'n'a aucun effet sur Android 5.x et les versions ultérieures.

Si je devais changer mon mot de passe testing, j'émettrais cette commande après avoir obtenu root:

vdc cryptfs changepw password 74657374696e67

Si je voulais changer mon mot de passe pour quelque chose de plus exotique (qui comprenait des caractères spéciaux, des guillemets et d'autres signes de ponctuation, par exemple What's up "Doc"?, j'émettrais la commande suivante dans la racine adb shellaprès avoir obtenu su:

vdc cryptfs changepw password 5768617427732075702022446f63223f

Redémarrez maintenant le téléphone (vous pouvez exécuter une rebootcommande) et vous serez invité à entrer le nouveau mot de passe.

Si le périphérique n'est actuellement pas chiffré du tout, vous émettez la commande suivante:

vdc cryptfs enablecrypto inplace HEX_ENCODED_PASSWORD_HERE

Le téléphone redémarrera automatiquement et sera le processus de cryptage qui pourrait prendre une heure ou plus.

EncPassChanger prétend le faire, mais ne l'a pas testé.

Le mot de passe de cryptage n'a pas le même que le code PIN de déverrouillage de l'écran. En fait, vous pouvez crypter votre appareil avec un mot de passe sans aucun mot de passe / PIN de verrouillage d'écran. (ce fut initialement le cas avec mon appareil nouvellement installé).

Si vous pensez à une éventuelle mise en œuvre sécurisée, cela a du sens. La phrase secrète de cryptage n'est pas directement utilisée pour crypter vos données. Tout d'abord, une fonction de dérivation de clé est appliquée à la phrase secrète. La clé résultante est ensuite utilisée pour crypter la clé principale. (Cette clé principale est utilisée pour le chiffrement du disque.)

La modification de la clé principale n'est pas possible sans rechiffrer toutes les données, ce qui prend un certain temps. Ce qui est possible, et beaucoup plus rapide, est de changer la phrase secrète qui protège la clé principale. Contrairement au logiciel LUKS sous licence GPLv2 , vous ne pouvez spécifier qu'une seule phrase de passe.

Exigences:

• Privilèges de superutilisateur.
• Soit une application de terminal sur votre appareil ou un ordinateur qui a adb.
• Une bonne phrase de passe .

Instructions:

1. Entrez dans la coquille. Cela peut être fait en ouvrant l'application Terminal ou en exécutant adb shellsur votre ordinateur. (voir aussi 2)
2. Obtenez les privilèges root en exécutantsu

3. En supposant que votre mot de passe soit Give Mom batteries, exécutez la commande suivante:

   vdc cryptfs changepw 'Give Mom batteries'
   

   Si vous avez choisi des caractères exotiques pour votre phrase secrète, assurez-vous de bien les échapper .

4. La phrase secrète a immédiatement changé, remplaçant l'ancienne. Vous pouvez redémarrer pour le vérifier vous-même.

J'ai trouvé ces arguments en regardant dans le code source de vold, en particulier CommandListener.cpp . Cette commande est toujours disponible depuis l'introduction du chiffrement de disque dans ICS:

$git log -n1 --oneline 70a4b3fd7a84a84bbe6e9d6d4ca3ee2098259fd 
70a4b3f Change cryptfs changepw to only require a new password.
$ git branch --contains 70a4b3fd7a84a84bbe6e9d6d4ca3ee2098259fd -a
* cm-10.1
  remotes/origin/HEAD -> origin/cm-10.1
  remotes/origin/cm-10.1
  remotes/origin/cm-9.0.0
  remotes/origin/cm-9.1.0
  remotes/origin/ics
  remotes/origin/ics-release
  remotes/origin/jellybean
  remotes/origin/jellybean-stable
  remotes/origin/mr1.1-staging

Oui, vous pouvez définir un mot de passe différent pour le chiffrement de l'appareil à celui que vous choisissez pour le déverrouillage de l'écran.