Mã hóa là quá trình mã hóa tất cả dữ liệu người dùng trên thiết bị Android bằng các khóa mã hóa đối xứng. Sau khi thiết bị được mã hóa, tất cả dữ liệu do người dùng tạo sẽ tự động được mã hóa trước khi đưa vào đĩa và tất cả các lần đọc tự động giải mã dữ liệu trước khi trả lại cho quá trình gọi. Mã hóa đảm bảo rằng ngay cả khi một bên không được ủy quyền cố gắng truy cập vào dữ liệu, họ sẽ không thể đọc được dữ liệu đó.
Android có hai phương pháp để mã hóa thiết bị: mã hóa dựa trên tệp (File- based encryption) và mã hóa toàn đĩa.
2.2.6.1 Mã hóa dựa trên tệp (File-based encryption)
Android 7.0 trở lên hỗ trợ mã hóa dựa trên tệp. Mã hóa dựa trên tệp cho phép các tệp khác nhau được mã hóa bằng các khóa khác nhau có thể được mở khóa độc lập. Các thiết bị hỗ trợ mã hóa dựa trên tệp cũng có thể hỗ trợ Khởi động trực tiếp, cho phép các thiết bị được mã hóa khởi động thẳng vào màn hình khóa, do đó cho phép truy cập nhanh vào các tính năng quan trọng của thiết bị như dịch vụ trợ năng và cảnh báo.
Với mã hóa dựa trên tệp và các API giúp ứng dụng biết mã hóa, ứng dụng có thể hoạt động trong một ngữ cảnh hạn chế. Điều này có thể xảy ra trước khi người dùng cung cấp thông tin đăng nhập của họ trong khi vẫn bảo vệ thông tin cá nhân của người dùng.
Mã hóa siêu dữ liệu: Android 9 giới thiệu hỗ trợ mã hóa siêu dữ liệu (metadata encryption), hỗ trợ phần cứng. Với mã hóa siêu dữ liệu, một khóa duy nhất có tại thời điểm khởi động sẽ mã hóa bất kỳ nội dung nào không được FBE mã hóa, chẳng hạn
như bố cục thư mục, kích thước tệp, quyền và thời gian tạo / sửa đổi. Khóa này được bảo vệ bởi Keymaster, đến lượt nó được bảo vệ bằng khởi động đã xác minh.
2.2.6.2 Mã hóa toàn đĩa (Full-disk encryption)
*Lưu ý: Không cho phép mã hóa toàn đĩa trên các thiết bị mới chạy Android 10 trở lên. Đối với các thiết bị mới, hãy sử dụng mã hóa dựa trên tệp.
Android 5.0 lên đến Android 9 hỗ trợ mã hóa toàn bộ ổ đĩa. Mã hóa toàn đĩa sử dụng một khóa duy nhất — được bảo vệ bằng mật khẩu thiết bị của người dùng — để bảo vệ toàn bộ phân vùng dữ liệu người dùng của thiết bị. Khi khởi động, người dùng phải cung cấp thông tin đăng nhập của họ trước khi bất kỳ phần nào của đĩa có thể truy cập được.
Mặc dù điều này rất tốt cho bảo mật, nhưng nó có nghĩa là hầu hết các chức năng cốt lõi của điện thoại không khả dụng ngay lập tức khi người dùng khởi động lại thiết bị của họ. Vì quyền truy cập vào dữ liệu của họ được bảo vệ bằng thông tin đăng nhập người dùng duy nhất của họ, các tính năng như báo thức không thể hoạt động, dịch vụ trợ năng không khả dụng và điện thoại không thể nhận cuộc gọi.