ROM für Vollverschlüsselung

[BlackMatrix]

Ich hab so bisschen meine Zweifel, dass selbst wenn ich ein Passwort am Anfang eingebe, das auch wirklich /data verschlüsselt ist. So buggy wie das teilweise alles ist (oder ich bin zu blöd ), könnte ich mir das gut vorstellen. Schreiben denn die APKs in /data oder wer schreibt dort alles rein bzw. kann dort alles reinschreiben? Ich auch? Hab wohl mein System gerade wieder geschrottet , weil ich TWRP Recovery aufspielen wollte um dort drin mal zu schauen, welche Daten meines verschlüsselten Systems lesbar sind und welche nicht, aber wahrscheinlich macht man das so nicht.

 

[BOotnoOB]

@BlackMatrix Du hast ja Linux. Hast du es richtig installiert und alle dazugehörigen Partitionen selber eingerichtet? Bootloader, Root-Dir, Swap-Datei, Daten etc.? Denn Android ist 1:1 so aufgebaut.

Schreiben denn die APKs in /data oder wer schreibt dort alles rein bzw. kann dort alles reinschreiben?

Alles und jeder schreibt auf /data, denn das ist die einzige Partition, die beschrieben werden darf. Ausnahme ist /cache, die für Systemupdates als temporärer Speicher zur Verfügung steht. Je nach Hersteller gibt es noch ein oder zwei andere Partitionen, die aber nicht relevant sind.
Außerdem sind viele Partitionen bei Android nichts anderes als (auszuführende) Binaries und kein formatiertes Dateisystem, auf dem Daten gespeichert werden könnten.

Am einfachsten ausgedrückt: Bevor ein Smartphone nach Kauf (oder auch Reset) eingeschaltet wird, ist /data komplett leer. Alle Daten, die ab diesem Zeitpunkt erstellt und gespeichert werden, befinden sich auf /data.

Hab wohl mein System gerade wieder geschrottet , weil ich TWRP Recovery aufspielen wollte um dort drin mal zu schauen, welche Daten meines verschlüsselten Systems lesbar sind und welche nicht, aber wahrscheinlich macht man das so nicht.

Doch, genauso macht man das. Die Recovery ist die einzige Möglichkeit außerhalb des Systems zu arbeiten. Wie bei einem Windows PC. Willst C:\ formatieren oder sonst irgendwie bearbeiten, gehst du runter von C:\ und in die Recovery. Zumindest früher, vor WinXP.
TWRP muss eigentlich beim starten, bevor der Hauptscreen eingeblendet wird, nach dem Passwort fragen. Ansonsten bliebe /data verschlüsselt. Daran zu erkennen, dass /data zwar gemountet ist, aber nicht gelesen werden kann und leer bleibt. Solltest du /data ganz normal über den integrierten Dateiexplorer öffnen und lesen können, obwohl kein Passwort eingegeben wurde, hast du keine Verschlüsselung. Denn wenn du /data über TWRP öffnen kannst, kann das jeder andere auch. Egal, wie sich die Passworteingabe auf das laufende System auswirkt. Mag sein, dass du dort nur mit Passwort an deine Daten kommst. Aber solange es über TWRP ohne Hindernis möglich ist, bringt das alles nichts.

Betrachte das Root-Verzeichnis als einen PC und alle Partitionen wie /system, /vendor oder /data sind externe Festplatten. Eine verschlüsselte Festplatte kann zwar überall angeschlossen werden, aber egal wo, nur mit dem richtigen Passwort geöffnet werden. So muss es auch bei /data sein.

 

[BlackMatrix]

Danke, sehr hilfreich dein Beitrag

@BlackMatrix Du hast ja Linux. Hast du es richtig installiert und alle dazugehörigen Partitionen selber eingerichtet? Bootloader, Root-Dir, Swap-Datei, Daten etc.? Denn Android ist 1:1 so aufgebaut.

Ich hatte alle möglichen PIT Files und die zugehörigen Recoveries für Recovery und Kernel ausprobiert. Beim S2 muss man ja bedenken, dass es dort eigentlich keine Recovery Partition gibt (so wie ich das verstanden habe). Stichwort Isorec.

Ich hatte die hier aufgespielt:

GrimKriegor/Misc

und das Replicant 6.0 0004 RC4 ROM. Das scheint das einzige zu sein, was bei mir überhaupt bootet. Wenn ich mit der PIT, aber die Verschlüsselung angestoßen habe, landet das System in einem Bootloop, wobei der eigentlich Loop erst kurz vor dem Starten passiert. Also wieder von vorne, dass Recovery in der Kernel und Recovery Partition installiert und die PIT aus dem xda Forum genommen (hab sie angehangen).
Dort scheint erstmal alles zu gehen, wobei ich auch hier beachten muss, erst verschlüsseln lassen und dann erst eine PIN vergeben (anstatt der Wischgeste), ansonsten ging das nämlich auch nicht.

Jetzt hatte ich mir gedacht, ich brauche nur das TWRP her nehmen und es in die Recovery-Partition schieben und danach könnte ich mal ins Dateisystem reinschauen. Da passierte gar nichts, sondern Replicant Recovery kam weiterhin hoch. Also hab ich TWRP noch in die Kernel Partition geschoben, danach ging nichts mehr. Gut dachte ich mir, evtl. war es das falsche Recovery (androidfilehost war gestern nicht erreichbar und ich hab die offizielle TWRP genommen und nicht die im xda Thread Empfohlene), aber ich war mir eh nicht sicher, ob das überhaupt so geht wie ich mir das vorstelle und es war eher ein Probieren und evtl. klappts ja Weiß jetzt nicht genau, obs am falschen TWRP lag. Jedenfalls dachte ich mir, ich könnte jetzt problemlos auch wieder das Recovery von Replicant in die Kernel und Recovery Partition schieben und das System würde wieder so hochkommen wie vor meinem Versucht Daten auslesen zu können, aber dem war nicht so. Landete nur noch in der Recovery, das System startete nicht mehr. Was lief da falsch? Kann das gar nicht mehr so hochkommen wie zuvor, wenn Recovery und Kernel wieder auf den Stand wie zuvor geflasht wurden?

Alles und jeder schreibt auf /data, denn das ist die einzige Partition, die beschrieben werden darf.

Das wäre cool, wenn ich das noch selbst gesehen, prüfen könnte :-D So wie ich es verstanden habe, schreibt das S2 auch gerne noch in /sdcard (mmcblk0p11), welche mit der PIT von oben wohl eliminiert wird. Aber die hat nicht funktioniert. Nach dem Anstoßen der Verschlüsselung, ist das System in einer Bootloop gelandet. Liegt es daran, dass ich diese beiden Schalter erst umstellen müsste und neu kompilieren:

# Emulated storage
  setprop ro.vold.primary_physical 0

entfernen:

/devices/platform/dw_mmc/mmc_host/mmc0/mmc0*                  auto    auto    defaults        wait,voldmanaged=sdcard0:11,noemulatedsd,nonremovable

P.S: Leider bin ich zu hartnäckig und will es bis ins letzte wenigstens probiert habe, bevor ich aufgebe. Das kostet mich aber dafür viel Zeit

Okay, ich glaube so langesam verstehe ich es bei TWRP hätte ich einen anderen Kernel mit flashen müssen. Aber wenn man einmal TWRP mit Recovery und Kernel geflasht hat, kommt man wohl nicht mehr wieder in System zurück indem man wieder das alte (Replicant Recovery + Kernel) aufspielt, oder?

 

[BOotnoOB]

@BlackMatrix Hier kannst du nachlesen, was es mit /sdcard und internen Speicher auf sich hat:
Diving into SDCardFS: How Google's FUSE Replacement Will Reduce I/O Overhead

Recovery in den Kernel schieben? Warum?

 

[BlackMatrix]

Recovery in den Kernel schieben? Warum?

Macht man wohl so beim S2 und dem Replicant ROM:

heimdall flash --KERNEL path/to/recovery-<yourdevice>.img --RECOVERY path/to/recovery-<yourdevice>.img

 

[BlackMatrix]

So, jetzt hat es geklappt. Konnte mit TWRP auf meine Partitionen zugreifen und habe gesehen, dass /data leer ist, also nicht zugegriffen werden kann.

Einziges Sorgenkind ist nun noch /sdcard0, da ist wohl auch so einiges drin, was sich aber scheinbar nicht so leicht eliminieren lässt.

i9100 emulated sdcard, partition resizing and full disk encryption

Ich glaub ich habs nun endlich Man muss wohl noch das XML Attribute

primaryStorageUuid="primary_physical"

in

/data/system/storage.xml

entfernen.

 

[BOotnoOB]

@BlackMatrix Hast du jetzt eine verschlüsselte Datenpartition und das Handy lässt sich ohne Probleme booten?

 

[BlackMatrix]

Jup, das habe ich hinbekommen. Es ist nur ganz schön aufwändig, wenn man kontrollieren will, ob denn nun /data verschlüsselt ist, oder nicht. Ich hab es wie folgt gemacht:

• Replicant 6 installiert (RC4) in den Kernel und Recovery geschoben, PIT aus dem xda Thread genommen
• Replicant ROM in der Replicant Recovery installiert
• Boot
• PIN/Passwort im Begrüßungsassistent setzen
• keinen Screenlock (Wipe bisher) in den Einstellungen setzen, erst verschlüsseln! ansonsten Bootloop
• nach Verschlüsselung Screenlock setzen und die Frage, ob man beim Booten direkt gefragt werden will mit Ja beantworten
• dann hab ich paar Dateien in /data abgelegt und ne APK installiert

Zum Prüfen:

• zImage vom TWRP in den Kernel gespielt, Recovery TWRP in die Recovery
• File Manager starten
• /data zeigt nichts an

Danach ist aber auch das System schrott, also nochmal was in eine andere Partition schieben und gucken, ist nicht. Ich habs dann nicht wieder hinbekommen, dass ich wieder zu Replicant wechseln kann (ich weiß nicht, ob sowas überhaupt möglich ist, wenn man Kernel und Recovery überbügelt)
Wenn ich noch das Attribut in /data/system/storage.xml setze, dann wird auch alles von /sdcard0 in /data/media/0 kopiert. Die Partition /sdcard0 scheint aber noch zu existieren. Aber da ich jetzt davon ausgehe, dass nun alles in /data landet und ich insgesamt nicht viel Speicher brauche, ist mir das egal.

Hätte man das eigentlich auch anders kontrollieren können ohne TWRP wieder aufzuspielen? Wie ich herausgefunden habe, bietet mir andOTP nämlich eine andere Option der Ablage von Schlüsseln an, wenn es wohl feststellt, dass da wo es hinschreiben darf, die Partition verschlüsselt ist. Also wenn es erkennt, dass keine Verschlüsselung auf Partitionsebene vorliegt, dann wird mir nur PIN/Passwort angeboten, ansonsten auch Android KeyStore.

 

[BOotnoOB]

Also wenn es erkennt, dass keine Verschlüsselung auf Partitionsebene vorliegt, dann wird mir nur PIN/Passwort angeboten, ansonsten auch Android KeyStore.

Du hast halt eine Custom ROM und das ist nicht unbedingt vergleichbar mit einer Stock ROM. Die Verschlüsselung ist nicht der Android Keystore.
Du hast jetzt ein Workaround für die Datenverschlüsselung allgemein, aber mehr auch nicht.

Zeigt TWRP auf /data nichts an, wird die Partition verschlüsselt sein. Aber TWRP hat so ein richtig geiles Feature, das nennt sich "recovery.log"

 

[BlackMatrix]

Was bringt mir diese recovery.log und wo finde ich die? Die wird doch in /data abgelegt, wo TWRP gar keinen Zugriff hat?
Ich glaube aber mir ist es nicht wert nochmals die 1-2h zu investieren um das zu überprüfen. Das heiße TWRP wieder drauf und danach wieder alles von vorne beginnen. Replicant aufspielen, verschlüssen, etc.

Wenn ich mir den Post von Looking for a functional and secure smartphone that runs only free software? Be patient! | kulesz.me durchlese, entspricht das Replicant ROM genau meinem ursprünglichem Wunsch:

• significantly degraded functionality; Features such as GPS, Bluetooth, GPU acceleration and Wifi are not available on any of the supported devices as no free drivers for them are available (wifi, bluetooth and gps can be used with the help of external devices via USB-OTG)

 

[BOotnoOB]

Was bringt mir diese recovery.log

Die Antworten auf deine Fragen. TWRP schreibt alles da rein und auch ausführlicher, als in diesem Infoscreen. Das richtige Log ist in /tmp gespeichert und wird mit der Option "Log erstellen" auf intern/extern/USB kopiert. Sollte davon nichts zur Verfügung stehen, kannst du diesen Befehl nehmen

adb pull /tmp/recovery.log

Alternativ müsste es auch von TWRP selber auf /cache gespeichert sein.