Google को पता नहीं है कि आपके डिवाइस के लिए एन्क्रिप्शन कुंजी क्या है। पूरी प्रक्रिया आपके डिवाइस पर होती है और कुंजी कभी भी कहीं भी प्रेषित नहीं होती है। कुंजी भी आपके डिवाइस पर प्लेनटेक्स्ट में संग्रहीत नहीं है :
एन्क्रिप्ट की गई कुंजी को संग्रहीत करना
एन्क्रिप्टेड कुंजी को क्रिप्टो मेटाडेटा में संग्रहीत किया जाता है। हार्डवेयर बैकिंग विश्वसनीय निष्पादन पर्यावरण (TEE) पर हस्ताक्षर करने की क्षमता का उपयोग करके कार्यान्वित की जाती है। पहले, हमने मास्टर कुंजी को उपयोगकर्ता के पासवर्ड और संग्रहीत नमक के लिए स्क्रीप्ट लागू करके एक कुंजी के साथ एन्क्रिप्ट किया था। ऑफ-बॉक्स हमलों के खिलाफ कुंजी को लचीला बनाने के लिए, हम संग्रहीत एल्गोरिथ्म को संग्रहीत टीईई कुंजी के साथ हस्ताक्षर करके इस एल्गोरिथ्म का विस्तार करते हैं। परिणामी हस्ताक्षर को फिर एक और लंबाई के कुंजी के रूप में बदल दिया जाता है। यह कुंजी तब मास्टर कुंजी को एन्क्रिप्ट और डिक्रिप्ट करने के लिए उपयोग की जाती है।
यहां तक कि अगर किसी के पास आपके एन्क्रिप्टेड मास्टर कुंजी की एक प्रति है, तो वे इसे आपके डिवाइस के SoC से TEE कुंजी के बिना डिक्रिप्ट नहीं कर सकते हैं।
इसलिए, कार्यान्वयन में एक दोष के बाहर, पूर्ण डिवाइस एन्क्रिप्शन किसी को भी आपके डेटा तक पहुंचने से रोक देगा, जब तक कि वे आपके पासवर्ड को नहीं जानते / प्राप्त नहीं करेंगे या आपके पासवर्ड का अनुमान लगा सकते हैं (उदाहरण के लिए यह क्रूरता या किसी प्रकार की सामाजिक इंजीनियरिंग तकनीकों के माध्यम से)। जिन उपकरणों में आवश्यक हार्डवेयर-बैकिंग की कमी होती है, FDE एक सॉफ़्टवेयर-ओनली विधि का उपयोग करके कुंजी को एन्क्रिप्ट करने का प्रयास करेगा।