Tengo un Samsung Galaxy S6 con el cifrado del dispositivo activado. Desbloqueo mi dispositivo con una contraseña segura al arrancarlo, y luego uso una huella digital. Cuando activé el cifrado por primera vez (Lollipop), mi dispositivo me pedía una contraseña de descifrado en cuanto empezaba a arrancar. Desde la actualización a Marshmallow, el teléfono arranca completamente, pero no acepta una huella digital para desbloquear el dispositivo hasta que se introduce la contraseña una vez.
La configuración del inicio seguro me permite elegir entre requerir una contraseña antes del arranque (como era antes), o no requerir la contraseña hasta que el dispositivo haya arrancado (el valor por defecto ahora). La descripción en la página de ajustes dice:
Además de utilizar tu huella dactilar para desbloquear el dispositivo, puedes protegerlo aún más exigiendo que se introduzca una contraseña antes de que se inicie el dispositivo. Esto ayuda a proteger los datos en los dispositivos perdidos o robados.
¿Cuál es la diferencia, desde el punto de vista de la seguridad, entre ambas opciones?
Al principio supuse que los datos en reposo se encriptarían igual para ambas opciones, pero la descripción parece indicar que una contraseña previa al arranque aumenta la seguridad. Dado que la configuración se cambia fácilmente de un lado a otro, asumo que no se producen cambios subyacentes en el cifrado del dispositivo cuando se cambia la configuración, pero algo debe cambiar si se mejora la seguridad.
El hecho de que el teléfono pueda arrancar completamente sin mi contraseña parece indicar que los datos del teléfono están realmente descifrados sin mi contraseña, y que la contraseña está simplemente protegiendo mis huellas dactilares y el acceso al teléfono. En este caso, ¿cómo funciona el cifrado del dispositivo como algo más que una pantalla de bloqueo si el teléfono se pierde mientras está encendido?