Android Encryption Implementation Notes非常详细地描述了如何从 3.0 实现磁盘加密。当用户启用加密时，如果他们还没有设置密码，则需要设置密码。

主密钥是通过从 /dev/urandom 读取创建的 128 位数字。它使用 SSL 库中的 PBKDF2 函数创建的用户密码的哈希值进行加密。页脚还包含一个随机盐（也从 /dev/urandom 读取），用于将熵添加到来自 PBKDF2 的哈希中，并防止对密码的彩虹表攻击

然后将主密钥存储在加密分区的页脚中。大多数用于启动加密过程的代码都在 Android 的卷守护程序 Vold 中。如果您有完整的 AOSP 源代码，您可以查看 /system/core/vold/cryptfs.c，它实现了许多用于在 vold 中加密的命令以及用于验证和更改密码的命令。

这篇博文，Android Disk Encryption也对加密实施以及将主密钥的解密与用户输入的用于解锁设备的 pin/密码联系起来的含义有一些很好的见解。

希望这可以帮助。