Een iPhone die een fotominiatuur laat glijden van de camerarol naar een oplichtende, met een hangslot beveiligde kluiskubus, ter illustratie van hoe een fotokluis-app een foto verplaatst en versleutelt.

Hoe werken fotokluis-apps? Wat er echt gebeurt

Een fotokluis-app belooft je privéfoto's veilig weg te sluiten van je camerarol. Maar wat gebeurt er eigenlijk als je een foto verplaatst, en waar nemen zwakke apps een kortere weg? Hier is het echte mechanisme, stap voor stap.

Een fotokluis-app werkt door een kopie van je foto te importeren naar zijn eigen privé-opslag en vervolgens de versie in je camerarol te verwijderen. De goede apps versleutelen elk bestand met een sleutel die alleen met jouw pincode, wachtwoord of Face ID te ontgrendelen is, zodat de ruwe afbeelding nooit leesbaar op de schijf staat. Zwakkere apps slaan echte versleuteling over en verbergen de bestanden simpelweg achter een vergrendelscherm, waardoor de foto's in gewone, leesbare vorm blijven staan voor iedereen die bij het bestandssysteem kan. Dat verschil bepaalt of je beschermd bent als je telefoon wordt kwijtgeraakt of onderzocht.

Wat een fotokluis-app echt doet

In de kern is een fotokluis-app een privécontainer die zich binnen één enkele app op je telefoon bevindt. Wanneer je een foto importeert, kopieert de app de volledige afbeelding naar zijn eigen opslagruimte, slaat deze op in een database of een versleuteld bestand, en vraagt je vervolgens om het origineel uit je camerarol te verwijderen. Vanaf dat moment verschijnt de foto niet meer in de app Foto's, in gedeelde albums, in zoekresultaten, of in de widgets en herinneringen die uit je hoofdbibliotheek putten. De foto bestaat alleen nog in de kluis, bereikbaar nadat je het slot bent gepasseerd.

Die importstap is het hele punt. Het verbergen van een foto met het ingebouwde album Verborgen laat de foto in je bibliotheek staan en stopt hem alleen in een aparte map, terwijl een kluis het bestand er fysiek uit haalt. Een goede kluis haalt de foto ook weg uit alles wat synchroniseert, zodat hij niet meelift naar iCloud-foto's of terechtkomt op een gedeeld gezinsapparaat. Het nadeel is dat je nu op één app vertrouwt om je afbeeldingen op te slaan, te beschermen en weer terug te geven, en dat is precies waarom het zo belangrijk is hoe die app versleuteling aanpakt.

Hoe de versleuteling werkt, en wanneer niet

Een echte kluis versleutelt elk geïmporteerd bestand voordat het de schijf raakt. De meeste gebruiken AES-256, dezelfde standaard waar banken en overheden op vertrouwen, die de afbeelding omzet in onleesbare data. De sleutel die die data ontgrendelt, wordt afgeleid van het geheim dat jij instelt, meestal een pincode of wachtwoord, via een sleutelafleidingsfunctie zodat een korte code een sterke sleutel wordt. Omdat het bestand als ciphertext wordt opgeslagen, krijgt iemand die het van je telefoon kopieert alleen ruis, geen foto. Dit is wat mensen bedoelen als ze een app zero-knowledge of end-to-end versleuteld noemen.

Veel apps in de store doen veel minder. Ze bewaren je foto's als gewone bestanden in de eigen map van de app en plaatsen simpelweg een pincodescherm voor de app. Er wordt eigenlijk niets versleuteld, dus een forensische tool, een back-up-extractor of iemand met toegang tot het bestandssysteem kan de foto's zo in volledige kwaliteit eruit halen. Van buitenaf lijken deze apps identiek aan een veilige app, en dat is de valkuil. Staat er in een appbeschrijving alleen met wachtwoord beveiligd of privé en wordt versleuteling nergens genoemd, ga er dan van uit dat de foto's alleen verborgen zijn, niet vergrendeld.

Hoe Face ID en je pincode de kluis ontgrendelen

Wanneer je een beveiligde kluis opent, draait het ontgrendelen eigenlijk om het opnieuw opbouwen van de versleutelingssleutel. Je voert je pincode of wachtwoord in, de app leidt daaruit de sleutel af, en pas dan kan hij je foto's ontsleutelen en tonen. Face ID en Touch ID staan meestal hiervoor als een snelle poort, waarbij een opgeslagen geheim uit de Secure Enclave van de iPhone wordt vrijgegeven, zodat je niet elke keer je code hoeft te typen. De Secure Enclave is een aparte hardwarechip die sleutels en biometrische gegevens beschermt, gescheiden van de rest van het systeem.

Daarom is het verschil tussen een poort en een sleutel zo belangrijk. In een goed gebouwde kluis maakt je wachtwoord deel uit van de eigenlijke versleutelingssleutel, zodat zelfs de ontwikkelaar je bestanden er niet zonder kan openen. In een zwakkere app schakelt Face ID alleen een scherm om dat vergrendeld zegt, terwijl de onderliggende foto's de hele tijd ontsleuteld op de schijf blijven staan. Stel elke kluis die je overweegt een simpele vraag: als je je wachtwoord vergeet, kan de klantenservice je foto's dan herstellen? Is het eerlijke antwoord nee, dan is de versleuteling waarschijnlijk echt.

Wat er achterblijft in je camerarol en iCloud

Het verplaatsen van een foto naar een kluis wist niet automatisch elke kopie. Het origineel blijft in je camerarol staan tot je het verwijdert, en daarna staat het tot dertig dagen in Onlangs verwijderd, waar iedereen met je ontgrendelde telefoon het kan herstellen. Als iCloud-foto's aanstond, is er mogelijk al een kopie naar je andere apparaten gesynchroniseerd voordat je de foto ooit importeerde. Een grondige opruiming betekent: importeren naar de kluis, het origineel verwijderen, en vervolgens Onlangs verwijderd leegmaken, zodat er buiten de vergrendelde container geen gewone kopie overblijft.

Het helpt ook om te weten waar de kluis zelf zich bevindt. Als de app zijn gegevens back-upt naar iCloud of een server, hangt de veiligheid van je foto's nu af van hoe die back-up beveiligd is, niet alleen van de versleuteling op het apparaat zelf. De sterkste opzet houdt alles lokaal versleuteld en, als er al gesynchroniseerd wordt, end-to-end versleuteld, zodat de aanbieder niet kan meelezen. Zodra je het proces begrijpt, wordt kiezen eenvoudiger: zoek naar echte versleuteling, opslag op het apparaat, en een duidelijk nee op wachtwoordherstel. Vanaf daar is het vergelijken van opties en het controleren van de beveiligingsclaims van een specifieke app de logische volgende stap.

Gerelateerde handleidingen

Bronnen

Veelgestelde vragen

Zijn alle fotokluis-apps versleuteld?

Nee. Sommige kluis-apps versleutelen elk bestand met AES-256 en een sleutel die aan je wachtwoord gekoppeld is, maar veel apps verbergen je foto's alleen achter een pincode terwijl ze gewone, leesbare bestanden blijven. Controleer de appbeschrijving altijd op woorden als versleuteld, end-to-end of zero-knowledge voordat je een app met gevoelige foto's vertrouwt.

Slaan fotokluis-apps mijn foto's online op?

Dat hangt van de app af. Volledig offline kluizen bewaren elke afbeelding op je apparaat en hebben nooit een account nodig, dus er verlaat niets je telefoon. Andere apps synchroniseren met de cloud voor back-ups, wat handig is maar betekent dat je foto's alleen zo veilig zijn als die server. Als privacy het doel is, kies dan voor een lokale kluis of een kluis met end-to-end versleutelde synchronisatie.

Kan iemand foto's terughalen uit een kluis-app?

Bij een goed versleutelde kluis zijn bestanden die van je telefoon zijn gekopieerd onleesbaar zonder je wachtwoord, dus herstel is vrijwel onmogelijk. Bij een app die alleen een pincode gebruikt en niet versleutelt, zijn de foto's nog altijd volledige bestanden die een back-uptool of forensische software kan extraheren. Dit is de belangrijkste reden waarom echte versleuteling ertoe doet.

Is het Verborgen-album op de iPhone hetzelfde als een kluis-app?

Nee. Het album Verborgen houdt je foto's binnen de normale Foto's-bibliotheek en verplaatst ze alleen naar een aparte, vergrendelbare map. Het is niet apart versleuteld, en de afbeeldingen synchroniseren nog steeds via iCloud-foto's. Een kluis-app haalt de bestanden volledig uit je bibliotheek en versleutelt ze, als het een goede app is, zodat ze buiten de app onleesbaar zijn.