As fotos do iCloud sao criptografadas de ponta a ponta?
Por padrao, as fotos do iCloud nao sao criptografadas de ponta a ponta. A Apple as armazena usando chaves de criptografia que ela controla e pode descriptografa-las quando legalmente necessario. Ativar o Advanced Data Protection muda isso: seus dispositivos confiaveis possuem as chaves, a Apple nao. O ADP e opcional, desativado por padrao e requer configuracao de recuperacao antes de poder ser ativado.
As fotos do iCloud sao criptografadas, mas com a protecao de dados padrao, a Apple possui as chaves de criptografia e pode acessar suas fotos em resposta a uma ordem judicial ou para recuperacao de conta. Com o Advanced Data Protection ativado, as fotos do iCloud passam a ser genuinamente criptografadas de ponta a ponta: seus dispositivos possuem as chaves, a Apple nao possui nada. O ADP deve ser ativado manualmente. Nao e o padrao e foi removido para usuarios do Reino Unido em fevereiro de 2025 por uma exigencia governamental que a Apple nao podia recusar legalmente.
O que 'criptografado' significa quando a Apple possui as chaves
O iCloud criptografa suas fotos. Essa afirmacao e verdadeira e tambem enganosa se voce parar por ai.
Com a protecao de dados padrao, o padrao para todas as Apple Accounts, suas fotos sao criptografadas em transito e armazenadas em formato criptografado nos servidores da Apple. A criptografia e real. O que as letras miudas dizem e que a Apple possui as chaves de criptografia em modulos de seguranca de hardware em seus proprios centros de dados. A documentacao de suporte da Apple coloca isso claramente: as chaves podem ser acessadas pelos servidores da Apple, e a Apple pode ajuda-lo a recuperar seus dados se voce perder o acesso a sua conta.
Essa arquitetura tem um nome: criptografia do lado do servidor. O fornecedor criptografa os dados e o fornecedor possui a chave. Protege suas fotos contra alguem que viole a camada de armazenamento sem credenciais. Nao as protege contra a propria Apple, contra uma ordem judicial emitida para a Apple ou contra uma violacao dos sistemas de gerenciamento de chaves. Quando jornalistas e pesquisadores descrevem o iCloud como alvo de solicitacoes das forcas policiais, e esse mecanismo que eles descrevem. Os dados sao recuperaveis porque a Apple pode recupera-los.
Nao e uma falha oculta. A Apple o publica em seu resumo de seguranca de dados do iCloud. E o compromisso deliberado para a recuperacao de conta: voce pode recuperar suas fotos apos perder seu dispositivo precisamente porque a Apple pode descriptografa-las em seu nome.
Quinze categorias de dados do iCloud sao criptografadas de ponta a ponta com protecao padrao, incluindo Senhas e Chaveiro, dados de Saude e algumas outras. Fotos do iCloud, Backup do iCloud, Notas e a maioria do restante nao sao.
Advanced Data Protection: quando as fotos do iCloud se tornam genuinamente criptografadas de ponta a ponta
O Advanced Data Protection para o iCloud, que a Apple anunciou em 7 de dezembro de 2022, muda o modelo de custodia de chaves para a maioria dos seus dados do iCloud. Com o ADP ativado, seus dispositivos confiaveis possuem as chaves de criptografia, nao a Apple. O numero de categorias de dados protegidas com criptografia de ponta a ponta sobe de 15 para 25, e as Fotos do iCloud sao uma das adicoes.
Uma nota sobre essa contagem de categorias: o anuncio original da Apple em dezembro de 2022 indicou que a cobertura se expandiu de 14 para 23 categorias. As paginas atuais do Suporte da Apple indicam 25. A Apple expandiu a cobertura do ADP desde o lancamento. Este artigo usa 25 como o numero atual da documentacao ativa do Suporte da Apple e anota a discrepancia por questao de precisao.
Ivan Krstić, chefe de Engenharia e Arquitetura de Seguranca da Apple, o descreveu no lancamento: o Advanced Data Protection e o nivel mais alto de seguranca de dados na nuvem da Apple, dando aos usuarios a opcao de proteger a grande maioria de seus dados do iCloud mais sensiveis com criptografia de ponta a ponta, para que so possam ser descriptografados em seus dispositivos confiaveis.
Essa descricao e precisa. Com o ADP ativado, a Apple nao pode ler suas fotos. Uma parte que apresenta a Apple uma ordem judicial para seus dados de fotos do iCloud tambem nao pode: a Apple nao tem nada a entregar porque nao mais possui a chave. Esta e a criptografia genuina de ponta a ponta, o mesmo modelo que os aplicativos de mensagens seguras aplicam as mensagens.
O ADP e uma melhoria real de privacidade. Com ele ativado, o iCloud se torna um armazenamento genuino de fotos criptografadas de ponta a ponta. Se voce usa o iCloud para fotos que deseja manter privadas e nao esta no Reino Unido, ativar o ADP vale o esforco de configuracao.
O que o ADP ainda nao protege
A cobertura e ampla, mas nao total. Tres categorias permanecem fora da criptografia de ponta a ponta mesmo com o ADP ativado.
Mail, Contatos e Calendario. A justificativa da Apple e a interoperabilidade: esses servicos trocam dados com sistemas externos, servidores de e-mail, provedores CalDAV e servicos CardDAV, e a criptografia padrao e necessaria para que essa troca funcione. A Apple criptografa esses dados, mas possui as chaves.
Albuns compartilhados em Fotos. Um album compartilhado com outras pessoas ou publicado com uma URL 'qualquer pessoa com o link' e acessivel na web. Esse acesso exige que a Apple possa servir o conteudo, o que requer chaves do lado do servidor. As fotos na sua biblioteca pessoal sao criptografadas de ponta a ponta com o ADP ativado; as mesmas fotos em um album compartilhado nao sao.
Colaboracao do iWork. A edicao em tempo real de documentos Keynote, Numbers e Pages compartilhados passa pelos servidores da Apple para mediacao. Essa coordenacao requer acesso do servidor ao conteudo.
Isso nao e descuido da Apple. Sao os custos arquiteturais de recursos que exigem um servidor no meio. Se voce quiser fotos criptografadas de ponta a ponta, mantenha-as fora dos Albuns compartilhados.
Como verificar se o ADP esta ativado e como ativa-lo
O ADP nao esta ativado por padrao. Para verificar: abra Ajustes no seu iPhone, toque no seu nome no topo, toque em iCloud, role ate o final e toque em Advanced Data Protection. Se voce ver 'Advanced Data Protection esta ativado', esta habilitado. Se voce ver um aviso para ativa-lo, nao esta.
Ativa-lo requer duas coisas que a Apple pedira antes que o botao faca qualquer coisa: autenticacao de dois fatores no seu Apple Account e pelo menos um metodo de recuperacao, um contato de recuperacao (outra pessoa com um dispositivo Apple) ou uma chave de recuperacao (uma sequencia de 28 caracteres que voce guarda em um lugar seguro). Isso e obrigatorio, nao opcional. A Apple nao pode ajuda-lo a recuperar dados criptografados de ponta a ponta se voce perder o acesso, entao voce deve fornecer seu proprio caminho de recuperacao antes que o ADP seja ativado.
Ativar o ADP em um dispositivo o ativa para toda a sua Apple Account em todos os dispositivos compativeis. E em toda a conta. Os dispositivos precisam estar com iOS 16.2, iPadOS 16.2, macOS 13.1 ou posterior.
A questao da durabilidade: o que aconteceu no Reino Unido
Em fevereiro de 2025, a Apple removeu o Advanced Data Protection para usuarios do Reino Unido. A causa imediata foi um Technical Capability Notice emitido pelo Ministerio do Interior britanico sob o Investigatory Powers Act, exigindo que a Apple fornecesse acesso aos dados de usuarios criptografados armazenados no iCloud.
Em vez de construir uma porta dos fundos, a Apple retirou o ADP do Reino Unido. Os usuarios britanicos que ja tinham ativado o ADP receberam alertas em 21 de fevereiro de 2025, instruindo-os a desativa-lo ou arriscar perder o acesso as suas contas do iCloud. Novos usuarios do Reino Unido nao podem ativar o ADP de forma alguma. As 15 categorias criptografadas por padrao permanecem protegidas; todo o restante, Fotos, Backup, Notas e o resto das 25 categorias ADP, reverteu para criptografia padrao (a Apple possui as chaves) para contas do Reino Unido.
O aviso original supostamente exigia acesso aos dados do iCloud de todos os usuarios globais. Apos pressao significativa de legisladores americanos e, de acordo com reportagens de agosto de 2025, uma declaracao do Diretor de Inteligencia Nacional dos EUA de que o Reino Unido havia retirado a demanda mais ampla, o Ministerio do Interior modificou a ordem para cobrir apenas usuarios do Reino Unido. A Apple subsequentemente abandonou seu desafio legal ao aviso revisado. O Investigatory Powers Tribunal rejeitou o recurso em 14 de outubro de 2025, citando uma 'mudanca de circunstancias'.
A declaracao da Apple naquele momento: 'Estamos profundamente decepcionados que as protecoes fornecidas pelo ADP nao estejam disponiveis para nossos clientes no Reino Unido, dado o aumento continuo de violacoes de dados e outras ameacas a privacidade dos clientes.'
Em junho de 2026, o ADP permanece indisponivel para usuarios do Reino Unido de acordo com a propria pagina de suporte da Apple em support.apple.com/en-gb/122234. Privacy International e Liberty tem desafios legais ativos contra as ordens de vigilancia do Ministerio do Interior agendadas para 2026, mas esses casos buscam contestar as ordens, nao restaurar o ADP como resultado a curto prazo. Se o ADP retornara ao Reino Unido e uma pergunta em aberto sem resposta confirmada ate o momento da redacao deste artigo.
O caso do Reino Unido e relevante para usuarios em todo o mundo por uma razao: e uma prova de conceito documentada. Um governo pode forcar a desativacao de um botao em nivel de plataforma para todos os usuarios de um pais inteiro sem que esses usuarios sejam individualmente visados ou notificados. O mecanismo, um aviso secreto sob uma lei de seguranca nacional, nao e exclusivo do Reino Unido. O Investigatory Powers Act tem equivalentes em outras jurisdicoes. O ponto nao e alarmar; o ponto e que 'a plataforma promete criptografia de ponta a ponta' e diferente de 'a capacidade da plataforma de fornecer criptografia de ponta a ponta e legalmente duravel'. Sao duas afirmacoes separadas.
Onde o Vaultaire se encaixa: uma arquitetura diferente
O Vaultaire e uma arquitetura diferente, nao um substituto para tudo o que o ADP faz.
O ADP e em nivel de plataforma, vinculado a conta e acoplado a nuvem. Os dados ainda vivem no iCloud; a inovacao e que a Apple nao mais possui a chave. Voce obtem sincronizacao do iCloud, acesso multidispositivo e backup, com a custodia das chaves transferida para seus dispositivos. Esse e um bom compromisso para a maioria das pessoas.
O Vaultaire e local no dispositivo. Suas fotos nao vao para um servidor por padrao. Quando voce desenha um padrao na grade 5x5, esse padrao gera diretamente uma chave AES-256-GCM. Nao e uma senha comparada com nada armazenado em nenhum lugar. Nada e enviado. Nao ha conta, nao ha e-mail, nao ha armazenamento de credenciais. A chave existe apenas no seu dispositivo, derivada novamente cada vez que voce desenha o padrao.
O backup criptografado opcional do iCloud funciona assim: se voce optar por fazer backup de um cofre, ele e criptografado no seu dispositivo antes mesmo de chegar ao iCloud. A Apple recebe texto cifrado que nao pode ler, da mesma forma que recebe texto cifrado de um backup do Messages com o ADP ativado. O Vaultaire tambem nao possui uma chave para o seu backup. A chave e o seu padrao, e so voce a tem.
Isso e o que a criptografia de conhecimento zero significa na pratica: o provedor de servicos nunca teve a chave, entao uma violacao do provedor nao e uma violacao dos seus dados.
A diferenca do ADP esta em onde o controle reside. Com o ADP e o iCloud, suas fotos sao sincronizadas em todos os seus dispositivos e podem ser recuperadas se voce configurar um contato de recuperacao. Isso e util para a maioria das pessoas. Com o Vaultaire, as fotos permanecem locais a menos que voce as faca backup explicitamente, e a recuperacao depende inteiramente do seu padrao e da sua frase de recuperacao. Nao ha fallback do lado da nuvem.
Nenhum modelo e estritamente superior. O ADP oferece criptografia genuina de ponta a ponta mais a conveniencia da sincronizacao e recuperacao do iCloud. O Vaultaire oferece criptografia sem conta e sem servidor para arquivos que voce deseja manter completamente fora da plataforma, com backup criptografado opcional para o iCloud para arquivos onde somente local e muito fragil. Para fotos especificamente sensiveis a privacidade, documentos, correspondencia privada salva como imagens, qualquer coisa que voce nao gostaria de ver surgir sob uma ordem judicial, o modelo local no dispositivo remove a nuvem completamente da superficie de ameaca.
Voce pode usar os dois. A maioria das pessoas que usa o Vaultaire ainda usa Fotos do iCloud para sua biblioteca do dia a dia, com o ADP ativado.
Leitura relacionada:
- Criptografia de ponta a ponta para fotos, explicada
- O Apple Intelligence examina suas fotos?
- Criptografia de conhecimento zero, explicada
- Backup criptografado do iCloud: criptografado antes de sair do seu iPhone
- O que as politicas de privacidade de armazenamento de fotos na nuvem realmente dizem
Fontes
- Apple Support: iCloud data security overview
- Apple Support: How to turn on Advanced Data Protection for iCloud
- Apple Platform Security: Advanced Data Protection for iCloud
- Apple Newsroom: Apple advances user security with powerful new data protections (December 7, 2022)
- Apple Support UK: Apple can no longer offer Advanced Data Protection in the United Kingdom to new users
- Privacy Guides: The UK Government Forced Apple to Remove Advanced Data Protection (February 28, 2025)
- Digit.fyi: Apple backdoor encryption appeal case dismissed (October 2025)
- Privacy International: PI Apple TCN Challenge
Perguntas frequentes
As fotos do iCloud sao criptografadas de ponta a ponta por padrao?
Nao. Com a protecao de dados padrao, a Apple armazena as Fotos do iCloud usando chaves de criptografia que ela controla em seus proprios centros de dados. A Apple pode descriptografar suas fotos quando necessario: para recuperacao de conta e em resposta a ordens legais validas. Apenas 15 categorias de dados do iCloud sao criptografadas de ponta a ponta por padrao; Fotos nao e uma delas.
O que o Advanced Data Protection realmente faz pelas minhas fotos?
Com o ADP ativado, as Fotos do iCloud se juntam as 25 categorias de dados do iCloud que usam criptografia de ponta a ponta. Seus dispositivos confiaveis possuem as chaves, nao a Apple. A Apple nao pode ler suas fotos, nao pode entrega-las em resposta a uma ordem judicial para dados do iCloud e nao pode recupera-las se voce perder sua conta. A recuperacao e sua responsabilidade: por isso o ADP exige a configuracao de um contato de recuperacao ou chave de recuperacao antes de ser ativado.
A Apple pode ver minhas fotos do iCloud?
Com a protecao de dados padrao: sim, a Apple pode acessar e descriptografar as Fotos do iCloud quando necessario. Com o Advanced Data Protection: nao, a Apple nao possui nenhuma chave para seus dados criptografados de ponta a ponta. As 15 categorias padrao, incluindo senhas de Saude e Chaveiro, sao sempre inacessiveis para a Apple independentemente do status do ADP.
Como ativo o Advanced Data Protection?
Abra Ajustes, toque no seu nome, toque em iCloud, role ate o final e toque em Advanced Data Protection. Voce precisara da autenticacao de dois fatores ativada e pelo menos um metodo de recuperacao configurado primeiro, um contato de recuperacao ou uma chave de recuperacao. Os dispositivos precisam estar com iOS 16.2 ou posterior. Ativa-lo em um dispositivo o ativa para toda a sua Apple Account.
Quais dados nao sao cobertos pelo Advanced Data Protection?
Mail, Contatos e Calendario nao sao criptografados de ponta a ponta mesmo com o ADP ativado, porque precisam trocar dados com servidores externos. Albuns compartilhados em Fotos tambem nao sao criptografados de ponta a ponta: eles sao acessiveis na web. Documentos de colaboracao em tempo real do iWork tambem nao sao cobertos. Qualquer coisa compartilhada 'com qualquer pessoa com o link' esta fora da protecao do ADP.
O governo pode acessar minhas fotos do iCloud pela Apple?
Com a protecao de dados padrao, sim: uma ordem judicial valida emitida para a Apple pode resultar na entrega das suas fotos. Com o ADP ativado, a Apple nao possui nenhuma chave para entregar. O caso do Reino Unido de fevereiro de 2025 mostrou que um governo tambem pode forcar uma plataforma a desativar o ADP para um pais inteiro, movendo usuarios da protecao de ponta a ponta para a protecao padrao sem o consentimento individual deles.
O que e um cofre de fotos do iCloud?
A expressao descreve o uso das Fotos do iCloud como lugar para armazenar fotos sensiveis. Com o ADP ativado, as Fotos do iCloud funcionam como armazenamento genuino de fotos na nuvem criptografadas de ponta a ponta. O limite pratico e que isso ainda esta vinculado a conta: o acesso requer seu Apple Account, e a durabilidade da criptografia depende da capacidade da Apple de mante-la sob pressao legal em sua jurisdicao.
Ha alguma maneira de armazenar fotos que a Apple nao possa acessar?
Sim, de duas formas. Primeiro, ative o Advanced Data Protection: a Apple perde a chave e nao pode descriptografar suas fotos. Segundo, use um aplicativo de cofre local que criptografa as fotos no seu dispositivo antes de qualquer upload: a Apple recebe texto cifrado que nao pode ler. O modelo local remove a nuvem completamente da superficie de ameaca; o ADP mantem voce no ecossistema do iCloud com a custodia das chaves transferida para seus dispositivos.