As Fotos do iCloud sao encriptadas de extremo a extremo?
Por predefinicao, as Fotos do iCloud nao sao encriptadas de extremo a extremo. A Apple armazena-as usando chaves de encriptacao que controla e pode desencripta-las quando legalmente necessario. Ativar o Advanced Data Protection muda isso: os teus dispositivos de confianca guardam as chaves, a Apple nao. O ADP e opcional, desativado por predefinicao, e requer a configuracao de recuperacao antes de o poderes ativar.
As Fotos do iCloud estao encriptadas - mas com a protecao de dados padrao, a Apple guarda as chaves de encriptacao e pode aceder as tuas fotos em resposta a uma ordem judicial ou para recuperacao de conta. Com o Advanced Data Protection ativado, as Fotos do iCloud passam a ser genuinamente encriptadas de extremo a extremo: os teus dispositivos guardam as chaves, a Apple nao tem nada. O ADP tem de ser ativado manualmente. Nao e a predefinicao, e foi removido para utilizadores do Reino Unido em fevereiro de 2025 por uma exigencia governamental que a Apple nao podia legalmente recusar.
O que significa 'encriptado' quando a Apple guarda as chaves
O iCloud encripta de facto as tuas fotos. Essa afirmacao e verdadeira e tambem enganosa se ficares por ai.
Com a protecao de dados padrao - a predefinicao para todas as contas Apple - as tuas fotos sao encriptadas em transito e armazenadas num formato encriptado nos servidores da Apple. A encriptacao e real. O que as letras pequenas dizem e que a Apple guarda as chaves de encriptacao em modulos de seguranca de hardware nos seus proprios centros de dados. A documentacao de suporte da Apple e clara: as chaves podem ser acedidas pelos servidores da Apple, e a Apple pode ajudar-te a recuperar os teus dados se perderes o acesso a tua conta.
Essa arquitetura tem um nome: encriptacao do lado do servidor. O fornecedor encripta os dados, e o fornecedor guarda a chave. Protege as tuas fotos contra alguem que viola a camada de armazenamento sem credenciais. Nao as protege contra a propria Apple, contra uma ordem judicial dirigida a Apple, ou contra uma violacao dos sistemas de gestao de chaves. Quando jornalistas e investigadores descrevem o iCloud como alvo de pedidos das autoridades, e este o mecanismo que estao a descrever. Os dados sao recuperaveis porque a Apple os pode recuperar.
Isto nao e uma falha oculta. A Apple publica-o na sua visao geral de seguranca de dados do iCloud. E a troca deliberada para recuperacao de conta: podes recuperar as tuas fotos depois de perderes o dispositivo precisamente porque a Apple as pode desencriptar em teu nome.
Quinze categorias de dados do iCloud sao encriptadas de extremo a extremo com a protecao padrao, incluindo Palavras-passe e Porta-chaves, dados de Saude, e alguns outros. Fotos do iCloud, Copia de Seguranca do iCloud, Notas e a maioria dos restantes nao sao.
Advanced Data Protection: quando as Fotos do iCloud se tornam genuinamente encriptadas de extremo a extremo
O Advanced Data Protection para o iCloud, que a Apple anunciou a 7 de dezembro de 2022, muda o modelo de custodia de chaves para a maior parte dos teus dados do iCloud. Quando o ADP esta ativo, os teus dispositivos de confianca guardam as chaves de encriptacao, nao a Apple. O numero de categorias de dados protegidas com encriptacao de extremo a extremo sobe de 15 para 25, e as Fotos do iCloud sao uma das adicoes.
Uma nota sobre esse numero de categorias: o anuncio original da Apple em dezembro de 2022 indicava que a cobertura se expandia de 14 para 23 categorias. As paginas atuais do Apple Support indicam 25. A Apple expandiu a cobertura do ADP desde o lancamento. Este artigo usa 25 como o numero atual da documentacao do Apple Support, e assinala a discrepancia por questao de precisao.
Ivan Krstic, responsavel de Engenharia de Seguranca e Arquitetura da Apple, descreveu-o no lancamento: o Advanced Data Protection e o nivel mais elevado de seguranca de dados na cloud da Apple, dando aos utilizadores a opcao de proteger a grande maioria dos seus dados mais sensiveis do iCloud com encriptacao de extremo a extremo, para que so possam ser desencriptados nos seus dispositivos de confianca.
Essa descricao e precisa. Com o ADP ativado, a Apple nao pode ler as tuas fotos. Nem uma entidade que notifique a Apple com uma ordem judicial para os teus dados de Fotos do iCloud - a Apple nao tem nada a entregar, porque ja nao guarda a chave. Esta e uma encriptacao genuina de extremo a extremo, o mesmo modelo que as aplicacoes de mensagens seguras aplicam as mensagens.
O ADP e uma melhoria real de privacidade. Com ele ativo, o iCloud torna-se um armazenamento de fotos genuinamente encriptado de extremo a extremo. Se usas o iCloud para fotos que queres manter privadas e nao estas no Reino Unido, ativar o ADP vale o esforco de configuracao.
O que o ADP ainda nao protege
A cobertura e ampla, mas nao total. Tres categorias permanecem fora da encriptacao de extremo a extremo mesmo com o ADP ativo.
Mail, Contactos e Calendario. A justificacao da Apple e a interoperabilidade: estes servicos trocam dados com sistemas externos - servidores de email, fornecedores CalDAV, servicos CardDAV - e a encriptacao padrao e necessaria para que essa troca funcione. A Apple encripta estes dados, mas guarda as chaves.
Albuns Partilhados em Fotos. Um album partilhado com outras pessoas ou publicado com um URL 'qualquer pessoa com a ligacao' e acessivel na web. Esse acesso requer que a Apple consiga servir o conteudo, o que requer chaves do lado do servidor. As fotos na tua biblioteca pessoal sao encriptadas de extremo a extremo com o ADP ativo; as mesmas fotos num album partilhado nao sao.
Colaboracao iWork. A edicao em tempo real de documentos partilhados do Keynote, Numbers e Pages passa pelos servidores da Apple para mediacao. Essa coordenacao requer acesso do servidor ao conteudo.
Isto nao e a Apple a ser descuidada. Sao os custos arquiteturais de funcionalidades que requerem um servidor no meio. Se queres fotos encriptadas de extremo a extremo, mantem-nas fora dos Albuns Partilhados.
Como verificar se o ADP esta ativo e como o ativar
O ADP nao esta ativo por predefinicao. Para verificar: abre as Definicoes no teu iPhone, toca no teu nome no topo, toca em iCloud, percorre ate ao fundo e toca em Advanced Data Protection. Se vires 'Advanced Data Protection esta ativo', esta ativado. Se vires um pedido para o ativar, nao esta.
Para o ativar sao necessarias duas coisas que a Apple pedira antes do interrutor fazer qualquer coisa: autenticacao de dois fatores na tua conta Apple, e pelo menos um metodo de recuperacao - um contacto de recuperacao (outra pessoa com um dispositivo Apple) ou uma chave de recuperacao (uma cadeia de 28 caracteres que guardas num local seguro). Isto e obrigatorio, nao opcional. A Apple nao consegue ajudar-te a recuperar dados encriptados de extremo a extremo se perderes o acesso, por isso tens de providenciar o teu proprio caminho de recuperacao antes de o ADP ser ativado.
Ativar o ADP num dispositivo ativa-o em toda a tua conta Apple em todos os dispositivos compativeis. Aplica-se a toda a conta. Os dispositivos devem executar iOS 16.2, iPadOS 16.2, macOS 13.1 ou posterior.
A questao da durabilidade: o que aconteceu no Reino Unido
Em fevereiro de 2025, a Apple removeu o Advanced Data Protection dos utilizadores do Reino Unido. A causa imediata foi uma Notificacao de Capacidade Tecnica emitida pelo Ministerio do Interior britanico ao abrigo da Lei dos Poderes de Investigacao, exigindo que a Apple fornecesse acesso a dados de utilizadores encriptados armazenados no iCloud.
Em vez de construir uma porta traseira, a Apple retirou o ADP para o Reino Unido. Os utilizadores do Reino Unido que ja tinham ativado o ADP receberam alertas a 21 de fevereiro de 2025, a instrui-los a desativa-lo ou a arriscar perder o acesso as suas contas do iCloud. Os novos utilizadores do Reino Unido nao podem ativar o ADP de todo. As 15 categorias encriptadas por predefinicao permanecem protegidas; tudo o resto - Fotos, Copia de Seguranca, Notas e o resto das 25 categorias ADP - reverteu para a encriptacao padrao (Apple-guarda-as-chaves) para contas do Reino Unido.
A notificacao original teraa exigido acesso a dados do iCloud para todos os utilizadores globais. Apos uma pressao significativa de legisladores dos EUA e, de acordo com relatorios de agosto de 2025, uma declaracao do Diretor de Inteligencia Nacional dos EUA de que o Reino Unido havia retirado a exigencia mais ampla, o Ministerio do Interior modificou a ordem para abranger apenas utilizadores do Reino Unido. A Apple retirou subsequentemente o seu desafio legal a ordem revista. O Tribunal dos Poderes de Investigacao rejeitou o recurso a 14 de outubro de 2025, citando uma 'mudanca de circunstancias'.
A declaracao da Apple nesse momento: 'Estamos profundamente dececionados com o facto de as protecoes fornecidas pelo ADP nao estarem disponiveis para os nossos clientes no Reino Unido, dado o aumento continuo de violacoes de dados e outras ameacas a privacidade dos clientes.'
A partir de junho de 2026, o ADP permanece indisponivel para utilizadores do Reino Unido de acordo com a propria pagina de suporte da Apple em support.apple.com/en-gb/122234. A Privacy International e a Liberty tem desafios legais ativos contra as ordens de vigilancia do Ministerio do Interior agendados para 2026, mas esses casos procuram desafiar as ordens, nao restaurar o ADP como resultado a curto prazo. Se o ADP voltara ao Reino Unido e uma questao em aberto sem resposta confirmada no momento desta escrita.
O caso do Reino Unido e relevante para utilizadores em todo o lado por uma razao: e uma prova de conceito documentada. Um governo pode forcar a desativacao de um interrutor ao nivel da plataforma para todos os utilizadores de um pais sem que esses utilizadores sejam individualmente visados ou notificados. O mecanismo - uma notificacao secreta ao abrigo de uma lei de seguranca nacional - nao e exclusivo do Reino Unido. A Lei dos Poderes de Investigacao tem equivalentes noutras jurisdicoes. O ponto nao e alarmar; o ponto e que 'a plataforma promete encriptacao de extremo a extremo' e diferente de 'a capacidade da plataforma de fornecer encriptacao de extremo a extremo e juridicamente duravel'. Sao duas afirmacoes separadas.
Onde o Vaultaire se encaixa: uma arquitetura diferente
O Vaultaire e uma arquitetura diferente, nao um substituto de tudo o que o ADP faz.
O ADP e ao nivel da plataforma, ligado a conta e acoplado a cloud. Os dados ainda vivem no iCloud; a inovacao e que a Apple ja nao guarda a chave. Obtes a sincronizacao do iCloud, acesso multi-dispositivo e copia de seguranca, com a custodia das chaves movida para os teus dispositivos. E uma boa troca para a maioria das pessoas.
O Vaultaire e local para o dispositivo. As tuas fotos nao vao para um servidor por predefinicao. Quando desenhas um padrao na grelha 5x5, esse padrao gera diretamente uma chave AES-256-GCM. Nao e uma palavra-passe comparada com nada armazenado em qualquer lugar. Nada e carregado. Nao ha conta, nao ha email, nao ha armazenamento de credenciais. A chave existe apenas no teu dispositivo, derivada de novo cada vez que desenhas o padrao.
A copia de seguranca do iCloud encriptada opcional funciona assim: se escolheres fazer uma copia de seguranca de um cofre, e encriptada no teu dispositivo antes de chegar ao iCloud. A Apple recebe texto cifrado que nao pode ler, da mesma forma que recebe texto cifrado de uma copia de seguranca do Messages com ADP ativo. O Vaultaire tambem nao guarda uma chave para a tua copia de seguranca. A chave e o teu padrao, e so tu o tens.
E isto o que a encriptacao de conhecimento zero significa na pratica: o fornecedor de servicos nunca teve a chave, por isso uma violacao do fornecedor nao e uma violacao dos teus dados.
A diferenca em relacao ao ADP e onde reside o controlo. Com o ADP e o iCloud, as tuas fotos sao sincronizadas nos teus dispositivos e podem ser recuperadas se configurares um contacto de recuperacao. Isso e util para a maioria das pessoas. Com o Vaultaire, as fotos ficam locais a menos que as carregues explicitamente, e a recuperacao depende inteiramente do teu padrao e da tua frase de recuperacao. Nao ha alternativa do lado da cloud.
Nenhum modelo e estritamente superior. O ADP oferece-te encriptacao genuina de extremo a extremo mais a conveniencia da sincronizacao e recuperacao do iCloud. O Vaultaire oferece-te encriptacao sem conta e sem servidor para ficheiros que queres manter completamente fora da plataforma, com copia de seguranca encriptada opcional para o iCloud para ficheiros em que apenas o local e demasiado fragil. Para fotos especificamente sensiveis em termos de privacidade - documentos, correspondencia privada guardada como imagens, qualquer coisa que nao queiras ver revelada ao abrigo de uma ordem judicial - o modelo local para o dispositivo remove completamente a cloud da superficie de ameaca.
Podes usar ambos. A maioria das pessoas que usa o Vaultaire continua a usar as Fotos do iCloud para a sua biblioteca do dia a dia, com o ADP ativado.
Leitura relacionada:
- Encriptacao de extremo a extremo para fotos, explicada
- O Apple Intelligence analisa as tuas fotos?
- Encriptacao de conhecimento zero, explicada
- Copia de seguranca do iCloud encriptada: encriptada antes de sair do teu telefone
- O que as politicas de privacidade do armazenamento de fotos na cloud realmente dizem
Fontes
- Apple Support: iCloud data security overview
- Apple Support: How to turn on Advanced Data Protection for iCloud
- Apple Platform Security: Advanced Data Protection for iCloud
- Apple Newsroom: Apple advances user security with powerful new data protections (December 7, 2022)
- Apple Support UK: Apple can no longer offer Advanced Data Protection in the United Kingdom to new users
- Privacy Guides: The UK Government Forced Apple to Remove Advanced Data Protection (February 28, 2025)
- Digit.fyi: Apple backdoor encryption appeal case dismissed (October 2025)
- Privacy International: PI Apple TCN Challenge
Perguntas Frequentes
As Fotos do iCloud sao encriptadas de extremo a extremo por predefinicao?
Nao. Com a protecao de dados padrao, a Apple armazena as Fotos do iCloud usando chaves de encriptacao que controla nos seus proprios centros de dados. A Apple pode desencriptar as tuas fotos quando necessario: para recuperacao de conta, e em resposta a ordens judiciais validas. Apenas 15 categorias de dados do iCloud sao encriptadas de extremo a extremo por predefinicao; Fotos nao e uma delas.
O que faz realmente o Advanced Data Protection pelas minhas fotos?
Com o ADP ativado, as Fotos do iCloud juntam-se as 25 categorias de dados do iCloud que usam encriptacao de extremo a extremo. Os teus dispositivos de confianca guardam as chaves, nao a Apple. A Apple nao pode ler as tuas fotos, nao pode entrega-las em resposta a uma ordem judicial para dados do iCloud, e nao pode recupera-las se perderes a tua conta. A recuperacao e da tua responsabilidade - e por isso que o ADP exige a configuracao de um contacto de recuperacao ou chave de recuperacao antes de se ativar.
Pode a Apple ver as minhas fotos do iCloud?
Com a protecao de dados padrao: sim, a Apple pode aceder e desencriptar as Fotos do iCloud quando necessario. Com o Advanced Data Protection: nao, a Apple nao guarda nenhuma chave para os teus dados encriptados de extremo a extremo. As 15 categorias predefinidas - incluindo dados de Saude e palavras-passe do Porta-chaves - sao sempre inacessiveis a Apple independentemente do estado do ADP.
Como ativo o Advanced Data Protection?
Abre as Definicoes, toca no teu nome, toca em iCloud, percorre ate ao fundo e toca em Advanced Data Protection. Precisaras de autenticacao de dois fatores ativada e pelo menos um metodo de recuperacao configurado previamente - um contacto de recuperacao ou uma chave de recuperacao. Os dispositivos devem executar iOS 16.2 ou posterior. Ativar num dispositivo ativa-o em toda a tua conta Apple.
Que dados nao sao abrangidos pelo Advanced Data Protection?
Mail, Contactos e Calendario nao sao encriptados de extremo a extremo mesmo com o ADP ativo, porque precisam de trocar dados com servidores externos. Os Albuns Partilhados em Fotos tambem nao sao encriptados de extremo a extremo: sao acessiveis na web. Os documentos de colaboracao em tempo real do iWork tambem nao sao abrangidos. Qualquer coisa partilhada 'com qualquer pessoa com a ligacao' esta fora da protecao do ADP.
Pode o governo aceder as minhas fotos do iCloud atraves da Apple?
Com a protecao de dados padrao, sim: uma ordem judicial valida dirigida a Apple pode resultar na entrega das tuas fotos. Com o ADP ativado, a Apple nao tem nenhuma chave a entregar. O caso do Reino Unido de fevereiro de 2025 mostrou que um governo pode tambem forcas uma plataforma a desativar o ADP para um pais inteiro, movendo utilizadores da protecao de extremo a extremo de volta para a protecao padrao sem o seu consentimento individual.
O que e um cofre de fotos do iCloud?
A expressao descreve o uso das Fotos do iCloud como local para armazenar fotos sensiveis. Com o ADP ativo, as Fotos do iCloud funcionam como armazenamento de fotos na cloud genuinamente encriptado de extremo a extremo. O limite pratico e que isto e ainda ligado a conta: o acesso requer a tua conta Apple, e a durabilidade da encriptacao depende da capacidade da Apple de a manter sob pressao legal na tua jurisdicao.
Ha alguma forma de armazenar fotos a que a Apple nao possa aceder?
Sim, de duas formas. Primeiro, ativa o Advanced Data Protection: a Apple perde a chave e nao pode desencriptar as tuas fotos. Segundo, usa uma aplicacao de cofre local que encripta as fotos no teu dispositivo antes de qualquer carregamento - a Apple recebe texto cifrado que nao pode ler. O modelo local remove completamente a cloud da superficie de ameaca; o ADP mantem-te no ecossistema do iCloud com a custodia das chaves movida para os teus dispositivos.