Confidențialitatea stocării foto în cloud: ce știu serviciile despre tine
Serviciile cloud foto sunt convenabile dar ridică întrebări importante despre confidențialitate. Înțelege ce date colectează, cine le poate accesa și când ai nevoie de control local.
Serviciile cloud foto criptează fotografiile la transmitere și în repaus. Ce nu menționează proeminent: furnizorul deține cheile de criptare la majoritatea acestor servicii. Aceasta înseamnă că furnizorul poate accesa fotografiile tale în cadrul modelului său de securitate, le poate analiza pentru funcțiile serviciului și poate răspunde la solicitări legale. Acest ghid examinează politicile de confidențialitate ale celor mai mari cinci furnizori de stocare foto în cloud: iCloud, Google Photos, Amazon Photos, Dropbox și OneDrive.
Întrebarea decisivă: cine deține cheile de criptare?
Fiecare serviciu major criptează datele tale. Întrebarea nu este dacă există criptare, ci cine deține cheile. Această singură diferență determină dacă fotografiile tale sunt protejate față de furnizor sau doar față de atacatorii externi.
Criptare pe server (furnizorul deține cheile): serviciul criptează datele pe serverele sale cu chei gestionate de el. Protejează față de furtul fizic al hardware-ului serverului și atacurile externe. Nu protejează față de furnizorul însuși, angajații săi, solicitări legale sau ordine guvernamentale.
Criptare end-to-end (utilizatorul deține cheile): datele sunt criptate pe dispozitivul tău înainte de upload. Furnizorul stochează text cifrat pe care nu îl poate decripta. Chiar și cu un ordin judecătoresc, furnizorul nu are nimic utilizabil de livrat. Numai Apple oferă aceasta ca funcție opțională pentru stocarea foto (Protecție Avansată a Datelor). Niciun alt serviciu major cloud foto nu oferă criptare E2E pentru fotografii.
iCloud Photos
Furnizor: Apple Inc. Politica de confidențialitate: apple.com/privacy. Model de criptare: server implicit; criptare E2E disponibilă prin Protecție Avansată a Datelor (PAD).
Documentația de securitate iCloud a Apple trasează granița importantă de confidențialitate: în cadrul protecției standard iCloud, Apple deține cheile pentru iCloud Photos și poate decripta conținutul; cu Protecția Avansată a Datelor activată, fotografiile sunt criptate end-to-end și Apple nu le mai poate decripta. În practică, iCloud Photos standard trebuie tratat ca stocare cloud lizibilă de furnizor dacă nu activezi explicit PAD.
Standard: criptare la transmitere (TLS) și în repaus cu chei gestionate de Apple. Apple poate decripta datele iCloud Photos standard la solicitări legale valide. Cu PAD activat: criptare end-to-end pentru iCloud Photos, iCloud Drive, Note, backup iCloud și alte categorii. Apple nu poate decripta aceste date.
| Funcție | Standard | Cu PAD |
|---|---|---|
| Criptare la transmitere | Da (TLS) | Da (TLS) |
| Criptare în repaus | Da (cheile Apple) | Da (cheile utilizatorului) |
| Apple poate accesa | Da | Nu |
| Acces al autorităților | Da (prin Apple) | Doar metadate |
| Apple poate decripta conținut foto | Da | Nu |
Google Photos
Furnizor: Google LLC (Alphabet Inc.). Politica de confidențialitate: policies.google.com/privacy. Model de criptare: doar server. Nicio opțiune E2E.
Politica de confidențialitate Google este extinsă: "Folosim informațiile pe care le colectăm din toate serviciile noastre în scopurile urmărite... pentru a furniza, menține și îmbunătăți serviciile noastre... pentru a dezvolta noi servicii... pentru a furniza servicii personalizate, inclusiv conținut și reclame."
Google Photos folosește AI pentru organizare, căutare și sugestii de editare. Aceasta necesită analiza serverului a conținutului foto. Google scanează fotografiile pentru: recunoaștere de obiecte și fețe (pentru căutare și organizare), extragere locație (din metadatele EXIF), detectare CSAM, încălcări ale politicilor de conținut.
Google nu oferă nicio opțiune de criptare end-to-end pentru Google Photos. Toate datele Google Photos sunt accesibile sistemelor Google.
Amazon Photos
Furnizor: Amazon.com Inc. Politica de confidențialitate: amazon.com/privacy. Model de criptare: doar server. Nicio opțiune E2E.
Amazon Photos este inclus în abonamentul Prime. Politica de confidențialitate Amazon se aplică tuturor serviciilor Amazon, ceea ce înseamnă că practicile de date pentru retailul Amazon, Alexa și activitățile publicitare se aplică și fotografiilor tale.
Amazon Photos oferă căutare AI, grupare prin recunoaștere facială și organizare automată. Sistemele Amazon analizează conținutul foto pentru aceste funcții. Ecosistemul mai larg Amazon conectează datele între servicii: comportamentul de cumpărare, interacțiunile Alexa și metadatele foto există în aceeași infrastructură de date.
Dropbox
Furnizor: Dropbox Inc. Politica de confidențialitate: dropbox.com/privacy. Model de criptare: doar server (AES-256 cu chei gestionate de Dropbox). Nicio opțiune E2E pentru conturi de consumator.
Dropbox folosește criptare AES-256 în repaus și TLS la transmitere. Dropbox deține cheile de criptare. Dropbox Vault (o funcție plătită) adaugă protecție PIN dar nu adaugă criptare end-to-end. Dropbox poate în continuare accesa conținut Vault. Dropbox scanează fișierele pentru CSAM și încălcări ale politicilor de conținut.
OneDrive
Furnizor: Microsoft Corporation. Politica de confidențialitate: microsoft.com/privacy. Model de criptare: doar server. Nicio criptare E2E pentru stocarea foto de consumator.
Declarația de confidențialitate Microsoft se aplică tuturor produselor Microsoft în comun: "Microsoft folosește datele pe care le colectăm pentru a-ți oferi experiențe bogate, interactive. În special, folosim datele pentru: a furniza produsele noastre... a personaliza produsele noastre... pentru publicitate și marketing." Datele OneDrive fac parte din acest ecosistem mai larg de colectare de date.
OneDrive Personal Vault adaugă verificare de identitate (2FA) pentru accesul la anumite fișiere. Nu adaugă criptare end-to-end. Microsoft deține cheile de criptare. Personal Vault este o funcție de control al accesului, nu o funcție de criptare.
Comparație furnizori
| Funcție | iCloud (standard) | iCloud (PAD) | Google Photos | Amazon Photos | Dropbox | OneDrive |
|---|---|---|---|---|---|---|
| Criptare la transmitere | TLS 1.2+ | TLS 1.2+ | TLS 1.2+ | TLS 1.2+ | TLS 1.2+ | TLS 1.2+ |
| Criptare în repaus | AES-128 (cheile Apple) | AES-256 (cheile utilizatorului) | AES-256 (cheile Google) | AES-256 (cheile Amazon) | AES-256 (cheile Dropbox) | AES-256 (cheile Microsoft) |
| Criptare E2E disponibilă | Da (opt-in PAD) | Da | Nu | Nu | Nu | Nu |
| Furnizorul poate accesa fotografiile | Da | Nu | Da | Da | Da | Da |
| Analiză AI/ML a fotografiilor | Scanare CSAM | Nu (nu poate decripta) | Extensivă (căutare, fețe, obiecte) | Da (căutare, fețe) | Limitată (CSAM) | Da (căutare, funcții OneDrive) |
| Conformare cu autoritățile | Da | Doar metadate | Da | Da | Da | Da |
Ce înseamnă asta pentru fotografiile tale
Cinci concluzii din acest audit:
- Fiecare furnizor deține implicit cheile tale de criptare. Apple este singurul care oferă o alternativă opțională (PAD). Google, Amazon, Dropbox și Microsoft nu oferă nicio opțiune de criptare end-to-end pentru stocarea foto de consumator.
- "Criptat" nu înseamnă "privat față de furnizor". Toate cele cinci servicii folosesc criptare. În toate cele cinci cazuri (cu excepția iCloud cu PAD), furnizorul poate decripta și accesa fotografiile tale.
- Analiza furnizorului este standard. Google analizează fotografiile extensiv pentru căutare, fețe, obiecte și scene. Amazon și Microsoft oferă funcții de căutare și organizare AI. iCloud Photos standard al Apple rămâne lizibil de furnizor dacă PAD nu este activat.
- Accesul autorităților este comun. Apple, Google și Microsoft primesc fiecare anual peste 100.000 de solicitări de date guvernamentale. Le respectă în majoritate.
- Politicile de confidențialitate sunt formulate larg. Politicile Amazon și Microsoft se aplică tuturor serviciilor în comun, ceea ce înseamnă că datele de stocare foto sunt supuse acelorași practici ca comportamentul de cumpărare și istoricul căutărilor.
Alternativa: stocare criptată zero-knowledge
Pentru fotografii care trebuie să fie private față de furnizorul de stocare, inaccessibile fără cheia ta și în afara sistemelor de analiză ale furnizorului, aplicațiile seif criptate zero-knowledge oferă un model fundamental diferit.
Vaultaire criptează fotografiile pe dispozitiv cu AES-256-GCM înainte de orice upload. Cheia de criptare este derivată dintr-un model desenat pe o grilă 5x5 prin PBKDF2 cu HMAC-SHA512. Cheia nu părăsește niciodată dispozitivul. Chiar și backup-ul iCloud criptat opțional al Vaultaire încarcă blob-uri criptate pe care Apple nu le poate decripta. Dezvoltatorul nu poate accesa datele tale. Nu există scanare, nicio analiză AI și niciun metadate accesibile serverelor.
Compromisul: nicio recuperare a parolei (dacă pierzi modelul și fraza de recuperare, datele sunt pierdute), nicio căutare AI sau grupare după față și niciun acces web. Confidențialitatea este o consecință directă a acestor limitări.
Întrebări frecvente
Stocarea foto în cloud este sigură?
Este sigură față de hackerii externi în sensul că toți furnizorii majori folosesc criptare la transmitere și în repaus. Nu este privată față de furnizorul însuși. Furnizorul deține implicit cheile de criptare și poate accesa fotografiile tale, le poate analiza în cadrul modelului său de serviciu și le poate furniza la solicitări legale valide.
Ce stocare cloud este cea mai privată pentru fotografii?
iCloud cu Protecția Avansată a Datelor activată este opțiunea comună cea mai privată. Este singurul serviciu major cloud care oferă criptare end-to-end pentru stocarea foto. Cu PAD, Apple nu poate accesa fotografiile tale. Fără PAD, toți furnizorii majori au acces echivalent la datele tale.
Furnizorii cloud scanează fotografiile mele?
Furnizorii majori analizează conținutul stocat în moduri diferite. Google Photos folosește analiza conținutului pentru căutare și organizare. Amazon și Microsoft oferă funcții de căutare și grupare AI. Dropbox afirmă că folosește sisteme automate pentru aplicarea politicilor. iCloud Photos standard al Apple rămâne lizibil de furnizor dacă PAD nu este activat.
Pot autoritățile accesa fotografiile mele din stocarea cloud?
Cu un ordin judecătoresc sau mandat de percheziție valid, da, pentru toți furnizorii care dețin cheile de criptare. Apple cu PAD este excepția: Apple poate furniza metadate de cont, dar nu conținut foto.
Dosarul blocat din Google Photos protejează confidențialitatea?
Dosarul blocat ascunde fotografii din interfața Google Photos și blochează accesul în spatele ecranului de blocare. Google deține în continuare cheile de criptare. Google poate în continuare accesa fotografiile și poate răspunde la solicitări legale. Dosarul blocat este o funcție UI, nu o funcție de securitate.
Concluzie
Fiecare serviciu major cloud foto criptează datele tale. Niciunul nu le criptează implicit astfel încât furnizorul să nu poată accesa. Protecția Avansată a Datelor de la Apple este singura opțiune comună opt-in pentru criptare end-to-end reală a fotografiilor cloud. Pentru orice altceva, furnizorul deține cheile.
Citește politica de confidențialitate înainte de upload. Verifică cine deține cheile de criptare. Pentru fotografii unde confidențialitatea este cea mai importantă, ia în considerare o stocare criptată zero-knowledge ca Vaultaire, unde cheia de criptare nu părăsește niciodată dispozitivul tău.
Întrebarea nu este "Stocarea cloud este criptată?" Este întotdeauna criptată. Întrebarea este "Criptat față de cine?"