Шифруются ли фотографии iCloud методом end-to-end?
По умолчанию фотографии iCloud не зашифрованы методом end-to-end. Apple хранит их с использованием ключей шифрования, которые сама контролирует, и может расшифровать их при наличии законных оснований. Включение Advanced Data Protection меняет это: ключи хранят ваши доверенные устройства, а не Apple. ADP требует явного включения, отключено по умолчанию и перед активацией требует настройки способа восстановления.
Фотографии iCloud зашифрованы - но при стандартной защите данных Apple хранит ключи шифрования и может получить доступ к вашим фотографиям по судебному решению или для восстановления аккаунта. После включения Advanced Data Protection фотографии iCloud становятся по-настоящему зашифрованными методом end-to-end: ключи хранятся на ваших устройствах, у Apple ничего нет. ADP необходимо включить вручную. Это не настройка по умолчанию, и в феврале 2025 года она была отключена для пользователей из Великобритании по требованию правительства, которое Apple не могло юридически отклонить.
Что означает «зашифровано», когда ключи хранит Apple
iCloud действительно шифрует ваши фотографии. Это утверждение верно, но оно может ввести в заблуждение, если остановиться на нём.
При стандартной защите данных - настройке по умолчанию для каждого Apple Account - ваши фотографии шифруются при передаче и хранятся в зашифрованном формате на серверах Apple. Шифрование реально. Но в мелком шрифте написано, что Apple хранит ключи шифрования в аппаратных модулях безопасности в собственных центрах обработки данных. В документации поддержки Apple это сформулировано прямо: ключи доступны серверам Apple, и Apple может помочь вам восстановить данные, если вы потеряете доступ к своему аккаунту.
Эта архитектура имеет название: шифрование на стороне сервера. Поставщик шифрует данные, и поставщик хранит ключ. Это защищает ваши фотографии от взлома уровня хранения без учётных данных. Но не защищает от самой Apple, от судебного решения в адрес Apple или от взлома систем управления ключами. Когда журналисты и исследователи описывают iCloud как объект запросов правоохранительных органов, именно этот механизм они и описывают. Данные доступны, потому что Apple может их извлечь.
Это не скрытый недостаток. Apple публикует эту информацию в обзоре безопасности данных iCloud. Это намеренный компромисс ради восстановления аккаунта: вы можете вернуть свои фотографии после потери устройства именно потому, что Apple может расшифровать их от вашего имени.
Пятнадцать категорий данных iCloud зашифрованы методом end-to-end при стандартной защите, в том числе Пароли и Связка ключей, данные о здоровье и ещё несколько. Фотографии iCloud, резервные копии iCloud, Заметки и большинство остальных - нет.
Advanced Data Protection: когда фотографии iCloud становятся по-настоящему зашифрованными end-to-end
Advanced Data Protection для iCloud, анонсированная Apple 7 декабря 2022 года, меняет модель хранения ключей для большинства данных iCloud. При включённом ADP ключи шифрования хранятся на ваших доверенных устройствах, а не у Apple. Количество категорий данных, защищённых шифрованием end-to-end, возрастает с 15 до 25, и Фотографии iCloud входят в число дополнений.
Примечание по числу категорий: в исходном объявлении Apple в декабре 2022 года говорилось о расширении с 14 до 23 категорий. На текущих страницах поддержки Apple указано 25. Apple расширила охват ADP после запуска. В этой статье используется число 25 как актуальная цифра из актуальной документации поддержки Apple; несоответствие отмечается для точности.
Иван Крстич, руководитель Apple Security Engineering and Architecture, описал это при запуске: Advanced Data Protection - это высочайший уровень безопасности облачных данных Apple, дающий пользователям возможность защитить подавляющее большинство наиболее конфиденциальных данных iCloud сквозным шифрованием, чтобы их можно было расшифровать только на доверенных устройствах.
Это описание точно. При включённом ADP Apple не может читать ваши фотографии. Не может этого сделать и сторона, которая предъявит Apple судебное решение о передаче данных из Фотографии iCloud: Apple нечего передавать, поскольку ключ у неё больше не хранится. Это настоящее шифрование end-to-end, та же модель, которую защищённые мессенджеры применяют к сообщениям.
ADP - реальное улучшение конфиденциальности. При включённой функции iCloud становится настоящим зашифрованным end-to-end хранилищем фотографий. Если вы используете iCloud для фотографий, которые хотите сохранить в тайне, и не находитесь в Великобритании, включение ADP оправдывает усилия по настройке.
Что ADP по-прежнему не защищает
Охват широкий, но не полный. Три категории остаются за пределами шифрования end-to-end даже при включённом ADP.
Почта, Контакты и Календарь. Обоснование Apple - совместимость: эти службы обмениваются данными с внешними системами - почтовыми серверами, CalDAV-провайдерами, CardDAV-службами - и для этого обмена требуется стандартное шифрование. Apple шифрует эти данные, но хранит ключи.
Общие альбомы в Фотографиях. Альбом, открытый другим людям или опубликованный по URL «для всех, у кого есть ссылка», доступен в сети. Этот доступ требует, чтобы Apple могла передавать контент, а для этого нужны серверные ключи. Фотографии в вашей личной библиотеке зашифрованы end-to-end при включённом ADP, а те же фотографии в общем альбоме - нет.
Совместная работа в iWork. Редактирование в режиме реального времени общих документов Keynote, Numbers и Pages осуществляется через серверы Apple. Эта координация требует серверного доступа к контенту.
Это не небрежность Apple. Это архитектурная цена функций, которым нужен сервер посередине. Если вы хотите, чтобы фотографии были зашифрованы end-to-end, не добавляйте их в Общие альбомы.
Как проверить, включён ли ADP, и как его включить
ADP не включён по умолчанию. Чтобы проверить: откройте Настройки на iPhone, нажмите на своё имя вверху, нажмите iCloud, прокрутите вниз и нажмите Advanced Data Protection. Если вы видите «Advanced Data Protection включён», функция активна. Если вы видите предложение включить её, значит она не активна.
Для включения Apple потребует два условия до того, как переключатель сработает: двухфакторная аутентификация на Apple Account и хотя бы один метод восстановления - контакт для восстановления (другой человек с устройством Apple) или ключ восстановления (строка из 28 символов, хранящаяся в надёжном месте). Это обязательно, а не опционально. Apple не может помочь вам восстановить зашифрованные end-to-end данные при потере доступа, поэтому вы должны обеспечить собственный путь восстановления до включения ADP.
Включение ADP на одном устройстве активирует его для всего Apple Account на всех совместимых устройствах. Функция действует на уровне аккаунта. Устройства должны работать под управлением iOS 16.2, iPadOS 16.2, macOS 13.1 или более поздних версий.
Вопрос устойчивости: что произошло в Великобритании
В феврале 2025 года Apple отключила Advanced Data Protection для пользователей из Великобритании. Непосредственной причиной стало Уведомление о технических возможностях, выданное Министерством внутренних дел Великобритании в соответствии с Законом о следственных полномочиях, с требованием предоставить Apple доступ к зашифрованным пользовательским данным, хранящимся в iCloud.
Вместо создания бэкдора Apple отозвала ADP для Великобритании. Пользователи из Великобритании, уже включившие ADP, 21 февраля 2025 года получили уведомления с требованием отключить функцию под угрозой потери доступа к аккаунтам iCloud. Новые пользователи из Великобритании не могут включить ADP вообще. 15 категорий, зашифрованных по умолчанию, остаются защищёнными; всё остальное - Фотографии, Резервные копии, Заметки и остальные 25 категорий ADP - вернулось к стандартному шифрованию (при котором Apple хранит ключи) для аккаунтов из Великобритании.
По имеющимся данным, исходное уведомление требовало доступа к данным iCloud всех глобальных пользователей. После значительного давления со стороны американских законодателей и, по данным репортажей в августе 2025 года, заявления директора национальной разведки США о том, что Великобритания отозвала более широкое требование, Министерство внутренних дел изменило постановление, распространив его только на пользователей из Великобритании. После этого Apple отозвала свою правовую апелляцию на скорректированное уведомление. Трибунал по следственным полномочиям отклонил апелляцию 14 октября 2025 года, сославшись на «изменение обстоятельств».
Заявление Apple в тот момент: «Мы глубоко разочарованы тем, что защита, обеспечиваемая ADP, недоступна нашим клиентам в Великобритании, учитывая постоянный рост числа утечек данных и других угроз конфиденциальности клиентов».
По состоянию на июнь 2026 года ADP по-прежнему недоступна для пользователей из Великобритании согласно собственной странице поддержки Apple по адресу support.apple.com/en-gb/122234. Privacy International и Liberty ведут активные правовые споры против приказов о наблюдении Министерства внутренних дел, запланированные до 2026 года, но эти дела направлены на оспаривание приказов, а не на восстановление ADP в ближайшей перспективе. Вопрос о возвращении ADP в Великобританию остаётся открытым без подтверждённого ответа на момент написания этой статьи.
Пример Великобритании актуален для пользователей повсюду по одной причине: это задокументированное доказательство концепции. Правительство может принудительно отключить переключатель на уровне платформы для пользователей целой страны без индивидуального преследования или уведомления этих пользователей. Механизм - секретное уведомление по закону о национальной безопасности - не является уникальным для Великобритании. Закон о следственных полномочиях имеет аналоги в других юрисдикциях. Суть не в том, чтобы вызвать тревогу; суть в том, что «платформа обещает шифрование end-to-end» и «способность платформы обеспечивать шифрование end-to-end является юридически устойчивой» - это два разных утверждения.
Место Vaultaire: другая архитектура
Vaultaire - это другая архитектура, а не замена всему, что делает ADP.
ADP работает на уровне платформы, привязана к аккаунту и связана с облаком. Данные по-прежнему находятся в iCloud; инновация состоит в том, что Apple больше не хранит ключ. Вы получаете синхронизацию iCloud, доступ с нескольких устройств и резервное копирование с хранением ключей, перенесённым на ваши устройства. Это хороший компромисс для большинства людей.
Vaultaire работает локально на устройстве. Ваши фотографии по умолчанию не отправляются на сервер. Когда вы рисуете узор на сетке 5x5, этот узор напрямую генерирует ключ AES-256-GCM. Это не пароль, сравниваемый с чем-либо, хранящимся где-то. Ничего не загружается. Нет аккаунта, электронной почты, хранилища учётных данных. Ключ существует только на вашем устройстве и создаётся заново каждый раз, когда вы рисуете узор.
Необязательное зашифрованное резервное копирование в iCloud работает следующим образом: если вы решаете создать резервную копию хранилища, оно шифруется на вашем устройстве до того, как попадёт в iCloud. Apple получает зашифрованный текст, который не может прочитать, точно так же, как получает зашифрованный текст из резервной копии Сообщений при включённом ADP. Vaultaire тоже не хранит ключ от вашей резервной копии. Ключ - это ваш узор, и только вы им владеете.
Именно это означает шифрование с нулевым знанием на практике: поставщик услуг никогда не имел ключа, поэтому взлом поставщика не является взломом ваших данных.
Отличие от ADP - в том, где находится контроль. С ADP и iCloud ваши фотографии синхронизируются между устройствами и могут быть восстановлены, если вы настроили контакт для восстановления. Это удобно для большинства людей. С Vaultaire фотографии остаются локальными, если вы явно не создадите резервную копию, а восстановление полностью зависит от вашего узора и фразы восстановления. Резервного варианта на стороне облака нет.
Ни одна модель не является безусловно лучшей. ADP обеспечивает настоящее шифрование end-to-end плюс удобство синхронизации и восстановления iCloud. Vaultaire обеспечивает шифрование без аккаунта и без сервера для файлов, которые вы хотите полностью держать вне платформы, с необязательным зашифрованным резервным копированием в iCloud для файлов, где хранение только на устройстве слишком ненадёжно. Особенно для конфиденциальных фотографий - документов, личной переписки в виде изображений, всего, что вы не хотели бы видеть раскрытым по судебному решению - локальная модель полностью исключает облако из поверхности угроз.
Вы можете использовать оба варианта. Большинство пользователей Vaultaire по-прежнему используют iCloud Photos для повседневной библиотеки с включённым ADP.
Читайте также:
- Сквозное шифрование для фотографий, объяснение
- Сканирует ли Apple Intelligence ваши фотографии?
- Шифрование с нулевым знанием, объяснение
- Зашифрованное резервное копирование iCloud: шифрование до отправки с телефона
- Что на самом деле говорят политики конфиденциальности облачных хранилищ фотографий
Источники
- Apple Support: iCloud data security overview
- Apple Support: How to turn on Advanced Data Protection for iCloud
- Apple Platform Security: Advanced Data Protection for iCloud
- Apple Newsroom: Apple advances user security with powerful new data protections (December 7, 2022)
- Apple Support UK: Apple can no longer offer Advanced Data Protection in the United Kingdom to new users
- Privacy Guides: The UK Government Forced Apple to Remove Advanced Data Protection (February 28, 2025)
- Digit.fyi: Apple backdoor encryption appeal case dismissed (October 2025)
- Privacy International: PI Apple TCN Challenge
Часто задаваемые вопросы
Шифруются ли фотографии iCloud методом end-to-end по умолчанию?
Нет. При стандартной защите данных Apple хранит фотографии iCloud с использованием ключей шифрования, которые она контролирует в своих центрах обработки данных. Apple может расшифровать ваши фотографии при необходимости: для восстановления аккаунта и в ответ на действительные судебные решения. По умолчанию шифрованием end-to-end защищены лишь 15 категорий данных iCloud; Фотографии в их число не входят.
Что Advanced Data Protection реально делает с моими фотографиями?
При включённом ADP Фотографии iCloud входят в число 25 категорий данных iCloud, защищённых шифрованием end-to-end. Ключи хранятся на ваших доверенных устройствах, а не у Apple. Apple не может читать ваши фотографии, передавать их в ответ на судебное решение о данных iCloud и не может их восстановить, если вы потеряете аккаунт. Восстановление - ваша ответственность, поэтому ADP требует настройки контакта для восстановления или ключа восстановления до активации.
Может ли Apple видеть мои фотографии iCloud?
При стандартной защите данных: да, Apple может получить доступ к фотографиям iCloud и расшифровать их при необходимости. При Advanced Data Protection: нет, Apple не имеет ключа к вашим зашифрованным end-to-end данным. 15 категорий по умолчанию - включая данные о здоровье и пароли Связки ключей - всегда недоступны для Apple вне зависимости от статуса ADP.
Как включить Advanced Data Protection?
Откройте Настройки, нажмите на своё имя, нажмите iCloud, прокрутите вниз и нажмите Advanced Data Protection. Вам потребуются включённая двухфакторная аутентификация и хотя бы один настроенный метод восстановления - контакт для восстановления или ключ восстановления. Устройства должны работать под управлением iOS 16.2 и выше. Включение на одном устройстве активирует функцию для всего Apple Account.
Какие данные не охвачены Advanced Data Protection?
Почта, Контакты и Календарь не шифруются end-to-end даже при включённом ADP, поскольку им необходим обмен данными с внешними серверами. Общие альбомы в Фотографиях также не шифруются end-to-end: они доступны в интернете. Документы с совместной работой в iWork в режиме реального времени тоже не охвачены. Всё, что открыто «всем, у кого есть ссылка», находится вне защиты ADP.
Может ли правительство получить доступ к моим фотографиям iCloud через Apple?
При стандартной защите данных: да, действительное судебное решение, предъявленное Apple, может привести к передаче ваших фотографий. При включённом ADP у Apple нет ключа для передачи. Пример Великобритании в феврале 2025 года показал, что правительство также может заставить платформу отключить ADP для целой страны, переводя пользователей с защиты end-to-end обратно на стандартную защиту без их индивидуального согласия.
Что такое хранилище фотографий iCloud?
Это выражение описывает использование Фотографий iCloud как места для хранения конфиденциальных фотографий. При включённом ADP Фотографии iCloud функционируют как настоящее зашифрованное end-to-end облачное хранилище фотографий. Практическое ограничение состоит в том, что это всё ещё привязано к аккаунту: доступ требует вашего Apple Account, а устойчивость шифрования зависит от способности Apple поддерживать его под юридическим давлением в вашей юрисдикции.
Есть ли способ хранить фотографии так, чтобы Apple не имела к ним доступа?
Да, два способа. Первый: включите Advanced Data Protection - Apple лишится ключа и не сможет расшифровать ваши фотографии. Второй: используйте локальное приложение-хранилище, которое шифрует фотографии на устройстве до любой загрузки - Apple получает зашифрованный текст, который не может прочитать. Локальная модель полностью исключает облако из поверхности угроз; ADP оставляет вас в экосистеме iCloud с хранением ключей, перенесённым на ваши устройства.