Fotoalvsapp: Vad det är, hur det fungerar och vad du bör leta efter
Fotoalvsappar varierar från okrypterade mappgömmor till AES-256-nollkunskapsvalv.
En fotoalvsapp är en mobilapplikation designad för att lagra foton och videor i ett privat, skyddat utrymme separat från enhetens standardfotobibliotek. Skyddsnivån varierar enormt: vissa fotoalvsappar döljer helt enkelt filer bakom en PIN-skärm utan kryptering, medan andra använder AES-256-GCM autentiserad kryptering där filer är matematiskt oläsliga utan rätt inloggningsuppgifter.
Termen "fotoalvsapp" täcker ett spektrum från grundläggande mappgömmor till nollkunskapskrypterade valv. Att förstå var en app befinner sig på det spektrumet avgör om dina foton är genuint skyddade eller bara utom tillfällig synhåll.
Den här guiden definierar vad en fotoalvsapp är, förklarar hur olika typer fungerar och ger de specifika kriterier du bör kontrollera innan du litar på en med dina privata filer.
Vad är en fotoalvsapp?
En fotoalvsapp är programvara som skapar ett separat, åtkomstkontrollerat lagringsområde för foton och videor på en mobil enhet. Som minimum ger den ett hinder mellan enhetens standardfotobibliotek och de privata filerna. Som maximum ger den kryptografiskt skydd motsvarande vad regeringar använder för klassificerad information.
Kategorin inkluderar tre distinkta typer:
Typ 1: Mappgömmor
Mappgömmor flyttar foton från kamerarullen till en dold katalog i appens lagring. Åtkomsten skyddas av en PIN, ett lösenord eller biometrisk kontroll. Filerna lagras i sitt originalformat (JPEG, PNG, HEIC) utan kryptering.
Vad de skyddar mot: Någon som slumpmässigt bläddrar i Foton-appen.
Vad de inte skyddar mot: Vem som helst med filsystemåtkomst. Att ansluta telefonen till en dator, extrahera en säkerhetskopia eller använda rättsmedicinska verktyg exponerar filerna utan att PIN behövs.
Exempel: Många gratis valvappar i App Store och Google Play faller in i denna kategori. De är den mest nedladdade och minst säkra typen.
Typ 2: Krypterad lagring med serversidenycklar
Dessa appar krypterar foton före lagring, men krypteringsnycklarna hanteras av företagets servrar. Appen kan använda stark kryptering (AES-256), men nyckelhanteringen innebär att företaget teoretiskt sett kan dekryptera dina filer. Om de får en juridisk order kan de efterleva den. Om de utsätts för intrång komprometteras nycklarna tillsammans med datan.
Vad de skyddar mot: Tillfällig åtkomst, enhetsstöld (om enheten är låst), grundläggande rättsmedicinsk undersökning.
Vad de inte skyddar mot: Appföretaget självt, juridisk tvång riktad mot företaget, serverintrång.
Exempel: Vissa premium-valvappar och molnlagringstjänster med valvfunktioner.
Typ 3: Nollkunskapskrypterade valv
Nollkunskapskrypterade valv härleder krypteringsnycklar lokalt från användarens inloggningsuppgifter (lösenord, mönster, biometri). Nycklarna lämnar aldrig enheten och överförs aldrig till utvecklarens servrar. Utvecklaren kan matematiskt sett inte komma åt lagrade filer, även under juridisk tvång. Det finns inget att lämna över eftersom förmågan att dekryptera inte existerar utanför användarens enhet.
Vad de skyddar mot: Allt ovanstående, plus tvångsåtkomst från utvecklaren, serverintrång och insiderhot.
Vad de inte skyddar mot: Användaren som glömmer sina inloggningsuppgifter utan återhämtningsmekanism.
Exempel: Vaultaire (AES-256-GCM med PBKDF2-nyckelderivering, nollkunskapsarkitektur) och ett litet antal andra appar med verifierade nollkunskapsimplementationer.
Fotoalvsspektrumet: Från dolt till krypterat
| Funktion | Mappgömmare | Krypterad (servernycklar) | Nollkunskapsvalv |
|---|---|---|---|
| Filer krypterade i vila | Nej | Ja | Ja |
| Krypteringsstandard | Ingen | Varierar (ofta ospecificerad) | AES-256-GCM eller motsvarande |
| Vem håller nycklarna | Ej tillämpligt (ingen kryptering) | Företaget | Bara användaren |
| Överlever rättsmedicinsk undersökning | Nej | Delvis | Ja |
| Utvecklaren kan komma åt filer | Ja (ingen kryptering) | Ja (håller nycklar) | Nej (matematiskt omöjligt) |
| Överlever företagsintrång | Nej | Nej (nycklar komprometterade) | Ja (inga nycklar att stjäla) |
| Återhämtning vid förlorade uppgifter | Vanligtvis e-postbaserad återställning | E-postbaserad eller serversidig | Endast återhämtningsfras (ingen bakdörr) |
| Typisk datainsamling | Omfattande (annonser, spårning) | Måttlig | Minimal eller ingen |
Det här spektrumet är det viktigaste att förstå om fotoalvsappar. App Store skiljer inte mellan dessa typer. En mappgömmare med miljoner nedladdningar sitter bredvid ett nollkunskapskrypterat valv, och båda kallar sig "fotoalvsappar."
Hur fotoalvsappar fungerar: Det tekniska lagret
Import och lagring
När du lägger till ett foto i en valvapp kopierar (eller flyttar) appen filen från kamerarullen till sitt eget lagringsområde. På iOS har varje app en sandlådeseparerad katalog som andra appar inte kan komma åt direkt. På Android beror isoleringsnivån på OS-versionen och appens implementation.
Den kritiska frågan är vad som händer med filen efter import. I en mappgömmare ligger filen i appens katalog i sitt originalformat. I ett krypterat valv transformeras filen av en chiffer (som AES-256-GCM) till krypterad data innan den skrivs till lagringen.
Autentisering
Fotoalvsappar använder olika autentiseringsmetoder:
| Metod | Säkerhetsnivå | Noteringar |
|---|---|---|
| 4-siffrig PIN | Låg | 10 000 möjliga kombinationer; kan knäckas med brute-force |
| 6-siffrig PIN | Låg–medel | 1 000 000 kombinationer; fortfarande knäckbar med automatisering |
| Lösenord | Medel–hög | Beror helt på lösenordskomplexitet |
| Mönster på 3x3-rutnät | Låg–medel | ~389 000 möjliga mönster (motsvarar Android-låsskärm) |
| Mönster på 5x5-rutnät | Hög | Miljarder möjliga mönster som förbinder 4+ punkter |
| Biometri (Face ID / Touch ID) | Medel–hög | Bekvämt men kan tvingas; bäst som andra faktor |
Skillnaden mellan autentisering och kryptering spelar roll. Autentisering avgör vem som kan öppna appen. Kryptering avgör om filer är läsbara utan nyckeln. En stark PIN på en app som inte krypterar filer skyddar ingenting om filsystemet nås direkt.
Nyckelderivering
I krypterade valvappar transformeras användarens inloggningsuppgifter (lösenord, mönster, etc.) till en krypteringsnyckel via en nyckelderiveringsfunktion. Standardmetoden använder algoritmer som PBKDF2, Argon2 eller scrypt med ett högt iterationsantal och ett per-valv-salt.
Vaultaire använder PBKDF2 med HMAC-SHA512 och ett unikt kryptografiskt salt per valv. Iterationsantalet gör varje nyckelderivering beräkningsmässigt dyr, så att testa en miljard mönstergissningar skulle kräva år av kontinuerlig beräkning per valv.
Nyckelderiveringssteget är det som transformerar en för människor minnesvärd inloggningsuppgift till en 256-bitars krypteringsnyckel lämplig för AES-256-GCM. Utan detta steg skulle krypteringsnyckeln vara lika svag som lösenordet självt.
Metadataskydd
En detalj de flesta valvappar missar: även om foton är krypterade kan metadata läcka information. Filnamn, skapelsedatum, miniatyrbildsdimensioner och valvstruktur är alla metadata. Om denna metadata lagras i klartext avslöjar den vilken typ av innehåll som lagras även om innehållet i sig är krypterat.
Vaultaire krypterar all metadata med ChaCha20, en separat chiffer från filkrypteringen (AES-256-GCM). Att använda en annan chiffer för metadata ger kryptografisk mångfald och eliminerar cache-timing-sidokanalsattacker.
Vad du bör kontrollera innan du litar på en fotoalvsapp
1. Krypteringsstandard
Kontrollera om appen specificerar sin krypteringsalgoritm. Pålitliga appar namnger den explicit: AES-256-GCM, AES-256-CBC, ChaCha20-Poly1305. Om appen säger "militärkvalitetskryptering" eller "banknivåsäkerhet" utan att namnge en specifik chiffer är det en röd flagga. Dessa fraser är marknadsföringsspråk, inte tekniska specifikationer.
Enligt NIST SP 800-38D är AES-256-GCM den rekommenderade autentiserade krypteringsalgoritmen för högskerhetsapplikationer. Den ger både konfidentialitet (data är oläslig) och integritet (manipulering detekteras).
2. Nyckelhantering
Var finns krypteringsnycklarna? Tre möjligheter:
- Bara på enheten (nollkunskap): Utvecklaren kan inte komma åt dina filer. Detta är den starkaste modellen.
- På företagets servrar: Utvecklaren kan dekryptera dina filer. Detta är vanligt med molnsynkroniserade valvappar.
- Inte tillämpligt: Appen krypterar faktiskt inte filer.
Om appen erbjuder e-postbaserad lösenordsåterställning som återställer åtkomsten till dina krypterade filer håller utvecklaren nycklarna. Äkta nollkunskapsappar kan inte återställa ditt lösenord eftersom de aldrig hade det.
3. Datainsamlingspolicy
Kontrollera App Stores sekretesslabels. Dessa rapporteras av utvecklarna själva, men de anger omfattningen av datainsamlingen. En valvapp som samlar in enhetsidentifierare, användningsdata och reklamdata monetariserar ditt beteende vid sidan av att skydda dina filer.
Appar utan datainsamling (ingen analys, ingen reklam, inga identifierare) visar att affärsmodellen är produkten själv, inte användardata.
4. Återhämtningsmekanism
Hur hanterar appen glömda lösenord? Svaret avslöjar säkerhetsarkitekturen:
- Återhämtningsfras (ordsekvens): Indikerar klientsidesnyckelderivering. Frasen regenererar nyckeln lokalt. Ingen serverinblandning.
- E-poståterställning: Indikerar serversidig nyckelhantering. Företaget håller eller kan regenerera din nyckel.
- Ingen återhämtning alls: Indikerar stark nollkunskapsdesign men medför risk för permanent dataförlust.
Vaultaire använder BIP-39 standardåterhämtningsfraser. Varje valv genererar en unik ordsekvens som kan regenerera samma krypteringsnyckel. Om både mönstret och återhämtningsfrasen tappas bort är datan permanent oåtervinningsbar. Det finns ingen bakdörr.
5. Oberoende granskningsstatus
Har krypteringsimplementationen verifierats oberoende? Självpåstådd kryptering kan implementeras felaktigt. Vanliga misstag inkluderar återanvändning av initialiseringsvektorer, användning av svag nyckelderivering eller lagring av nycklar på åtkomliga platser.
Appar som genomgår oberoende säkerhetsgranskningar eller öppen källkod för sin kryptografiska kod ger starkare garanti än appar som gör påståenden utan verifiering.
6. Plattform och uppdateringshistorik
Kontrollera när appen senast uppdaterades. Valvappar som inte har uppdaterats på över ett år kanske inte stöder nuvarande OS-säkerhetsfunktioner, kan ha opatchade sårbarheter och kanske inte fungerar korrekt efter OS-uppdateringar.
Fotoalvsappar vs. inbyggda lösningar
Både iOS och Android erbjuder inbyggda alternativ för att dölja foton. Hur jämförs de?
iOS Dolt album
Från och med iOS 16 kräver det dolda albumet i Foton-appen Face ID, Touch ID eller lösenord för att visas. Detta är en betydande förbättring jämfört med tidigare versioner där det dolda albumet var tillgängligt för alla med enhetåtkomst.
Begränsningar: Det dolda albumet är åtkomstkontrollerat, inte krypterat. Apple hanterar nycklarna. En rättsmedicinsk undersökning av enheten kan avslöja dolda foton. Alla med enhetslösenordet har åtkomst. Det finns inget sätt att skapa flera dolda utrymmen eller tillhandahålla trovärdig förnekbarhet.
Android Låst mapp (Google Foton)
Google Foton erbjuder en låst mapp som kräver biometri eller enhets-PIN för åtkomst. Liksom iOS är detta åtkomstkontroll snarare än oberoende kryptering.
Begränsningar: Google håller nycklarna för molnsynkroniserat innehåll. Den låsta mappen är ett UI-lager ovanpå Googles infrastruktur. Rättsmedicinska verktyg kan komma åt innehållet.
Var valvappar tillför värde
Tredjepartsvalvappar tillför värde inom tre specifika områden:
- Oberoende kryptering. Nycklar härleds från användaruppgifter, inte hanterade av Apple eller Google.
- Trovärdig förnekbarhet. Möjligheten att ha flera dolda utrymmen vars existens inte kan bevisas.
- Nollkunskapsarkitektur. Varken enhetstillverkaren eller apputvecklaren kan komma åt filer.
För användare vars hotmodell går bortom "håll foton borta från kamerarullen" ger en dedikerad fotoalvsapp med äkta kryptering skydd som inbyggda funktioner inte erbjuder.
Vanliga frågor
Vad är en fotoalvsapp?
En fotoalvsapp är en mobilapplikation som lagrar foton och videor i ett privat, skyddat område separat från enhetens standardfotobibliotek. Skyddsnivåerna sträcker sig från enkel mappgömning (ingen kryptering) till nollkunskapskrypterad lagring där filer är matematiskt oläsliga utan användarens inloggningsuppgifter. Termen täcker ett brett spektrum; krypteringsimplementationen avgör faktisk säkerhet.
Är fotoalvsappar säkra?
Det beror helt på typen. Mappgömmor som lagrar okrypterade filer bakom en PIN är inte säkra mot teknisk undersökning. Krypterade valvappar som använder AES-256-GCM med nollkunskaps-nyckelhantering är säkra mot rättsmedicinsk analys, enhetsstöld och serverintrång. Kontrollera krypteringsstandard, nyckelhanteringsmodell och datainsamlingspolicy innan du litar på en valvapp med känsliga filer.
Krypterar fotoalvsappar faktiskt foton?
Inte alla. Många populära fotoalvsappar, särskilt gratis reklamstödda sådana, lagrar filer i sitt originalformat och förlitar sig på en PIN som enda skydd. Appar som verkligen krypterar använder namngivna algoritmer (AES-256-GCM, ChaCha20-Poly1305) och härleder nycklar från användaruppgifter via funktioner som PBKDF2 eller Argon2. Om appen inte specificerar sin krypteringsalgoritm, anta att den inte krypterar.
Kan Apple eller Google se foton i en valvapp?
Om valvappen använder nollkunskapskryptering med klientsidesnyckelderivering kan varken Apple eller Google komma åt de krypterade filerna, även om de lagrar säkerhetskopior. Utan användarens nyckel är krypterad data matematiskt oskiljbar från slumpmässigt brus. Om valvappen lagrar filer okrypterade eller använder serverförvaltade nycklar kan plattformen eller utvecklaren ha tillgång.
Vad händer om jag glömmer mitt valvapplösenord?
Svaret beror på säkerhetsarkitekturen. Appar med serversidig nyckelhantering erbjuder e-postbaserad lösenordsåterställning men kan också komma åt dina filer. Nollkunskapsvalvappar tillhandahåller återhämtningsfraser (ordsekvenser) som regenererar nyckeln lokalt. Om både lösenord/mönster och återhämtningsfras tappas bort i en nollkunskapsapp är datan permanent oåtervinningsbar. Det finns ingen bakdörr.
Vilken är den säkraste typen av fotoalvsapp?
Ett nollkunskapskrypterat valv som använder AES-256-GCM eller motsvarande, med PBKDF2/Argon2-nyckelderivering, per-fils initialiseringsvektorer, metadatakryptering och ingen serversidig nyckellagring. Denna typ säkerställer att bara användaren kan dekryptera filer, att utvecklaren inte kan komma åt data ens under juridisk tvång och att lagrade filer överlever rättsmedicinsk undersökning utan kompromiss.
Slutsatsen
"Fotoalvsapp" är en kategorietikett, inte en säkerhetsgaranti. Spridningen inom kategorin sträcker sig från appar som ger mindre skydd än det inbyggda iOS dolda albumet till appar som ger skydd motsvarande lagring av statlig klassificerad data.
Innan du litar på en fotoalvsapp med filer som spelar roll, kontrollera sex saker: krypteringsstandard, nyckelhantering, datainsamling, återhämtningsmekanism, granskningsstatus och uppdateringshistorik. Om appen inte kan besvara dessa frågor med specifika svar hör den till mappgömmarkategorin oavsett vad marknadsföringen säger.
Fotona på din telefon är ett register över ditt liv. Skyddet de förtjänar bör bygga på matematik, inte marknadsföring.
Relaterade guider: Hur du låser foton på iPhone | Vad är nollkunskapskryptering?