什麼是端對端加密?如何保護你的照片
端對端加密確保只有你能存取你的照片。
端對端加密(E2EE)是一種安全模式,資料在傳送方的裝置上加密,只能在接收方的裝置上解密。沒有任何中間方,服務商、雲端主機或網路服務供應商,可以在傳輸或靜態時讀取資料。加密金鑰只存在於端點。NIST 在 SP 800-175B 中將此模式定義為「只有通訊使用者才能解密資料」的通訊安全。
對於照片儲存,端對端加密意味著你的照片在離開裝置之前就在手機上加密了。雲端儲存的是一個加密的資料塊。沒有你的個人金鑰,照片在數學上與隨機雜訊無法區分。本指南說明 E2EE 的運作方式、對照片隱私的重要性,以及哪些服務真正實作了它。
端對端加密的運作方式
核心機制涉及三個階段:金鑰生成、加密和解密。
金鑰生成
使用者的裝置生成加密金鑰。在對稱加密(如 AES-256)中,同一個金鑰負責加密和解密。在非對稱加密(如 RSA)中,公鑰加密,私鑰解密。許多 E2EE 系統結合兩者:非對稱加密交換對稱會話金鑰,然後用它處理大量加密。
對於照片保險庫 App,金鑰通常使用金鑰衍生函數(KDF,如 PBKDF2 或 Argon2)從使用者的密碼或圖案衍生。KDF 將人類可記憶的輸入轉換為加密金鑰。Vaultaire 使用 PBKDF2 搭配 HMAC-SHA512,從在 5×5 網格上繪製的圖案衍生 256 位元 AES 金鑰。
加密
明文(你的照片)使用加密金鑰和加密演算法轉換為密文。AES-256-GCM 是用於此目的最廣泛使用的對稱密碼。GCM(伽羅瓦/計數器模式)提供認證加密,既加密資料,又產生偵測任何篡改的認證標籤。每個檔案都有唯一的初始化向量(IV),確保相同的檔案產生不同的密文。
解密
接收方的裝置使用相同的金鑰(對稱)或匹配的私鑰(非對稱)來反轉轉換。沒有正確的金鑰,密文與隨機資料無法區分。沒有數學捷徑。AES-256 有 2^256 個可能的金鑰,超過可觀測宇宙中原子的估計數量。
端對端加密與其他加密模型的比較
並非所有加密都是端對端的。差異決定了誰可以存取你的資料。
傳輸中加密(TLS/SSL)
資料在你的裝置和伺服器之間加密。伺服器在接收時解密。這可以防範傳輸過程中的竊聽,但資料在伺服器上仍然可讀。每個主要的雲端服務都使用傳輸中加密。這是基本水準,不是標準。
靜態加密(伺服器端)
伺服器使用它管理的金鑰加密儲存的資料。這可以防範伺服器硬體的實體盜竊,但無法防範服務提供商本身、其員工或針對提供商的法律請求。iCloud、Google Drive 和 Dropbox 都使用靜態伺服器端加密。提供商持有金鑰。
端對端加密
資料在使用者的裝置上用使用者控制的金鑰加密。伺服器儲存它無法解密的密文。提供商無法讀取資料,無法遵從資料請求(因為解密是不可能的),也無法以暴露明文的方式被入侵。這是唯一「提供商無法存取你的資料」是數學陳述而非政策承諾的模型。
| 加密模型 | 誰持有金鑰 | 提供商可讀取資料? | 防範提供商? |
|---|---|---|---|
| 僅傳輸中(TLS) | 伺服器 | 可以 | 否 |
| 靜態(伺服器端) | 伺服器 | 可以 | 否 |
| 端對端 | 僅使用者 | 不可以 | 是 |
| 零知識 E2EE | 僅使用者,提供商零存取 | 不可以 | 是,透過架構限制 |
照片儲存服務如何處理加密
加密模型在照片儲存服務之間差異顯著。部分服務宣傳「加密」而不指定模型,可能誤導使用者相信他們的照片是 E2EE 加密的,但實際上不是。
iCloud 照片
Apple 在傳輸和靜態時使用加密。Apple 預設持有加密金鑰。有有效的法律請求時,Apple 可以提供 iCloud 照片資料。例外:Apple 自 2022 年 12 月起提供的進階資料保護(ADP),為 iCloud 照片增加了端對端加密。ADP 必須在設定中明確啟用。啟用後,Apple 無法存取 iCloud 照片資料。大多數使用者未啟用 ADP。
Google Photos
Google 使用傳輸中加密和伺服器端金鑰的靜態加密。Google 持有所有 Google Photos 資料(包括鎖定資料夾內容)的加密金鑰。Google 可以遵從法律資料請求。Google 不為 Google Photos 提供端對端加密選項。
Dropbox
傳輸中加密(TLS 1.2+)和靜態加密(使用 Dropbox 管理金鑰的 AES-256)。Dropbox 持有金鑰,可以存取你的檔案。Dropbox 曾遭到資料外洩(2012 年,6800 萬個帳戶)。Dropbox Vault(付費功能)增加了 PIN 保護,但沒有端對端加密。
OneDrive
Microsoft 使用傳輸中加密和 Microsoft 管理金鑰的靜態加密。Microsoft 持有金鑰。OneDrive 個人保管庫增加了身份驗證(雙重認證),但不增加端對端加密,Microsoft 仍然可以存取資料。
Vaultaire
採用零知識架構的端對端加密。照片在任何雲端上傳之前先在裝置上以 AES-256-GCM 加密。加密金鑰由使用者繪製的圖案透過 PBKDF2 衍生。金鑰永遠不會離開裝置。Vaultaire 無法解密儲存的資料,即使對於它自己的加密 iCloud 備份也不行。如果收到傳票,沒有任何可提供的東西。
| 服務 | 傳輸加密 | 靜態加密 | 端對端加密 | 提供商可存取 |
|---|---|---|---|---|
| iCloud 照片(預設) | 有 | 有(Apple 金鑰) | 無 | 可以 |
| iCloud 照片(啟用 ADP) | 有 | 有 | 有 | 不可以 |
| Google Photos | 有 | 有(Google 金鑰) | 無 | 可以 |
| Dropbox | 有 | 有(Dropbox 金鑰) | 無 | 可以 |
| OneDrive | 有 | 有(Microsoft 金鑰) | 無 | 可以 |
| Vaultaire | 有 | 有 | 有(零知識) | 不可以 |
端對端加密對照片的重要性
照片是獨特的敏感資料。它們包含面孔、位置(GPS 中繼資料)、時間戳記和私人時刻的視覺記錄。照片庫的外洩所揭露的個人資訊,幾乎比任何其他資料類型都多。
資料外洩
當服務提供商以伺服器端加密(他們持有金鑰)儲存你的照片時,他們系統的外洩就會暴露你的資料。Dropbox 的 2012 年外洩暴露了 6800 萬個帳戶。Yahoo 的 2013 年外洩暴露了 30 億個帳戶。如果你的照片是 E2EE 加密的,伺服器外洩只會暴露加密的資料塊,沒有你的金鑰就毫無用處。
法律和政府存取
服務提供商可能被迫根據法院命令、傳票或國家安全信函提供資料。2023 年,Apple 全球收到超過 12 萬份政府資料請求,Google 收到超過 20 萬份。如果你的照片是 E2EE 加密且採用零知識架構,提供商沒有任何可以提供的東西。
內部存取
服務提供商的員工可能存取以伺服器端金鑰儲存的資料。雖然政策限制此類行為,但內部威脅確實存在。E2EE 使內部存取成為不可能,因為金鑰對提供商的系統不可用。
中繼資料保護
部分 E2EE 實作只加密檔案內容,讓中繼資料(檔案名稱、日期、大小)未受保護。Vaultaire 等更強的實作使用 ChaCha20 單獨加密中繼資料,防範基於檔案屬性的分析。
關於 E2EE 的常見誤解
「我的雲端儲存已加密,所以我的照片很安全。」伺服器端加密防範伺服器硬體的外部外洩,無法防範提供商本身、法律請求或內部威脅。提供商持有金鑰。
「HTTPS 表示我的照片是端對端加密的。」HTTPS(TLS)加密你的裝置和伺服器之間傳輸的資料。資料到達伺服器後就會被解密。HTTPS 是管道的加密,不是資料的加密。
「端對端加密意味著沒有人可以看到我的照片。」E2EE 意味著沒有金鑰的人無法看到你的照片。如果有人知道你的密碼或金鑰,他們可以解密資料。金鑰管理和強密碼仍然至關重要。
「Apple/Google 看不到我的照片。」預設情況下,兩家公司都持有你的雲端儲存照片的加密金鑰。Apple 提供進階資料保護作為選擇性功能。Google 完全不為 Google Photos 提供 E2EE 選項。
Vaultaire 如何實作端對端加密
Vaultaire 使用分層 E2EE 方法:
- AES-256-GCM 加密所有檔案內容。每個檔案都有唯一的初始化向量。認證加密偵測篡改。
- PBKDF2 搭配 HMAC-SHA512 從使用者在 5×5 網格上繪製的圖案衍生加密金鑰。高迭代次數使暴力破解攻擊在計算上不可行。
- ChaCha20 單獨加密中繼資料(檔案名稱、日期、尺寸),提供密碼多樣性。
- Apple Secure Enclave 在硬體中管理金鑰儲存,與主處理器和 App 記憶體隔離。
- 零知識架構意味著加密金鑰永遠不會被傳輸、儲存在伺服器上或被開發者知道。App 不知道你是誰。
圖案從不被儲存。圖案的雜湊值也不被儲存。如果圖案和恢復短語都遺失,資料對任何人都無法恢復。
常見問題
端對端加密合法嗎?
在大多數國家是合法的。E2EE 在美國、歐盟和大多數民主國家中是合法的。部分政府提出了要求後門的法案(例如英國的《網路安全法》條款),但 E2EE 本身仍然合法。加密個人照片沒有任何法律障礙。
執法機構能破解端對端加密嗎?
不能透過破解加密演算法本身。AES-256 在現有和可預見的計算技術(包括量子電腦)下被認為無法破解(Grover 演算法將有效金鑰長度減少到 128 位元,仍然在計算上不可行)。執法機構可能嘗試透過其他方式獲取金鑰(強制使用者、利用裝置漏洞),但加密本身是成立的。
E2EE 和零知識加密有什麼區別?
E2EE 確保資料在使用者的裝置上加密,只在接收方的裝置上解密。零知識是更強的聲明:服務提供商對加密資料擁有零資訊,沒有金鑰、沒有中繼資料存取、沒有恢復或重設能力。所有零知識系統都使用 E2EE,但並非所有 E2EE 系統都是零知識的。
端對端加密會讓我的手機變慢嗎?
現代裝置使用專用硬體加速處理 AES-256 加密。在 iPhone 上,Secure Enclave 處理加密操作。加密和解密個別照片只需幾毫秒。正常使用不會有明顯的效能影響。
如果我遺失加密金鑰怎麼辦?
使用真正的 E2EE,遺失金鑰就意味著遺失資料。沒有後門、沒有主金鑰,服務提供商無法恢復。大多數 E2EE 系統提供恢復機制(恢復短語、緊急套件),應在設定期間安全儲存。
結論
端對端加密是唯一「提供商無法存取你的資料」是數學保證而非企業承諾的模型。對於照片,這意味著在你的裝置上加密,使用只有你持有的金鑰,在任何東西接觸伺服器之前。大多數雲端照片服務預設不提供這個功能。在把你的私人照片交給服務之前,先確認誰持有金鑰。
Vaultaire 為 iOS 實作了採用零知識架構的 E2EE。你的照片在裝置上以 AES-256-GCM 加密。金鑰永遠不會離開你的手機。連 Vaultaire 都看不到你儲存的內容。