iCloud 照片是端对端加密的吗？

默认情况下，iCloud 照片并非端对端加密。Apple 使用其控制的加密密钥存储这些照片，并可在法律要求时解密。启用 Advanced Data Protection 后情况会改变：密钥由您的受信设备持有，而非 Apple。ADP 需手动开启，默认关闭，且需在开启前设置恢复方式。

iCloud 照片已加密 - 但在标准数据保护下，Apple 持有加密密钥，可根据法律命令或账户恢复需要访问您的照片。启用 Advanced Data Protection 后，iCloud 照片才真正实现端对端加密：密钥由您的设备持有，Apple 一无所知。ADP 必须手动开启，并非默认设置，且于 2025 年 2 月应英国政府要求（Apple 在法律上无法拒绝）对英国用户停止提供。

Apple 持有密钥时「加密」意味着什么

iCloud 确实对您的照片进行了加密。这个说法是真实的，但如果仅停留在此，也会产生误导。

在标准数据保护下 - 每个 Apple 账户的默认设置 - 您的照片在传输过程中经过加密，并以加密格式存储在 Apple 的服务器上。加密是真实的。但细则中写明：Apple 将加密密钥存放在其自有数据中心的硬件安全模块中。Apple 支持文档明确指出：密钥可由 Apple 服务器访问，如果您失去账户访问权限，Apple 可以帮助您恢复数据。

这种架构有一个名称：服务器端加密。服务提供商对数据加密，并持有密钥。它能保护您的照片免遭无凭据者攻击存储层，但无法防范 Apple 本身、向 Apple 发出的法律命令，或密钥管理系统遭到入侵。当记者和研究人员将 iCloud 描述为执法请求的目标时，他们所描述的正是这一机制。数据可被检索，因为 Apple 可以检索它。

这并非隐藏的缺陷。Apple 在其 iCloud 数据安全概述中公开了这一点。这是账户恢复的刻意取舍：正因为 Apple 可以代您解密照片，您才能在丢失设备后取回照片。

在标准保护下，15 个 iCloud 数据类别采用端对端加密，包括密码与钥匙串、健康数据及其他少数类别。iCloud 照片、iCloud 备份、备忘录及其他大多数类别则不在此列。

Advanced Data Protection：iCloud 照片真正实现端对端加密的时刻

Apple 于 2022 年 12 月 7 日发布的 iCloud Advanced Data Protection，改变了大多数 iCloud 数据的密钥托管模式。开启 ADP 后，加密密钥由您的受信设备持有，而非 Apple。采用端对端加密的数据类别从 15 个增至 25 个，iCloud 照片正是新增的类别之一。

关于类别数量的说明：Apple 在 2022 年 12 月最初的公告中表示，覆盖范围从 14 个扩展至 23 个类别；而当前的 Apple 支持页面显示为 25 个。Apple 自发布以来已扩展了 ADP 的覆盖范围。本文以最新 Apple 支持文档中的 25 个为准，并注明此差异以保证准确性。

Apple 安全工程与架构负责人 Ivan Krstić 在发布时描述道：Advanced Data Protection 是 Apple 云数据安全的最高级别，让用户可以选择通过端对端加密来保护绝大多数最敏感的 iCloud 数据，使其只能在受信设备上解密。

这一描述准确无误。启用 ADP 后，Apple 无法读取您的照片。任何向 Apple 发出 iCloud 照片数据法律命令的机构也同样无从获取 - 因为 Apple 不再持有密钥，无从交出。这是真正的端对端加密，与安全消息应用对消息采用的模式相同。

ADP 是真实的隐私改进。开启后，iCloud 就成了真正的端对端加密照片存储。如果您在 iCloud 中存储了私密照片且不在英国，启用 ADP 值得为此付出额外的设置成本。

ADP 仍然无法保护的内容

覆盖范围很广，但并非全面。即便开启 ADP，仍有三个类别不在端对端加密的保护范围内。

邮件、通讯录和日历。Apple 的理由是互操作性：这些服务需要与外部系统交换数据 - 电子邮件服务器、CalDAV 提供商、CardDAV 服务 - 而这种交换功能需要标准加密。Apple 对这些数据进行加密，但持有密钥。

照片中的共享相册。与他人共享或发布为「任何人均可访问链接」URL 的相册可在网络上访问。这种访问要求 Apple 能够提供内容，因此需要服务器端密钥。您个人相册中的照片在开启 ADP 后采用端对端加密；同一张照片在共享相册中则不是。

iWork 协作功能。共享 Keynote、Numbers 和 Pages 文档的实时编辑通过 Apple 服务器进行协调，这需要服务器访问内容。

这些并非 Apple 的疏漏，而是需要服务器居中协调的功能所带来的架构成本。如果您希望照片端对端加密，请不要将其放入共享相册。

如何检查 ADP 是否已开启，以及如何启用

ADP 默认未开启。检查方法：在 iPhone 上打开「设置」，轻点顶部的姓名，轻点「iCloud」，滚动到底部并轻点「Advanced Data Protection」。如果显示「Advanced Data Protection 已开启」，则表示已启用；如果显示开启提示，则表示尚未启用。

启用需要满足两个前提条件，Apple 会在执行切换前要求您完成：Apple 账户需开启双重认证，以及至少设置一种恢复方式 - 恢复联系人（另一位拥有 Apple 设备的人）或恢复密钥（一个 28 位字符串，请妥善保管）。这是必须满足的条件，而非可选项。如果您失去访问权限，Apple 无法帮助您恢复端对端加密数据，因此您必须在 ADP 开启前提供自己的恢复途径。

在一台设备上启用 ADP 后，将为您所有兼容设备上的整个 Apple 账户激活。它是账户级别的。设备需运行 iOS 16.2、iPadOS 16.2、macOS 13.1 或更高版本。

持久性问题：英国发生了什么

2025 年 2 月，Apple 为英国用户撤下了 Advanced Data Protection。直接原因是英国内政部依据《调查权力法》发出的技术能力通知，要求 Apple 提供对存储在 iCloud 中的加密用户数据的访问权限。

Apple 没有设置后门，而是为英国撤回了 ADP。已启用 ADP 的英国用户于 2025 年 2 月 21 日收到提醒，要求关闭 ADP，否则将面临无法访问 iCloud 账户的风险。新注册的英国用户完全无法启用 ADP。默认加密的 15 个类别仍受保护；其余内容 - 照片、备份、备忘录，以及其他 25 个 ADP 类别 - 对英国账户恢复至标准（Apple 持有密钥）加密。

最初据报道，该通知要求访问全球所有用户的 iCloud 数据。在美国议员的强力施压下，以及根据 2025 年 8 月的报道，美国国家情报局局长发表声明称英国已撤回更广泛的要求，内政部将命令修改为仅覆盖英国用户。此后 Apple 撤回了对修订通知的法律挑战。调查权力裁判所于 2025 年 10 月 14 日以「情况变化」为由驳回了上诉。

Apple 当时的声明：「我们对英国客户无法享受 ADP 提供的保护深感遗憾，尤其是在数据泄露和其他威胁客户隐私的风险持续上升的情况下。」

截至 2026 年 6 月，根据 Apple 自身支持页面 support.apple.com/en-gb/122234 的信息，ADP 对英国用户仍不可用。Privacy International 和 Liberty 已就内政部监控令提出有效法律挑战，排期延续至 2026 年，但这些案件旨在挑战命令本身，并非以恢复 ADP 为近期目标。ADP 是否会回归英国仍是一个尚无确切答案的开放性问题。

英国案例对所有用户都有参考意义，原因只有一个：它是一个有据可查的概念验证。政府可以在不针对或通知个人用户的情况下，强制关闭一个平台对整个国家用户的功能。这一机制 - 国家安全法律下的秘密通知 - 并非英国独有。《调查权力法》在其他司法管辖区有对应的法律。这里并非要危言耸听；重点是「平台承诺端对端加密」与「平台提供端对端加密的能力在法律上具有持久性」是两个不同的主张。

Vaultaire 的定位：一种不同的架构

Vaultaire 是一种不同的架构，而不是 ADP 所有功能的替代品。

ADP 是平台级别、账户绑定、与云端耦合的。数据仍存储在 iCloud 中；其创新之处在于 Apple 不再持有密钥。您可以享受 iCloud 的同步、多设备访问和备份，同时将密钥托管转移到您的设备。这对大多数人来说是一个合理的取舍。

Vaultaire 是设备本地的。您的照片默认不会上传至服务器。当您在 5x5 网格上绘制图案时，该图案会直接生成一个 AES-256-GCM 密钥。它不是与任何存储位置进行比对的密码。没有任何内容被上传。没有账户，没有电子邮件，没有凭证存储。密钥仅存在于您的设备上，每次绘制图案时重新生成。

可选的 iCloud 加密备份工作原理如下：如果您选择备份保管库，数据在到达 iCloud 之前已在您的设备上完成加密。Apple 接收到的是无法读取的密文，与开启 ADP 后 Messages 备份传输的密文原理相同。Vaultaire 也不持有您备份的密钥。密钥就是您的图案，只有您自己知道。

这就是零知识加密在实践中的含义：服务提供商从未拥有密钥，因此服务提供商遭到入侵不会导致您的数据泄露。

与 ADP 的区别在于控制权所在。使用 ADP 和 iCloud 时，您的照片可跨设备同步，如果您设置了恢复联系人，照片也可恢复。这对大多数人很实用。使用 Vaultaire 时，照片保留在本地，除非您明确备份，且恢复完全取决于您的图案和恢复短语。没有云端后备方案。

两种模式并无绝对优劣之分。ADP 提供真正的端对端加密，加上 iCloud 同步和恢复的便利。Vaultaire 为您希望完全脱离平台存储的文件提供无账户、无服务器的加密，同时为不希望仅保留本地副本的文件提供可选的 iCloud 加密备份。对于隐私敏感的照片 - 文件、以图片形式保存的私人通信、任何您不希望在法律命令下被披露的内容 - 设备本地模式将云端从威胁面中完全移除。

您可以同时使用两者。大多数使用 Vaultaire 的人仍将 iCloud 照片用于日常照片库，并同时启用 ADP。

相关阅读：

• 照片端对端加密详解
• Apple Intelligence 会扫描您的照片吗？
• 零知识加密详解
• iCloud 加密备份：离开手机前已加密
• 云端照片存储隐私政策真正说了什么

常见问题

iCloud 照片默认是端对端加密的吗？

不是。在标准数据保护下，Apple 使用其在自有数据中心控制的加密密钥存储 iCloud 照片。Apple 可在需要时解密您的照片：用于账户恢复，以及响应有效的法律命令。默认情况下只有 15 个 iCloud 数据类别采用端对端加密，照片不在其中。

Advanced Data Protection 对我的照片实际上有什么作用？

启用 ADP 后，iCloud 照片将加入采用端对端加密的 25 个 iCloud 数据类别。您的受信设备持有密钥，而非 Apple。Apple 无法读取您的照片，无法在收到 iCloud 数据法律命令时将其交出，也无法在您失去账户访问权后恢复。恢复是您自己的责任 - 这就是为什么 ADP 在激活前要求设置恢复联系人或恢复密钥。

Apple 可以看到我的 iCloud 照片吗？

在标准数据保护下：是的，Apple 可以在需要时访问和解密 iCloud 照片。在 Advanced Data Protection 下：不能，Apple 不持有您的端对端加密数据的密钥。包括健康和钥匙串密码在内的 15 个默认类别，无论 ADP 状态如何，Apple 均无法访问。

如何开启 Advanced Data Protection？

打开「设置」，轻点您的姓名，轻点「iCloud」，滚动到底部，轻点「Advanced Data Protection」。您需要先开启双重认证并设置至少一种恢复方式 - 恢复联系人或恢复密钥。设备需运行 iOS 16.2 或更高版本。在一台设备上启用后，将为您的整个 Apple 账户激活。

哪些数据不在 Advanced Data Protection 的保护范围内？

即便开启 ADP，邮件、通讯录和日历也不采用端对端加密，因为它们需要与外部服务器交换数据。照片中的共享相册同样不受端对端加密保护：它们可在网络上访问。iWork 实时协作文档也不在覆盖范围内。任何「任何人均可通过链接访问」的共享内容均不在 ADP 的保护范围内。

政府可以通过 Apple 访问我的 iCloud 照片吗？

在标准数据保护下，是的：向 Apple 发出的有效法律命令可能导致您的照片被交出。开启 ADP 后，Apple 没有可交出的密钥。2025 年 2 月的英国案例表明，政府还可以强制平台为整个国家禁用 ADP，将用户从端对端保护切换回标准保护，而无需获得个人同意。

什么是 iCloud 照片保管库？

这个短语描述的是将 iCloud 照片用于存储敏感照片。开启 ADP 后，iCloud 照片作为真正的端对端加密云照片存储发挥作用。实际局限在于它仍与账户绑定：访问需要您的 Apple 账户，而加密的持久性取决于 Apple 在您所在司法管辖区是否能够在法律压力下维持这一保护。

有没有 Apple 无法访问的照片存储方式？

有，两种方式。第一，启用 Advanced Data Protection：Apple 失去密钥，无法解密您的照片。第二，使用本地保管库应用，在上传前在设备上对照片加密 - Apple 收到的是无法读取的密文。本地模式将云端从威胁面中完全移除；ADP 则让您留在 iCloud 生态系统中，同时将密钥托管转移至您的设备。