什么是端到端加密？它如何保护您的照片

Q: 端到端加密合法吗？

是的，在大多数国家。端到端加密在美国、欧盟和大多数民主国家是合法的。一些政府提议了后门立法，但端到端加密本身仍然合法。

Q: 执法部门能破解端到端加密吗？

不能通过破解加密算法。AES-256 被认为在当前和可预见的计算技术下（包括量子计算机）是无法破解的。

Q: 端到端加密和零知识加密有什么区别？

端到端加密确保数据是端到端加密的。零知识更强：提供商对加密数据零信息——没有密钥、没有元数据访问、没有恢复能力。所有零知识系统都使用端到端加密，但并非所有端到端加密系统都是零知识的。

Q: 端到端加密会减慢我的手机速度吗？

现代设备通过专用硬件加速处理 AES-256 加密。单张照片的加密和解密需要毫秒级时间，没有可感知的性能影响。

端到端加密确保只有您才能访问您的照片。

端到端加密（E2EE）是一种安全模型，其中数据在发送方设备上加密，只能在接收方设备上解密。没有中间方——不是服务提供商，不是云主机，不是互联网服务提供商——可以在传输或静止时读取数据。加密密钥仅存在于端点。NIST 在 SP 800-175B 中将此模型定义为通信安全，"只有通信用户才能解密数据。"

对于照片存储，端到端加密意味着您的照片在离开设备之前就在您的手机上加密。云端存储加密数据块。没有您的个人密钥，照片在数学上与随机噪声无法区分。本指南解释了端到端加密如何工作，为什么它对照片隐私很重要，以及哪些服务真正实现了它。

端到端加密的工作原理

核心机制涉及三个阶段：密钥生成、加密和解密。

密钥生成

用户的设备生成一个密码密钥。在对称加密（如 AES-256）中，相同的密钥加密和解密。在非对称加密（如 RSA）中，公钥加密，私钥解密。许多端到端加密系统结合了两者：非对称加密交换对称会话密钥，然后处理大量加密。

对于照片保险库应用，密钥通常使用密钥派生函数（KDF）（如 PBKDF2 或 Argon2）从用户的密码或图案派生。KDF 将人类可记忆的输入转换为密码密钥。Vaultaire 使用 PBKDF2 和 HMAC-SHA512，从在 5x5 网格上绘制的图案派生 256 位 AES 密钥。

加密

明文（您的照片）使用加密密钥和加密算法转换为密文。AES-256-GCM 是用于此目的最广泛使用的对称密码。GCM（伽罗瓦/计数器模式）提供认证加密——它既加密数据又产生检测任何篡改的认证标签。每个文件接收一个唯一的初始化向量（IV），确保相同的文件产生不同的密文。

解密

接收方的设备使用相同的密钥（对称）或匹配的私钥（非对称）来逆转变换。没有正确的密钥，密文与随机数据无法区分。没有数学捷径。AES-256 有 2^256 个可能的密钥——比可观测宇宙中估计的原子数量还多。

端到端加密与其他加密模型

并非所有加密都是端到端的。差异决定了谁可以访问您的数据。

传输加密（TLS/SSL）

数据在您的设备和服务器之间加密。服务器在收到后解密它。这防止了传输过程中的窃听，但将数据留在服务器上可读。每个主要云服务都使用传输加密。这是基线，而非标准。

静止加密（服务器端）

服务器使用服务器管理的密钥加密存储的数据。这防止服务器硬件的物理盗窃，但不能防止服务提供商、其员工或针对提供商的法律请求。iCloud、Google Drive 和 Dropbox 都使用服务器端静止加密。提供商持有密钥。

端到端加密

数据在用户设备上用用户控制的密钥加密。服务器存储它无法解密的密文。提供商无法读取数据，无法遵从数据请求（因为解密是不可能的），也不会以暴露明文的方式被入侵。这是唯一一种"提供商无法访问您的数据"是数学声明而非政策承诺的模型。

加密模型	谁持有密钥	提供商可以读取数据？	防止提供商？
仅传输（TLS）	服务器	是	否
静止（服务器端）	服务器	是	否
端到端	仅用户	否	是
零知识端到端加密	仅用户，提供商零访问	否	是，通过架构约束

照片存储服务如何处理加密

不同照片存储服务的加密模型差异显著。一些宣传"加密"而不指定模型，这可能会误导用户相信他们的照片是端到端加密的，而实际上并非如此。

iCloud Photos

Apple 使用传输加密和静止加密。Apple 默认持有加密密钥。有了有效的法律请求，Apple 可以提供 iCloud Photos 数据。例外：Apple 的高级数据保护（ADP）自 2022 年 12 月起可用，为 iCloud Photos 添加了端到端加密。必须在设置中明确启用 ADP。启用后，Apple 无法访问 iCloud Photos 数据。大多数用户尚未启用 ADP。

Google Photos

Google 使用传输加密和使用服务器端密钥的静止加密。Google 持有所有 Google Photos 数据（包括锁定文件夹内容）的加密密钥。Google 可以遵从法律数据请求。Google 不为 Google Photos 提供端到端加密选项。

Dropbox

传输加密（TLS 1.2+）和静止加密（AES-256，Dropbox 管理密钥）。Dropbox 持有密钥，可以访问您的文件。Dropbox 曾遭受数据泄露（2012 年，6800 万账户）。Dropbox Vault（付费功能）增加了 PIN 保护，但不添加端到端加密。

OneDrive

Microsoft 使用传输加密和使用 Microsoft 管理密钥的静止加密。Microsoft 持有密钥。OneDrive 个人保险库增加了身份验证（2FA），但不添加端到端加密——Microsoft 仍然可以访问数据。对于企业客户，客户管理密钥是可用的。

Vaultaire

具有零知识架构的端到端加密。照片在任何云上传之前使用 AES-256-GCM 在设备上加密。加密密钥通过 PBKDF2 从用户绘制的图案派生。密钥从不离开设备。Vaultaire 无法解密存储的数据，即使对于其自己的加密 iCloud 备份也是如此。如果收到传票，没有什么可提供的。

服务	传输加密	静止加密	端到端加密	提供商可以访问
iCloud Photos（默认）	是	是（Apple 密钥）	否	是
iCloud Photos（已启用 ADP）	是	是	是	否
Google Photos	是	是（Google 密钥）	否	是
Dropbox	是	是（Dropbox 密钥）	否	是
OneDrive	是	是（Microsoft 密钥）	否	是
Vaultaire	是	是	是（零知识）	否

为什么端到端加密对照片很重要

照片是独特的敏感数据。它们包含面孔、位置（GPS 元数据）、时间戳和私人时刻的视觉记录。照片库的泄露暴露的个人信息比几乎任何其他数据类型都多。

数据泄露

当服务提供商使用服务器端加密存储您的照片（他们持有密钥）时，他们系统的泄露会暴露您的数据。Dropbox 2012 年的泄露暴露了 6800 万个账户。Yahoo 2013 年的泄露暴露了 30 亿个账户。如果您的照片是端到端加密的，服务器泄露只会暴露加密数据块——没有您的密钥就没有用处。

法律和政府访问

服务提供商可以被强制在法院命令、传票或国家安全信函下提供数据。2023 年，Apple 全球收到超过 12 万个政府数据请求。Google 收到超过 20 万个。如果您的照片是端到端加密的零知识架构，提供商没有什么可提供的。

内部访问

服务提供商的员工可能可以访问使用服务器端密钥存储的数据。虽然政策限制了这一点，但内部威胁确实存在。端到端加密使内部访问成为不可能，因为密钥对提供商的系统不可用。

元数据保护

一些端到端加密实现只加密文件内容，留下元数据（文件名、日期、大小）未受保护。Vaultaire 等更强的实现使用 ChaCha20 单独加密元数据，防止基于文件属性的分析。

关于端到端加密的常见误解

"我的云存储已加密，所以我的照片是安全的。"服务器端加密防止外部攻击服务器硬件。它不能防止提供商本身、法律请求或内部威胁。提供商持有密钥。

"HTTPS 意味着我的照片是端到端加密的。"HTTPS（TLS）加密您的设备和服务器之间传输的数据。一旦数据到达服务器，就会被解密。HTTPS 是管道的加密，而非数据的加密。

"端到端加密意味着没有人能看到我的照片。"端到端加密意味着没有密钥的人无法看到您的照片。如果有人有您的密码或密钥，他们可以解密数据。密钥管理和强密码仍然至关重要。

"Apple/Google 无法看到我的照片。"默认情况下，两家公司都持有您云存储照片的加密密钥。Apple 提供高级数据保护作为选择加入。Google 根本不为 Google Photos 提供端到端加密选项。

Vaultaire 如何实现端到端加密

Vaultaire 使用分层端到端加密方法：

AES-256-GCM 加密所有文件内容。每个文件获得唯一的初始化向量。认证加密检测篡改。
PBKDF2 和 HMAC-SHA512 从用户在 5x5 网格上绘制的图案派生加密密钥。高迭代次数使暴力破解攻击在计算上不可行。
ChaCha20 单独加密元数据（文件名、日期、尺寸），提供密码学多样性。
Apple Secure Enclave 在硬件中管理密钥存储，与主处理器和应用内存隔离。
零知识架构意味着加密密钥从不传输、存储在服务器上或被开发者知晓。应用不知道您是谁。

图案从不存储。图案的哈希也从不存储。如果图案和恢复短语都丢失，数据对任何人都无法恢复。

常见问题

端到端加密合法吗？

是的，在大多数国家。端到端加密在美国、欧盟和大多数民主国家是合法的。一些政府提议了要求后门的立法（例如英国的《网络安全法》条款），但端到端加密本身仍然合法。加密您的个人照片没有法律禁止。

执法部门能破解端到端加密吗？

不能通过破解加密算法本身。AES-256 被认为在当前和可预见的计算技术下（包括量子计算机，Grover 算法将有效密钥长度减半至 128 位，但在计算上仍然不可行）是无法破解的。执法部门可能尝试通过其他方式获取密钥（强迫用户、利用设备漏洞），但加密本身保持不变。

端到端加密和零知识加密有什么区别？

端到端加密确保数据在用户设备上加密，只在接收方设备上解密。零知识是更强的声明：服务提供商对加密数据零信息——没有密钥、没有元数据访问、没有恢复或重置能力。所有零知识系统都使用端到端加密，但并非所有端到端加密系统都是零知识的。

端到端加密会减慢我的手机速度吗？

现代设备通过专用硬件加速处理 AES-256 加密。在 iPhone 上，Secure Enclave 处理密码学操作。单张照片的加密和解密需要毫秒级时间。正常使用没有可感知的性能影响。

如果我丢失了加密密钥会怎样？

使用真正的端到端加密，丢失密钥意味着丢失数据。没有后门，没有主密钥，也没有服务提供商的恢复。大多数端到端加密系统在设置时提供恢复机制（恢复短语、紧急套件），应该安全存储。

总结

端到端加密是唯一一种"提供商无法访问您的数据"是数学保证而非公司承诺的模型。对于照片，这意味着在您的设备上加密，使用只有您持有的密钥，在任何东西接触服务器之前。大多数云端照片服务默认不提供此功能。在信任一项服务处理您的私人照片之前，检查谁持有密钥。

Vaultaire 为 iOS 实现了具有零知识架构的端到端加密。您的照片在设备上使用 AES-256-GCM 加密。密钥从不离开您的手机。甚至 Vaultaire 也看不到您存储的内容。