如何加密你的手機:iOS 和 Android 指南

裝置加密是你抵禦實體盜竊和取證提取的最後防線。以下是它的作用、如何確認已啟用,以及對香港用戶的限制。

Follow the full smartphone security guide → Guide to Mobile Security
Phone encryption guide iOS Android
1加密的作用

手機加密實際上保護你免受什麼威脅

全裝置加密將你手機內部儲存上的所有數據轉換為不可讀的密文,只有使用正確的金鑰才能解密。如果你的手機在關機狀態下落入錯誤的人手中——無論是竊賊、取證審查員還是任何其他人——他們在沒有解密金鑰的情況下無法讀取你的任何數據。這種保護至關重要,因為智能手機的實體盜竊在香港是常見犯罪,而現代手機上個人和財務數據的價值遠超硬件本身的價值。

若沒有加密,複雜的攻擊者可以將你的手機連接到取證提取工具(如 Cellebrite UFED 或 GrayKey),並提取你的儲存空間的完整內容——訊息、相片、密碼、銀行應用程式數據、驗證令牌——即使不知道你的解鎖 PIN 碼。有強效加密和強效密碼,提取工具只能獲得一個加密的數據塊,需要解密金鑰才能讀取。金鑰衍生自你的密碼,這就是為何強效密碼對加密的有效性至關重要。

同樣重要的是了解裝置加密不能保護的內容:透過網絡傳輸的數據(由 VPN 和 HTTPS 保護)、儲存在雲端備份中的數據(由雲端加密設定保護),以及手機解鎖時可見的數據。加密是專門針對關機或鎖定裝置的實體存取保護——它是多層安全策略中的一層,而非完整的解決方案。

  • 防止實體盜竊:已加密且關機或鎖定的手機,無法在沒有密碼的情況下進行取證提取。
  • 防止取證工具:商業提取設備無法在沒有衍生加密金鑰的情況下讀取加密儲存空間。
  • 與你的密碼掛鈎:加密金鑰衍生自你的密碼——弱密碼會削弱即使是強效的加密。
  • 不保護傳輸中的數據:加密保護儲存的數據;網絡流量需要單獨的保護層(VPN、HTTPS)。
  • 不預設保護雲端備份:你必須分別為雲端備份啟用端對端加密(iOS 進階 數據保護 ↗,Android 加密備份)。
  • 僅限關機或鎖定狀態:加密只在裝置關機或鎖定時有效——一旦解鎖,數據即以解密形式可存取。
將加密與最強效的螢幕鎖定設定配合使用 →
What phone encryption protects against
2iOS 加密

iPhone 加密:Apple 如何保護你的數據

Apple 自 iPhone 3GS(2009年)起在每部 iPhone 上實施了硬件支援的加密,且加密架構在每一代都大幅改進。iOS 使用內置於每部 iPhone 自2013年起的 Secure Enclave 處理器的唯一每裝置硬件金鑰,結合你的密碼,衍生每個文件的加密金鑰。這種硬件層面的金鑰意味著即使是 Apple 本身也無法繞過加密——即使在回應 執法機構 ↗ 的請求時,公司也無法從鎖定的 iPhone 中提取你的數據。

iOS 實施多個等級的 數據保護 ↗。處於最高保護等級的文件(NSFileProtectionComplete)使用只在手機解鎖時才可用的金鑰加密——它們在你鎖定螢幕的那一刻即變得不可存取。其他數據等級在手機鎖定時仍可存取,原因是功能性需求(例如允許鬧鐘響起、電郵到達)。了解這種等級系統解釋了為何強效鎖定 PIN 碼和即時自動鎖定計時器是裝置加密不可或缺的補充。

要確認 iOS 加密已啟用:前往「設定」→「Face ID 與密碼」(或「Touch ID 與密碼」),滾動至頁面底部。「已啟用數據保護」的文字確認全裝置加密已啟用。當你設定密碼時,這會自動啟用。如果你已設定密碼,你的 iPhone 就已加密——你無需採取任何額外步驟。

  • 設定密碼時自動啟用:iOS 加密在你設定密碼時自動啟用——無需額外步驟。
  • 硬件支援的金鑰:Secure Enclave 處理器融合了無法提取或轉移到另一裝置的唯一硬件金鑰。
  • 確認加密:「設定」→「Face ID 與密碼」→滾動至底部→確認「已啟用數據保護」。
  • 文件保護等級:大多數敏感文件(密碼、憑證)使用 NSFileProtectionComplete——鎖定時不可用。
  • Apple 無法繞過:Apple 已確認無法解密現代 iPhone 上的儲存數據——這是硬件支援金鑰管理的直接結果。
  • 啟用進階數據保護:對於雲端備份,前往「設定」→「[你的名字]」→「iCloud」→「進階數據保護」,將端對端加密擴展至 iCloud 備份。
查看所有基本 iPhone 安全設定 →
iPhone iOS encryption settings
3Android 加密

Android 加密:預設啟用了什麼,什麼沒有

Android 自 Android 6.0(Marshmallow,2015年)起要求所有新裝置預設啟用全碟加密——儘管執行情況參差不齊。從 Android 7.0 起,Google 轉向了基於文件的加密(FBE),以不同的金鑰對個別文件進行加密,而非以單一金鑰加密整個磁碟。基於文件的加密啟用了直接啟動模式,允許手機在用戶重啟後解鎖裝置之前接收通話和鬧鐘,同時保持個人數據文件加密,直到首次解鎖。

在運行 Android 10 及更新版本且採用基於文件的加密的現代 Android 裝置上,存在兩種加密狀態:首次解鎖前(BFU)和首次解鎖後(AFU)。在 BFU 狀態(重啟後、你輸入 PIN 碼前),幾乎所有個人數據都無法存取——即使是 執法機構 ↗ 持有實體裝置也如此。在 AFU 狀態(自上次重啟後你輸入 PIN 碼一次後),憑證加密文件的金鑰載入到記憶體中,使得非常複雜的攻擊者使用昂貴的工具進行取證提取成為可能。

要確認 Android 加密:前往「設定」→「安全性」→「加密和憑據」。尋找「手機已加密」或類似措辭——在大多數現代 Android 裝置上,這是預設啟用的,無法停用。如果你的裝置運行 Android 6.0 或更新版本且你已設定鎖定螢幕 PIN 碼,你的裝置就已加密。在較舊的裝置或某些製造商的實現中,請查看此設定路徑以確認。

  • 自 Android 6.0 起預設:所有2015年以後的 Android 裝置均應預設啟用全裝置加密。
  • 基於文件的加密(FBE):Android 7.0 以上版本使用 FBE,提供比全碟加密更強的首次解鎖前保護。
  • 確認加密狀態:「設定」→「安全性」→「加密和憑據」——確認「手機已加密」。
  • 定期重啟:重啟你的 Android 手機可恢復 BFU 保護——考慮在夜間重啟以最大化靜態數據的保護。
  • 加密 SD 卡:如果你的 Android 使用 microSD 卡,前往「設定」→「安全性」→「加密 SD 卡」——SD 卡預設未加密。
  • Titan M2 晶片(Pixel):Google Pixel 裝置包含專用安全晶片,提供與 iPhone Secure Enclave 同等的硬件金鑰保護。
配置所有 Android 安全設定 →
Android encryption settings and verification
4雲端備份加密

加密你的雲端備份:缺失的一層

裝置加密保護你實體手機上的數據,但不會自動保護你的雲端備份。如果你的 iCloud 或 Google 帳戶被入侵,或 Apple 或 Google 收到有效的法律命令,你的備份可以被他們存取。直到最近,Apple 持有 iCloud 備份的金鑰——意味著 Apple(以及透過有效法庭命令的執法機構)可以存取你備份的數據。對於啟用了進階數據保護的用戶,這種情況已有所改變。

Apple 的進階數據保護(在 iOS 16.2 中引入)將端對端加密擴展至 iCloud 備份、iCloud 雲碟、相片、備忘錄、提醒事項、Safari 書籤、Siri 捷徑、語音備忘錄、Wallet 票證及其他多個數據類別。啟用後,只有你受信任的 Apple 裝置持有解密 iCloud 數據的金鑰——Apple 沒有。這是重大的私隱改進,每個注重安全的 iPhone 用戶都應啟用。代價是,如果你失去所有受信任裝置和恢復金鑰的存取,Apple 無法幫你恢復數據。

對於 Android 用戶,Google One 備份使用你的 Google 帳戶憑證加密備份。Google 可以存取這些數據,就像 Apple 之前可以存取 iCloud 數據一樣。Google 確實為某些數據類別提供端對端加密備份,運行 Android 9 及更新版本的 Pixel 裝置支援使用裝置密碼作為加密金鑰的端對端加密 Google 帳戶備份。然而,保護程度不如 Apple 的進階數據保護全面,且確切範圍因 Android 版本和製造商而異。

  • 啟用進階數據保護(iOS):「設定」→「[你的名字]」→「iCloud」→「進階數據保護」→「開啟進階數據保護」。
  • 儲存你的恢復金鑰:啟用進階數據保護前,生成並安全儲存恢復金鑰——如果你失去所有裝置,這是你恢復數據的唯一途徑。
  • iMessage 備份:啟用進階數據保護後,iCloud 中的 iMessage 是端對端加密的——Apple 無法讀取你備份的訊息。
  • Google 備份加密:Android 9 以上版本的 Pixel 裝置支援使用你的裝置密碼作為金鑰的端對端加密 Google 備份。
  • 第三方備份應用程式:Signal 等應用程式已實施自己的端對端加密備份系統,獨立於 iCloud 或 Google。
  • 本地加密備份:為獲得最大控制權,在 iTunes/Finder 中定期執行 iPhone 本地備份,並啟用「加密本機備份」選項。
在 iPhone 上啟用進階數據保護 →
Cloud backup encryption iCloud Google
加密是完整安全策略的一部分

加密是完整安全策略的一部分

裝置加密在配合強效密碼、應用程式權限管理和定期備份時效果最佳。我們的完整智能手機安全指南將所有這些層面結合在一起。

遵循完整的智能手機安全指南 → 手機安全指南

Related VPN Articles

What Is a VPN?

The complete beginners guide to VPN technology.

How Does a VPN Work?

Encryption, IP masking and data tunnelling explained.

VPN Protocols Explained

OpenVPN, WireGuard, IKEv2 - which should you use?

Best VPNs for Hong Kong

Top-rated VPNs tested for HK users.

VPN for Streaming

Unblock Netflix, Disney+ and more from Hong Kong.

VPN on Public WiFi

Why public hotspots are dangerous and how VPN helps.

How to Choose the Right VPN

The complete VPN selection checklist.

VPN Glossary

30 key VPN terms explained.

Free vs Paid VPN

What you sacrifice with a free VPN.