下載
返回部落格
技術··9 分鐘閱讀

iCloud Private Relay 與 VPN 有什麼差別?

語言: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文

如果你訂閱了 iCloud+,「設定」裡某個地方已經默默開著 Private Relay。許多 iPhone 使用者理所當然地認為這已經足以保護自己——以為它是 Apple 內建的安靜 VPN,不必再多操心。

事情沒那麼單純。關於 iCloud Private Relay 與 VPN 的誠實答案是:它們是為不同用途而生的不同工具。Private Relay 設計精良,對某些人來說確實夠用;但對很多人來說,它留下了他們未曾察覺的巨大漏洞。本文將逐一說明 Private Relay 實際上能做什麼、不能做什麼,以及如何判斷你屬於哪一類使用者。

Private Relay 究竟是什麼

Private Relay 是 iCloud+ 的一項功能,並非獨立產品。任何付費 iCloud 儲存空間方案都會附帶它。

一句話概括它的作用:它將你的 Safari 瀏覽請求以及部分 iCloud 相關的背景流量透過兩台伺服器進行代理,使得任何單一方都無法同時知道你是誰以及你在造訪什麼。僅此而已。它沒有被當作 VPN 來宣傳,Apple 也從未將其稱為 VPN,儘管大多數人習慣將兩者混為一談。

你手機上的其他一切——Instagram、Chrome、TikTok、銀行 App、郵件用戶端、任何遊戲、任何第三方瀏覽器——都走正常連線。Private Relay 不會碰它們。

Private Relay 的運作原理(白話解釋)

Private Relay 有趣的地方在於其雙跳架構。這是一個經過認真設計的方案,即便你最終選擇使用 VPN,也值得了解一下。

兩跳,兩個參與方

當 Safari 在 Private Relay 開啟的情況下載入頁面時,你的請求會依序經過兩個中繼:

  • 入口中繼由 Apple 營運。它能看到你的真實 IP 位址(因為你的手機直接連線到它),但它看不到你要造訪哪個網站。目標網址被一把入口伺服器沒有的獨立金鑰加密。
  • 出口中繼由第三方合作夥伴營運(依地區不同,可能是 Cloudflare、Fastly 或 Akamai)。它可以解密目標位址,但看不到你的真實 IP。在入站方向,它看到的只是入口中繼的位址。

關鍵在於:目標 URL 和你的 IP 分別用兩把不同的金鑰加密,分別由兩個不同的參與方持有。Apple 持有揭示你身分的金鑰;合作夥伴持有揭示你造訪目標的金鑰。任何一方都永遠無法同時掌握兩半資訊,因此任何單獨一方都無法建立你的瀏覽紀錄。

這是真正的隱私提升,而且比標準的單跳 VPN 設計更有原則——單跳 VPN 中,一個供應商能看到所有內容。假設 Apple 和出口合作夥伴不共享資料,Private Relay 確實為 Safari 流量樹立了更高的隱私標準。

那問題在哪裡?

問題在於涵蓋範圍。Private Relay 只保護:

  • Safari 瀏覽
  • 少量系統層級的 iCloud 和 Apple 服務
  • 使用系統網路 API 的 App 中極少數的非加密(HTTP)流量

其他一切——而在一支普通 iPhone 上,「其他一切」才是你手機大部分的網路活動——都走普通連線,雙跳設計對它們無效。

舉個具體例子:打開 Instagram 滑動態。App 的圖片請求、分析呼叫、廣告 SDK 向伺服器回報你滑動的行為——這些都不經過 Private Relay。你的 ISP 可以看到你的手機在連線哪些伺服器以及大致時間。目標端點可以記錄你的原始 IP。從 Safari 切換到任何第三方 App,實際上就相當於關掉了 Private Relay,而你不會收到任何提示。

Private Relay 做不到的事

這部分是大多數使用者忽略的地方。以下清單不是對 Private Relay 的批評,只是如實描述它的邊界。

  • 它不會將非 Safari App 的流量導入通道。打開 Chrome、Firefox、任何社群 App、任何通訊軟體、任何遊戲、任何銀行 App,你的 IP 以及該 App 的流量對你的 ISP 和中間的任何節點都是可見的。
  • 它不讓你選擇國家或地區。你可以在「維持大致位置」和「使用國家與時區」之間選擇,但你無法從德國路由到美國的伺服器。沒有伺服器選擇器,因為 Private Relay 本來就不打算成為那樣的工具。
  • 它在許多國家無法使用。Private Relay 在包括中國、俄羅斯、沙烏地阿拉伯、白俄羅斯和埃及在內的多個地區無法使用或被封鎖,且名單隨時可能變化。如果你要前往這些地區,值得在出發前查閱 Apple 目前的可用性頁面。抵達這些地方後,該功能會直接關閉,而你未必會收到提示。
  • 它無法擋掉 App 追蹤器。嵌入第三方 App 的追蹤 SDK 能看到你的真實 IP,因為那個 App 本來就沒有經過 Private Relay。
  • 它無法在惡意 Wi-Fi 上保護非 Safari 流量。連線到可疑的飯店或機場網路時,你的非 Safari App 照樣暴露,和沒有 Private Relay 沒有任何差別。

以上都不是 Private Relay 的缺陷。它在做它被設計來做的事。錯誤在於以為它能做更多。

Private Relay 是 VPN 嗎?

嚴格來說:不是。VPN 建立一條加密通道,捕捉離開你裝置的所有流量,並透過你選擇的伺服器路由。Private Relay 是一個範圍有限、設計固定的代理,它有意不提供伺服器選擇器,也有意不將所有流量導入通道。

如果朋友問「Private Relay 是不是 VPN」,簡短的答案是:「它是一個針對 Safari 具備部分 VPN 特性的隱私功能,但它不能取代 VPN。」

Private Relay 何時已經夠用

對某些人來說,Private Relay 確實足夠。如果以下情況都符合你,你大概就屬於這類使用者:

  • 你幾乎所有瀏覽都在 Safari 中完成,幾乎不用第三方瀏覽器。
  • 你不需要看起來身處某個特定國家(無論是為了串流、測試、出行,還是在海外造訪國內內容)。
  • 你不常前往或居住在 Private Relay 無法使用的國家。
  • 你可以接受:你打開的任何 App——包括內嵌廣告 SDK 的——都能看到你的真實 IP。

如果以上四點都符合,Private Relay 加 Safari 是一個合理的基礎配置,你可能不需要單獨的 VPN。這也是一份 iPhone 隱私清單的合理起點。

何時真正需要 VPN

如果以下任何一條適用於你,你可能需要真正的 VPN,而不只是 Private Relay:

  • 你希望所有流量都經過通道,而不只是 Safari。手機上的每個 App、每個瀏覽器、每個背景服務都走同一條加密連線。Private Relay 做不到這一點。
  • 你需要選擇國家。為了出行、造訪只在特定地區提供的內容,或者只是想讓自己看起來在別處,都需要一個帶伺服器選擇器的真正 VPN。
  • 你經常使用公共 Wi-Fi。咖啡廳、飯店、機場、共享辦公空間。VPN 保護你裝置上的所有流量,而不只是你開著的那個 Safari 分頁。如果你想深入了解在這種情境下無紀錄政策為何重要,可以閱讀 無紀錄 VPN 究竟意味著什麼
  • 你前往 Private Relay 無法使用的地區。中國、俄羅斯、中東和中亞部分地區。在這些地方,Private Relay 要麼被封鎖,要麼無法使用——而這恰恰是你最需要隱私工具的時刻。VPN 能給你 Private Relay 無法提供的保護,這也是許多使用者在中國尋找翻牆科學上網工具的原因。
  • 你希望縱深防禦。Private Relay 是一種機制,VPN 是另一種。兩者防護的威脅有重疊但也各有側重,部分使用者希望兩者兼備。

如果你剛接觸這個領域,想先了解基礎知識,可以閱讀 VPN 是什麼的入門介紹

可以同時執行 Private Relay 和 VPN 嗎?

可以。兩者在 iOS 上可以共存,不會衝突。

實際情況是:當 VPN 啟用並將所有流量導入通道時,你的 Safari 請求和其他流量一樣走 VPN。Private Relay 的雙跳路徑變得多餘——你的流量已經透過 VPN 供應商路由了,在前面再加一層 Apple 的中繼除了增加延遲,改變不了多少。

因此,大多數使用完整 VPN 的使用者最終會關掉 Private Relay,或者根本不在意 iOS 悄悄繞過它。這樣做不會損失任何東西;你只是把兩個重疊的隱私層合併成了一個涵蓋範圍更廣的層。

實用建議:如果你決定使用 VPN,就以 VPN 為預設,把 Private Relay 當作 VPN 關閉時的備用方案(切換伺服器之間、App 無法透過通道運作時等)。在 iOS 上你不必在設定層面二選一。兩者可以同時開啟,當下啟用的那個會處理 Safari 流量。同時保持兩者開啟的唯一代價,是 VPN 關閉後 Private Relay 接手時 Safari 載入稍慢一些。

結論

iCloud Private Relay 是一個設計精良、職責專一的功能:保護你的 Safari 瀏覽以及少量系統流量,不被任何單一方監看。它把這項工作做得很好,雙跳架構比大多數 VPN 設計更有原則。

但它不是 VPN,也沒有聲稱自己是。它不涵蓋非 Safari App,不讓你選擇地區,在多個國家無法使用,在 Safari 之外的惡意 Wi-Fi 情境下也幫不了你。如果這些缺口對你來說很重要——對許多 iPhone 使用者來說確實如此——你需要一個真正的 VPN,作為 Private Relay 的補充或替代。

正確的問題不是「iCloud Private Relay 與 VPN,哪個更好?」,而是「我究竟想保護什麼,哪個工具能涵蓋它?」對於只使用 Safari、且身處支援地區的使用者,Private Relay 單獨使用是合理的。對其他人來說,VPN 能做到 Private Relay 從未打算做的事。

如果你考慮清楚後決定需要一個涵蓋手機上所有 App 而不只是一個瀏覽器的 VPN,Snap VPN 正是為此而生。不需電子郵件註冊,不記錄流量,帳號與你的名字無關。訂閱綁定你的 Apple ID,涵蓋主要地區,底層採用 WireGuard。macOS 版本即將推出。

The Snap VPN Team
Editorial