Qual é a diferença entre cifragem do lado do cliente e do lado do servidor?

Com a cifragem do lado do servidor, o seu ficheiro viaja até ao fornecedor (por TLS), e o fornecedor cifra-o nos seus servidores usando chaves que controla. Como o fornecedor detém as chaves, pode tecnicamente ler, analisar ou divulgar os seus dados sob imposição legal. Com a cifragem do lado do cliente, o ficheiro é cifrado primeiro no seu dispositivo, e só você detém a chave — o fornecedor armazena texto cifrado que realmente não consegue abrir. A do lado do servidor protege contra hackers externos; a do lado do cliente protege também contra o próprio fornecedor e contra quem o possa obrigar.

A cifragem do lado do cliente é o mesmo que a cifragem de ponta a ponta?

Sobrepõem-se largamente. A cifragem do lado do cliente descreve onde acontece a cifragem — no seu dispositivo, antes do upload. A cifragem de ponta a ponta descreve o percurso — os dados são legíveis apenas nos extremos, nunca no meio. Na prática, uma cloud zero-knowledge implementa a cifragem do lado do cliente para que os dados permaneçam protegidos de ponta a ponta: cifrados no seu dispositivo, decifrados apenas nos seus dispositivos, texto cifrado em todo o percurso intermédio. O fio condutor é simples: só você detém a chave.

O que acontece se esquecer a palavra-passe com a cifragem do lado do cliente?

Este é o compromisso honesto. Como só você detém a chave e o fornecedor nunca a vê, normalmente não há reposição de palavra-passe que recupere os seus dados — se perder a palavra-passe (e qualquer chave de recuperação emitida pelo serviço), os ficheiros cifrados ficam efetivamente irrecuperáveis. É o reverso da verdadeira privacidade: um fornecedor que pode repor a sua palavra-passe para restaurar os seus ficheiros é um fornecedor que também os poderia ler. Com a cifragem do lado do cliente, guarde a sua palavra-passe e a chave de recuperação em segurança, idealmente num gestor de palavras-passe.

Que serviços de cloud usam a cifragem do lado do cliente?

Vários fazem-no por conceção: o Proton Drive e a Tresorit cifram no dispositivo por predefinição; o pCloud oferece-a através do seu add-on opcional Crypto; o MEGA aplica-a a toda a conta. Também pode adicionar você mesmo a cifragem do lado do cliente sobre qualquer cloud usando ferramentas como o Cryptomator ou o VeraCrypt, que criam um cofre cifrado antes de os ficheiros sincronizarem. Os serviços mainstream Google Drive, Dropbox e iCloud são geralmente do lado do servidor por predefinição — o fornecedor detém as chaves — por isso procure especificamente «lado do cliente», «ponta a ponta» ou «zero-knowledge» se a privacidade perante o fornecedor lhe importa.

O que é a cifragem do lado do cliente? Como funciona e porque importa (2026)

Q: O que é a cifragem do lado do cliente?

A cifragem do lado do cliente significa que os seus dados são cifrados no seu próprio dispositivo — o cliente — antes de serem enviados para qualquer lado. A chave de cifragem é derivada da sua palavra-passe (ou de um ficheiro de chave) e permanece no seu dispositivo; o servidor nunca a recebe. Por isso, quando carrega um ficheiro, o fornecedor armazena apenas texto cifrado que não consegue abrir, analisar ou entregar em forma legível. É o mecanismo técnico por trás do armazenamento «zero-knowledge» e «cifrado de ponta a ponta»: o serviço transporta os seus dados sem nunca os conseguir ler.

Quando um serviço de cloud diz que os seus ficheiros estão «cifrados», a questão crucial é quem os pode decifrar. Na maioria dos serviços mainstream, a resposta é: o fornecedor pode. A cifragem do lado do cliente inverte isso — os seus ficheiros são cifrados no seu próprio dispositivo antes sequer de o deixarem, por isso a empresa armazena dados que realmente não consegue ler. Este guia explica como funciona, em que difere da cifragem normal do lado do servidor, os seus compromissos honestos e quais os serviços que realmente a usam.

O que é a cifragem do lado do cliente

A cifragem do lado do cliente significa que a cifragem acontece no cliente — o seu telemóvel ou computador — antes de os seus dados serem carregados. A chave que tranca e destranca os seus ficheiros é derivada da sua palavra-passe e permanece no seu dispositivo. O servidor nunca a recebe.

O resultado: quando carrega um ficheiro, o fornecedor detém apenas texto cifrado — um bloco ilegível que não consegue abrir, analisar, indexar ou entregar em forma legível. É o mecanismo técnico por trás das etiquetas «zero-knowledge» e «cifrado de ponta a ponta» que vê no armazenamento orientado para a privacidade.

Como funciona, passo a passo

Escreve a sua palavra-passe na app. A partir dela, a app deriva uma chave de cifragem — localmente.
Antes de qualquer upload, a app cifra o ficheiro no seu dispositivo com essa chave.
Apenas o texto cifrado é enviado para o servidor (ainda por TLS, por isso cifrado também em trânsito).
Quando abre o ficheiro, o texto cifrado regressa e é decifrado no seu dispositivo com a sua chave.

Em nenhum momento o ficheiro legível — ou a chave — existe nos servidores do fornecedor. É esse mesmo o objetivo: o serviço é um estafeta de envelopes selados que não consegue abrir.

Lado do cliente vs lado do servidor

É aqui que vive a maior parte da confusão sobre «é privado?»:

Cifragem do lado do servidor — o seu ficheiro é carregado, depois o fornecedor cifra-o nos seus servidores com chaves que controla. Boa contra hackers externos e discos roubados, mas o fornecedor pode ainda ler, analisar ou divulgar os seus dados. É a predefinição para o Google Drive, o Dropbox e o iCloud.
Cifragem do lado do cliente — o seu ficheiro é cifrado primeiro no seu dispositivo, e só você detém a chave. O fornecedor armazena texto cifrado que não consegue ler. Boa contra hackers e contra o próprio fornecedor (e os pedidos legais que lhe podem ser notificados).

A única diferença que importa é quem detém a chave. Para a versão «modelo de armazenamento» desta distinção, veja ponta a ponta vs zero-knowledge no armazenamento na cloud.

Um cadeado sobre um mapa do mundo representado em código binário

O que protege — e o que não protege

Protege: os conteúdos dos seus ficheiros contra o fornecedor, o seu pessoal, qualquer pessoa que invada os seus servidores e qualquer pessoa que o obrigue legalmente. Todos eles veem apenas texto cifrado.

Não protege, em geral:

Alguns metadados — consoante o serviço, tamanhos de ficheiros, datas/horas ou a estrutura de pastas podem continuar visíveis para o fornecedor mesmo quando os conteúdos não estão.
Um dispositivo comprometido — se um malware ou alguém com acesso usar o seu dispositivo desbloqueado, a cifragem é contornada no ponto em que os ficheiros são decifrados: o endpoint.
Uma palavra-passe perdida — como só você detém a chave, normalmente não há recuperação se perder a sua palavra-passe e a chave de recuperação (ver as FAQ). A verdadeira privacidade e «o fornecedor pode repô-la por mim» excluem-se mutuamente.

A cifragem do lado do cliente é poderosa, não total — protege os seus dados em repouso e em trânsito, não os dispositivos que detêm as chaves.

Que serviços a usam realmente

Alguns integram-na por conceção; com outros adiciona-a você mesmo:

Integrada — o Proton Drive e a Tresorit cifram no dispositivo por predefinição; o pCloud oferece-a através do add-on opcional Crypto; o MEGA aplica-a a toda a conta.
Adicioná-la você mesmo — ferramentas como o Cryptomator ou o VeraCrypt criam um cofre cifrado sobre qualquer cloud, por isso os ficheiros são cifrados do lado do cliente antes de sincronizarem. Veja a nossa comparação Cryptomator vs VeraCrypt.

Os serviços mainstream Google Drive, Dropbox e iCloud são geralmente do lado do servidor por predefinição. Se a privacidade perante o fornecedor lhe importa, procure especificamente lado do cliente, ponta a ponta ou zero-knowledge. Compare as opções no nosso guia melhor armazenamento na cloud cifrado gratuito.

Choix éditorial

4.5 / 5

Armazenamento cifrado do lado do cliente → pCloud + Crypto

Jurisdição suíça · Ficheiros cifrados no seu dispositivo com o add-on Crypto (zero-knowledge) · Planos lifetime

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB

Voir l'offre

Como verificar se um serviço a usa realmente

A linguagem do marketing é escorregadia. Algumas verificações honestas:

Diz «lado do cliente», «ponta a ponta» ou «zero-knowledge» — e não apenas «cifrado» ou «seguro»?
Avisa que uma palavra-passe perdida significa dados perdidos? Esse aviso é um bom sinal — significa que eles não a conseguem repor, logo também não a conseguem ler.
A cifragem está ativada por predefinição ou é um add-on (como o pCloud Crypto) que tem de ativar?
O cliente é open-source ou auditado de forma independente? Código verificável vale mais do que uma promessa.

Se um fornecedor lhe consegue mostrar os seus ficheiros após um simples e-mail de «palavra-passe esquecida», os seus dados nunca foram cifrados do lado do cliente.

Em conclusão

A cifragem do lado do cliente é o mecanismo que torna o armazenamento «privado» na cloud realmente privado: os seus ficheiros são trancados no seu próprio dispositivo, e só você detém a chave, por isso o fornecedor armazena texto cifrado que não consegue ler. Supera a cifragem normal do lado do servidor porque protege contra o próprio fornecedor — ao preço de uma verdadeira responsabilidade pela sua palavra-passe. Para um armazenamento genuinamente privado, procure lado do cliente / zero-knowledge por conceção, ou adicione-a você mesmo com uma ferramenta de cofre. Para compreender primeiro o panorama geral, comece por o que é o armazenamento na cloud.

Guia editorial baseado no funcionamento da cifragem do lado do cliente (chaves no dispositivo, armazenamento apenas de texto cifrado) e nos seus compromissos documentados (metadados, segurança dos endpoints, sem recuperação da palavra-passe). A ligação comercial tem o atributo rel="sponsored nofollow"; pode aplicar-se uma comissão de afiliação sem custo adicional para si.

Choix éditorial

4.5 / 5

Store your files privately → pCloud

Swiss privacy · 10 GB free · optional zero-knowledge Crypto