Firefox Sync, encriptación de extremo a extremo

3

Me gustaría sincronizar mis datos de navegación con múltiples dispositivos, pero estoy seguro de que no quiero compartir mis datos con terceros (lo que digan). He leído en el pasado que los datos guardados a través de Firefox Sync están encriptados de una manera que evita que Mozilla los descifre. He leído algunos [1] artículos [2] sobre Firefox Sync pero todavía estoy confundido en cuanto a lo que impide que Mozilla descifre los datos.

Cuando creé la cuenta en firefox.com, ingresé mi contraseña (dos veces). Esta contraseña podría haber sido enviada a los servidores de Mozilla. Por supuesto, la mejor práctica sería aplicar hash en JavaScript primero, pero no lo he comprobado. La página podría hacer cualquier cosa, así que, como laico, asumo lo peor.

Ahora estoy usando esta misma contraseña para iniciar sesión en Firefox Sync en mi navegador. Así que el único secreto para Sync es compartido con Mozilla. Si hubiera un secreto adicional en la PC local, entonces la pérdida de la PC significaría que no podría descifrar mis datos, por lo que la contraseña debe ser el único secreto.

Entonces, ¿qué impide realmente a Mozilla la extracción de datos en mis datos privados?

[1] enlace

[2] enlace

    
pregunta Mark Howard 01.06.2018 - 01:43
fuente

1 respuesta

4

Hay una muy buena explicación de crypto / auth para FxA. Mirándolo, muestra que tanto la clave de autenticación como la clave de ajuste de datos privados se derivan de forma independiente de la contraseña de una manera en la que no es posible derivar la clave de ajuste de la clave de autenticación. Entonces, nada almacenado en sus servidores les permitiría recuperar kB , que es la clave utilizada para almacenar los datos confidenciales de "Clase B", incluidos todos los datos de sincronización.

    
respondido por el David 01.06.2018 - 02:39
fuente

Lea otras preguntas en las etiquetas