Firebaseでユーザーデータを暗号化する方法
Firebaseで電子メール/パスワードサインイン方式を使用しています。データベースに送信する前に、ユーザーがリアルタイムデータベースに保存するデータを暗号化します。 Firebaseはすでにユーザーパスワードを処理していますが、クライアントだけでは解読できないデータを暗号化するために何らかの方法で使用できますか?クライアントSDKで実現できたらいいですね。
したがって、私のフローは次のようになります。
- ユーザーはその資格情報でサインインします(これはfirebase自体によって処理されます)
- ユーザーはいくつかの一意のキーでデータを暗号化します。このキーは、資格情報またはユーザーのみが利用できるが私は利用できないデータからのみ生成できます。 (このキーは、セッション間、またはユーザーがパスワードを変更した後も持続する必要があります。)
- データはデータベースに保存されます(ユーザーの資格情報で暗号化されているため、読み込めません)
- ユーザーは別のデバイスにログインします(復号化キーはすぐに生成でき、データは復号化できます)。
次の方法で簡単に実行できます。
- ユーザーAがログインすると、ランダムな公開秘密キーペアが電話で生成されます。例:Ecc Curve25519を使用
- Aからの秘密鍵は彼の電話に安全に保存されます
- Aからの公開鍵はfirebaseに保存されており、Aとチャットする誰でもアクセスできます。
- XがAにメッセージを送信する場合、彼はfirebaseからAから公開キーを取得し、Aのメッセージをローカルで暗号化し、暗号化されたメッセージをfirebaseのAからinboxに保存します
- 暗号化されたメッセージをfirebaseからダウンロードし、携帯電話に保存されている秘密鍵で解読します
(AからXの場合は逆)
Aが別の電話に移動したい場合、または複数の電話を使用したい場合は、次のようにします。
- Aに、ローカルに保存された秘密キーを暗号化するための強力なパスワードを定義するよう依頼します。 (または、ランダムパスフレーズを作成し、キー交換にQRコードを使用します)
- ステップ1のパスワードを使用して、自分の電話で秘密鍵をローカルで暗号化(例:AES256を使用)し、それをfirebaseにアップロードします。 (オプションで彼の秘密鍵で署名します)
- Aから2番目のデバイスから暗号化された秘密キーをダウンロードします
- Aから2番目のデバイスでパスフレーズを要求し、秘密キーを安全に保存します(オプションでAからの公開キーで署名を確認します)
- バックアップが必要ない場合は、Firebaseから暗号化された秘密キーを削除します