Firefoxの同期パスワード回復はどのように機能しますか?
Mozilla Sync-new-security-model によると、Firefoxサーバーはパスワードなしでは同期データをdecryptできません。そのため、ブラウザはパスワードからキーを生成し、データを暗号化して、キーなしでネットワーク経由で送信すると考えました。
しかし、パスワードを忘れた場合でも、Firefoxにパスワードのリセットメールを送信させることで、パスワードを回復できます。このページによると、 ive-lost-my-firefox-sync-account-information 、メールがないと同期パスワードを回復できません。
- パスワードのリセットはどのように機能しますか?
- Firefoxは古いキーなしでサーバー上のデータをどのように
decryptして、同期のためにブラウザーに送り返すことができますか? - 古いキーをどこかに保存していますか、それとも奇妙な
cryptoマジックが起こっていますか?
仕様 は言う:
パスワードを忘れたクライアントは
kBを学習しないため、クラスBのデータは失われることに注意してください。
注意:kBは秘密鍵です。
仕組みは次のとおりです。
- 新しいパスワードを生成します
- 新しいパスワードで「ラップ」された新しい秘密鍵
- 古いデータは失われます
プロトコルの開発者は、パスワードを紛失した場合でも、データが同期されたデバイスが存在すると想定していました。したがって、デバイスはデータを最初から再同期します。
デバイスとパスワードを紛失すると、運命にあります。