2
我正在考慮爲我的下一個應用程序使用Firebase或Kinvey等MBaaS,並且想知道是否存在對應用程序數據進行端對端加密(即加密密鑰永遠不會與服務提供商共享) 。這在理論上似乎是可行的,因爲服務器不需要對數據進行任何計算,只存儲它並將其交付給客戶端。作爲服務的端到端加密移動後端?
這樣的服務是否存在?我發現了ZeroDB和Crypton,但都不能用作AFAICT服務,這意味着我必須自己管理,擴展和備份它們。我還想過在使用Firebase API之類的應用程序數據之前先使用Firebase和加密我的應用程序的數據,但我很謹慎編寫這樣的一次性加密層,除非我必須(即,我寧願使用某些被同行評審過)。
或者,如果目前沒有這樣的服務,爲什麼不呢?它在技術上是不可行的,還是沒有市場?
編輯:這似乎是最接近於我正在尋找,但考慮到他們的網站上斷開的鏈接我猜這是解散:Adreneline Mobility
端到端加密不容易,很難正確。還有另外一個問題不在問題中,客戶如何交換密鑰,這並不容易,在蘋果的情況下,涉及到使用昂貴的硬件的HSM。在收到消息發送時接收方不在線的情況下,你會做什麼?請注意,蘋果的iMessages在Apple的詳細描述中以及幾次加密評論中都有描述。 – zaph
請參閱[MTProto移動協議](https://core.telegram.org/mtproto)。有關它的安全性的爭論:[電報安全](https://news.ycombinator.com/item?id=6916860)和[Moxie Marlinspike](https://moxie.org/blog/telegram-crypto-challenge /) 註釋。 – zaph
假設你有接收方的公鑰,無論他們是否在線,都可以隨時向他們發送消息。當然,這假設有一些可靠的方法可以獲得想要與之通信的每個人的公鑰,這當然是一個棘手的問題。 [keybase.io](https://keybase.io)是其中的一個選項。 –