Firefox Sync, Erfahrungen, Kritik sowie Vor- und Nachteile Einstellungen

[Damnatus]

Hallo,
Mozilla hat inzwischen den 10. Beta-Kandidaten für Firefox 4 ins Rennen geschickt.
In Firefox 4 ist Firefox Sync (vormals Weave) direkt integriert und bietet die Möglichkeit Lesezeichen, Chronik, Passwörter und offene Tabs zu synchronisieren. Wahlweise auf einem eigenen Server. Doch die meisten werden vermutlich die von Mozilla bereit gestellten Server nutzen.

Ich überlege mir derzeit Sync zu nutzen (dabei würde ich Mozillas Server nehmen), auch wenn ich das ganze Clouding und seine Ausmaße erschreckend finde.
Die freiwillige Übergabe der persönlichen Daten an ein Unternehmen, dass damit machen kann was es will? Und wenn die Server in den USA stehen dürfen die Behörden, so habe ich gehört, ohne Durchsuchungsbeschluss die Daten anfordern - dank Patriot Act. Nein Danke. Ich bin noch nicht mal auf Facebook weil mir die AGBs zuwider sind. Aber es hat mich interessiert und Mozilla war für mich bisher vertrauenswürdig.

Deshalb habe ich mich auf die Suche nach Fakten zu Firefox Sync gemacht...
Doch eine Frage vor dem nun folgenden langen Text: Was haltet ihr von Firefox Sync?



Der Gedanke hinter Firefox Sync
Laut Mike Connor, einem Mitentwickler von Firefox Sync ist das Team mit dem Gedanken "Was wäre, wenn wir die Daten gar nicht wollen? Was wäre, wenn es ein Fehler ist die Daten zu haben?" ans Werk gegangen. Denn im Augenblick, so Mike Connor, ist es meistens so, dass die Benutzer bei der Wahl ihres Synchronisationsdienstes nur die Wahl haben, welche Firma ihre Daten auslesen darf. Das führte das Team zur Verschlüsselung. Firefox Sync benutzt eine clientseitige Verschlüsselung, welche die Daten verschlüsselt bevor sie über SSL auf die Server von Mozilla hoch geladen werden.
[Quelle: Mozilla Labs - Sync in Firefox 4 Beta ]

Also schön, habe ich mir gedacht, Firefox Sync verschlüsselt also die Daten bevor sie auf die Server von Mozilla hoch geladen werden und sie benutzen dafür SSL.
Doch wie stark ist die Verschlüsselung?
Welche kryptografische Algorithmen werden verwendet?
Und welche Stärke hat die SSL-Verbindung?

Die Antworten zu den Fragen waren nicht so leicht zu finden. Die FAQ riss das meiste nur an. Blieb an der Oberfläche um den weniger versierten Nutzer nicht zu verwirren oder zu überfordern. Schließlich - über einige Querverweise in verschiedenen Foren landete ich im MozillaWiki - mit dem richtigen Seitenverweis, denn die direkte Suche im MozillaWiki hätte mich auch nicht zum gewollten Ergebnis geführt.
Doch nun konnten meine Fragen beantwortet werden.

Welche SSL-Verbindung wird genutzt?
Eine AES-256-Bit-Verschlüsselung.
[Quelle: MozillaWiki - Weave Kryptografie]

Wie funktioniert die Verschlüsselung?
Eines Vorweg: Da ich selbst Leie bin, was Kryptografie angeht, kann ich dass nur bedingt erläutern und es sollte mit Vorsicht gelesen werden, da Fehler dabei sein könnten. Wer einen findet, darf es gerne sagen
Grundsätzlich verläuft die komplette Verschlüsselung auf dem eigenen Rechner und nicht erst auf den Server von Mozilla.

Für die Verschlüsselung der Daten werden zwei Schlüsselpaare angelegt:
Schlüsselpaar Nummer 1:
Ist ein asymmetrisches RSA-2048-Bit starkes Schlüsselpaar welches aufgeteilt ist in einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel ist dabei für die Verschlüsselung der Daten (Lesezeichen, Chronik, Passwörter, etc.) zuständig und kann aber nicht zum Entschlüsseln der Daten benutzt werden. Dafür ist der private Schlüssel zuständig, der nur dem Ersteller (in unserem Fall der Firefox Sync-Nutzer) bekannt ist. Dieser wird, damit auf sämtlichen Geräten eine Synchronisation statt finden kann, aber auch auf die Server von Mozilla hoch geladen.

Ja wie? Der Schlüssel zum Entschlüsseln der Daten ist auch mit auf dem Server? Was bringt das Verschlüsseln dann?
Nun, der 2048-Bit starke private Schlüssel wird nicht einfach so abgespeichert, sondern ebenfalls verschlüsselt. Ein verschlüsselter Schlüssel zum Entschlüsseln - ist das nicht lustig? Für das Verschlüsseln und Entschlüsseln ist das zweite Schlüsselpaar zuständig

Schlüsselpaar Nummer 2:
Das zweite Schlüsselpaar ist ein AES 256-Bit starker symmetrischer Schlüssel. Dies bedeutet das er, anders als der RSA-Schlüssel, zum ver- und entschlüsseln benutzt werden kann. Dieser Schlüssel wird mit einem PBKDF2(Password-Based Key Derivation Function)-Algorithmus erstellt. Essenz diesen Algorithmus ist die von Mozilla betitelte Passphrase, welche vom Nutzer eingegeben wird und dafür zuständig ist, die Verschlüsselung komplexer zu machen indem durch die Passphrase ein "personalisierter" Algorithmus-Code entsteht, sodass sie damit gleichzeitig schwerer zu knacken ist.
Ein potentieller Angreifer muss dabei, um die Verschlüsselung zu knacken schon einen Brute-Force-Angriff unternehmen, da ihn die Art der Verschlüsselung so limitiert, dass Passwörter nur einzeln getestet werden können und nicht mit einem sogenannten Wörterbuchangriff .
Ohne Passphrase, ist es also ein erheblicher Aufwand den Schlüssel zu knacken. Die Passphrase wird auch nie auf einen Mozilla-Server hochgeladen und ist wenn dann nur auf dem lokalen Computer gespeichert.

Und dies alles geschieht auf dem lokalen Computer noch vor dem Upload der Daten (Lesezeichen, Chronik, Passwörter, etc.)
Zusätzlich muss für firefox Sync ein Account angelegt werden welcher durch Username und Passwort gesichert wird. Hier hat der Firefox-Sync-Nutzer es in der Hand wie stark das Passwort ist. Sollte ein Hacker an den Account samt Passwort kommen, aber nicht die Passphrase besitzen, so hat er nur die mit einem 2048-Bit-starken Schlüssel gesicherten hoch geladenen Daten des Nutzers. Und eine 2048-Bit-starke Verschlüsselung ist etwas an dem man sich eine ganze Zeit die Zähne ausbeißen kann.

Für mich klingt das echt gut. Was meint ihr?
Bleibt nur zu hoffen das Mozilla kein Schindluder treibt und irgendwelche Backdoors implementiert hat.
[
Quellen:
MozillaWiki(englisch):

• Weave/Kryptografie für Nutzer
• Weave/Kryptografie für Entwickler

Wikipedia (englisch):

• Kryptografie/PBKDF2
• Kryptografie/Salt value

Wikipedia (deutsch):

• Kryptografie/AES
• Kryptografie/RSA
• Kryptografie/Symmetrisches Kryptosystem
• Kryptografie/Asymmetrisches Kryptosystem

]

Der Beitrag wurde von Damnatus bearbeitet: 29.01.2011, 00:20

[Jav.SEC.21]

Ich nutze selbst auch den Mozilla Server.