端到端加密与Firestore

Question

有什么推荐的方法来加密Firestore中的数据吗？尽管默认情况下，Firestore加密数据在它写入磁盘之前，但管理员仍然可以读取控制台中的数据。我希望使数据的可读性，只有被允许解密的用户。因此，它在控制台中是不可读的。

我认为可能的一种方法是使用云函数，但我无法找到如何在数据保存到磁盘(beforeWrite钩子)之前修改数据。

Answer 1

控制对Firestore (或实时数据库)中所有数据的所有访问的唯一方法是在原始数据本身被传递到执行写入的客户端API或SDK之前对其执行加密。

在实际使用云函数进行存储之前，不可能将写入挂起。函数只有在成功写入数据后才会接收事件。

另外，请记住，如果在数据到达API之前对其进行加密，您将无法使用该数据进行搜索和排序，因为它将不再以任何方式表示原始数据。您所能做的就是通过其唯一的密钥访问文档/位置(假设密钥也没有加密，或者加密的id是通过另一个安全通道在双方之间共享的)。

Answer 2

在将数据写入Firestore之前，需要对客户端设备上的数据进行加密。当另一个设备读取数据时，解密它。

密钥管理是您需要花一些时间来实现的:这两种设备上的用户都需要在本地拥有私钥，而其他用户需要访问公钥来加密消息。然后，您需要创建一个数据加密密钥来加密/解密聊天室中的消息。这个数据加密密钥，您将使用参与用户的公钥进行加密。所有的密钥，存储在Firebase，加密。

查看以下两个示例应用程序，以获得Firestore应用程序示例：

• iOS：https://github.com/VirgilSecurity/demo-firebase-ios
• 安卓：https://github.com/VirgilSecurity/demo-firebase-android

大卫