<div dir="ltr"><div><div>I added a first draft of the API here :<br><br><a href="https://github.com/tarekziade/share/blob/master/API.rst#apis">https://github.com/tarekziade/share/blob/master/API.rst#apis</a><br><br></div>key principles:<br><br></div><div>- keys are stored per app. Adding new apps in the service is a manual process.<br></div><div>- you can use the service with an fxa oauth token or with an API key.<br></div>- an application can only retrieve its users public keys (API key authentication)<br><div><div>- a user can store and retrieve their keys & list their apps (FxA authentication)<br><br></div><div>There are no search/discovery feature: apps must know their users emails, and users must go through the apps to get back any information on<br></div><div>other users.<br><br></div><div>I think this is restrictive enough to avoid most privacy concerns, like social graph leaks - but open enough for our two use primary cases.</div><div><br></div><div>Cheers<br>Tarek<br></div><div><br><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Dec 29, 2014 at 10:26 AM, Tarek Ziade <span dir="ltr"><<a href="mailto:tarek@mozilla.com" target="_blank">tarek@mozilla.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Dec 24, 2014 at 2:27 AM, Christopher Karlof <span dir="ltr"><<a href="mailto:ckarlof@mozilla.com" target="_blank">ckarlof@mozilla.com</a>></span> wrote:<br>[..]<span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span></span><span><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I guess you would only want a single keypair on the server, so there should probably be a "check for existing keypair and decrypt it if found" step in there as well.<span><font color="#888888"><br>
<br>
  Ryan<br>
</font></span></blockquote></span><div class="gmail_extra"><br></div><div class="gmail_extra">It’s not clear to me whether the user would have a single key pair or one per sharing application. </div></div></blockquote><div><br><br></div></span><div>It seems better to isolate each application and have one key pair per application. This will let you revoke/renew a keypair without impacting other apps for instance.<br><br><br></div><div> <br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><br></div><div class="gmail_extra"><br></div><div class="gmail_extra">-chris</div><div class="gmail_extra"><br></div><div class="gmail_extra"><br></div></div>
</blockquote></div><br></div></div>
</blockquote></div><br></div>