W tym tygodniu Zoom rozszerzył swoją aplikację o szyfrowanie end-to-end (E2EE). Na początku E2EE będzie dostępne jako podgląd techniczny, to znaczy Zoom będzie zbierał opinie użytkowników przez najbliższych 30 dni. Klienci platformy – płatni i bezpłatni – mogą korzystać ze spotkań E2EE do 200 uczestników łącznie. Takie szyfrowanie zapewni większą prywatność oraz bezpieczeństwo każdej sesji Zoom.
W maju b.r. Zoom ogłosił plan wbudowania do platformy opcji szyfrowania E2EE. W tym tygodniu Zoom wprowadza pierwszą z czterech planowanych faz wdrożenia. Ma ona – zapewnić solidne zabezpieczenia, aby zapobiec przechwyceniu kluczy szyfrujących, które mogłyby zostać wykorzystane do monitorowania treści spotkań.
O szyfrowaniu end-to-end
Szyfrowanie end-to-end korzysta z tego samego szyfrowania co metoda GCM, która jest stosowana na spotkaniach platformy Zoom. Jedyna różnica polega na tym, gdzie znajdują się klucze szyfrujące.
W zwykłych spotkaniach serwery Zooma generują klucze szyfrujące, które są następnie rozsyłane uczestnikom spotkania za pomocą aplikacji Zoom podczas dołączania. W opcji E2EE to gospodarz spotkania generuje klucze szyfrujące i używa kryptografii do dystrybucji kluczy. Serwery Zoom stają się jedynie nieświadomymi przekaźnikami i nigdy nie widzą kluczy wymaganych do odszyfrowania treści spotkania.
Dyrektor generalny firmy Zoom, Eric S. Yuan powiedział:
Szyfrowanie end-to-end to kolejny krok w kierunku uczynienia z Zoom najbezpieczniejszej platformy komunikacyjnej na świecie. Nasza pierwsza wersja opcji E2EE zapewnia takie samo bezpieczeństwo, jak istniejące platformy przesyłania wiadomości w trybie szyfrowania end-to-end, ale z jakością wideo i skalą, która sprawia, że Zoom jest rozwiązaniem komunikacyjnym wybieranym przez setki milionów ludzi oraz największe przedsiębiorstwa na świecie.
E2EE jest już dostępny jako podgląd techniczny. Aby z niego skorzystać, użytkownicy muszą włączyć spotkania E2EE na poziomie konta oraz wyrazić zgodę na E2EE podczas spotkania.
Źródło: https://lh6.googleusercontent.com/t2TiiQUVghal7h8dVHrvTZL-14BVFCJELb7TtGg81kjh3EDA62hSNF-_vDucMMyjmLeyYhgGTQwBd214jVKbj4gfjq9o3wwshEo35R9XiijNxcbwl-I6kZzcrcshTDQ4XSo4UcDs
FAQ
W jaki sposób Zoom zapewnia szyfrowanie end-to-end?
E2EE platformy Zoom wykorzystuje kryptografię klucza publicznego. Krótko mówiąc, klucze do każdego spotkania Zoom są generowane przez aplikacje uczestników, a nie przez serwery. Zaszyfrowane dane przekazywane przez serwery są nierozpoznawalne przez Zooma, ponieważ te serwery nie posiadają niezbędnego klucza szyfrującego. Taka strategia zarządzania kluczem szyfrującym jest podobna do działań stosowanych obecnie przez większość platform komunikacyjnych.
Jak włączyć E2EE?
Gospodarz spotkania może włączać E2EE w ustawieniach na poziomie konta, grupy i użytkownika. Jednak może ono być także zablokowane na poziomie konta lub grupy. Aby dołączyć do spotkania E2EE wszyscy uczestnicy muszą mieć włączone szyfrowanie end-to-end. W pierwszej wersji wszyscy uczestnicy spotkania muszą dołączyć z pulpitu Zooma, aplikacji mobilnej lub Zoom Rooms.
Kiedy powinno się używać E2EE?
E2EE jest najlepszy, gdy zależy Ci na zwiększeniu ochrony danych podczas spotkań. Stanowi także dodatkową warstwę ograniczającą ryzyko włamania i chroniącą wrażliwe treści spotkań. Podczas, gdy E2EE zapewnia dodatkowe bezpieczeństwo, niektóre funkcje Zooma są ograniczone w pierwszej wersji szyfrowania end-to-end. Indywidualni użytkownicy powinni ustalić, czy potrzebują tych funkcji przed włączeniem wersji E2EE na swoich spotkaniach.
Czy można korzystać ze wszystkich funkcji Zoom używając E2EE?
Na tę chwilę nie. Włączenie szyfrowania end-to-end na spotkaniu wyłącza niektóre funkcje, m.in. dołączanie przed gospodarzem, nagrywanie w chmurze, streaming, transkrypcję na żywo, Breakout Rooms, ankiety, prywatny czat i emotikony.
Czy użytkownicy bezpłatnego Zoom mają dostęp do szyfrowania end-to-end?
Tak. Darmowe i płatne konta Zoom mogą być gospodarzami spotkań E2EE lub do nich dołączać.
Czym różni się E2EE od szyfrowania GCM platformy Zoom?
Spotkania i webinaria na Zoomie domyślnie używają 256-bitowego szyfrowania GCM AES do udostępniania oraz przesyłania audio, wideo i aplikacji (tj. udostępniania ekranu, tablicy). Podczas spotkania bez włączonego E2EE zawartość audio i wideo przepływająca między aplikacjami Zoom nie jest odszyfrowywana, dopóki nie dotrze do urządzeń odbiorców. Jednak klucze szyfrowania dla każdego spotkania są generowane i zarządzane przez serwery Zoom. Na spotkaniu z włączonym E2EE nikt oprócz osób uczestniczących – nawet serwery Zoom – nie ma dostępu do kluczy szyfrujących używanych do szyfrowania spotkania.
Jak można sprawdzić, czy spotkanie używa szyfrowania end-to-end?
Uczestnicy mogą sprawdzić logo zielonej tarczy w lewym górnym rogu ekranu spotkania z kłódką pośrodku, aby zobaczyć, czy ich spotkanie korzysta z E2EE. Logo wygląda bardzo podobnie do symbolu szyfrowania GCM, ale znacznik wyboru jest zastąpiony kłódką.
Źródło: https://lh3.googleusercontent.com/z-Qf8a0hn5w7dX4q7GAQjGc4iNM_b45r45Um6g7iai7jV9xtmHmcl8WI26vkdAtGfLZrzZTdrszHO6kpgAKspf8rGJ7XcSYrM6asib4EgPyEwFwQkOWmPQuwYI-WplnUflaStT3T
Uczestnicy również zobaczą kod bezpieczeństwa prowadzącego spotkanie, którego mogą użyć do zweryfikowania bezpiecznego połączenia. Gospodarz może odczytać ten kod na głos, aby wszyscy uczestnicy mogli sprawdzić, czy wyświetla się im ten sam kod.
Źródło: https://lh6.googleusercontent.com/Mox0nHn2hmBZqje0OSqXI46iBlhD0YmFzqG0Cv04IIDhUgN76uvL2WCP9NPhZNtKcBV0QMGugkdsUxaeVjgTjnhMrF_DGZBxW7slPIPDYGDUrqYVEiSHFgu-pLAtyYJYgAJ0fJJQ
W jaki sposób Zoom będzie kontynuował zapewnianie bezpieczeństwa platformy?
Najwyższym priorytetem Zooma jest zaufanie i bezpieczeństwo użytkowników, a wdrożenie E2EE pozwoli na zwiększenie bezpieczeństwa na platformie. Użytkownicy wersji Free czy Basic zainteresowani korzystaniem z opcji szyfrowania E2EE będą musieli wziąć udział w jednorazowym procesie weryfikacji. Będzie ona wymagała podania dodatkowych informacji na temat użytkownika, takich jak weryfikacja numeru telefonu za pomocą wiadomości tekstowej. Wiele wiodących firm podejmuje podobne kroki w celu ograniczenia masowego tworzenia kont.
Jakie są następne kroki związane z szyfrowaniem E2EE?
Zoom chce wprowadzić lepsze zarządzanie tożsamością i integrację z E2EE SSO w ramach fazy 2, która jest wstępnie zaplanowana na 2021 rok.
Aby dowiedzieć się więcej o opcji bezpieczeństwa w Zoomie, sprawdź poniższe artykuły.
