Zoom, és un servei de videoconferència l'ús del qual va explotar enmig de la pandèmia de Covid-19, afirma implementar un xifratge d'extrem a extrem, un protocol àmpliament conegut com la forma més privada de comunicació a Internet ja que protegeix les converses de totes les parts exteriors.
Amb milions de persones a tot el món treballant des de casa per frenar la propagació del coronavirus, el negoci està en auge per a Zoom, que ha cridat l'atenció sobre l'empresa i les seves pràctiques de privadesa.
No obstant això, Zoom ofereix confiança, facilitat d'ús i almenys una garantia de seguretat molt important: sempre que s'asseguri que tots en una reunió de Zoom es connectin usant "àudio d'ordinador" per fer una trucada des d'un telèfon, la reunió és segura amb encriptació d'extrem a extrem, almenys segons això és el que el lloc web de Zoom i el document tècnic sobre seguretat i la interfície d'usuari de l'aplicació presumeixen.
Però malgrat aquest màrqueting enganyós, el servei no admet el xifratge d'extrem a extrem per a contingut de vídeo i àudio, almenys com s'entén comunament el terme. En canvi, ofereix allò que generalment s'anomena xifrat de transport.
Al document tècnic de Zoom, hi ha una llista de "característiques de seguretat prèvies a la reunió" disponibles per a l'organitzador de la reunió que comença amb "habilitar una reunió xifrada d'extrem a extrem (E2E)".
Més endavant al document tècnic, diu «Assegureu una reunió amb xifratge E2E» com una «capacitat de seguretat de reunió» disponible per als amfitrions de la reunió. Quan un amfitrió inicia una reunió amb l'opció «Requerir xifrat per a punts finals de tercers» habilitada, els participants veuen un cadenat verd que diu: «Zoom utilitza una connexió xifrada d'extrem a extrem» quan es desplacen sobre ell.
Quan diversos usuaris van intentar contactar a l'empresa per esbrinar si les reunions de vídeo estan realment encriptades d'extrem a extrem, un portaveu de Zoom va escriure:
El xifratge E2E no es pot habilitar per a les videoconferències del Zoom. Les reunions de vídeo amb zoom utilitzen una combinació de TCP i UDP. Les connexions TCP s'estableixen usant TLS i les connexions UDP s'encripten amb AES usant una clau negociada a través d'una connexió TLS ”.
El xifratge utilitzat per Zoom per protegir les reunions és TLS, la mateixa tecnologia que usen els servidors web per protegir els llocs web HTTPS. Això significa que la connexió entre l'aplicació Zoom que s'executa a l'ordinador o telèfon d'un usuari i al servidor Zoom està encriptada de la mateixa manera que la connexió entre un navegador web i un lloc web.
Aquest és el xifratge de transport, que és diferent del xifratge d'extrem a extrem perquè el servei Zoom en si mateix pot accedir al contingut de vídeo i àudio no xifrat de les reunions de Zoom. Aleshores, quan es tingui una reunió de Zoom, el contingut de vídeo i àudio romandrà privat per a qualsevol intent d'interceptar el trànsit, però no continuarà sent privat per a l'empresa.
Perquè una reunió de Zoom estigui encriptada d'extrem a extrem, el contingut de vídeo i àudio ha d'estar encriptat perquè només els participants de la reunió puguin desxifrar-lo. El servei Zoom en si podria tenir accés al contingut xifrat de la reunió, però no tindria les claus de desxifrat necessàries per desxifrar-lo (només els participants de la reunió tindrien aquestes claus) i, per tant, no tindria la capacitat tècnica per escoltar reunions privades.
«Quan fem servir el terme 'd'extrem a extrem' a les nostres altres publicacions, es refereix a la connexió xifrada des del punt final de Zoom al punt final de Zoom», va dir un portaveu de Zoom, aparentment referint-se a Servidors de zoom com a «punts finals» fins i tot si estan entre clients de Zoom. "El contingut no es desxifra mentre es transfereix a través del núvol Zoom" a través de la xarxa entre aquestes màquines.
Només complir amb la funcionalitat de xat de text sembla beneficiar-se del xifratge dextrem a extrem.
font: https://www.consumerreports.org