Zoom nie obsługuje szyfrowania od końca do końca

Zoom-wideo

Zoom, to usługa wideokonferencji których użycie eksplodowało podczas pandemii Covid-19, twierdzi do realizacji szyfrowanie od końca do końca, protokół powszechnie znany jako najbardziej prywatna forma komunikacji w Internecie, ponieważ chroni rozmowy przed wszystkimi stronami zewnętrznymi.

Miliony ludzi na całym świecie pracują w domu powstrzymać rozprzestrzenianie się koronawirusa, biznes kwitnie dla Zoom, który zwrócił uwagę na firmę i jej praktyki dotyczące prywatności.

Jednak Zoom oferuje niezawodność, łatwość obsługi i co najmniej jedną bardzo ważną gwarancję bezpieczeństwa: o ile upewnisz się, że wszyscy na spotkaniu Zoom łączą się za pomocą „dźwięku komputerowego”, aby wykonać połączenie z telefonu, spotkanie jest zabezpieczone pełnym szyfrowaniem, przynajmniej zgodnie z tym, co przedstawia strona internetowa Zoom i jego oficjalny dokument dotyczący bezpieczeństwa i interfejsu użytkownika aplikacji.

Jednak pomimo tego wprowadzającego w błąd marketingu usługa nie obsługuje kompleksowego szyfrowania treści wideo i audio, przynajmniej w powszechnym rozumieniu tego terminu. Zamiast tego oferuje to, co ogólnie nazywa się szyfrowaniem transportu.

W białej księdze Zoom znajduje się lista plików „Funkcje zabezpieczeń przed spotkaniem” dostępne dla organizatora spotkania, począwszy od „Włącz szyfrowane spotkanie typu end-to-end (E2E)”.

W dalszej części dokumentu jest napisane «Zabezpiecz spotkanie dzięki szyfrowaniu E2E„Jako„ funkcja bezpieczeństwa spotkania ”dostępna dla gospodarzy spotkania. Gdy gospodarz rozpoczyna spotkanie z opcją «Wymagaj szyfrowania dla punktów końcowych innych firm»Włączone, uczestnicy widzą zieloną kłódkę z napisem„ Zoom używa szyfrowanego połączenia typu end-to-end ”po najechaniu na nią kursorem.

Kiedy różni użytkownicy próbowali skontaktować się z firmą, aby się dowiedzieć czy spotkania wideo są naprawdę szyfrowane od końca do końca, napisał rzecznik Zoom:

Szyfrowania E2E nie można włączyć dla wideokonferencji Zoom. Spotkania wideo w powiększeniu wykorzystują połączenie TCP i UDP. Połączenia TCP są nawiązywane przy użyciu TLS, a połączenia UDP są szyfrowane za pomocą AES przy użyciu klucza negocjowanego przez połączenie TLS ”.

Szyfrowanie używane przez Zoom do ochrony spotkań jest TLS, lta sama technologia używana przez serwery internetowe do ochrony witryn HTTPS. Oznacza to, że połączenie między aplikacją Zoom działającą na komputerze lub telefonie użytkownika a serwerem Zoom jest zaszyfrowany w taki sam sposób, jak połączenie między przeglądarką internetową a witryną internetową.

Jest to szyfrowanie transportu, które różni się od szyfrowania typu end-to-end, ponieważ usługa Sam Zoom może uzyskać dostęp do niezaszyfrowanych treści wideo i audio ze spotkań Zoom. Więc kiedy masz spotkanie Zoom, zawartość wideo i audio pozostanie prywatna dla każdego, kto próbuje przechwycić ruch, ale nie pozostanie prywatna dla firmy.

Aby spotkanie Zoom było szyfrowane od końca do końca, zawartość wideo i audio musi być zaszyfrowana, aby tylko uczestnicy spotkania mogli ją odszyfrować. Sama usługa Zoom mogłaby mieć dostęp do zaszyfrowanych treści spotkania, ale nie miałaby niezbędnych kluczy deszyfrujących do jej odszyfrowania (tylko uczestnicy spotkania mieliby te klucze), a zatem nie miałaby technicznej możliwości odsłuchiwania spotkań prywatny.

„Kiedy używamy terminu„ od końca do końca ”w naszych innych postach, odnosi się on do zaszyfrowanego połączenia z punktu końcowego Zoom do punktu końcowego Zoom” - powiedział rzecznik Zoom, najwyraźniej odnosząc się do serwerów Zoom jako „punktów final »nawet jeśli są wśród klientów Zoom. „Treść nie jest odszyfrowywana, ponieważ jest przesyłana przez chmurę Zoom” w sieci między tymi maszynami.

Wydaje się, że samo stosowanie się do funkcji czatu tekstowego przynosi korzyści z szyfrowania od końca do końca.

źródło: https://www.consumerreports.org


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.