Zoom не поддерживает сквозное шифрование во время онлайн-встреч

Во вторник премьер-министр Великобритании Борис Джонсон опубликовал твит, в котором он показал своим последователям, как его кабинет работает во время кризиса, вызванного новым коронавирусом. На фотографии показана онлайн-встреча премьер-министра Джонсона и его коллег, и ее цель была проста - заверить нацию, что даже в эти ужасные времена британские политики продолжают работать на благо всех. Для некоторых людей это, вероятно, сделало свою работу как повышение морального духа. Однако среди сообщества безопасности это вызвало немало удивлений.

На снимке экрана показано, что главный руководящий орган Великобритании общается через Zoom, платформу для видеоконференций, которая пережила массовый скачок в использовании благодаря миллионам людей, которые в настоящее время работают из дома. В качестве решения для видеоконференций Zoom довольно солиден, но специалисты по безопасности считают, что такая важная организация, как правительство Великобритании, вероятно, будет использовать что-то нестандартное и с учетом своих потребностей. Второе, на что обратили внимание специалисты по информационной безопасности, это то, что идентификатор встречи Zoom был четко виден из твита Бориса Джонсона, что на самом деле не очень хорошая идея, особенно когда вопросы, обсуждаемые на этой встрече, были настолько деликатными. Затем люди стали перелистывать маркетинговые материалы Zoom, и все стало еще хуже.

Зум-собрания не могут быть зашифрованы Сквозной на этом этапе

Также во вторник The Intercept опубликовал отчет об одном из вариантов, который Zoom предоставляет своим пользователям, и политики и люди, отвечающие за крупные организации, вероятно, должны внимательно его прочитать.

При создании собрания Zoom пользователь может включить «шифрование для сторонних конечных точек». Если они это сделают, участникам будет сказано, что собрание полностью зашифровано. Официальный документ Zoom, опубликованный на своем веб-сайте, также предполагает, что этот тип шифрования возможен для собраний, но расследование Intercept показало, что это просто неправда.

Видео-встречи Zoom зашифрованы, но шифрование не является сквозным. Вместо этого видео и аудио проходят через обычное соединение TLS или Transport Layer Security. Это те же технологии, которые используют веб-сайты и приложения, когда они подают контент через HTTPS. Перехватчик обратился к Zoom за комментарием, и представитель признал, что из-за технологических ограничений настоящее сквозное шифрование доступно только для чатов, проходящих через платформу. Но что это на самом деле означает для людей, которые пользуются услугой?

Как отсутствие сквозного шифрования влияет на пользователей?

Приложения для обмена сообщениями, такие как WhatsApp и Telegram, не будут отказываться от использования сквозного шифрования и его преимуществ в отношении конфиденциальности. Основное преимущество сквозной зашифрованной связи состоит в том, что, хотя информация проходит через серверы поставщика услуг, сам поставщик услуг не имеет средств для ее расшифровки.

В случае Zoom, благодаря TLS, собрания защищены от прослушивания аудио- и видеопередач, когда они перемещаются между устройствами пользователей и серверами Zoom. Однако когда он находится на серверах, сотрудники Zoom могут теоретически его расшифровать. Они собираются это сделать?

Правоохранительные органы могут попросить платформу онлайн-конференций раскрыть данные о конкретных людях, но вероятность того, что это повлияет на вас, невелика. Отсутствие сквозного шифрования, безусловно, является проблемой для политиков, таких как Борис Джонсон, но для большинства людей, которые в настоящее время работают из дома, это не должно быть таким уж большим делом. Однако проблемой является первоначальная попытка Zoom преуменьшить ошибку.

После того, как его спросили о причинах этой путаницы, представитель Zoom сказал The Intercept, что под «сквозным шифрованием» они подразумевают, что данные зашифрованы во всех разных «конечных точках масштабирования» и «конечных точках». имел ввиду устройства пользователей. Такое либеральное толкование четко определенных концепций не совсем приемлемо, особенно если учесть, что платформа, о которой мы говорим, используется правительствами некоторых мировых супердержав. В конце концов, Zoom осознал, что он не приносит никакой пользы, и вчера он опубликовал пост в блоге, в котором признался, что его маркетинговая команда немного увлеклась. Разработчики платформы извинились за путаницу, и теперь Борис Джонсон и миллионы других пользователей Zoom решают, принять ли извинения. В то время как он в этом, г-н Джонсон мог бы также подумать о мерах предосторожности в отношении кибербезопасности, которые его кабинет принимает во время организации своих онлайн-встреч.