| 7 мая 2020 г. — 7:16 PT
Сегодняшний новый пост в блоге раскрывает, что Zoom купила Keybase, стартап из 25 человек, специализирующийся на зашифрованных сообщениях и обмене файлами. Это первое приобретение в истории Zoom…
Zoom столкнулся с проблемами, когда было обнаружено, что его маркетинговые материалы ложно утверждали, что видеозвонки Zoom используют end-to-end шифрование. На самом деле звонки шифруются, но ключи хранятся у Zoom, поэтому остаются уязвимыми для внутреннего шпионажа или взлома.
Это, а также неожиданный рост популярности компании в результате карантина из-за коронавируса, привлекли пристальное внимание исследователей безопасности к приложению и платформе, в результате чего было обнаружено ряд уязвимостей. К ним относились повторное использование одних и тех же идентификаторов встреч, отсутствие паролей по умолчанию и сомнительный метод включения доступа к веб-камере на Mac.
В результате ряд компаний и правительств либо запретили, либо ограничили использование Zoom.
Однако компания хорошо отреагировала, предложив новые функции безопасности и конфиденциальности в основной новой версии приложения и сделав более безопасные встречи по умолчанию. Ранее Zoom отдавал приоритет простоте использования над конфиденциальностью, поэтому функции безопасности были отключены по умолчанию.
Zoom заявил в сегодняшнем посте в блоге, что целью приобретения является переход к end-to-end шифрованию.
Сегодня аудио- и видеоконтент, передаваемый между клиентами Zoom (например, Zoom Rooms, ноутбуками и смартфонами с приложением Zoom), шифруется на каждом отправляющем клиентском устройстве. Он не расшифровывается до тех пор, пока не достигнет устройств получателей. С недавним выпуском Zoom 5.0 клиенты Zoom теперь поддерживают шифрование контента с использованием стандартных в отрасли ключей AES-GCM с 256-битным шифрованием.
Однако ключи шифрования для каждой встречи генерируются серверами Zoom […] Для организаторов, которые стремятся к конфиденциальности вместо совместимости, мы создадим новое решение.
Zoom предложит режим зашифрованных встреч end-to-end для всех платных учетных записей. Зарегистрированные пользователи будут генерировать публичные криптографические идентификаторы, которые хранятся в репозитории в сети Zoom и могут использоваться для установления доверительных отношений между участниками встречи. Эфемерный ключ для каждой встречи будет генерироваться организатором встречи. Этот ключ будет распространяться между клиентами, инкапсулированный в пары асимметричных ключей и ротироваться при существенных изменениях в списке участников.
Криптографические секреты будут находиться под контролем организатора, и клиентское программное обеспечение организатора будет решать, каким устройствам разрешено получать ключи встречи, и, таким образом, присоединяться к встрече. Мы также изучаем механизмы, которые позволят корпоративным пользователям предоставлять дополнительные уровни аутентификации.
Однако выбор использования end-to-end шифрования приведет к потере некоторой функциональности.
Эти зашифрованные встречи end-to-end не будут поддерживать телефонные мосты, облачную запись или системы конференц-залов, отличные от Zoom.
Ничто из этого не будет возможно, когда Zoom не сможет расшифровать контент.
Zoom заявила, что опубликует проект криптографического дизайна 22 мая, чтобы дать возможность высказать свои замечания.
Требования социального дистанцирования означали, что Zoom купила Keybase, что весьма уместно, посредством переговоров по видеосвязи. Условия приобретения не раскрываются.