Пандемия коронавируса привела к тому, что многие люди не ходят на работу и сидят дома. У кого-то выходные, а кто-то продолжает работать из дома. В результате вырос спрос на приложения для общения через интернет. Одной из популярных программ подобного рода является сервис видеоконференций Zoom.
Школы, институты, университеты, многие предприятия по всему миру используют Zoom в качестве основного средства коммуникации. Компания заявляет об использовании сквозного шифрования, что является самой надёжной формой коммуникации в интернете. При использовании сквозного шифрования посторонние не могут получить доступ к переписке.
Однако, появилась информация, что Zoom Meetings не использует сквозное шифрование, несмотря на заявление об обратном. Похоже, у разработчиков приложения своё определение сквозного шифрования. Сами владельцы сервиса имеют доступ к видео и аудио, которым обмениваются собеседники.
В своем комментарии представитель Zoom рассказал, что «В настоящее время невозможно включить сквозное шифрование для видеосеансов Zoom. Зум-видео-встречи используют комбинацию протоколов TCP и UDP. Подключения TCP создаются с использованием протокола TLS и UDP соединений с шифрованием стандарта AES с использованием ключа в TLS-соединении.»
Шифрование, которое Zoom использует для защиты соединения в ходе видеоконференций — это TLS, та же технология, которую веб-серверы используют для защиты веб-сайтов HTTPS. Это означает, что соединение между приложением Zoom, запущенным на компьютере или телефоне пользователя, и сервером Zoom шифруется таким же образом, как зашифровано соединение между вашим веб-браузером и этой статьей. Это называется транспортным шифрованием, которое отличается от сквозного шифрования тем, что сам Zoom может получить доступ к незашифрованному видео — и аудиоконтенту видеоконференций Zoom. Таким образом, когда у вас есть видеоконференция в Zoom, видео-и аудиоконтент будут оставаться конфиденциальными от тех, кто шпионит за вашим Wi-Fi, но это не будет оставаться конфиденциальным от самой компании.
Для того чтобы собрание Zoom было полностью зашифровано, видео-и аудиоконтент должны быть зашифрованы таким образом, чтобы только участники собрания имели возможность расшифровать их. Сам Zoom может при этом иметь доступ к зашифрованному содержимому собрания, но не будет иметь ключей шифрования, необходимых для его расшифровки (только участники собрания будут иметь эти ключи), и поэтому не будет иметь технической возможности прослушивать ваши видеоконференции.
«Когда мы используем слово «сквозной» в наших информационных материалах, это относится к шифруемому соединению от одной точки Zoom до другой точки Zoom», — написал представитель Zoom, видимо, имея в виду серверы Zoom.
Мэтью Грин, криптограф и профессор компьютерных наук в Университете Джона Хопкинса, отмечает, что групповые видеоконференции трудно шифровать от начала до конца. Это связано с тем, что поставщик услуг должен определить, кто говорит, чтобы действовать как коммутатор, который позволяет ему отправлять только видеопоток высокого разрешения от человека, который говорит в данный момент, или кого пользователь выбирает для остальной части группы, и отправлять видеопотоки низкого разрешения других участников. Этот тип оптимизации намного проще, если поставщик услуг может видеть все, потому что он не зашифрован.
Единственная функция Zoom, которая действительно кажется полностью зашифрованной, — это текстовый чат на собрании. «Сквозное шифрование чата Zoom позволяет обеспечить защищенную связь, при которой только получатель может прочитать защищенное сообщение», — говорится в информационных материалах Zoom. «Zoom использует открытый и закрытый ключи для шифрования сеанса чата с помощью расширенного стандарта шифрования (AES-256). Сеансовые ключи генерируются с уникальным аппаратным идентификатором устройства, чтобы избежать считывания данных с других устройств.» Представитель Zoom также написал, что «Когда включено сквозное шифрование для чата, ключи шифрования хранятся на локальных устройствах, и Zoom не имеет доступа к ключам для расшифровки данных.”
Независимый технолог Ашкан Солтани, который ранее работал главным технологом Федеральной Комиссии США, прокомментировал, что ему неизвестно, действительно ли Zoom внедряет сквозное шифрование, но если потребитель принимает решение использовать Zoom с пониманием того, что у него есть сквозное шифрование для видеочата, когда на самом деле это не так, и если представление Zoom своего сервиса недостоверно, это может признано недобросовестной практикой, и может повлиять не только на потребителей, но и на крупные организации.
Ведь одно дело, если программа используется для дистанционного обучения школьников. Другое, когда в ней обсуждаются финансовые вопросы крупных предприятий. Если такая информация попадёт в посторонние руки, ущерб может быть огромным.
Если после прочтения статьи у вас остались вопросы, напишите их в комментарии или воспользуйтесь рубрикой Вопрос — ответ
Источник: Wccftech
