Então, espere, como as reuniões de zoom são criptografadas?


A videoconferência A empresa Zoom viu sua estrela subir exponencialmente durante a pandemia de Covid-19, à medida que amigos e colegas de trabalho se voltam cada vez mais para o serviço, para uma salvação. Com essa notoriedade, porém, veio o escrutínio crescente das práticas de segurança e privacidade de Zoom. O zoom é seguro para a maioria das pessoas. Mas como o governo federal dos Estados Unidos e outras organizações sensíveis aumentam o uso do serviço, é necessária uma contabilidade mais clara de sua criptografia.

Isso é mais difícil de alcançar do que deveria; O Zoom enviou sinais conflitantes sobre sua abordagem de criptografia. Um relatório em a interceptação na terça-feira, observou que, com base em seu próprio white paper técnico, o Zoom havia falsamente comercializado um de seus recursos ao tornar as reuniões “criptografadas de ponta a ponta”. Isso significa que os dados das chamadas de vídeo são criptografados o tempo todo em trânsito, de forma que nem o Zoom possa acessá-los.

XBOX em Oferta

Desde então, a empresa admitiu que não era esse o caso e agora usa a palavra “criptografado” em vez de “criptografado de ponta a ponta” quando as reuniões têm a configuração ativada. Porém, o zoom ainda não removeu sua afinação “de ponta a ponta criptografada” em todos os lugares em seu site e materiais de marketing. Em um post sobre sua criptografia na quarta-feira, o Zoom tentou resolver a confusão.

“Tendo em vista o interesse recente em nossas práticas de criptografia, queremos começar pedindo desculpas pela confusão que causamos ao sugerir incorretamente que as reuniões do Zoom eram capazes de usar criptografia de ponta a ponta”, escreveu Oded Gal, diretor de produtos. “O Zoom sempre se esforçou para usar a criptografia para proteger o conteúdo no maior número possível de cenários. Nesse sentido, usamos o termo criptografia de ponta a ponta. Embora nunca tenhamos a intenção de enganar nenhum de nossos clientes, reconhecemos que há uma discrepância entre a definição comumente aceita de criptografia de ponta a ponta e como a usamos “.

“Dizer que eles não descriptografam a qualquer momento não significa que eles não possam descriptografar a qualquer momento.”

Seny Kamara, Universidade Brown

Mas, de certa forma, a postagem do blog apenas complica ainda mais as coisas. Gal razoavelmente ressalta que o Zoom só pode adicionar criptografia abrangente se todos os participantes de uma reunião estiverem conectados através de um dos aplicativos da empresa. Se alguém participar de uma reunião do Zoom por meio de uma ligação telefônica comum, por exemplo, o Zoom não poderá estender sua criptografia para a rede de telefonia herdada. Mas Gal escreve ainda que, com exceção dessas conexões e uma ressalva para as reuniões gravadas do Zoom “, criptografamos todo o conteúdo de vídeo, áudio, compartilhamento de tela e bate-papo no cliente remetente e não o deciframos a qualquer momento antes que ele chegue. os clientes receptores “. O que começa a parecer muito com criptografia de ponta a ponta novamente. A publicação também inclui um diagrama que parece representar o sistema de Zoom como sendo totalmente criptografado de ponta a ponta para a maioria das chamadas de áudio e vídeo.

“O que você pode dizer, porque eles se desculpam pela confusão, admitem que não é de ponta a ponta e continuam discutindo como é de ponta a ponta”, diz o criptógrafo Jean-Philippe Aumasson, fundador da Internet da Empresa de criptografia de coisas Teserakt.

Com base na postagem do blog, Aumasson e outros salientam que o sistema não atende aos critérios de criptografia de ponta a ponta por causa do gerenciamento de chaves – a logística de gerar, usar e armazenar as chaves que criptografam e descriptografam dados. A publicação do blog diz que o Zoom atualmente gerencia e armazena todas as chaves envolvidas na criptografia de dados do usuário em sua própria infraestrutura de nuvem. Por definição, isso significa que o Zoom não é criptografado de ponta a ponta, mesmo que as reuniões permaneçam criptografadas em toda a rota pela Internet, porque o Zoom poderia use as chaves que possui para descriptografar os dados durante essa jornada. Na postagem do blog, Gal enfatiza que o Zoom possui extensos controles internos para impedir que alguém use as teclas para acessar as reuniões de áudio ou vídeo dos usuários.

“Dizer que eles não descriptografam a qualquer momento não significa que não possam descriptografá-la a qualquer momento”, diz o criptógrafo da Universidade Brown, Seny Kamara.

A Uma análise do esquema de criptografia do Zoom, publicado na sexta-feira pelo Citizen Lab da Universidade de Toronto, mostra que o Zoom gera e mantém todas as chaves em si nos sistemas de gerenciamento de chaves. O relatório observa que a maioria dos desenvolvedores da Zoom está sediada na China e que parte de sua infraestrutura de gerenciamento de chaves está naquele país, o que significa que as chaves usadas para criptografar suas reuniões podem ser geradas lá. Também não está claro como o Zoom gera chaves e se elas são adequadamente aleatórias ou podem ser previsíveis.



Fonte

Leave a Reply

Your email address will not be published. Required fields are marked *