Компания Zoom, столкнувшаяся с проблемами в области безопасности, реализует собственный 90-дневный план, направленный на «дальнейшее укрепление безопасности платформы видеосвязи». Его частью компания называет приобретение стартапа Keybase. Отметим, что это первая покупка за девятилетнюю историю Zoom. Ее сумма не разглашается.
По словам Zoom, с момента запуска сервиса в 2014 году в нем использовались разработанные собственными силами средства безопасного обмена сообщениями и файлами. Интеграция в команду Zoom специалистов Keybase должна «помочь построить сквозное шифрование», которое сможет масштабироваться до нынешнего охвата Zoom.
Контент, передаваемый клиентами Zoom, сейчас шифруется на отправляющем устройстве и не расшифровывается, пока не достигнет устройств получателей. В версии Zoom 5.0 поддерживается шифрование по алгоритму AES-GCM с 256-битными ключами. Однако ключи шифрования генерируются серверами Zoom и хранятся в облаке. Хостам, для которых приоритетом является конфиденциальность, компания намерена предложить новое решение. Это будет сквозной зашифрованный режим, доступный только платным аккаунтам. В нем криптографические секреты будут находиться под контролем хоста, и клиентское программное обеспечение хоста будет решать, каким устройствам разрешено самым присоединяться к общению. Собрания со сквозным шифрованием не будут поддерживать телефонные мосты, запись в облако и сторонние системы конференц-связи. Участники Zoom Rooms и Zoom Phone смогут присутствовать, только имея явное разрешение организатора. В компании полагают, что это обеспечит эквивалентную или лучшую безопасность, чем в потребительских платформах обмена сообщениями со сквозным шифрованием, но с качеством видео, которое сделало сервис Zoom столь популярным.
Компания подчеркивает, что стремится сохранять прозрачность при создании описанного механизма. Она планирует опубликовать детальный черновой вариант криптографического дизайна в пятницу, 22 мая. После обсуждения с сообществом и экспертами будет опубликована более подробная информация и собраны отклики. Как только эта обратная связь будет оценена на предмет интеграции в окончательный дизайн, компания опубликует план внедрения нововведений.
Источник: iXBT