В развороте системы безопасности – платформа для видеоконференций Zoom сказал, что, в конце концов, предложит сквозное шифрование для всех пользователей – включая тех, кто не платит за использование его службы.
Предостережение заключается в том, что бесплатные пользователи должны предоставить определенные «дополнительные» фрагменты информации для целей проверки (например, номер телефона, по которому они могут ответить на ссылку для проверки), прежде чем им будет разрешено использовать шифрование e2e – что, по словам Zoom, является необходимой проверкой, поэтому может «предотвращать и бороться со злоупотреблениями» на своей платформе. Однако это серьезный шаг вперед по сравнению с предыдущим предложением «нет e2e, если вы не заплатите нам».
«Мы благодарны тем, кто внес свой вклад в наш дизайн E2EE, как технический, так и философский», – пишет Zoom в своем блоге. «Мы призываем всех продолжать делиться своими взглядами на протяжении всего этого сложного, непрерывного процесса».
Ранее в этом месяце компания столкнулась с бурной критикой после того, как Bloomberg сообщил о комментариях CEO Эрика Юаня, который заявил о том, что не намерен предоставлять шифрование e2e для неоплачиваемых пользователей, поскольку хочет иметь возможность работать с правоохранительными органами.
Эксперты по безопасности и конфиденциальности взяли курс на подрыв позиции. Одним из известных критиков этой должности был эксперт по криптографии Мэтью Грин, чье имя вы найдете в официальном документе Zoom по дизайну шифрования e2e.
«Как только прецедент установлен, что шифрование E2E слишком« опасно », чтобы передать его массам, джинн из бутылки». И как только корпоративная Америка признает, что частные коммуникации слишком политически рискованны для развертывания, их будет трудно вернуть обратно », – говорит Грин. предупреждала в нюансах Twitter нить.
После шторма шифрования e2e Zoom столкнулся с еще одним скандалом, на этот раз связанным с конфиденциальностью и цензурой, после того как он признал, что закрыл несколько аккаунтов китайских активистов по просьбе правительства КНР. Таким образом, компания, возможно, натолкнулась на еще одну вескую причину изменить свою позицию – учитывая, что гораздо труднее подвергать цензуре контент, который вы не видите.
Объясняя изменения в своем сообщении в блоге, Zoom говорит только о том, что он следует за периодом взаимодействия «с организациями по гражданским свободам, нашим советом CISO, защитниками детской безопасности, экспертами по шифрованию, представителями правительства, нашими собственными пользователями и другими».
«Мы также исследовали новые технологии, чтобы позволить нам предлагать E2EE для всех уровней пользователей», – добавляет он.
В его блоге кратко обсуждается, как неоплачиваемые пользователи смогут получить доступ к шифрованию e2e, а Zoom пишет: «Свободные пользователи / пользователи Basic, желающие получить доступ к E2EE, будут участвовать в одноразовом процессе, который будет запрашивать у пользователя дополнительные фрагменты информации. например, подтверждение номера телефона с помощью текстового сообщения ».
«Многие ведущие компании выполняют аналогичные шаги по созданию учетных записей, чтобы уменьшить массовое создание злоупотреблений учетными записями. Мы уверены, что, внедрив аутентификацию на основе рисков, в сочетании с нашим текущим набором инструментов, включая функцию «Сообщить о пользователе», мы сможем и впредь предотвращать и бороться со злоупотреблениями », – добавляет он.
В некоторых странах для проверки SIM-карты требуется проверка идентификатора, поэтому при условии проверки Zoom некоторые пользователи могут получить доступ к шифрованию e2e, не оставляя следов идентификации, которые государственные органы могут отменить.
Согласно сообщению в блоге Zoom, бета-версия реализации шифрования e2e стартует в июле. В то же время шифрование платформы по умолчанию остается AES 256 GCM.
Предстоящее шифрование e2e не будет включено по умолчанию, а скорее предлагается в качестве опции. Zoom говорит, что это связано с тем, что ограничивает некоторые функции собраний («например, возможность подключения традиционных телефонных линий PSTN или аппаратных систем конференц-зала SIP / H.323»).
«Хозяева будут включать и выключать E2EE для каждой встречи», – отмечает он, добавляя, что администраторы учетных записей также будут иметь возможность включать и отключать E2EE на уровне учетных записей и групп.
Сегодня компания также выпустила обновление v2 своего дизайна шифрования e2e – опубликовала спецификацию на Github.