Zoom приобретает стартап Keybase, занимающийся шифрованием

Компания видеосвязи Zoom покупает Keybase, создатели системы сквозного зашифрованного обмена сообщениями и облачного хранилища. Это приобретение является первой покупкой в ​​истории Zoom.

С помощью Keybase пользователи Zoom получат возможность добавлять сквозное шифрование к видеозвонкам, что является значительным шагом вперед по сравнению с 90-дневной мерой безопасности Zoom.

Увеличить попал под обстрел ранее в этом году за заявление о том, что ее платформа использует сквозное шифрование, хотя на самом деле это не так. Маркетинговая практика Zoom предполагает, что компания использовала стандарт шифрования AES-256 для обеспечения безопасности видеозвонков, но вместо этого нестандартный ключ AES-128 в режиме ECB фактически использовался.

Шифрование оставалось в центре внимания Zoom в течение последних нескольких недель и находится в авангарде 90-дневного плана компании по улучшению возможностей безопасности и конфиденциальности своей платформы. В сообщение в блоге в четвергГенеральный директор Zoom Эрик Юань заявил, что приобретение Keybase позволит Zoom предлагать режим встреч со сквозным шифрованием для всех платных учетных записей.

Вошедшие в систему пользователи будут генерировать общедоступные криптографические идентификаторы, которые хранятся в репозитории в сети Zoom и могут использоваться для установления доверительных отношений между участниками собрания. Эфемерный симметричный ключ для каждого собрания будет сгенерирован организатором собрания. Этот ключ будет распределяться между клиентами, окруженный асимметричными парами ключей и ротироваться при значительных изменениях в списке участников. Криптографические секреты будут находиться под контролем хоста, а клиентское программное обеспечение хоста будет решать, каким устройствам разрешено получать ключи собрания и тем самым присоединяться к собранию. Мы также изучаем механизмы, которые позволят корпоративным пользователям обеспечивать дополнительные уровни аутентификации.

Эти встречи со сквозным шифрованием не будут поддерживать телефонные мосты, облачную запись или системы конференц-залов, отличные от Zoom. Участники Zoom Rooms и Zoom Phone смогут присутствовать, если это явно разрешено организатором. Ключи шифрования будут строго контролироваться организатором, который будет допускать участников. Мы считаем, что это обеспечит эквивалентную или лучшую безопасность, чем существующие потребительские платформы для обмена сообщениями со сквозным шифрованием, но с видео качество и масштаб, благодаря которым Zoom выбирают более 300 миллионов участников ежедневных встреч, в том числе на крупнейших в мире предприятия.

Zoom одним из первых извлек выгоду из бума видеоконференций, вызванного новой пандемией коронавируса, но слабые стороны платформы были быстро выявлены после того, как эксперты найденный недостатки безопасности в коде приложения и проблемы конфиденциальности при управлении пользовательскими данными. Столкнувшись с растущей критикой, Юань объявлено 1 апреля что компания прекратит разработку всех новых функций приложения и полностью сосредоточится на безопасности.

Через неделю компания нанял бывшего начальника службы безопасности Facebook Алекса Стамоса в качестве внешнего консультанта по безопасности. Пришло Обновление Zoom 5.0, который добавил возможности маршрутизации центров обработки данных для администраторов учетных записей. Эта функция была призвана развеять опасения, что чаты Zoom и ключи шифрования отправляются на китайские серверы, где данные могут быть перехвачены китайской разведкой.

Забегая вперед, Zoom заявила, что опубликует проект криптографического проекта 22 мая, а затем запросит отзывы экспертов по криптовалюте и клиентов, прежде чем остановиться на окончательном дизайне и отправить его в Zoom пользователи. Zoom также пообещал, что не будет создавать механизм расшифровки прямых трансляций для законного перехвата. и не будет создавать никаких криптографических бэкдоров, которые позволили бы компании тайно вводить людей в встречи.