Share This
Связаться со мной
Крути в низ
Categories
//«Лаборатория Касперского» объяснила, как устроено сквозное шифрование в Zoom

«Лаборатория Касперского» объяснила, как устроено сквозное шифрование в Zoom

14.07.2021Category : My Habr

laboratorija kasperskogo objasnila kak ustroeno skvoznoe shifrovanie v zoom 9e706b6 - «Лаборатория Касперского» объяснила, как устроено сквозное шифрование в Zoom

Представители Zoom выступили на RSA Conference 2021 с рассказом о сквозном шифровании в Zoom Cloud Meetings. «Лаборатория Касперского» объяснила, как работает инструмент и станет ли платформа безопаснее.

Популярность сервиса видеозвонков Zoom выросла в прошлом году. Тогда же стало понятно, что обеспечение безопасности на платформе организовано не идеально. Одна из основных претензий к Zoom заключалась в том, что вместо сквозного шифрования (end-to-end encryption, сокращенно E2EE) сервис использовал систему P2PE — point-to-point encryption. 

Основная разница между этими двумя методами заключается в том, что при использовании P2PE сервер имеет доступ к переписке пользователей, а при сквозном шифровании информация шифруется на устройстве отправителя и расшифровывается только на устройстве получателя. При использовании P2PE киберпреступники могут взломать сервер и украсть хранящиеся на нем ключи шифрования, либо недобросовестные работники на стороне облачного провайдера или самого Zoom могут получить доступ к ключам. 

Разработчики прислушались к критике, и осенью 2020 года сквозное шифрование появилось в Zoom. Теперь оно применяется как к самим звонкам — и аудио, и видео — так и к содержимому чата. Теперь данные участников защищены ключом шифрования, который не хранится на серверах Zoom, поэтому даже разработчики не смогут расшифровать содержимое разговоров. Платформа хранит только зашифрованные идентификаторы участников, а также некоторые метаданные встречи, например, длительность звонка.

Разработчики также предусмотрели ряд инструментов для защиты от подключения посторонних. В частности, в Zoom появился так называемый heartbeat — сигнал, который приложение организатора автоматически отправляет другим пользователям. Он содержит список участников встречи, которым был отправлен текущий ключ шифрования. Если на встрече присутствует кто-то, кого в этом списке нет, значит, это посторонний.

«Другой способ скрыться от чужих ушей и глаз — зафиксировать список участников (Lock Meeting), когда все гости уже собрались. Закрыть встречу можно только вручную, зато после нажатия соответствующей кнопки посторонние к разговору уже точно не смогут присоединиться», — поясняет «Лаборатория Касперского».

Также в Zoom реализована защита от атаки типа Man-in-the-middle, которая в теории может позволить постороннему подслушивать звонок.

«Чтобы удостовериться в том, что этого не произошло, организатор встречи может в любой момент нажать кнопку и сгенерировать на основе известного ему ключа шифрования встречи код безопасности. В этот момент тем же образом код будет сгенерирован у остальных участников встречи автоматически. Организатору остается зачитать вслух этот код и если он у всех совпадает, это будет значить, что все пользуются одним и тем же ключом, и, следовательно, все идет хорошо».

Наконец, всякий раз, когда организатор встречи покидает ее и организатором становится кто-то другой, это отображается в приложении. Если эта смена организатора кажется другим участникам подозрительной, звонок или обсуждение приватных тем можно прервать.

В будущем Zoom планирует также предусмотреть защиту от ситуаций, когда на видеовстречи проникает посторонний под видом приглашенного участника. Чтобы этого добиться, сервис перейдет на проверку личности пользователей без обращения к серверам самого Zoom. Она будет основан на технологии единого входа (SSO) с привлечением независимых систем идентификации (IDP). В результате злоумышленник не сможет подделать личность пользователя, даже если получит контроль над сервером Zoom. Если же кто-то присоединится к мероприятию под видом приглашенного участника, но с новым открытым ключом, остальные получат предупреждение о потенциальной угрозе. 

«Также Zoom планирует ввести «дерево прозрачности». Согласно этой концепции, на серверах Zoom и у провайдеров SSO будут в неизменном виде храниться подписанные ими данные о том, кому из пользователей какой открытый ключ принадлежит. Каждое приложение сможет отправить запрос и получить в ответ данные о подлинности ключей того или иного участника. Аналогичную функцию возложат и на доверенные независимые центры, которые будут проводить аудит автоматически и предупреждать остальных участников встречи о подмене ключей того или иного пользователя. Таким образом планируется защитить платформу от атак типа Man-in-ihe-middle», — рассказывает «Лаборатория Касперского».

Наконец, в Zoom появится дополнительная проверка подлинности устройств при подключении к аккаунту. Чтобы привязать новый гаджет, потребуется подтвердить его легитимность, например, считав QR-код с экрана доверенного телефона или компьютера. Узнать больше о планах команды Zoom можно из технического документа, опубликованного на GitHub.

  • 0 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    blank
    Roman Spiridonov

    Моя специальность - Back-end Developer, Software Engineer Python. Мне 39 лет, я работаю в области информационных технологий более 5 лет. Опыт программирования на Python более 3 лет. На Django более 2 лет.

    Categories 05.

    © Speccy 2022 / All rights reserved

    Связаться со мной
    Close