Share This
Связаться со мной
Крути в низ
Categories
//«Лаборатория Касперского» объяснила, как устроено сквозное шифрование в Zoom

«Лаборатория Касперского» объяснила, как устроено сквозное шифрование в Zoom

14.07.2021Category : My Habr

laboratorija kasperskogo objasnila kak ustroeno skvoznoe shifrovanie v zoom 9e706b6 - «Лаборатория Касперского» объяснила, как устроено сквозное шифрование в Zoom

Представители Zoom выступили на RSA Conference 2021 с рассказом о сквозном шифровании в Zoom Cloud Meetings. «Лаборатория Касперского» объяснила, как работает инструмент и станет ли платформа безопаснее.

Популярность сервиса видеозвонков Zoom выросла в прошлом году. Тогда же стало понятно, что обеспечение безопасности на платформе организовано не идеально. Одна из основных претензий к Zoom заключалась в том, что вместо сквозного шифрования (end-to-end encryption, сокращенно E2EE) сервис использовал систему P2PE — point-to-point encryption. 

Основная разница между этими двумя методами заключается в том, что при использовании P2PE сервер имеет доступ к переписке пользователей, а при сквозном шифровании информация шифруется на устройстве отправителя и расшифровывается только на устройстве получателя. При использовании P2PE киберпреступники могут взломать сервер и украсть хранящиеся на нем ключи шифрования, либо недобросовестные работники на стороне облачного провайдера или самого Zoom могут получить доступ к ключам. 

Разработчики прислушались к критике, и осенью 2020 года сквозное шифрование появилось в Zoom. Теперь оно применяется как к самим звонкам — и аудио, и видео — так и к содержимому чата. Теперь данные участников защищены ключом шифрования, который не хранится на серверах Zoom, поэтому даже разработчики не смогут расшифровать содержимое разговоров. Платформа хранит только зашифрованные идентификаторы участников, а также некоторые метаданные встречи, например, длительность звонка.

Разработчики также предусмотрели ряд инструментов для защиты от подключения посторонних. В частности, в Zoom появился так называемый heartbeat — сигнал, который приложение организатора автоматически отправляет другим пользователям. Он содержит список участников встречи, которым был отправлен текущий ключ шифрования. Если на встрече присутствует кто-то, кого в этом списке нет, значит, это посторонний.

«Другой способ скрыться от чужих ушей и глаз — зафиксировать список участников (Lock Meeting), когда все гости уже собрались. Закрыть встречу можно только вручную, зато после нажатия соответствующей кнопки посторонние к разговору уже точно не смогут присоединиться», — поясняет «Лаборатория Касперского».

Также в Zoom реализована защита от атаки типа Man-in-the-middle, которая в теории может позволить постороннему подслушивать звонок.

«Чтобы удостовериться в том, что этого не произошло, организатор встречи может в любой момент нажать кнопку и сгенерировать на основе известного ему ключа шифрования встречи код безопасности. В этот момент тем же образом код будет сгенерирован у остальных участников встречи автоматически. Организатору остается зачитать вслух этот код и если он у всех совпадает, это будет значить, что все пользуются одним и тем же ключом, и, следовательно, все идет хорошо».

Наконец, всякий раз, когда организатор встречи покидает ее и организатором становится кто-то другой, это отображается в приложении. Если эта смена организатора кажется другим участникам подозрительной, звонок или обсуждение приватных тем можно прервать.

В будущем Zoom планирует также предусмотреть защиту от ситуаций, когда на видеовстречи проникает посторонний под видом приглашенного участника. Чтобы этого добиться, сервис перейдет на проверку личности пользователей без обращения к серверам самого Zoom. Она будет основан на технологии единого входа (SSO) с привлечением независимых систем идентификации (IDP). В результате злоумышленник не сможет подделать личность пользователя, даже если получит контроль над сервером Zoom. Если же кто-то присоединится к мероприятию под видом приглашенного участника, но с новым открытым ключом, остальные получат предупреждение о потенциальной угрозе. 

«Также Zoom планирует ввести «дерево прозрачности». Согласно этой концепции, на серверах Zoom и у провайдеров SSO будут в неизменном виде храниться подписанные ими данные о том, кому из пользователей какой открытый ключ принадлежит. Каждое приложение сможет отправить запрос и получить в ответ данные о подлинности ключей того или иного участника. Аналогичную функцию возложат и на доверенные независимые центры, которые будут проводить аудит автоматически и предупреждать остальных участников встречи о подмене ключей того или иного пользователя. Таким образом планируется защитить платформу от атак типа Man-in-ihe-middle», — рассказывает «Лаборатория Касперского».

Наконец, в Zoom появится дополнительная проверка подлинности устройств при подключении к аккаунту. Чтобы привязать новый гаджет, потребуется подтвердить его легитимность, например, считав QR-код с экрана доверенного телефона или компьютера. Узнать больше о планах команды Zoom можно из технического документа, опубликованного на GitHub.

  • 0 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    blank
    Roman Spiridonov

    Моя специальность - Back-end Developer, Software Engineer Python. Мне 39 лет, я работаю в области информационных технологий более 5 лет. Опыт программирования на Python более 3 лет. На Django более 2 лет.

    Categories 05.

    © Speccy 2020 / All rights reserved

    Связаться со мной
    Close