Zoom提出「4阶段部署计划」升级安全防护!在GitHub发布并征求意见
为了使Zoom会议更加安全,且保持开发过程的透明与开放,Zoom在GitHub上公开初版的端对端加密视讯产品的设计草案,以开源的方式邀请各界高手给予意见。Zoom将邀集密码学专家、非营利组织、倡导团体、客户和其他单位针对细节进行讨论,并征求最终版本的意见回馈。
此设计草案将把端到端加密技术引入Zoom用户端(非SIP或网站),提供用户强大的安全防护。Zoom计划将公钥密码学(Public Key Cryptography)运用在发送对话金钥(Session Key)给会议参与者,将公钥与用户身分紧密绑定。
Zoom用户端与Zoom基础架构的通话设定以及会议内容,目前都使用了加密技术来保护用户身份。当Zoom客户端确定被授权参与Zoom会议时,Zoom的伺服器会为其提供256位元的单次会议密钥。现有的设计保障了Zoom资料的机密性和真实性,但因Zoom伺服器会保存密钥以发给会议参与者,因此无法真正落实端到端加密的机制。
为了实践端到端加密的功能,Zoom提出4阶段部署计划,每一阶段都将升级Zoom的安全防护。例如,解密密钥会由客户端产生,永远不会透露给Zoom伺服器,仅有客户端知晓。
在适当的情况下授权给单一登入系统(SSOs)。用户设备和联络人列表需要一系列的加密签章(sigchains) 。最终则是部署「透明树」(Transparency Tree)机制,类似应用于凭证透明度及公共密钥库机制,让Zoom的伺服器签署并不可变地储存各用户密钥,确保Zoom对所有用户有一致性的答复。
此次端到端加密产品的设计有3个重要目标,包含机密性、廉正性与禁止伤害性言论。机密性意即唯有经过授权的会议参与者,才可以存取其会议内容与数据。廉正性则是不在会议之内的人,无法干扰与破坏会议内容。当会议参与者有谩骂或滥用等行为时,Zoom也会提供举报机制,防止进一步的伤害性言论。