技术编辑:徐九丨发布自:思否编辑部
近日,在线上举办的虚拟 Zoomtopia 客户活动中,Zoom 确认将开始部署端到端加密(E2EE)。Zoom 也明确本次 E2EE 部署会分为四个阶段, 首先是为期 30 天的技术预览阶段,主要以收集用户反馈为主。
Zoom 口碑的两极反转
自新冠疫情爆发以来,Zoom 作为一款远程协作工具一直处于风口浪尖。但口碑却经历了一次两极反转,从“最好用的视频会议工具”变成了“最大的安全隐患”。这两个评价其实是紧密相关的,由于没有加强安全性,Zoom 用户激增的同时也产生了不少安全隐患。
今年 3 月底,Zoom 承认,虽然它使用了标准的网络浏览器数据加密,但并没有使用行业标准的端到端加密,该公司随后宣布冻结新功能开发,全力提高安全性,并致力于新的加密解决方案。
今年 5 月,Zoom 在 GitHub 上发布了 E2EE 设计,希望平衡所有用户的合法权利和平台的用户隐私/安全。Zoom 表示将会为全球所有付费和免费用户提供 E2EE 功能,并确保平台具备预防和打击滥用的能力。
从 GCM 到 E2EE
"为了实现这一点,寻求访问 E2EE 的 Free/Basic 用户将参加一个一次性的过程,该过程将提示用户提供额外的信息,例如通过短信验证电话号码,"Zoom 在其博客文章中解释道。"许多领先的公司在账户创建上都会执行类似的步骤,以减少大量滥用账户的创建。我们相信,通过实施基于风险的认证,结合我们目前的工具组合--包括我们的报告用户功能--我们可以继续防止和打击滥用。"
目前,Zoom 默认使用 AES 256 GCM 传输加密,并将其描述为 "目前使用的最强加密标准之一"。而 E2EE 是建立在现有 GCM 加密之上的,除了由 Zoom 的服务器管理加密密钥过程之外,会议主持人生成加密密钥并使用公共密钥加密技术将密钥分发给每个参与者。换句话说,Zoom 不了解或无法访问解密视频聊天内容所需的密钥 —— 解密密钥在本地生成并存储在用户的计算机上。
在左上角会有个绿色的小盾牌告知用户本次会议受到 E2EE 的保护,所有与会者都将能够看到会议主持人的安全代码,并对照屏幕上的代码进行检查。
下周开始使用 E2EE,主持人必须在其帐户设置中激活 E2EE,然后为每次参加的会议选择加入它。然而,如果会议主办方不同时启用这个功能,那么这个功能就无法工作,因为会议主办方也可以选择限制只对账户级启用了 E2EE 的用户进行调用。
也就是说所有与会者都必须在自己的 Zoom 应用中启用 E2EE 才能加入会议。在第一阶段启用 E2EE 之后可能无法使用某些功能,例如分组讨论室,云记录,轮询,实时转录,一对一聊天和reactions。
结语
在本次 Zoomtopia 的演讲中,Zoom 首席执行官 Eric S. Yuan 表示:
“Zoom 是为我们勇敢、勤奋和富有创造力的用户社区而设的,Zoomtopia 也是如此。我们一直在努力创造一个世界级的,充满价值的虚拟事件。我们也一直在计划、准备和履行 Zoom 的承诺,为您提供最好的服务。”。
“在这个充满挑战的时代,我们学到了一件事,那就是远程工作确实有效。未来将会出现一种最好的面对面交流和虚拟交流的混合体。我们今天在 Zoomtopia 发布的声明表明,Zoom 是为了这一时刻乃至更远的未来而建造的。我们拥有支持世界需要的平台 —— 今天、明天,以及未来。”
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。