Protección de aplicaciones de videoconferencia en Internet: Zoom y otros


Protección de aplicaciones de videoconferencia en Internet: Zoom y otros

La NSA acaba de publicar un encuesta de aplicaciones de videoconferencia. Así lo hizo Mozilla.

Zoom está en la buena lista, con algunas advertencias. La empresa ha hecho un montón de trabajo abordando preocupaciones de seguridad anteriores. Todavía tiene un poco de cifrado de extremo a extremo. Matthew Green mirado esto. Zoom ofrece cifrado de extremo a extremo si 1] todos usan una aplicación de Zoom y no inician sesión en la reunión usando una página web, y 2] la reunión no se registra en la nube. Eso es bastante bueno, pero la verdadera preocupación es dónde se generan y almacenan las claves de cifrado. De acuerdo a Laboratorio Ciudadano, la empresa los genera.

El protocolo de transporte Zoom agrega el esquema de cifrado propio de Zoom a RTP de una manera inusual. De forma predeterminada, el audio y el video de todos los participantes en una reunión de Zoom parece estar cifrado y descifrado con una sola clave AES-128 compartida entre los participantes. La clave AES parece ser generada y distribuida a los participantes de la reunión por los servidores de Zoom. El cifrado y descifrado de Zoom utilizan AES en modo ECB, lo cual es bien entendido como una mala strategy, porque este modo de cifrado preserva los patrones en la entrada.

La parte del algoritmo fue solo arreglado:

Encriptación GCM AES de 256 bits: Zoom se está actualizando al estándar de cifrado GCM AES de 256 bits, que ofrece una mayor protección de los datos de su reunión en tránsito y resistencia contra la manipulación. Esto proporciona garantías de confidencialidad e integridad en su reunión de Zoom, seminario world-wide-web de online video de Zoom y datos de Zoom Cellphone. Zoom 5., que se lanzará dentro de la semana, admite el cifrado GCM, y este estándar entrará en vigencia una vez que todas las cuentas estén habilitadas con GCM. La habilitación de cuentas en todo el sistema tendrá lugar el 30 de mayo.

No hay nada en el último anuncio de Zoom sobre la gestión de claves. Entonces: si bien la compañía ha hecho un buen trabajo mejorando la seguridad y la privacidad de su plataforma, parece que solo queda un paso.

Finalmente, uso Zoom todo el tiempo. Terminé mi clase de Harvard usando Zoom Es el estándar universitario. Estoy teniendo reuniones de empresa Inrupt en Zoom. Estoy teniendo conferencias profesionales y personales sobre Zoom. Es lo que todos tienen, y las características son realmente buenas.

Publicado el 30 de abril de 2020 a las 10:24 a.m.

comentarios



Enlace a la noticia first