Cómo Zoom planea asegurar mejor las reuniones con cifrado de extremo a extremo


Un nuevo documento de Zoom ilustra cómo la compañía espera reforzar la seguridad y la privacidad de su plataforma de reunión digital.

A medida que el coronavirus ha forzado las cuarentenas, ha habido un aumento en la demanda de reuniones virtuales y aplicaciones de movie chat. Aunque muchas de esas aplicaciones han visto un aumento en el uso, Zoom ha sido uno de los principales beneficiarios, preferred tanto entre individuos como organizaciones. Pero Zoom también ha sido criticado por su débiles medidas de seguridad y privacidad, lo que lleva a problemas como el bombardeo Zoom. Además, Zoom carece actualmente del tipo completo de cifrado de extremo a extremo que emplean los servicios empresariales más tradicionales. Un documento publicado por Zoom el viernes explica cómo la compañía espera proteger más completamente los datos confidenciales de las reuniones y las comunicaciones.

En su Entrada de weblog del viernes, Zoom anunció el borrador de publicación para su oferta cifrada de extremo a extremo. Alegando que la seguridad y la privacidad son los dos «pilares» de su nuevo approach, Zoom ha publicado su documento en GitHub para revisión por pares, con la esperanza de iniciar discusiones y obtener comentarios de expertos en criptografía, organizaciones sin fines de lucro, grupos de defensa y clientes.

VER: Zoom 101: una guía para principiantes y profesionales de negocios (TechRepublic Quality)

Las reuniones de Zoom actualmente ofrecen encriptación pero con ciertas limitaciones. El cifrado se utiliza para proteger la identidad de los usuarios, los datos de llamadas entre los clientes de Zoom y la infraestructura de Zoom, y los contenidos de las reuniones. Cuando un cliente de Zoom está autorizado a unirse a una reunión, ese cliente recibe una clave de seguridad de 256 bits del servidor de Zoom. Pero el servidor Zoom conserva la clave de seguridad proporcionada a los participantes de la reunión, por lo que carece de una verdadera gestión de encriptación y cifrado de extremo a extremo.

La falta de cifrado completo de extremo a extremo significa que un atacante que puede monitorear la infraestructura del servidor de Zoom y obtener acceso a la memoria de los servidores de Zoom relevantes podría vencer el cifrado para una reunión específica. Como tal, esa persona podría ver la clave de reunión compartida, derivar claves de sesión y descifrar todos los datos de la reunión.

Para solucionar algunos de sus agujeros de seguridad, Zoom describió los objetivos de su propuesta de la siguiente manera: 1) Solo los participantes autorizados de la reunión deberían tener acceso a los datos de su reunión 2) Cualquier persona excluida de una reunión no debe tener la capacidad de corromper el contenido de esa reunión 3) Si un participante de la reunión se involucra en un comportamiento abusivo, debe haber una manera efectiva de denunciar a esa persona para evitar nuevos abusos.

Para avanzar en sus objetivos, Zoom ha organizado su propuesta en cuatro fases.

Fase 1. En la primera fase, cada aplicación de Zoom generará y administrará sus propios pares de claves de seguridad pública / privada con las claves conocidas solo por el cliente. Los clientes podrán generar e intercambiar sus claves de sesión sin necesidad de confiar en el servidor. Durante esta fase inicial, esta mejora de clave de seguridad específica admitirá solo clientes nativos de Zoom y Zoom Rooms, y solo reuniones programadas.

Fase 2. En la segunda fase, Zoom planea revelar dos características para que los usuarios rastreen las identidades de los demás sin tener que confiar en los servidores de Zoom. Una característica es un Inicio de sesión único iniciado por el proveedor de identidad (SSO IdP) que puede garantizar criptográficamente la identidad de cada usuario.

Fase 3. En la tercera fase, Zoom lanzará una función que obliga a sus servidores a firmar y almacenar inmutablemente las claves de seguridad de cada usuario, asegurando que Zoom brinde una respuesta consistente a todos los clientes sobre las claves. Esto se creará a través de un «árbol de transparencia», una característica comparable a las utilizadas en Transparencia de certificado y Keybase.

Fase 4 En la fase remaining, los dispositivos se autenticarán aún más. Un participante de la reunión tendrá que firmar nuevos dispositivos con los dispositivos existentes, usar un IdP de SSO para reforzar las adiciones de dispositivos o delegar la autenticación a un administrador de TI. Hasta que se cumpla una de estas condiciones, no se confiará en los dispositivos del participante.

Con estas nuevas iniciativas de seguridad, Zoom también propuso ciertos cambios en su aplicación cliente.

La interfaz para configurar una reunión contará con una nueva casilla de verificación llamada Seguridad de extremo a extremo. Si esta casilla está marcada, la casilla de verificación «Activar unirse antes que el host» se atenúa y se desmarca, la función de grabación en la nube se desactiva y todos los clientes deben ejecutar el program oficial del cliente Zoom aquellos que usan el sitio net de Zoom, dispositivos heredados con Zoom habilitado o una conexión de acceso telefónico quedarán bloqueados fuera de la reunión.

Después de que comience la reunión, todos los participantes verán un código de seguridad de la reunión que pueden usar para verificar que no se interceptó la conexión de nadie a la reunión. El anfitrión puede leer este código en voz alta, y todos los participantes pueden verificar que sus clientes muestren el mismo código.

«Hemos propuesto una hoja de ruta para llevar la tecnología de cifrado de extremo a extremo a Zoom Conferences», dijo Zoom en su documento. «En un alto nivel, el enfoque es simple: utilizar la criptografía de clave pública para distribuir una clave de sesión a los participantes de una reunión y proporcionar enlaces cada vez más fuertes entre las claves públicas y las identidades de los usuarios. Sin embargo, el diablo está en los detalles, como la identidad del usuario a través de múltiples dispositivos es un problema desafiante y tiene implicaciones para la experiencia del usuario. Propusimos un despliegue por etapas de seguridad de extremo a extremo, con cada etapa sucesiva brindando protecciones más fuertes «.

Después de revisar los comentarios de los clientes y otras partes interesadas, Zoom actualizará y refinará su documento y finalmente anunciará sus planes para implementar el nuevo cifrado de extremo a extremo y otras mejoras de seguridad.

Ver también

Estudiante en video llamada desde su casa durante el encierro

Imagen: Alistair Berg / Getty Illustrations or photos



Enlace a la noticia authentic