Zoom獲得加密啟動(dòng)密鑰庫

視頻通信公司Zoom正在購買Keybase，Keybase是端到端加密消息傳遞和云存儲(chǔ)系統(tǒng)的制造商。 這次收購是Zoom歷史上的第一次收購。

有了Keybase，Zoom用戶將有能力將端到端加密添加到視頻調(diào)用中——這是Zoom90天安全推送的重要發(fā)展。

今年早些時(shí)候，Zoom因?yàn)檎f它的平臺(tái)使用端到端加密而遭到了抨擊，而實(shí)際上它沒有。 Zoom的營(yíng)銷實(shí)踐表明，該公司使用AES-256加密標(biāo)準(zhǔn)來保證視頻通話的安全，但實(shí)際上使用了低于標(biāo)準(zhǔn)的AES-128密鑰的ECB模式。

在過去的幾周里，加密一直是Zoom的焦點(diǎn)，并處于公司90天計(jì)劃的前沿，以提高其平臺(tái)的安全和隱私能力。 Zoom首席執(zhí)行官Eric Yuan周四在一篇博客文章中說，Keybase的收購將允許Zoom向所有付費(fèi)賬戶提供端到端加密會(huì)議模式。

登錄用戶將生成公共密碼身份，這些身份存儲(chǔ)在Zoom網(wǎng)絡(luò)的存儲(chǔ)庫中，并可用于建立會(huì)議與會(huì)者之間的信任關(guān)系。 會(huì)議主機(jī)將生成一個(gè)短暫的每會(huì)議對(duì)稱密鑰。 此密鑰將在客戶端之間分發(fā)，在與會(huì)者列表有重大變化時(shí)，將其封裝在非對(duì)稱密鑰對(duì)中并旋轉(zhuǎn)。 密碼秘密將由主機(jī)控制，主機(jī)的客戶端軟件將決定允許哪些設(shè)備接收會(huì)議密鑰，從而加入會(huì)議。 我們還在研究允許企業(yè)用戶提供額外級(jí)別認(rèn)證的機(jī)制。

這些端到端加密會(huì)議將不支持電話橋，云記錄，或非Zoom會(huì)議室系統(tǒng).. 放大室和放大電話參與者將能夠參加，如果明確允許的主機(jī)。 加密密鑰將由主機(jī)嚴(yán)格控制，主機(jī)將接納與會(huì)者。 我們相信這將比現(xiàn)有的消費(fèi)者端到端加密消息傳遞平臺(tái)提供同等或更好的安全性，但由于視頻質(zhì)量和規(guī)模，Zoom成為了超過3億名每日會(huì)議參與者的選擇，包括一些世界上最大的企業(yè)的參與者..

Zoom是受新的大流行刺激的視頻會(huì)議熱潮的早期受益者，但在專家發(fā)現(xiàn)應(yīng)用程序代碼的安全缺陷和用戶數(shù)據(jù)管理的隱私問題后，該平臺(tái)的弱點(diǎn)很快暴露出來。 面對(duì)越來越多的批評(píng)，袁在4月1日宣布，該公司將停止開發(fā)所有新的應(yīng)用程序功能，并完全專注于安全。

一周后，該公司聘請(qǐng)前Facebook安全總監(jiān)Alex Stamos擔(dān)任外部安全顧問。 Zoom的5.0更新為帳戶管理員添加了數(shù)據(jù)中心路由功能。 該功能旨在減輕人們對(duì)Zoom聊天和加密密鑰被發(fā)送到中國服務(wù)器的擔(dān)憂，在那里這些數(shù)據(jù)可能被中國情報(bào)機(jī)構(gòu)劫持。

展望未來，Zoom表示，它將于5月22日發(fā)布密碼設(shè)計(jì)草案，然后征求密碼專家和客戶的反饋，然后確定最終設(shè)計(jì)，并將其推廣給Zoom用戶。 Zoom還承諾，它不會(huì)為合法攔截而建立解密現(xiàn)場(chǎng)會(huì)議的機(jī)制，也不會(huì)建立任何加密后門，允許公司秘密地將人員插入會(huì)議。