视频会议服务 Zoom 引发端到端加密危机争论

美国联邦调查局(FBI)波士顿办公室本周一发布了一份关于 Zoom 的警告称,由于此前发生了多起身份不明的人入侵学校网络课程的事件,提醒用户不要在该网站上进行公开会议或广泛分享链接。

更严重的问题还在后面,美国当地时间 3 月 31 日,美国调查新闻网站 The Intercept 发布一篇报道指出了“严重的隐私和安全问题”,称 Zoom 并未遵循自家的承诺为用户的会议内容进行端到端加密处理(End-to-end encryption),外界质疑这意味着 Zoom 将有能力直接接触到用户数据,引发广泛担忧。

事实上,Zoom 在一份官方文件中承诺,将使用端到端方式对会议内容进行加密,甚至是在加密模式下使用该应用进行视频会议时,界面上方还有 “正在使用端到端加密” 的字样。但被问及视频会议是否在实际上通过端到端加密时,Zoom 的发言人表示:现阶段,不可能为 Zoom 平台上的视频会议启用端到端加密。

在端到端加密的模式下, 视频和音频内容需要经过加密处理,而只有会议的参与者才拥有密钥,有能力对数据进行解密。在这过程中,Zoom 虽然可以访问到加密内容, 但由于不掌握密钥而不具备解锁的能力。

在实际的运营中,Zoom 在保护会议视频内容的加密方式是 TLS (Transport Layer Security,传输层安全协议),这意味着,用户在电脑或手机上运行 Zoom 时,设备端到 Zoom 的服务器之间时加密的。但不同于端到端加密的关键点在于, Zoom 自己具备访问到未被加密的视频和音频内容的能力。因此简单来说,采用 TLS 加密方式下,用户的视频或音频内容可以防止被第三方窃取,比如通过 WIFI 监视的方式,但这些内容和数据并不能在 Zoom 这里保证安全。约翰 · 霍普金斯大学的密码学家和计算机科学教授 Matthew Green 指出,多人参与的在线视频本身是很难进行端到端加密的,这是因为平台需要在会议过程中识别哪个用户正在通话,并将这名用户的高分辨率视频流分发给其他参会者,而对于其他的未讲话的参与者,平台只会提供低分辨率的视频流。

反观,为了保护用户的隐私,Zoom 采取了分层保护的措施,其中包括了 Zoom 公司内任何员工都无法直接访问用户在会议期间分享的任何数据,包括但不限于会议的视频、音频和聊天内容。Zoom 不会挖掘用户数据,更不会向任何人出售任何类型的用户数据。不过截止目前为止,Zoom 并未像微软、谷歌等公司一样发布自家的透明度报告,因此无从得知是否有国家和政府对 Zoom 提出获得用户数据的请求。未来如何,可持续关注。

本文部分素材源自:DeepTec

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20200403A0KNC300?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券