视频会议服务 Zoom 引发端到端加密危机争论

美国联邦调查局（FBI）波士顿办公室本周一发布了一份关于 Zoom 的警告称，由于此前发生了多起身份不明的人入侵学校网络课程的事件，提醒用户不要在该网站上进行公开会议或广泛分享链接。

更严重的问题还在后面，美国当地时间 3 月 31 日，美国调查新闻网站 The Intercept 发布一篇报道指出了“严重的隐私和安全问题”，称 Zoom 并未遵循自家的承诺为用户的会议内容进行端到端加密处理（End-to-end encryption），外界质疑这意味着 Zoom 将有能力直接接触到用户数据，引发广泛担忧。

事实上，Zoom 在一份官方文件中承诺，将使用端到端方式对会议内容进行加密，甚至是在加密模式下使用该应用进行视频会议时，界面上方还有 “正在使用端到端加密” 的字样。但被问及视频会议是否在实际上通过端到端加密时，Zoom 的发言人表示：现阶段，不可能为 Zoom 平台上的视频会议启用端到端加密。

在端到端加密的模式下， 视频和音频内容需要经过加密处理，而只有会议的参与者才拥有密钥，有能力对数据进行解密。在这过程中，Zoom 虽然可以访问到加密内容， 但由于不掌握密钥而不具备解锁的能力。

在实际的运营中，Zoom 在保护会议视频内容的加密方式是 TLS (Transport Layer Security，传输层安全协议)，这意味着，用户在电脑或手机上运行 Zoom 时，设备端到 Zoom 的服务器之间时加密的。但不同于端到端加密的关键点在于， Zoom 自己具备访问到未被加密的视频和音频内容的能力。因此简单来说，采用 TLS 加密方式下，用户的视频或音频内容可以防止被第三方窃取，比如通过 WIFI 监视的方式，但这些内容和数据并不能在 Zoom 这里保证安全。约翰 · 霍普金斯大学的密码学家和计算机科学教授 Matthew Green 指出，多人参与的在线视频本身是很难进行端到端加密的，这是因为平台需要在会议过程中识别哪个用户正在通话，并将这名用户的高分辨率视频流分发给其他参会者，而对于其他的未讲话的参与者，平台只会提供低分辨率的视频流。

反观，为了保护用户的隐私，Zoom 采取了分层保护的措施，其中包括了 Zoom 公司内任何员工都无法直接访问用户在会议期间分享的任何数据，包括但不限于会议的视频、音频和聊天内容。Zoom 不会挖掘用户数据，更不会向任何人出售任何类型的用户数据。不过截止目前为止，Zoom 并未像微软、谷歌等公司一样发布自家的透明度报告，因此无从得知是否有国家和政府对 Zoom 提出获得用户数据的请求。未来如何，可持续关注。

本文部分素材源自：DeepTec