Zoom lança criptografia de ponta a ponta (E2EE) na próxima semana

Views: 372
0 0
Read Time:3 Minute, 20 Second

A Zoom anunciou hoje que lançará criptografia de ponta a ponta (E2EE) para todos os usuários a partir da próxima semana, como parte de uma prévia técnica de 30 dias.

Para começar a usar o E2EE ao participar de novas reuniões durante esta fase de lançamento, os participantes da reunião terão que participar usando o cliente de desktop Zoom, aplicativo móvel ou do Zoom Rooms.

Os usuários saberão se a reunião usa o E2EE se um logotipo de escudo verde com cadeado for exibido no canto superior esquerdo da janela.

“Estamos entusiasmados em anunciar que, a partir da próxima semana, a oferta de criptografia de ponta a ponta (E2EE) da Zoom estará disponível como uma prévia técnica, o que significa que estamos solicitando proativamente feedback dos usuários para os primeiros 30 dias”, disse hoje o chefe de engenharia de segurança da Zoom, Max Krohn.

“Os usuários do Zoom – gratuitos e pagos – em todo o mundo podem hospedar até 200 participantes em uma reunião do E2EE no Zoom, proporcionando maior privacidade e segurança para suas sessões do Zoom.”

Zoom E2EE e suas desvantagens atuais

Todas as chaves de criptografia E2EE são geradas por atender às máquinas dos participantes em vez dos próprios servidores do Zoom, tornando todos os dados trocados indecifráveis pelo Zoom ou outros terceiros, com exceção de cada participante da reunião.

“Em reuniões típicas, a nuvem do Zoom gera chaves de criptografia e as distribui para atender os participantes usando aplicativos Zoom à medida que eles se juntam”, explicou Krohn.

“Com o E2EE do Zoom, o anfitrião da reunião gera chaves de criptografia e usa criptografia de chave pública para distribuir essas chaves aos outros participantes do encontro.

“Os servidores do Zoom se tornam relés alheios e nunca vêem as chaves de criptografia necessárias para descriptografar o conteúdo da reunião.”

Para começar a usar o E2EE ao participar das reuniões do Zoom, os usuários têm que habilitar reuniões E2EE no nível da conta e optar por reuniões do E2EE por reunião.

Embora o E2EE forneça aos usuários uma melhor segurança, privacidade e proteção de dados para reuniões do Zoom, algumas funcionalidades são limitadas quando são ativadas.

“Ativar esta versão do E2EE do Zoom em suas reuniões desativa certos recursos, incluindo participar antes do host, gravação em nuvem, streaming, transcrição ao vivo, Breakout Rooms, votação, chat privado 1:1 e reações de reunião”, acrescentou Krohn.

Autenticação baseada em riscos para usuários livres/básicos

Um rascunho inicial do design criptográfico para a oferta E2EE do Zoom foi publicado no GitHub em 22 de maio e uma segunda versão atualizada foi enviada em 17 de junho (uma lista de todas as alterações podem ser encontradas aqui).

A opção de reunião do E2EE foi anunciada pela primeira vez pelo Zoom em maio de 2020 como um recurso que só estará disponível para clientes pagantes,com usuários gratuitos/básicos para ter acesso apenas à criptografia GCM de 256 bits.

Esses planos foram alterados em junho, quando o CEO da Zoom, Eric S. Yuan, disse que os usuários gratuitos/básicos também poderão usar o E2EE depois de verificar suas contas por meio de identificação adicional, como seu número de telefone.

“Usuários gratuitos/básicos que buscam acesso ao E2EE participarão de um processo de verificação única que solicitará ao usuário informações adicionais, como verificar um número de telefone via mensagem de texto”, confirmou o Zoom também no anúncio de hoje.

“Estamos confiantes de que, implementando a autenticação baseada em riscos, em combinação com nosso mix atual de ferramentas — incluindo nosso trabalho com organizações de direitos humanos e segurança infantil e a capacidade de nossos usuários de bloquear uma reunião, denunciar abusos e uma infinidade de outros recursos disponibilizados como parte de nosso ícone de segurança — podemos continuar a aumentar a segurança de nossos usuários.”

O Zoom estima que a próxima fase de implantação do E2EE começará em 2021, adicionando integração SSO (Single sign-on) e melhor gerenciamento de identidade.

FONTE: BLEEPING COMPUTER

POSTS RELACIONADOS