Zoom 公開端到端加密產品設計草案,在 GitHub 發布並徵求意見

為了使 Zoom 會議更加安全,且保持開發過程的透明與開放,Zoom 在 GitHub 上公開初版的端對端加密視訊產品的設計草案,以開源的方式邀請各界高手給予意見。Zoom 將邀集密碼學專家、非營利組織、倡導團體、客戶和其他單位針對細節進行討論,並徵求最終版本的意見回饋。

此設計草案將把端到端加密技術引入 Zoom 用戶端(非SIP或網站),提供用戶強大的安全防護。Zoom 計畫將公鑰密碼學(Public Key Cryptography)運用在發送對話金鑰(Session Key)給會議參與者,將公鑰與用戶身分緊密綁定。

Zoom 用戶端與 Zoom 基礎架構的通話設定以及會議內容,目前都使用了加密技術來保護用戶身份。當 Zoom 客戶端確定被授權參與 Zoom 會議時,Zoom 的伺服器會為其提供 256 位元的單次會議密鑰。現有的設計保障了 Zoom 資料的機密性和真實性,但因 Zoom 伺服器會保存密鑰以發給會議參與者,因此無法真正落實端到端加密的機制。

為了實踐端到端加密的功能,Zoom 提出四階段部署計畫,每一階段都將升級 Zoom 的安全防護。例如,解密密鑰會由客戶端產生,永遠不會透露給 Zoom 伺服器,僅有客戶端知曉。在適當的情況下授權給單一登入系統(SSOs)。用戶設備和聯絡人列表需要一系列的加密簽章(sigchains) 。最終則是部署「透明樹」(Transparency Tree)機制,類似應用於憑證透明度及公共密鑰庫機制,讓 Zoom 的伺服器簽署並不可變地儲存各用戶密鑰,確保Zoom對所有用戶有一致性的答覆。

此次端到端加密產品的設計有三個重要目標,包含機密性、廉正性與禁止傷害性言論。機密性意即唯有經過授權的會議參與者,才可以存取其會議內容與數據。廉正性則是不在會議之內的人,無法干擾與破壞會議內容。當會議參與者有謾罵或濫用等行為時,Zoom 也會提供舉報機制,防止進一步的傷害性言論。

Zoom 目前正與各方利益關係人進行初步的溝通與意見諮詢,在完成相關意見評估後,會將各方建議納入至最終設計中。

想看小編精選的3C科技情報&實用評測文,快來加入《T客邦》LINE@

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則