[Информационная безопасность, Видеоконференцсвязь] «Лаборатория Касперского» объяснила, как устроено сквозное шифрование в Zoom
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Представители Zoom выступили на RSA Conference 2021 с рассказом о сквозном шифровании в Zoom Cloud Meetings. «Лаборатория Касперского» объяснила, как работает инструмент и станет ли платформа безопаснее.Популярность сервиса видеозвонков Zoom выросла в прошлом году. Тогда же стало понятно, что обеспечение безопасности на платформе организовано не идеально. Одна из основных претензий к Zoom заключалась в том, что вместо сквозного шифрования (end-to-end encryption, сокращенно E2EE) сервис использовал систему P2PE — point-to-point encryption. Основная разница между этими двумя методами заключается в том, что при использовании P2PE сервер имеет доступ к переписке пользователей, а при сквозном шифровании информация шифруется на устройстве отправителя и расшифровывается только на устройстве получателя. При использовании P2PE киберпреступники могут взломать сервер и украсть хранящиеся на нем ключи шифрования, либо недобросовестные работники на стороне облачного провайдера или самого Zoom могут получить доступ к ключам. Разработчики прислушались к критике, и осенью 2020 года сквозное шифрование появилось в Zoom. Теперь оно применяется как к самим звонкам — и аудио, и видео — так и к содержимому чата. Теперь данные участников защищены ключом шифрования, который не хранится на серверах Zoom, поэтому даже разработчики не смогут расшифровать содержимое разговоров. Платформа хранит только зашифрованные идентификаторы участников, а также некоторые метаданные встречи, например, длительность звонка.Разработчики также предусмотрели ряд инструментов для защиты от подключения посторонних. В частности, в Zoom появился так называемый heartbeat — сигнал, который приложение организатора автоматически отправляет другим пользователям. Он содержит список участников встречи, которым был отправлен текущий ключ шифрования. Если на встрече присутствует кто-то, кого в этом списке нет, значит, это посторонний.«Другой способ скрыться от чужих ушей и глаз — зафиксировать список участников (Lock Meeting), когда все гости уже собрались. Закрыть встречу можно только вручную, зато после нажатия соответствующей кнопки посторонние к разговору уже точно не смогут присоединиться», — поясняет «Лаборатория Касперского».Также в Zoom реализована защита от атаки типа Man-in-the-middle, которая в теории может позволить постороннему подслушивать звонок.«Чтобы удостовериться в том, что этого не произошло, организатор встречи может в любой момент нажать кнопку и сгенерировать на основе известного ему ключа шифрования встречи код безопасности. В этот момент тем же образом код будет сгенерирован у остальных участников встречи автоматически. Организатору остается зачитать вслух этот код и если он у всех совпадает, это будет значить, что все пользуются одним и тем же ключом, и, следовательно, все идет хорошо».Наконец, всякий раз, когда организатор встречи покидает ее и организатором становится кто-то другой, это отображается в приложении. Если эта смена организатора кажется другим участникам подозрительной, звонок или обсуждение приватных тем можно прервать.В будущем Zoom планирует также предусмотреть защиту от ситуаций, когда на видеовстречи проникает посторонний под видом приглашенного участника. Чтобы этого добиться, сервис перейдет на проверку личности пользователей без обращения к серверам самого Zoom. Она будет основан на технологии единого входа (SSO) с привлечением независимых систем идентификации (IDP). В результате злоумышленник не сможет подделать личность пользователя, даже если получит контроль над сервером Zoom. Если же кто-то присоединится к мероприятию под видом приглашенного участника, но с новым открытым ключом, остальные получат предупреждение о потенциальной угрозе. «Также Zoom планирует ввести «дерево прозрачности». Согласно этой концепции, на серверах Zoom и у провайдеров SSO будут в неизменном виде храниться подписанные ими данные о том, кому из пользователей какой открытый ключ принадлежит. Каждое приложение сможет отправить запрос и получить в ответ данные о подлинности ключей того или иного участника. Аналогичную функцию возложат и на доверенные независимые центры, которые будут проводить аудит автоматически и предупреждать остальных участников встречи о подмене ключей того или иного пользователя. Таким образом планируется защитить платформу от атак типа Man-in-ihe-middle», — рассказывает «Лаборатория Касперского».Наконец, в Zoom появится дополнительная проверка подлинности устройств при подключении к аккаунту. Чтобы привязать новый гаджет, потребуется подтвердить его легитимность, например, считав QR-код с экрана доверенного телефона или компьютера. Узнать больше о планах команды Zoom можно из технического документа, опубликованного на GitHub.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность] Группировка REvil исчезла из даркнета
- [Информационная безопасность, Социальные сети и сообщества] Twitter признала, что давала синюю галочку фальшивым аккаунтам
- [Информационная безопасность, Программирование, Производство и разработка электроники, Процессоры] Как ускорить шифрование по ГОСТ 28147-89 на процессоре Baikal-M
- [Видеоконференцсвязь] В Google Meet появится 60-минутное ограничение звонков для бесплатных аккаунтов
- [Информационная безопасность, IT-компании] Microsoft покупает разработчика систем безопасности RiskIQ
- [Информационная безопасность, Мессенджеры] Лаборатория Касперского: 83% фишинговых ссылок в мессенджерах РФ распространяются через WhatsApp
- [Информационная безопасность] Security Week 28: уязвимости PrintNightmare в деталях
- [Информационная безопасность, Мессенджеры, Законодательство в IT] В Еврокомиссию пожаловались на спорное изменение политики WhatsApp
- [Информационная безопасность, Программирование, Квантовые технологии] Взлом квантовой программы
- [Информационная безопасность, Мессенджеры, Законодательство в IT] Создатель бота для пробива «Глаз Бога» обвинил Telegram в незаконных действиях и собирается выпустить свой мессенджер
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_videokonferentssvjaz (Видеоконференцсвязь), #_zoom, #_e2ee, #_skvoznoe_shifrovanie (сквозное шифрование), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_videokonferentssvjaz (
Видеоконференцсвязь
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 24-Ноя 22:22
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 Представители Zoom выступили на RSA Conference 2021 с рассказом о сквозном шифровании в Zoom Cloud Meetings. «Лаборатория Касперского» объяснила, как работает инструмент и станет ли платформа безопаснее.Популярность сервиса видеозвонков Zoom выросла в прошлом году. Тогда же стало понятно, что обеспечение безопасности на платформе организовано не идеально. Одна из основных претензий к Zoom заключалась в том, что вместо сквозного шифрования (end-to-end encryption, сокращенно E2EE) сервис использовал систему P2PE — point-to-point encryption. Основная разница между этими двумя методами заключается в том, что при использовании P2PE сервер имеет доступ к переписке пользователей, а при сквозном шифровании информация шифруется на устройстве отправителя и расшифровывается только на устройстве получателя. При использовании P2PE киберпреступники могут взломать сервер и украсть хранящиеся на нем ключи шифрования, либо недобросовестные работники на стороне облачного провайдера или самого Zoom могут получить доступ к ключам. Разработчики прислушались к критике, и осенью 2020 года сквозное шифрование появилось в Zoom. Теперь оно применяется как к самим звонкам — и аудио, и видео — так и к содержимому чата. Теперь данные участников защищены ключом шифрования, который не хранится на серверах Zoom, поэтому даже разработчики не смогут расшифровать содержимое разговоров. Платформа хранит только зашифрованные идентификаторы участников, а также некоторые метаданные встречи, например, длительность звонка.Разработчики также предусмотрели ряд инструментов для защиты от подключения посторонних. В частности, в Zoom появился так называемый heartbeat — сигнал, который приложение организатора автоматически отправляет другим пользователям. Он содержит список участников встречи, которым был отправлен текущий ключ шифрования. Если на встрече присутствует кто-то, кого в этом списке нет, значит, это посторонний.«Другой способ скрыться от чужих ушей и глаз — зафиксировать список участников (Lock Meeting), когда все гости уже собрались. Закрыть встречу можно только вручную, зато после нажатия соответствующей кнопки посторонние к разговору уже точно не смогут присоединиться», — поясняет «Лаборатория Касперского».Также в Zoom реализована защита от атаки типа Man-in-the-middle, которая в теории может позволить постороннему подслушивать звонок.«Чтобы удостовериться в том, что этого не произошло, организатор встречи может в любой момент нажать кнопку и сгенерировать на основе известного ему ключа шифрования встречи код безопасности. В этот момент тем же образом код будет сгенерирован у остальных участников встречи автоматически. Организатору остается зачитать вслух этот код и если он у всех совпадает, это будет значить, что все пользуются одним и тем же ключом, и, следовательно, все идет хорошо».Наконец, всякий раз, когда организатор встречи покидает ее и организатором становится кто-то другой, это отображается в приложении. Если эта смена организатора кажется другим участникам подозрительной, звонок или обсуждение приватных тем можно прервать.В будущем Zoom планирует также предусмотреть защиту от ситуаций, когда на видеовстречи проникает посторонний под видом приглашенного участника. Чтобы этого добиться, сервис перейдет на проверку личности пользователей без обращения к серверам самого Zoom. Она будет основан на технологии единого входа (SSO) с привлечением независимых систем идентификации (IDP). В результате злоумышленник не сможет подделать личность пользователя, даже если получит контроль над сервером Zoom. Если же кто-то присоединится к мероприятию под видом приглашенного участника, но с новым открытым ключом, остальные получат предупреждение о потенциальной угрозе. «Также Zoom планирует ввести «дерево прозрачности». Согласно этой концепции, на серверах Zoom и у провайдеров SSO будут в неизменном виде храниться подписанные ими данные о том, кому из пользователей какой открытый ключ принадлежит. Каждое приложение сможет отправить запрос и получить в ответ данные о подлинности ключей того или иного участника. Аналогичную функцию возложат и на доверенные независимые центры, которые будут проводить аудит автоматически и предупреждать остальных участников встречи о подмене ключей того или иного пользователя. Таким образом планируется защитить платформу от атак типа Man-in-ihe-middle», — рассказывает «Лаборатория Касперского».Наконец, в Zoom появится дополнительная проверка подлинности устройств при подключении к аккаунту. Чтобы привязать новый гаджет, потребуется подтвердить его легитимность, например, считав QR-код с экрана доверенного телефона или компьютера. Узнать больше о планах команды Zoom можно из технического документа, опубликованного на GitHub. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_videokonferentssvjaz ( Видеоконференцсвязь ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 24-Ноя 22:22
Часовой пояс: UTC + 5