昨日在线上举办的虚拟 Zoomtopia 客户活动中,Zoom 确认将从下周开始部署端到端加密(E2EE)。Zoom 也明确本次 E2EE 部署会分为四个阶段,首先是为期 30 天的技术预览阶段,主要以收集用户反馈为主。
目前,Zoom 默认使用 AES 256 GCM 传输加密,并将其描述为 "目前使用的最强加密标准之一"。而 E2EE 是建立在现有 GCM 加密之上的,除了由Zoom的服务器管理加密密钥过程之外,会议主持人生成加密密钥并使用公共密钥加密技术将密钥分发给每个参与者。换句话说,Zoom 不了解或无法访问解密视频聊天内容所需的密钥-解密密钥在本地生成并存储在用户的计算机上。
在左上角会有个绿色的小盾牌告知用户本次会议受到 E2EE 的保护,所有与会者都将能够看到会议主持人的安全代码,并对照屏幕上的代码进行检查。
下周开始使用E2EE,主持人必须在其帐户设置中激活E2EE,然后为每次参加的会议选择加入它-所有与会者都必须在自己的Zoom应用中启用E2EE才能加入会议。在第一阶段启用 E2EE 之后可能无法使用某些功能,例如分组讨论室,云记录,轮询,实时转录,一对一聊天和reactions。
自COVID-19大流行开始以来,Zoom一直面临着严厉的批评,因为尽管在封锁期间,Zoom和类似的服务成为了虚拟的聚会工具,但由于没有加强其安全性,用户的增长出现了巨大的激增的同时产生了不少安全隐患。3月底,Zoom承认,虽然它使用了标准的网络浏览器数据加密,但并没有使用行业标准的端到端加密,该公司随后宣布冻结新功能开发,全力提高安全性,并致力于新的加密解决方案。
今年五月,Zoom 在 GitHub 上发布了 E2EE 设计,希望平衡所有用户的合法权利和平台的用户隐私/安全。Zoom 表示将会为全球所有付费和免费用户提供 E2EE 功能,并确保平台具备预防和打击滥用的能力。
Zoom似乎已经想出了一个变通的办法。"为了实现这一点,寻求访问E2EE的Free/Basic用户将参加一个一次性的过程,该过程将提示用户提供额外的信息,例如通过短信验证电话号码,"Zoom在其博客文章中解释道。"许多领先的公司在账户创建上都会执行类似的步骤,以减少大量滥用账户的创建。我们相信,通过实施基于风险的认证,结合我们目前的工具组合--包括我们的报告用户功能--我们可以继续防止和打击滥用。"
