据外媒 The Intercept 报道,与 Zoom 宣传的内容相反,Zoom 会议并未进行端到端加密。
消息称,Zoom 使用的 TLS 与浏览网络时使用的 HTTPS 协议相似。这意味着您与服务器的连接是安全的,但是任何人仍然可以解密该呼叫并进行窃听。
Zoom 用于保护会议的加密是 TLS,与 Web 服务器用于保护 HTTPS 网站的技术相同。这意味着对用户计算机或手机上运行的 Zoom 应用程序与 Zoom 服务器之间的连接进行加密的方式与对 Web 浏览器与本文(软餐按:指原报道)之间的连接进行加密的方式相同。这被称为传输加密,它与端到端加密不同,因为 Zoom 服务本身可以访问 Zoom 会议的未加密视频和音频内容。因此,当您召开 Zoom 会议时,视频和音频内容将对任何在您的 Wi-Fi 上进行间谍活动的人保密,但不会对公司保密。
–The Intercept
为了对会议进行端到端加密,视频和音频的加密方式应只有通话参与者可以解密。这可以通过在每端具有唯一的加密密钥来实现,这些密钥将主动加密和解密数据。在此系统中,Zoom 或第三方仍将有权访问会议,但将无法监听,因为它们将没有解密会议内容所需的加密密钥。
约翰·霍普金斯大学(Johns Hopkins University)的密码学家兼计算机科学教授 Matthew Green 向 The Intercept 解释了为什么很难加密群组视频通话。“服务提供商需要检测谁在说话,就像一个交换机,这样它只能从正在说话的人那里发送高分辨率视频流,或者用户选择谁发送给组中的其他人,并发送其他参与者的低分辨率视频流。如果服务提供商可以看到所有内容,因为它是未加密的,那么这种优化就容易多了。”
如果全部是端到端加密的,则需要添加一些额外的机制以确保可以进行这种 “谁在说话” 的切换,并且可以以不泄漏大量信息的方式进行操作。您必须将该逻辑推到端点。这是可行的。只是不容易。
他们对端到端加密的内容有点模糊。我认为他们这样做有点不诚实。如果他们能坦白就好了。
–马修·格林(Matthew Green)
目前,苹果是最受欢迎的视频会议服务之一,它采用端到端加密技术,最多可支持 32 名与会者。尽管这可能并不庞大,但仍可以确保客户数据的安全性,没有人可以监听您的私人会议。
为了回应 The Intercept 的报道,Zoom 给出了以下声明:
当前,无法为 Zoom 视频会议启用 E2E 加密。Zoom 视频会议使用 TCP 和 UDP 的组合。使用 TLS 建立 TCP 连接,并使用通过 TLS 连接协商的密钥使用 AES 加密 UDP 连接。