Zoom提出「4階段部署計劃」升級安全防護!在GitHub發佈並徵求意見

▲Zoom視訊使用畫面。(圖/Zoom提供)

財經中心臺北報導

爲了使Zoom會議更加安全,且保持開發過程的透明與開放,Zoom在GitHub上公開初版的端對端加密視訊產品設計草案,以開源方式邀請各界高手給予意見。Zoom將邀集密碼學專家非營利組織、倡導團體客戶和其他單位針對細節進行討論,並徵求最終版本的意見回饋。

此設計草案將把端到端加密技術引入Zoom用戶端(非SIP或網站),提供用戶強大的安全防護。Zoom計劃公鑰密碼學(Public Key Cryptography)運用在發送對話金鑰(Session Key)給會議參與者,將公鑰與用戶身分緊密綁定。

Zoom用戶端與Zoom基礎架構通話設定以及會議內容,目前都使用了加密技術來保護用戶身份。當Zoom客戶端確定被授權參與Zoom會議時,Zoom的伺服器會爲其提供256位元的單次會議密鑰。現有的設計保障了Zoom資料機密性真實性,但因Zoom伺服器會保存密鑰以發給會議參與者,因此無法真正落實端到端加密的機制

爲了實踐端到端加密的功能,Zoom提出4階段部署計劃,每一階段都將升級Zoom的安全防護。例如,解密密鑰會由客戶端產生,永遠不會透露給Zoom伺服器,僅有客戶端知曉。

在適當的情況下授權給單一登入系統(SSOs)。用戶設備聯絡人列表需要一系列的加密簽章(sigchains) 。最終則是部署「透明樹」(Transparency Tree)機制,類似應用於憑證透明度及公共密鑰庫機制,讓Zoom的伺服器簽署並不可變地儲存各用戶密鑰,確保Zoom對所有用戶有一致性的答覆。

此次端到端加密產品的設計有3個重要目標,包含機密性、廉正性與禁止傷害性言論。機密性意即唯有經過授權的會議參與者,纔可以存取其會議內容與數據。廉正性則是不在會議之內的人,無法干擾與破壞會議內容。當會議參與者有謾罵或濫用等行爲時,Zoom也會提供舉報機制,防止進一步的傷害性言論。

Zoom表示,目前正與各方利益關係人進行初步的溝通與意見諮詢,在完成相關意見評估後,會將各方建議納入至最終設計中。