Zoom и интернет-безопасность

Компания Zoom, предоставляющая сервис видеосвязи, ис­поль­зо­ва­ние которой существенно возросло в ус­ло­ви­ях ка­ран­ти­на, утверждает, что все коммуникации защищены сквозным шифрованием. Смысл этого тер­ми­на, ка­за­лось бы, не требует особых толкований: весь трафик, генерируемый в Zoom, для посторонних вы­гля­дит как бес­смыс­лен­ный на­бор единиц и нулей. У кого же в самом деле есть доступ к поль­зо­ва­тель­ским дан­ным об­лач­но­го сервиса Zoom?

Конечно, на словах компания уделяет много внимания обеспечению конфиденциальности: в апреле были де­кла­ри­ро­ва­ны кардинальные изменения политики безопасности, которые компании приняла, препятствуя утеч­ке ценной для тар­ге­тин­га информации. По заявлениям Zoom гарантию безопасности в этом деле обес­пе­чи­ва­ет именно сквозное ши­ф­ро­ва­ние, по крайней мере, так говорит техническая документация, до­ступ­ная на кор­по­ра­тив­ном сайте.

Защищенные подключения возможны с опцией «Require Encryption for 3rd Party Endpoints»

 

На деле, это всего-навсего вводящий в за­блуж­де­ние мар­ке­тинг на фоне того, что у разработчиков Zoom свое соб­ст­вен­ное тол­ко­ва­ние принципов шиф­ро­ва­ния, которое, впрочем, не мешает им самим получать до­ступ к ау­дио и видео-данным поль­зо­ва­тель­ских кон­фе­рен­ций! В реальности, сервис Zoom не под­дер­жи­ва­ет сквоз­ное шифрование зву­ко­во­го и видео-контента. По крайней мере, в общепринятом по­ни­ма­нии этого сло­ва. Вмес­то это­го Zoom предлагает то, что обычно называют транспортным шиф­ро­ва­ни­ем. Все это в ус­ло­ви­ях ре­жи­ма са­мо­и­зо­ля­ции, когда миллионы людей по всему миру работают уда­лен­но, обеспечивая не­ви­дан­ный рост по­пу­ляр­но­с­ти Zoom. Базисом технологий при под­клю­че­нии к вебинарам Zoom является ор­га­ни­за­ция за­щи­щен­ных E2E-соединений, до­ступ­ных ор­га­ни­за­то­ру ви­де­о­кон­фе­рен­ций. Такие те­ле­мос­ты воз­мож­ны с вклю­че­ни­ем опции «Require Encryption for 3rd Party End­points».

Она находится в личном кабинете на сайте Zoom в расширенных установках платформы. В приложении участ­ни­ки ви­де­о­встре­чи информируются об этом зеленым логотипом с надписью «Вы используете шиф­ро­ва­ние данных на сто­ро­не клиента».

В приложении участники конференции информируются о защищенном соединении зеленым логотипом с надписью «Вы используете шифрование данных на стороне клиента»

 

В попытке разобраться, действительно ли ви­де­о­кон­фе­рен­ции надежно зашифрованы, обнаружился сле­ду­ю­щий пас­саж одного из раз­ра­бот­чи­ков Zoom: «В настоящее время невозможно включить шифрование E2E для ви­де­о­кон­фе­рен­ций. Ком­му­ни­ка­ции строятся по про­то­ко­лам TCP и UDP, при этом TCP-со­е­ди­не­ния за­щи­ще­ны про­то­ко­лом тран­с­порт­но­го уровня TLS, а UDP-со­е­ди­не­ния шиф­ру­ют­ся сим­мет­рич­ным алгоритмом блоч­ного шиф­ро­ва­ния AES, ключ для ко­то­ро­го согласуется через TLS-со­е­ди­не­ние».

Как видим, шифрование в Zoom — это TLS (transport layer security), точно такая же технология, как и защита веб-сай­тов по https. Это означает, что соединение между приложением Zoom на компьютере или телефоне поль­зо­ва­те­ля с об­лач­ным сервисом Zoom защищено аналогично соединению между вашим веб-бра­у­зе­ром и на­шим сайтом. Это тех­но­ло­гия транспортного шифрования, которая отличается от сквозного шиф­ро­ва­ния, изо­ли­ру­ю­ще­го провайдера ус­луг от пе­ре­да­ва­е­мой информации. В итоге, Zoom может по­лу­чить доступ к ви­део и аудио контенту вебинаров. Прав­да, са­ма ком­па­ния Zoom кля­нет­ся, что не пы­та­ет­ся анализировать и из­вле­кать какую бы то ни было ин­фор­ма­цию из потоковых данных до­ступ­но­го ей кон­тен­та. Она как бы кля­нет­ся, и мы ей как бы верим.