Zoom uçtan uca şifreleme ile toplantıları daha güvenli hale getirecek
Zoom uçtan uca şifreleme ile toplantıları daha güvenli hale getirecek: Koronavirüs karantinaları zorladığı için, sanal toplantı ve görüntülü sohbet uygulamaları için talepte artış oldu. Bu tür uygulamaların çoğunun kullanımında bir artış görmesine rağmen, Zoom hem bireyler hem de kuruluşlar arasında popüler olan en iyi yararlanıcılardan biri olmuştur.
Ancak Zoom, zayıf güvenlik ve gizlilik önlemleri nedeniyle de eleştirildi. Ayrıca, Zoom şu anda daha geleneksel iş hizmetlerinin kullandığı uçtan uca şifreleme türünden yoksundur. Zoom tarafından Cuma günü yayınlanan bir belge, şirketin hassas toplantı verilerini ve iletişimlerini nasıl daha iyi korumayı amaçladığını açıkladı.
Zoom uçtan uca şifreleme ile toplantıları daha güvenli hale getirecek
Güvenlik ve gizliliğin yeni planının iki “sütunu” olduğunu öne süren Zoom, tartışmaları başlatmayı ve kriptografik uzmanlardan, kâr amacı gütmeyen kuruluşlardan, savunuculuk gruplarından ve müşterilerden geri bildirim almayı umarak, akran değerlendirmesi için GitHub’da belgesini yayınladı .
Yakınlaştırma toplantıları şu anda şifreleme sunuyor ancak belirli sınırlamalarla. Şifreleme, kullanıcıların kimliğini korumak, Zoom istemcileri ile Zoom’un altyapısı arasındaki arama verilerini ve toplantı içeriğini korumak için kullanılır. Bir Zoom istemcisinin bir toplantıya katılmasına izin verildiğinde, bu istemciye Zoom sunucusundan 256 bit güvenlik anahtarı verilir. Ancak Zoom sunucusu, toplantı katılımcılarına sağlanan güvenlik anahtarını korur, böylece gerçek uçtan uca anahtar yönetimi ve şifrelemesinden yoksundur.
Uçtan uca şifrelemenin olmaması, Zoom’un sunucu altyapısını izleyebilen ve ilgili Zoom sunucularının belleğine erişebilen bir saldırganın belirli bir toplantı için şifrelemeyi yenebileceği anlamına gelir. Bu şekilde, bu kişi daha sonra paylaşılan toplantı anahtarını görüntüleyebilir, oturum anahtarları türetebilir ve tüm toplantı verilerinin şifresini çözebilir.
Güvenlik açıklarından bazılarını düzeltmek için Zoom, teklifinin hedeflerini şu şekilde sıraladı: 1) Yalnızca yetkili toplantı katılımcılarının toplantı verilerine erişebilmesi gerekir; 2) Toplantı dışında bırakılan herkes o toplantının içeriğini bozma yeteneğine sahip olmamalıdır; 3) Bir toplantı katılımcısı kötü niyetli davranışlarda bulunuyorsa, daha fazla kötüye kullanımı önlemek için o kişiyi bildirmenin etkili bir yolu olmalıdır.
Zoom, hedeflerini ilerletmek için teklifini dört aşamada düzenledi.
Aşama 1 . İlk aşamada, her Zoom uygulaması, yalnızca istemcinin bildiği anahtarlarla kendi genel / özel güvenlik anahtarı çiftlerini oluşturur ve yönetir. İstemciler, oturum anahtarlarını sunucuya güvenmeye gerek kalmadan oluşturabilir ve değiştirebilir. Bu ilk aşamada, bu özel güvenlik anahtarı iyileştirmesi yalnızca yerel Yakınlaştırma istemcilerini ve Yakınlaştırma Odalarını ve yalnızca zamanlanmış toplantıları destekler.
Aşama 2. İkinci aşamada Zoom, kullanıcıların Zoom sunucularına güvenmek zorunda kalmadan birbirlerinin kimliklerini izlemesi için iki özellik açmayı planlamaktadır. Bir özellik, her kullanıcının kimliğini şifrelemek için kriptografik olarak kefil edebilen bir Kimlik Sağlayıcı Başlatılan Tek Oturum Açma (TOA IdP).
Aşama 3. Üçüncü aşamada Zoom, sunucularını her kullanıcının güvenlik anahtarlarını imzalamaya ve sabit bir şekilde saklamaya zorlayan bir özellik başlatır ve Zoom’un tüm istemciler için anahtarlar hakkında tutarlı bir yanıt vermesini sağlar. Bu, “Şeffaflık Ağacı”, Sertifika Şeffaflığı ve Anahtar Tabanı’nda kullanılanlara benzer bir özellik aracılığıyla oluşturulacaktır .
Aşama 4. Son aşamada, cihazlar daha da doğrulanacaktır. Toplantı katılımcılarının mevcut cihazları kullanarak yeni cihazları imzalaması, cihaz eklemelerini güçlendirmek için bir TOA IdP kullanması veya kimlik doğrulamasını bir BT yöneticisine devretmesi gerekecektir. Bu koşullardan biri karşılanıncaya kadar katılımcının cihazlarına güvenilmez.
Bu yeni güvenlik girişimleriyle Zoom, istemci uygulamasında bazı değişiklikler önerdi.
Bir toplantı ayarlamak için arabirimde Uçtan Uca Güvenlik adlı yeni bir onay kutusu bulunur. Bu kutu işaretlenirse, “Ana Bilgisayardan Önce Katılmayı Etkinleştir” onay kutusu gri olur ve seçimi kaldırılır, bulut kayıt özelliği devre dışı kalır ve tüm istemciler resmi Zoom istemci yazılımını çalıştırmalıdır; Zoom web sitesini, eski Zoom özellikli cihazları veya içeri arama bağlantısı kullananlar toplantıdan kilitlenir.
Toplantı başladıktan sonra, tüm katılımcılar kimsenin toplantıyla bağlantısının kesilmediğini doğrulamak için kullanabilecekleri bir toplantı güvenlik kodu görür. Toplantı sahibi bu kodu yüksek sesle okuyabilir ve tüm katılımcılar istemcilerinin aynı kodu görüntülediğini kontrol edebilir.
Zoom belgesinde “Uçtan uca şifreleme teknolojisini Zoom Toplantılarına getirmek için bir yol haritası önerdik.” Dedi. “Yüksek düzeyde, yaklaşım basittir: bir toplantının katılımcılarına bir oturum anahtarı dağıtmak için genel anahtar şifrelemesini kullanın ve ortak anahtarlar ile kullanıcı kimlikleri arasında giderek daha güçlü bağlamalar sağlayın. Bununla birlikte, şeytan ayrıntılarda, birden fazla kullanıcı kimliği olarak cihazlar zor bir sorundur ve kullanıcı deneyimi sonuçları vardır. Her bir ardışık aşama daha güçlü koruma sağlayan uçtan uca güvenliğin aşamalı olarak uygulanmasını önerdik. ”
Müşterilerden ve diğer ilgili taraflardan gelen geri bildirimleri inceledikten sonra, Zoom belgesini güncelleyecek ve hassaslaştıracak ve sonunda yeni uçtan uca şifreleme ve diğer güvenlik geliştirmelerini dağıtma planlarını açıklayacaktır.
Önerilen Yazı: Zoom Video Konferans Uygulaması Neden Yasaklandı?
