Zoom ha confermato che inizierà a implementare la crittografia end-to-end (E2EE) la prossima settimana , iniziando con un’anteprima tecnica per raccogliere feedback dagli utenti per i primi 30 giorni, che sarà seguita da altre tre fasi prima del suo pieno lanciare.
L’annuncio è arrivato oggi come parte del suo evento annuale Zoomtopia, dove ha anche lanciato una nuova piattaforma integrata per classi ed eventi e la sua nuova piattaforma Zapps per portare app di terze parti direttamente nelle videochiamate.
La crittografia su Zoom
E2EE è arrivato da molto tempo per Zoom, con il gigante delle comunicazioni video che ha creato polemiche significative all’inizio di quest’anno quando ha rivelato i piani per rendere E2EE disponibile solo per coloro che hanno un piano a pagamento.
I sostenitori della privacy e i gruppi per i diritti civili hanno affermato che la funzionalità di sicurezza di base non dovrebbe essere una caratteristica premium, costringendo Zoom a tornare indietro e promettere la funzionalità a tutti gli utenti. Lo scopo del piano originale di Zoom era quello di negare l’uso nefasto del suo servizio e scoraggiare i cattivi attori dalla creazione di account abusivi di massa. Come parte del suo piano aggiornato, Zoom ha affermato che gli utenti gratuiti che cercano E2EE dovranno invece passare attraverso un processo di verifica una tantum, che potrebbe comportare la necessità di fornire il proprio numero di cellulare.
Con E2EE, Zoom si basa sulla sua crittografia GCM esistente, tranne che invece dei server Zoom che gestiscono il processo della chiave di crittografia, l’ospite della riunione genera le chiavi di crittografia e utilizza la crittografia a chiave pubblica per distribuire le chiavi a ciascun partecipante. In altre parole, Zoom non ha alcuna conoscenza o accesso alle chiavi necessarie per decrittografare il contenuto della chat video: le chiavi di decrittografia vengono generate e archiviate localmente sui computer degli utenti.
Un piccolo registro con scudo verde in alto a sinistra indica agli utenti che la chiamata è protetta da E2EE e tutti i partecipanti saranno in grado di vedere il codice di sicurezza dell’ospite della riunione e confrontarlo con il codice sullo schermo.
Per iniziare a utilizzare E2EE la prossima settimana, gli ospitanti devono attivare E2EE nelle impostazioni dell’account e quindi acconsentire ad esso per ogni riunione in cui si trovano: tutti i partecipanti devono abilitare E2EE nella propria app Zoom per partecipare a una chiamata. Durante la fase 1, alcune funzionalità e caratteristiche saranno disabilitate per le chiamate E2EE, come stanze per sottogruppi di lavoro, registrazione su cloud, sondaggi, trascrizioni in tempo reale, chat individuali e reazioni.
Zoom non ha fornito una tempistica concreta per le prossime tre fasi E2EE, ma ha affermato che la fase 2 è “provvisoriamente tracciata per il 2021” per la quale prevede di introdurre una “migliore gestione delle identità” e l’integrazione E2EE SSO (single sign-on).