安全界界所谓的「端对端加密」,指的是完全保护使用者的通讯内容,第三方无法取得解密的金钥。
因远距工作需求而逆势成长的云端视讯软体Zoom最近不断传出各种资安疑虑。尽管Zoom在官网和安全白皮书中表示,会议主持人可以启用「端到端加密」(end-to-end encryption),以保障视讯会议内容不外泄,但媒体深入访问后,却得到不同答案。
根据The Intercept和The Verge报导,当媒体询问Zoom发言人是否针对视讯会议进行端对端加密时,发言人回答:「目前Zoom平台还没办法把会议端对端加密。」
虽然Zoom 有采用传输层安全性协定(Transport Layer Security;TLS),与当前多数浏览器用来保护HTTPS 网站的标准一致,但这只代表:使用者与Zoom 伺服器之间交换数据时受到加密保护,就像我们在用Gmail 或Facebook 时一样。
而资安界所谓的「端对端加密」,指的是完全保护使用者的通讯内容,第三方无法取得解密的金钥,只有参与通讯的使用者可以取用内容,可防止被窃听、被窜改,类似私密即时通讯软体Signal 或WhatsApp 所采用的资安等级。
不过,Zoom 声称并没有刻意误导使用者,并表示之所以会提到「端到端」(end-to-end)这个词,指的是「从Zoom 端点到Zoom 端点」之间会受到加密,且「内容在Zoom 云端平台传输时,不会被解密」。
Zoom 也表示,虽然有搜集数据,但只搜集那些可用来改善服务品质的相关数据,例如:IP 位址、操作系统和设备的详细资讯等,Zoom 员工无法查看视讯会议的内容,也不会卖掉使用者的数据。不过,Zoom 会议里的文字聊天内容的确有支援端到端加密,Zoom 没有解密这些通讯内容的金钥。
至于视讯会议内容,由于并非端到端加密,因此如果未来执法单位要求,Zoom 还是有可能把会议内容提供给当局。对此,Zoom 目前尚未回应。
本文来自INSIDE,经授权后发布,本文观点不代表沙鸥科报立场,转载请联系原作者。