摘要

随着Zoom的爆炸性普及，对其安全性以及一系列攻击行为进行了严格的审查。有趣的问题不是Zoom在过去的表现如何，而是它们在解决现在发现的问题上的表现如何。

好消息是，Zoom的基本基础架构设计合理，可以支持强大的端到端加密。坏消息是，他们的一些错误表明对加密和安全性缺乏基本的了解。

幸运的是，这些问题可以解决，如果这样做并且表明他们现在正在认真对待安全性，那么这将是我们所有人都将从中受益的结果。

Zoom的安全现状

密码专家解释了Zoom为其创纪录的2.2亿用户使用的加密协议，以及它们对于在家办公和冠状病毒时代网络安全的意义。

到2020年4月，由于冠状病毒大流行，全球有超过40亿人处于就地庇护或留在家中的形式。一起工作，从家庭的新常态，视频会议应用Zoom已成为首选的平台，在三月份Zoom经历了从平均1千万〜2亿用户的峰值访问 。这不是巧合，Zoom的整体用户体验非常棒，它易于使用，并且可以正常工作。

但是，随处可见都会带来很大的风险。随着同事公开共享文档、演示文稿和公司战略，手头上的大量机密信息使Zoom成为特别有吸引力的目标。

随着Zoom的日益普及，网络安全专业人员以及罪犯和恶作剧的学生都受到了越来越严格的审查。一个新的术语称为“ zoombombing”，是未经授权的参与者未经邀请就出现的地方。此类攻击的结果可能从窃取公司机密到提供不适当的材料。

Zoom本身已经意识到其隐私和安全性问题，包括将不必要的信息传递给Facebook和LinkedIn，有关Mac的Zoom的问题，UNC链接问题，以及有关Zoom的加密实践的广泛争议。

本文将探讨Zoom加密实践，以帮助阐明问题所在。

术语故事–端到端或非端到端

混乱（甚至是愤怒）始于Zoom声称其平台使用了“端到端加密”，该公司后来承认这一说法是基于“普遍接受的端到端加密定义与方法之间的差异而造成的误解”。我们正在使用它。”

真正的端到端加密意味着Zoom调用在数据创建，传输和接收生命周期的所有点都进行了加密-并且Zoom本身无法访问该关键数据。端到端加密是黄金标准，这意味着密钥是在端点上生成和管理的，而Zoom的服务器永远无法访问它们。

实际上，除非满足以下条件之一，否则Zoom会加密会议：

• 至少有一个参与者在使用电话（并且未使用Zoom应用程序-即通过笔记本电脑或移动应用程序连接）

• 通话记录中。

当然，在第一种情况下不使用加密是有道理的，因为常规电话线将无法解密通信（它正在使用其他基础结构而无法访问密钥）。在第二种情况下，可以解决此问题，但是在将记录上传到云的情况下会带来相当大的密钥管理困难。但是，不清楚由主机本地存储记录时为何不使用加密。

但是，无论呼叫是否被加密，密码学家都以简单的理由批评Zoom使用术语“端到端”（E2E）加密术语：加密根本不是端到端的。也就是说，Zoom的服务器可以访问加密密钥，并且可以自行决定对其进行解密。

请注意，Zoom的服务器不会（根据其报告）对流量进行解密，而仅仅是它们可以表示未使用端到端加密的事实。从积极的方面来看，Zoom建立的基础结构使服务器无需解密流量，这意味着它们应该能够毫不费力地推出真正的端到端加密。这比需要在服务器上解密以将不同流混合在一起的供应商要好得多。如果Zoom以这种方式工作，他们将需要完全改变其基础架构以部署端到端加密。

这是一个好消息：它表明Zoom所使用的基本基础架构设计是不错的，并给我们希望，他们将能够很快推出端到端加密。

ECB加密–那是什么，我们为什么要关心？

对称加密（用于保护以Zoom形式发送的实际数据）是在特定操作模式下使用的分组密码的组合。分组密码是一种加密功能，它接收数据块并以不可逆的方式对其进行加扰。

建立安全加密时，主要问题之一是如何应用分组密码，这种方法称为“操作模式”。缩放使用最简单的操作模式，称为电子密码簿（ECB）模式。在ECB模式下，数据被分成多个块，每个块通过简单地通过块密码传递就分别加密，如下图所示。

不幸的是，ECB并不是一种安全的加密方式，而使用ECB模式是菜鸟的错误。为了了解原因，请注意始终将相同数据的块映射到结果。这可能会泄漏很多信息，如下面著名的Linux企鹅的加密所示：

由于所有白色块都映射到相同的颜色，所有黄色块都映射到相同的颜色，因此在ECB模式下加密的企鹅仍然看起来像企鹅。在安全加密中不应发生这种情况，并且实际上其他操作模式也不会遭受此弱点的困扰。

密码学家一直在争论Zoom电话会议中的ECB模式是否确实泄漏了实际信息。但是，这实际上不是重点。问题在于，甚至连最基础的加密和加密知识的人都知道ECB不安全。因此，Zoom使用ECB看起来非常糟糕，给人的印象是Zoom甚至没有人具备基本专业知识。

话虽如此，这个问题非常容易解决，因此我们希望很快能对此进行更新。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• 勒索软件制裁：有什么影响？

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么

• 保护云前沿：应对多云时代 SaaS 数据保护的复杂性