Zoom publica un borrador del diseño de la oferta de cifrado extremo a extremo

Zoom ha hecho publico un borrador de diseño criptográfico para una oferta de videcomunicaciones con cifrado de extremo a extremo. La seguridad y la privacidad son los dos pilares del plan de 90 días de la compañía. 

En su compromiso de mantener la transparencia a medida que desarrollan esta oferta de cifrado extremo a extremo, la compañía ha publicado un diseño criptográfico en GitHub. Además, organizará debates con expertos en criptografía, organizaciones sin ánimo de lucro, grupos de apoyo, clientes y otros para compartir más detalles y solicitar comentarios o feedback para el diseño final.

Una vez que la compañía haya evaluado estos comentarios para integrarlos en un diseño final, Zoom anunciará sus hitos de ingeniería y objetivos para desplegar una oferta de cifrado extremo a extremo para todos sus usuarios.

Objetivos y modelo de amenaza de Zoom

El documento presentado propone actualizaciones a Zoom que logran una seguridad de extremo a extremo contra un rango de poderosos adversarios. En particular, consideramos las siguientes clases de adversarios:

  • Personas externas: personas que no forman parte de la infraestructura confiable de Zoom y que no tienen acceso a información de control de acceso a reuniones no públicas.
  • Participantes de la reunión: participantes que pueden acceder a una reunión, porque saben ID y contraseña de la reunión o ejercer otras credenciales calificadas.
  • Insiders: aquellos que desarrollan y mantienen la infraestructura del servidor de Zoom y su nube proveedores.

Zoom anunciará sus hitos de ingeniería y objetivos para desplegar una oferta de cifrado extremo a extremo para todos sus usuarios

Contra estos adversarios buscamos las siguientes metas de seguridad;

  • Confidencialidad: solo los participantes autorizados a la reunión deben tener acceso a las transmisiones de audio y video. 
  • Integridad: aquellos que no puedan ingresar a una reunión no deben tener la capacidad de corromper el contenido de esta.
  • Prevención de abuso: cuando los participantes autorizados de la reunión participan en un comportamiento abusivo se genera un mecanismo efectivo para informar al equipo de seguridad de Zoom, con el fin de prevenir la continuidad de dicho abuso.

Por su parte, la propuesta presenta una hoja de ruta a largo plazo para la seguridad E2E en Zoom en cuatro fases;

  1. Gestión de claves del cliente
  2. Indentidad
  3. Árbol de Transparencia
  4. Seguridad en tiempo real

Para conocer más sobre el whitepaper visite el siguiente enlace.