Zoom inició con la encriptación de extremo a extremo para sus aplicaciones móviles y de escritorio. Al principio, la implementación de la encriptación no incluye las reuniones a través de un navegador web.
Zoom implementa encriptación de extremo a extremo para todas las videoconferencias a través de dispositivos móviles y de escritorio, tras las críticas de que utilizaba una encriptación deficiente.
Esta semana, Zoom anunció que la encriptación de extremo a extremo (E2EE) estará disponible inmediatamente para los usuarios de Windows, MacOS y Android. La versión iOS de la aplicación de Zoom aún está esperando la aprobación de la revisión de la App Store de Apple. Se está desplegando como una “vista previa técnica” durante 30 días. Es=n este tiempo, Zoom pretende recoger los comentarios de los clientes sobre su experiencia con E2EE.
La compañía marcó sus planes para desplegar sus capacidades de E2EE la semana pasada. La versión de escritorio con soporte para E2EE es la 5.4.0.
Zoom implementa encriptación de extremo a extremo
Zoom generará claves de cifrado individuales que se utilizan para cifrar las llamadas de voz y vídeo entre los participantes de la conferencia. Las claves se almacenan en los dispositivos de los usuarios y no se comparten con los servidores de Zoom. Esto significa que la empresa no puede acceder o interceptar el contenido de las reuniones.
La compañía dijo en un comunicado, que la E2EE que utilizará es una encriptación tipo AES de 256 bits en Modo Galois/Contador (GCM) para proteger las reuniones online.
“Esta ha sido una característica muy solicitada por nuestros clientes, y estamos entusiasmados por hacerla realidad“, dijo Jason Lee, de Zoom CISO. “Felicitaciones a nuestro equipo de encriptación que se unió a nosotros desde Keybase en mayo y desarrolló esta impresionante característica de seguridad en sólo seis meses“.
Zoom contrató a Lee en junio desde su puesto senior de ciberseguridad en Salesforce. Allí supervisó la infraestructura de TI, la respuesta a incidentes, la información sobre amenazas, la gestión de identidades y accesos y la seguridad ofensiva. Antes de eso, trabajó en Microsoft como director principal de ingeniería de seguridad para la división de Windows y dispositivos.
Adquisiciones estratégicas
La compañía adquirió la empresa de encriptación Keybase en mayo después de que fuera criticada por afirmar que utilizaba la encriptación AES-256 para asegurar las videollamadas cuando en realidad estaba utilizando lo que los investigadores de seguridad denominaron una clave AES-128 “subestándar” en el modo de libro de códigos electrónicos (ECB).
“En reuniones típicas, el servidor de reuniones en la nube de Zoom genera claves de encriptación para cada reunión y las distribuye a los participantes de la reunión usando clientes de Zoom cuando se unen. Con el nuevo E2EE de Zoom, el anfitrión de la reunión genera claves de cifrado y utiliza la criptografía de clave pública para distribuir estas claves a los demás participantes de la reunión”, explicó Zoom.
“Los servidores de Zoom se convierten en transmisores olvidados y nunca ven las claves de cifrado necesarias para descifrar el contenido de la reunión. Los datos cifrados que se transmiten a través de los servidores de Zoom son indescifrables por Zoom, ya que los servidores de Zoom no tienen la clave de descifrado necesaria”.
Encriptación por niveles
Zoom señala que los administradores de cuentas de las empresas pueden habilitar E2EE en la interfaz web a nivel de cuenta, grupo y usuario. Además, una vez que E2EE está habilitado, el anfitrión puede activar o desactivar E2EE para cualquier reunión.
Sin embargo, la primera fase del despliegue de Zoom carece de soporte para E2EE en un navegador. Los participantes de la reunión necesitan unirse desde el cliente de escritorio de Zoom, la aplicación móvil o las Salas de Zoom para las reuniones habilitadas para E2EE, según Zoom.