Προσθήκη σχολίου (22 σχόλια)

Το σίριαλ αναφορικά με την κρυπτογράφηση των δεδομένων και την ασφάλεια που παρέχει στις υπηρεσίες του η εφαρμογή Zoom, καλά κρατεί.

Πριν λίγες ημέρες έγινε γνωστό πως η εφαρμογή θα μπορούσε να στείλει τα δεδομένα του χρήστη στο Facebook, ακόμη και χωρίς τη συγκατάθεσή του ή ακόμη κι αν δεν έχει λογαριασμό. Η επόμενη μέρα όμως δεν είναι καλύτερη από την προηγούμενη, αφού αναφορά του The Intercept, επισημαίνει πως το Zoom δεν προσφέρει κρυπτογράφηση end-to-end.

Τα πράγματα παίρνουν σοβαρή τροπή αφού η ίδια η εφαρμογή στη δική της σελίδα που μιλάει για την ασφάλεια των υπηρεσιών της, αναφέρει ξεκάθαρα για end-to-end κρυπτογράφηση. Παρ’ όλα αυτά η αναφορά του The Intercept, κάνει λόγο για κρυπτογράφηση τύπου Transport. Ποια είναι όμως η διαφορά και τι ισχύει τελικά;

image.png.95beb9248b85d4106142abd47a114b88.png

Η κρυπτογράφηση Transport πρόκειται για το πρωτόκολλο TLS το οποίο διασφαλίζει την επικοινωνία μεταξύ του δικού σου υπολογιστή και του server που συνδέεσαι. Είναι το ίδιο πρωτόκολλο το οποίο χρησιμοποιείται στα website και το οποίο βλέπουμε ως HTTPS.

Η διαφορά της κρυπτογράφησης Transport με την end-to-end είναι ότι ο server του Zoom στον οποίο συνδέεσαι, μπορεί να δει και να έχει πρόσβαση στα αρχεία σου. Με άλλα λόγια, η κρυπτογράφηση end-to-end αποτρέπει τα δεδομένα σου να υποστούν οποιουδήποτε είδους επεξεργασία μετά τη μεταφορά τους.

Το Zoom έσπευσε να σχολιάσει τα ευρήματα του The Intercept, επιβεβαιώνοντας ότι αυτή τη στιγμή δεν παρέχει τελικά κρυπτογράφηση end-to-end, αλλά ουσιαστικά αναφέρονται στην ασφάλεια που παρέχει ο ίδιος ο server, λειτουργώντας ως κόμβος επικοινωνίας μεταξύ των χρηστών.

Αυτή τη στιγμή δεν είναι δυνατή η ενεργοποίηση κρυπτογράφησης E2E για τις βίντεο κλήσεις. Οι βίντεο-διασκέψεις χρησιμοποιούν συνδέσεις TCP και UDP. Οι συνδέσεις TCP πραγματοποιούνται με κρυπτογράφηση TLS ενώ οι UDP συνδέσεις κρυπτογραφούνται με AES (Advanced Encryption Standard) χρησιμοποιώντας ένα κλειδί μέσω TLS σύνδεσης.

Αν και τα πράγματα δείχνουν αρκετά τεχνικά, η εταιρία διαψεύδει ότι έχει πρόσβαση ή μοιράζει σε τρίτους, τα δεδομένα τα χρηστών. Σε κάθε περίπτωση όμως θα ήταν καλύτερο να γνώριζαν εξαρχής οι χρήστες τα πρωτόκολλα ασφαλείας που χρησιμοποιούν.

The Next Web

  • Like 1