ركز العرض التقديمي لـ Zoom في مؤتمر RSA 2021 على التشفير بين الطرفيات في اجتماعات Zoom السحابية. أوضحت الشركة سبب تركيز مطوريها على المشكلة، وكيف يخططون لإجراء مكالمات أكثر أمانًا، وما الميزات الجديدة الأخرى المتعلقة بالأمان التي يمكن أن يتوقعها المستخدمون.
قليلًا من التاريخ
أجبر الوباء الكثير منا على التحول إلى العمل عن بعد لفترة طويلة والتواصل مع الزملاء والأحباء من خلال برامج المؤتمرات عن بعد. أثارت الشعبية الكبيرة لـ Zoom اهتمام خبراء الأمن ومجرمي الإنترنت على حد سواء، ومن ثم أدرك الكثيرون بسرعة أن أمان النظام الأساسي لم يكن جيدًا. على سبيل المثال، تم اكتشاف أن البرنامج يحتوي على ثغرات أمنية تسمح للمهاجمين بالدخول والتجسس على المستخدمين من خلال الكاميرات والميكروفونات الخاصة بهم، كما تسمح بحدوث هجومات من قبل المتصيدين عبر الإنترنت: Zoombombing كانت استجابة Zoom سريعة وبعيدة المدى، لكن ظلت هناك مشكلات.
كانت المشكلة الرئيسية في Zoom هي تلك المنصة مستخدم تستخدم التشفير من نقطة إلى نقطة (P2PE) بدلاً من التشفير بين الطرفيات (E2EE).
E2EE مقابل P2PE
للوهلة الأولى، قد يبدو النظامان متشابهين: كلاهما يقوم بتشفير البيانات التي يتبادلها المستخدمون. ولكن مع P2PE، يمكن للخادم الوصول إلى رسائل المستخدمين، بينما يقوم E2EE بتشفير المعلومات الموجودة على جهاز المرسل ويتم فك تشفيرها فقط من قبل المستلم. ومع ذلك، فإن هذه التفاصيل تنطوي على احتمال حدوث مشكلة، والتي أبرزها مطورو Zoom في المؤتمر:
· يمكن لمجرمي الإنترنت اختراق الخادم وسرقة مفاتيح التشفير المخزنة هناك والانضمام إلى الاجتماعات في أماكن المدعوين الحقيقيين أو انتحال رسائلهم؛
· يمكن لموظفي مزود السحابة الانتهازيين أو Zoom نفسها الوصول إلى المفاتيح وسرقة بيانات المستخدمين.
لا أحد يريد أن يتم نشر محادثات خاصة مع العائلة والأصدقاء، ناهيك عن المحادثات التجارية السرية. علاوة على ذلك، إذا استخدم أحد المتطفلين المفاتيح المسروقة فقط للتنصت السلبي، فسيكون من الصعب للغاية اكتشاف ذلك.
E2EEيحل تلك المشاكل من خلال تخزين مفاتيح فك التشفير على أجهزة المستخدمين، وهذه هي الطريقة الوحيدة لذلك.وهذا يعني أن اختراق الخادم لن يمكّن أي دخيل من التنصت على مؤتمر فيديو.
بطبيعة الحال، كان الكثيرون يتوقون إلى تبديل Zoom إلى E2EE، وهو بالفعل المعيار الفعلي لتطبيقات المراسلة .
ليست هناك تعليقات:
إرسال تعليق