在 GitHub 徵求意見,Zoom 公開端到端加密產品設計草案

Zoom 在 GitHub 上公開初版的端對端加密視訊產品設計草案,進行初步的溝通與意見諮詢,在完成相關意見評估後,會將各方建議納入至最終設計中。
評論
Photo Credit:Shutterstock
Photo Credit:Shutterstock
評論

Zoom 在 GitHub 上公開初版的端對端加密視訊產品的設計草案,以開源的方式邀請各界高手給予意見。Zoom 將邀集密碼學專家、非營利組織、倡導團體、客戶和其他單位針對細節進行討論,並徵求最終版本的意見回饋,以下來自官方新聞稿:

此設計草案將把端到端加密技術引入 Zoom 用戶端(非 SIP 或網站),提供用戶強大的安全防護。Zoom 計畫將公鑰密碼學(Public Key Cryptography)運用在發送對話金鑰(Session Key)給會議參與者,將公鑰與用戶身分緊密綁定。

Zoom 用戶端與 Zoom 基礎架構的通話設定以及會議內容,目前都使用了加密技術來保護用戶身份。當 Zoom 客戶端確定被授權參與 Zoom 會議時,Zoom 的伺服器會為其提供 256 位元的單次會議密鑰。現有的設計保障了 Zoom 資料的機密性和真實性,但因 Zoom 伺服器會保存密鑰以發給會議參與者,因此無法真正落實端到端加密的機制。

為了實踐端到端加密的功能,Zoom 提出四階段部署計畫,每一階段都將升級 Zoom 的安全防護。例如,解密密鑰會由客戶端產生,永遠不會透露給 Zoom 伺服器,僅有客戶端知曉。在適當的情況下授權給單一登入系統(SSOs)。用戶設備和聯絡人列表需要一系列的加密簽章(sigchains) 。最終則是部署「透明樹」(Transparency Tree)機制,類似應用於憑證透明度及公共密鑰庫機制,讓 Zoom 的伺服器簽署並不可變地儲存各用戶密鑰,確保Zoom對所有用戶有一致性的答覆。

此次端到端加密產品的設計有三個重要目標,包含機密性、廉正性與禁止傷害性言論。機密性意即唯有經過授權的會議參與者,才可以存取其會議內容與數據。廉正性則是不在會議之內的人,無法干擾與破壞會議內容。當會議參與者有謾罵或濫用等行為時,Zoom 也會提供舉報機制,防止進一步的傷害性言論。

Zoom 表示,目前正與各方利益關係人進行初步的溝通與意見諮詢,在完成相關意見評估後,會將各方建議納入至最終設計中。

責任編輯:Anny
核稿編輯:Mia

延伸閱讀:




精選熱門好工作

QA 軟體測試工程師

強勝有限公司
臺北市.台灣

獎勵 NT$15,000

公關活動企劃專員

八方采整合行銷有限公司
新北市.台灣

獎勵 NT$15,000

Android 工程師

FunNow
臺北市.台灣

獎勵 NT$15,000