- การเปรียบเทียบ
- บทเรียน
- ในที่สุด Zoom ก็นำเสนอการเข้ารหัสแบบ end-to-end สำหรับผู้ใช้ทุกคน แต่มีสิ่งที่จับได้
ในที่สุด Zoom ก็ได้เปิดตัวการเข้ารหัสแบบ end-to-end (E2EE) สำหรับผู้ใช้ทั้งแบบฟรีและมีค่าใช้จ่ายทั่วโลก โดยรักษาสัญญาที่ให้ไว้ในช่วงเริ่มต้นของการแพร่ระบาด ในระบบที่ปลอดภัยแบบ E2EE การสื่อสารระหว่างผู้เข้าร่วมการประชุมจะถูกเข้ารหัสโดยใช้คีย์เข้ารหัสที่จัดเก็บไว้ในอุปกรณ์ของผู้ใช้เท่านั้น ซึ่งหมายความว่าไม่มีบุคคลที่สาม รวมถึง Zoom ที่สามารถเข้าถึงคีย์เพื่อถอดรหัสข้อมูลการประชุมส่วนตัวได้ ในตอนแรกบริษัทกล่าวว่าการเข้ารหัสแบบ end-to-end จะสงวนไว้สำหรับลูกค้าที่ชำระเงินเท่านั้น แต่กำลังทำการกลับรถอย่างรวดเร็วหลังจากเผชิญกับฟันเฟืองจากผู้ใช้ คุณลักษณะนี้พร้อมใช้งานทันทีสำหรับผู้ใช้ Zoom ทุกคนในหน้าตัวอย่างทางเทคนิค (หมายความว่าบริษัทกำลังขอคำติชม) ในไคลเอนต์เวอร์ชัน 5.4.0 สำหรับ Windows และ Mac, Zoom สำหรับ Android และ Zoom Rooms บริการดังกล่าวจะปรากฏบน Zoom สำหรับ iOS เร็วๆ นี้ เมื่อ Apple เปิดแอปที่อัปเดตแล้ว
การซูมแบบเข้ารหัสจากต้นทางถึงปลายทาง
ในเดือนเมษายน Zoom พบว่าตัวเองตกอยู่ในสถานการณ์ลำบากเมื่อพบว่าการอ้างว่าผู้เข้าร่วมการประชุมได้รับการปกป้องด้วยการเข้ารหัสแบบ end-to-end เต็มรูปแบบนั้นไม่มีมูลความจริง นักวิจัยพบว่าบริการดังกล่าวใช้การเข้ารหัสน้อยกว่าโดยใช้โปรโตคอล Transport Layer Security (TLS) บริษัทถูกบังคับให้ออกมาขอโทษต่อสาธารณะและให้คำมั่นว่าจะอุทิศเวลาสามเดือนข้างหน้าเพื่อปรับปรุงความปลอดภัยของแพลตฟอร์มเท่านั้น ในช่วงเวลานี้ Zoom ได้รับบริการส่งข้อความและการแชร์ไฟล์ที่ปลอดภัย Keybase ซึ่งทีมงานมีส่วนร่วมในการพัฒนา E2EE เต็มรูปแบบสำหรับบริการการประชุมผ่านวิดีโอ ดังนั้นการมาถึงของการเข้ารหัสแบบ end-to-end สำหรับผู้ใช้ทุกคนจึงเป็นไปตามสัญญาที่ทำไว้เมื่อหกเดือนที่แล้วในที่สุด “เราภูมิใจมากที่ได้นำการเข้ารหัสแบบ end-to-end ใหม่ของ Zoom มาสู่ผู้ใช้ Zoom ทั่วโลก” Jason Lee, CISO ของ Zoom กล่าว “ฟีเจอร์นี้เป็นที่ต้องการอย่างมากจากลูกค้าของเรา และเรารู้สึกตื่นเต้นที่จะทำให้สิ่งนี้เป็นจริง ขอแสดงความยินดีกับทีมเข้ารหัสของเราที่เข้าร่วมกับเราจาก Keybase ในเดือนพฤษภาคม และพัฒนาฟีเจอร์ความปลอดภัยอันน่าทึ่งนี้ "ภายใต้ระบบใหม่ซึ่งใช้การเข้ารหัส AES-GCM 256 บิต โฮสต์การประชุมจะสร้างคีย์การเข้ารหัสที่แจกจ่ายให้กับผู้เข้าร่วมรายอื่นโดยใช้การเข้ารหัสคีย์สาธารณะ ข้อมูลที่เข้ารหัสนั้น "ไม่สามารถถอดรหัสได้" โดย Zoom ซึ่งเซิร์ฟเวอร์จะทำหน้าที่เป็น " รีเลย์ที่ไม่ได้ตั้งใจ" แม้ว่าหลายๆ คนจะเฉลิมฉลองการมาถึงของฟีเจอร์ความปลอดภัยใหม่ แต่สิ่งสำคัญที่ควรทราบคือการป้องกัน E2EE ไม่สามารถใช้ได้กับการประชุม Zoom ทั้งหมด คุณสมบัตินี้จะต้องเปิดใช้งานโดยโฮสต์ ผู้เข้าร่วมจะต้องเข้าร่วมไคลเอนต์ Zoom ที่เหมาะสมและ การประชุมต้องมีผู้เข้าร่วมไม่เกิน 200 คน การเปิดใช้งาน E2EE จะส่งผลให้ฟังก์ชันการทำงานลดลง ทำให้ผู้ใช้ไม่สามารถเข้าถึงฟีเจอร์ต่างๆ เช่น การบันทึกบนคลาวด์ แบบสำรวจ ห้องกลุ่มย่อย และการถอดเสียงแบบสด