为了强化视频的隐私保护,Zoom周四宣布收购具备端对端加密技术的创业公司Keybase,同时也公布未来提供平台端对端加密的规划。
这项计划是Zoom在被爆出种种安全问题后,4月初宣布的90天安全强化计划的一部分。
创立于2014年的Keybase,提供具备端到端加密及安全能力的消息及文件共享服务。Keybase的团队将随本次收购加入Zoom,协助其强化“满足现有Zoom扩展性”的端到端加密。The Verge报道,Keybase共同创办人之一Max Krohn也将出掌安全工程部门。
Zoom首席执行官袁征表示,这项收购案是该公司打造能支持数亿与会者隐私视频平台的重要关键。他们希望为各种使用场景提供最佳隐私保护,又要能兼顾满足用户需求及防止恶意行为两个目的。
4月发布的Zoom用户端5.0版本,标榜采用256-bit密钥AES-GCM加密,但是对某些在意隐私的用户来说并不够。袁征解释,现有情况下每通视频的加密密钥由Zoom服务器产生,同时,为了支持一些使用场景,如支持与会者拨到电话桥接器(phone bridge),或使用其他公司提供的in- room会议系统等,这些都需要Zoom把加密密钥存储在云计算上。对于重视隐私甚于兼容性的用户,Zoom将推出新的方案,这也是收购Keybase的目的。
未来Zoom将针对所有付费用户提供端到端加密。所有登录的用户都会产生一个公开的密码身份,这些身份存储在Zoom网络上,用以和其他与会者创建信赖关系。未来每次会议,都会由会议主持人产生一次性的对称密钥,这把密钥会以非对称密密钥对弥封,在各用户端之间发送,如果与会者有重大变动时,这把密钥就会再轮转。加密密钥由会议主持人管控,其用户端软件可以决定哪些设备有权获得密钥加入会议。
不过这项服务的缺点在于不够弹性,包括不支持电话桥接器、云计算录像录音或非Zoom品牌的会议室系统。此外,只有会议主持人明显同意,Zoom Rooms和Zoom Phone的参会者才能加入会议。袁征表示还再努力在其中,增加更多企业级的验证机制。
袁征表示会在5月22日公布加密设计的细节,并在融合客户及加密专家意见后,公布工程开发构建进程。
Zoom重申不让有心人使用Zoom产品为害,将强化乱入人士的通报机制。Zoom说他们不会主动监控会议内容,但会使用自动化工具收集作乱人士的证据,此外,他们不会打造解密即时会议的工具,让政府或警方使用,也不会加入后门,或是让员工或其他人,暗中进入用户会议进行秘密监控。
拜全球COVID-19疫情之赐,Zoom平台用量大增,目前Zoom全球每日与会人数达到3亿。