自从疫情期间使得在家工作成为常态,市面上的视频会议产品变得热门,用户数均大增,不过,其中一家视频会议Zoom却引起了各种的安全争议,例如,该公司被踢爆产品服务没有全程加密技术(End -to-End encryption,E2EE),却声称自己使用该技术,有误导与欺骗的问题存在,还有加密做法不够周延,以及其他地区的会议密钥会由中国数据中心传递等问题,加上一连串的漏洞问题被爆出,虽然,后续Zoom也宣布启动90天安全计划将改善安全,但外界对该公司产品的安全与信任方面,仍然异议。
最近,Zoom首席执行官袁征在第一季财报会议上,特别公布,他们在5月收购Keybase团队,将借此来构建Zoom的E2EE全程加密会议模式,未来他们会将E2EE加密功能提供给付费版用户,但免费版用户则不会享有这样的功能。
在这次的财报会议中,JPMorgan分析师Sterling Auty就特别针对技术方面问题提问,希望能了解该公司何时将提供E2EE全程加密功能。
袁征先从产业现况来简短说明,他说,多数视频会议厂商都使用AES 256位元GCM或CBC加密模式,因此这就是产业标准。
其中他也提到如果激活E2EE全程加密的问题,例如,将无法用传统电话拨入,也无法支持硬件视频会议设备H.323的连接,此外云计算视频录像也将受制而无法使用,所以现在多数视频会议产业都不提供这样的功能。
从上述回应来看,说明了原本的云计算视频会议服务,由于扩展到硬件视频会议的支持,因此在E2EE的问题方面,是比较复杂一些,换言之,对于只有行动视频应用的产品形态而言,要实例E2EE可能较为容易。不过,对于先前为何他们要声称采用E2EE的技术,造成用户可能被误导,这次并没有提及。
此外,袁征表示,他们认为,Zoom还是需要提供这样的高端功能给使用,如果用户觉得会议相当重要,可以在功能有限的情形下激活加密功能,这样也还可以让传统电话拨入。
根据袁征的说法,针对企业付费版的用户,他们正在开发E2EE,成为付费版内置功能,但不会将这样的功能提供给免费版用户。同时他也提及这么做的原因,是因为与FBI或政府执法合作方面,希望让大众可以更好去使用Zoom,避免不当用途。
对于袁征上述所提,前Facebook资深首席安全官、现任Zoom安全顾问Alex Stamos,也在Twitter上说明更多信息。其中他提到,该公司不会主动监控会议内容,并强调未来也不会,此外,Zoom正在处理一些严重的安全问题,包含有外人突入打扰会议时,会议主持人可以举报,并说明Zoom正与执法单位打击这样的行为。
先不论因应执法单位的说法,但至少,现在Zoom能明确说明付费版的E2EE功能正在开发,免费版则不会提供。
对于视频会议产品在E2EE功能问题,我们也曾讯问厂商的动向。在今年4月9日,我们将这方面的问题询问视频会议厂商讯连科技,当时他们明确表示,以讯连的产品而言,U企业版可选购E2EE全程加密功能,免费版没有提供,隔日他们也发出新闻稿,指出该选购方案可将U会议的视频会议进行E2EE加密,也可针对U通信所传输的文本、贴图与图片,进行E2EE加密。而这样的功能,他们是在2018年提供。
至于E2EE方面的其他讨论,一般外界最常比较的对象,通常则是通信软件的视频功能,像是Line、Telegram,以及苹果iMessages与脸书的WhatsApp,相对地,视频会议平台通常聚焦多人视频与演示文稿分享。此外,就E2EE的实例范围而言,也是一个切入面向,以国人熟知的Line而言,在E2EE上的功能,清楚说明了加密内容是文本消息、位置信息,以及一对一免费通话。而Telegram前阵子则宣布,未来将推出多人视频功能,并将提供安全的加密技术。