Estamos orgullosos de anunciar la adquisición de Keybase, otro hito en el plan de 90 días de Zoom para fortalecer aún más la seguridad de nuestra plataforma de comunicaciones de video.
Desde su lanzamiento en 2014, el equipo de ingenieros excepcionales de Keybase ha creado un servicio seguro de mensajería y uso compartido de archivos aprovechando su profunda experiencia en encriptación y seguridad.
Nos complace integrar al equipo de Keybase en la familia Zoom para ayudarnos a construir un cifrado de extremo a extremo que pueda alcanzar la escalabilidad actual de Zoom.
Esta adquisición marca un paso clave para Zoom, ya que intentamos lograr la creación de una plataforma de comunicaciones de video verdaderamente privada que pueda escalar a cientos de millones de participantes, al mismo tiempo que tiene la flexibilidad para admitir la amplia variedad de usos de Zoom.
Nuestro objetivo es proporcionar la mayor privacidad posible para cada caso de uso, al tiempo que equilibramos las necesidades de nuestros usuarios y nuestro compromiso de prevenir comportamientos perjudiciales en nuestra plataforma. El experimentado equipo de Keybase será una parte crítica de esta misión.
Cifrado de zoom hoy
Hoy en día, el contenido de audio y video que fluye entre los clientes de Zoom (por ejemplo, Zoom Rooms, computadoras portátiles y teléfonos inteligentes que ejecutan la aplicación Zoom) se cifra en cada dispositivo de cliente emisor.
No se descifra hasta que llega a los dispositivos de los destinatarios. Con la reciente versión de Zoom 5.0, los clientes de Zoom ahora admiten el cifrado de contenido utilizando AES-GCM estándar de la industria con claves de 256 bits. Sin embargo, las claves de cifrado para cada reunión son generadas por los servidores de Zoom.
Además, algunas características que los clientes de Zoom utilizan ampliamente, como la asistencia a los asistentes para llamar a un puente telefónico o utilizar los sistemas de reuniones en la sala ofrecidos por otras compañías, siempre requerirán que Zoom mantenga algunas claves de cifrado en la nube.
Sin embargo, para los hosts que buscan priorizar la privacidad sobre la compatibilidad, crearemos una nueva solución.
El futuro cercano
Zoom ofrecerá un modo de reunión cifrado de extremo a extremo para todas las cuentas pagas. Los usuarios conectados generarán identidades criptográficas públicas que se almacenan en un repositorio en la red de Zoom y se pueden usar para establecer relaciones de confianza entre los asistentes a la reunión.
El organizador de la reunión generará una clave simétrica efímera por reunión. Esta clave se distribuirá entre los clientes, se envolverá con los pares de claves asimétricos y se rotará cuando haya cambios significativos en la lista de asistentes.
Los secretos criptográficos estarán bajo el control del anfitrión, y el software del cliente del anfitrión decidirá qué dispositivos pueden recibir claves de reunión y, por lo tanto, unirse a la reunión. También estamos investigando mecanismos que permitan a los usuarios empresariales proporcionar niveles adicionales de autenticación.
Estas reuniones cifradas de extremo a extremo no admitirán puentes telefónicos, grabación en la nube o sistemas de salas de conferencias que no sean de Zoom. Los participantes de Zoom Rooms y Zoom Phone podrán asistir si el anfitrión lo permite explícitamente.
Las claves de cifrado estarán estrictamente controladas por el anfitrión, quien admitirá a los asistentes.
Creemos que esto proporcionará una seguridad equivalente o mejor que las plataformas de mensajería cifrada de extremo a extremo existentes para el consumidor, pero con la calidad y escala de video que ha hecho que Zoom sea la opción de más de 300 millones de participantes de reuniones diarias, incluidos aquellos en algunas de las empresas más grandes del mundo.
A medida que hacemos este trabajo para proteger aún más la privacidad de nuestros usuarios, también somos conscientes de nuestro deseo de evitar el uso de los productos de Zoom para causar daños. Para ello, seguiremos los siguientes pasos:
- Continuaremos trabajando con los usuarios para mejorar los mecanismos de informes disponibles para los anfitriones de las reuniones para informar a los asistentes no deseados y perjudiciales.
- Zoom no supervisa de manera proactiva los contenidos de las reuniones, pero nuestro equipo de confianza y seguridad continuará utilizando herramientas automatizadas para buscar evidencia de usuarios abusivos en función de otros datos disponibles.
- Zoom no ha creado ni creará un mecanismo para descifrar reuniones en vivo con fines de intercepción legal.
- Tampoco tenemos un medio para insertar a nuestros empleados u otros en las reuniones sin estar reflejados en la lista de participantes. No construiremos puertas traseras criptográficas para permitir el monitoreo secreto de las reuniones.
Próximos pasos de Zoom
Estamos comprometidos a permanecer transparentes y abiertos a medida que desarrollamos nuestra oferta de cifrado de extremo a extremo. Planeamos publicar un borrador detallado del diseño criptográfico el viernes 22 de mayo.
Luego, organizaremos secciones de discusión con la sociedad civil, expertos en criptografía y clientes para compartir más detalles y solicitar comentarios. Una vez que hayamos evaluado estos comentarios para integrarlos en un diseño final, anunciaremos nuestros hitos de ingeniería y objetivos para implementar a los usuarios de Zoom.
Esperamos dar la bienvenida al equipo de Keybase y estamos entusiasmados con las posibilidades de lo que podemos construir juntos.