На конференции RSA 2021 специалисты Zoom обсудили внедрение сквозного шифрования для видеовстреч. Эксперты объяснили значение этой технологии, шаги по усилению защиты звонков и грядущие обновления платформы.
Как всё начиналось
Рост популярности Zoom во время карантина привлёк пристальное внимание к вопросам безопасности. В сервисе обнаружили уязвимости, позволявшие злоумышленникам получать доступ к камерам и организовывать несанкционированные вторжения на конференции (зумбомбинг). Хотя команда оперативно реагировала на инциденты, некоторые проблемы требовали длительного решения.
Одним из главных вопросов стало отсутствие полноценного сквозного шифрования — вместо этого платформа использовала менее надёжный механизм P2PE. В чём принципиальная разница между этими технологиями?
Сравнение E2EE и P2PE
Основное отличие заключается в уровне доступа к информации. При P2PE данные могут расшифровываться на сервере платформы, тогда как E2EE гарантирует защиту на всём пути передачи — от устройства отправителя до получателя. Такой подход устраняет ключевые риски:
- Возможность компрометации ключей при взломе серверной инфраструктуры
- Риск утечек из-за действий недобросовестных сотрудников
Перехват данных с доступом к содержимому переговоров — серьёзная угроза для личных и корпоративных коммуникаций. Сквозное шифрование исключает эти рисы, так как ключи расшифровки хранятся исключительно на конечных устройствах.
Текущая реализация защиты в Zoom
Команда внедрила значительные улучшения в систему безопасности. Вот ключевые изменения:
С осени 2020 года сквозное шифрование охватывает видеопоток, аудио и текстовые сообщения. Ключ шифрования генерируется локально и не передаётся на серверы. В облаке хранятся только зашифрованные идентификаторы и метаданные (например, продолжительность сессии).
Для обнаружения непредусмотренных подключений внедрён механизм heartbeat — автоматическая отправка актуального списка участников с валидными ключами. Если появляется неавторизованный пользователь, система немедленно оповещает всех присутствующих.
Организатор может вручную заблокировать доступ после начала совещания (функция Lock Meeting). Для противодействия атакам Man-in-the-middle реализована проверка совпадения кодов безопасности, генерируемых на основе общего ключа.
Особое внимание уделено смене организатора — при переходе прав платформа визуально выделяет это событие, позволяя участникам прервать конфиденциальное обсуждение при подозрительных обстоятельствах.
Планы по развитию
Разработчики обозначили перспективные направления для улучшения безопасности. Среди остающихся рисков — возможность подмены личности участника, доступ к метаданным (IP-адреса, длительность сессий) и потенциальные уязвимости клиентского ПО.
Для минимизации угроз поставлены следующие задачи:
- Гарантированный доступ только для авторизованных лиц
- Полное отключение удалённых пользователей без возможности повторного входа
- Защита контента от нежелательных изменений
- Встроенные инструменты для оперативного реагирования на нарушения
Этапы реализации
Обновления будут внедряться поэтапно:
Первый этап уже завершён — ключи шифрования теперь хранятся локально, а механизмы защиты от несанкционированного доступа модернизированы.
На втором этапе появится независимая система аутентификации через SSO (единый вход). Это исключит подмену личности даже при компрометации серверов Zoom.
Третий этап предусматривает создание публичного реестра ключей («дерево прозрачности») с возможностью верификации через доверенные сервисы.
Четвёртый этап введёт двухфакторную привязку устройств через QR-коды, предотвращающую несанкционированное добавление гаджетов к учётной записи.
Удобство использования
Среди пользовательских улучшений выделяется концепция «облака устройств» — синхронизация доверенных гаджетов при подтверждении через авторизованные устройства. Этот механизм упрощает управление доступом и повышает защищённость аккаунтов.
Оценка перспектив
Zoom демонстрирует последовательное улучшение стандартов безопасности при сохранении простоты интерфейса. Однако эффективность защиты зависит не только от технологий, но и от грамотного использования предоставленных инструментов:
- Регулярное обновление клиентских приложений
- Внимание к системным уведомлениям
- Ограничение конфиденциальных обсуждений при сомнениях в безопасности сессии