A Pesar Del Marketing, Zoom No Utiliza Cifrado End-to-End

Zoom, el servicio de videoconferencia cuyo uso se ha disparado en medio de la pandemia de Covid-19, afirma implementar un cifrado de extremo a extremo, pero parece que está utilizando su propia definición del término, una que le permitiría acceder a video y audio sin cifrar de las reuniones.

El negocio está en auge para Zoom, atrayendo más atención sobre la compañía y sus prácticas de privacidad, incluida una política, más tarde actualizada, que pareció brindarle a la compañía permiso para extraer mensajes y archivos compartidos durante las reuniones con el objetivo de orientar anuncios.

En el sitio web de Zoom dice "Siempre y cuando se asegure de que todos en una reunión de Zoom se conecten usando 'audio de computadora' en lugar de llamar por teléfono, la reunión está asegurada con cifrado de extremo a extremo". Pero a pesar de este marketing engañoso, el servicio en realidad no admite el cifrado de extremo a extremo para contenido de video y audio, al menos como se entiende comúnmente el término.
En cambio, ofrece lo que generalmente se llama cifrado de transporte. El cifrado que Zoom usa para proteger las reuniones es TLS, la misma tecnología que usan los servidores web para proteger los sitios web HTTPS.

En el documento técnico de Zoom, hay una lista de "capacidades de seguridad previas a la reunión" que están disponibles para el organizador de la reunión que comienza con "Habilitar una reunión cifrada de extremo a extremo (E2E)". Más adelante en el documento técnico, enumera "Asegurar una reunión con cifrado E2E" como una "capacidad de seguridad en la reunión" que está disponible para los anfitriones de la reunión. Cuando un anfitrión inicia una reunión con la opción "Requerir cifrado para puntos finales de terceros" habilitada, los participantes ven un candado verde que dice: "Zoom está utilizando una conexión cifrada de extremo a extremo" cuando pasan el mouse sobre él.
Pero cuando se contactó para comentar si las videoconferencias están realmente cifradas de extremo a extremo, un portavoz de Zoom escribió: "Actualmente, no es posible habilitar el cifrado E2E para las videoconferencias de Zoom. Las reuniones de video con zoom utilizan una combinación de TCP y UDP. Las conexiones TCP se realizan mediante TLS y las conexiones UDP se cifran con AES mediante una clave negociada a través de una conexión TLS".

El cifrado de transporte, que es diferente del cifrado de extremo a extremo porque el servicio Zoom en sí mismo puede acceder al contenido de video y audio no cifrado de las reuniones de Zoom. Entonces, cuando tenga una reunión de Zoom, el contenido de video y audio se mantendrá privado de cualquiera que espíe su Wi-Fi, pero no se mantendrá privado de la compañía.

Para que una reunión de Zoom esté encriptada de extremo a extremo, el contenido de video y audio debería estar cifrado de tal manera que solo los participantes en la reunión tengan la capacidad de descifrarlo. El servicio Zoom en sí podría tener acceso al contenido cifrado de la reunión, pero no tendría las claves de cifrado necesarias para descifrarlo porque solo los participantes de la reunión tendrían estas claves y, por lo tanto, no tendría la capacidad técnica de escuchar sus reuniones privadas. Así es como funciona el cifrado de extremo a extremo en aplicaciones de mensajería como Signal.

Matthew Green, un criptógrafo y profesor de ciencias de la computación en la Universidad Johns Hopkins, señala que las videoconferencias grupales son difíciles de cifrar de extremo a extremo. Esto se debe a que el proveedor de servicios necesita detectar quién está hablando para actuar como una centralita, lo que le permite enviar solo una videostream de alta resolución de la persona que está hablando en ese momento, o que un usuario selecciona al resto del grupo, y para enviar videostreams de baja resolución de otros participantes.
Este tipo de optimización es mucho más fácil si el proveedor de servicios puede ver todo porque no está cifrado. Si todo está cifrado de extremo a extremo, debe agregar algunos mecanismos adicionales para asegurarse de que puede hacer ese tipo de cambio de 'quién está hablando', y puede hacerlo de una manera que no filtre mucha información . Tienes que llevar esa lógica a los puntos finales. Sin embargo, esto no es imposible, dijo Green, como lo demostró FaceTime de Apple, que permite la videoconferencia grupal cifrada de extremo a extremo. "Es factible. Simplemente no es fácil".


La única característica de Zoom que parece estar cifrada de extremo a extremo es el chat de texto en la reunión. "El cifrado de chat Zoom E2E permite una comunicación segura donde solo el destinatario puede leer el mensaje seguro".

Fuente: The Intercept

Via: feedproxy.google.com
A Pesar Del Marketing, Zoom No Utiliza Cifrado End-to-End A Pesar Del Marketing, Zoom No Utiliza Cifrado End-to-End Reviewed by Unknown on 9:55 Rating: 5