自從疫情期間使得在家工作成為常態,市面上的視訊會議產品變得熱門,用戶數均大增,不過,其中一家視訊會議Zoom卻引起了各種的安全爭議,例如,該公司被踢爆產品服務沒有全程加密技術(End-to-End encryption,E2EE),卻聲稱自己使用該技術,有誤導與欺騙的問題存在,還有加密作法不夠周延,以及其他地區的會議金鑰會由中國資料中心傳遞等問題,加上一連串的漏洞問題被爆出,雖然,後續Zoom也宣布啟動90天安全計畫將改善資安,但外界對該公司產品的安全與信任方面,仍然存疑。

最近,Zoom執行長袁征在第一季財報會議上,特別公布,他們在5月收購Keybase團隊,將藉此來構建Zoom的E2EE全程加密會議模式,未來他們會將E2EE加密功能提供給付費版用戶,但免費版用戶則不會享有這樣的功能。

在這次的財報會議中,JPMorgan分析師Sterling Auty就特別針對技術方面問題提問,希望能了解該公司何時將提供E2EE全程加密功能。

袁征先從產業現況來簡短說明,他說,多數視訊會議廠商都使用AES 256位元GCM或CBC加密模式,因此這就是產業標準。

當中他也提到如果啟用E2EE全程加密的問題,例如,將無法用傳統電話撥入,也無法支援硬體視訊會議設備H.323的連線,此外雲端視訊錄影也將受制而無法使用,所以現在多數視訊會議產業都不提供這樣的功能。

從上述回應來看,說明了原本的雲端視訊會議服務,由於擴展到硬體視訊會議的支援,因此在E2EE的問題方面,是比較複雜一些,換言之,對於只有行動視訊應用的產品型態而言,要實作E2EE可能較為容易。不過,對於先前為何他們要聲稱採用E2EE的技術,造成使用者可能被誤導,在此回應中並未提及。

此外,袁征表示,他們認為,Zoom還是需要提供這樣的進階功能給使用,如果用戶覺得會議相當重要,可以在功能有限的情形下啟用加密功能,這樣也還可以讓傳統電話撥入。

根據袁征的說法,針對企業付費版的用戶,他們正在開發E2EE,成為付費版內建功能,但不會將這樣的功能提供給免費版用戶。同時他也提及這麼做的原因,是因為與FBI或政府執法合作方面,希望讓大眾可以更好去使用Zoom,避免不當用途。

對於袁征上述所提,前Facebook資深首席安全官、現任Zoom安全顧問Alex Stamos,也在Twitter上說明更多資訊。當中他提到,該公司不會主動監控會議內容,並強調未來也不會,此外,Zoom正在處理一些嚴重的安全問題,包含有外人突入打擾會議時,會議主持人可以舉報,並說明Zoom正與執法單位打擊這樣的行為。

先不論因應執法單位的說法,但至少,現在Zoom能明確說明付費版的E2EE功能正在開發,免費版則不會提供。

對於視訊會議產品在E2EE功能問題,我們也曾訊問國內廠商的動向。在今年4月9日,我們將這方面的問題詢問國內視訊會議廠商訊連科技,當時他們明確表示,以訊連的產品而言,U企業版可選購E2EE全程加密功能,免費版沒有提供,隔日他們也發出新聞稿,指出該選購方案,可將U會議的視訊會議進行E2EE加密,也可針對U通訊所傳輸的文字、貼圖與圖片,進行E2EE加密。而這樣的功能,他們是在2018年提供。

至於E2EE方面的其他討論,一般外界最常比較的對象,通常則是行動通訊軟體所附加的視訊功能,像是Line、Telegram,以及蘋果iMessages與臉書的WhatsApp,相對地,視訊會議平臺通常則聚焦多人視訊與簡報分享。此外,就E2EE的實作範圍而言,也是一個切入面向,以上述國人熟知的通訊軟體Line而言,在E2EE上的功能,清楚說明了加密內容是文字訊息、位置資訊,以及一對一免費通話。而Telegram前陣子則宣布,未來將推出多人視訊功能,並將提供安全的加密技術。


Advertisement

更多 iThome相關內容