Zoom ha annunciato l'acquisizione di Keybase, un servizio per la messaggistica e la condivisione sicura di file. È un passaggio importante nell'ottica di rafforzare un aspetto della sicurezza che ha creato parecchi problemi all'applicazione di collaborazione.
Stando alle informazioni ufficiali, il team di ingegneri della sicurezza e di esperti della crittografia di Keybase dovrebbe consentire a Zoom di implementare una vera crittografia end-to-end. Ricordiamo, infatti, che alcuni dei problemi di questa app furono legati proprio a questo aspetto. Come avevamo
sottolineato a suo tempo, quella che a volte viene indicata da Zoom come "end-to-end encrypted meeting" tecnicamente, nel senso stretto del termine, non lo è. Quello che veniva cifrato era il flusso audio/video tra il client di videoconferenza e i server di Zoom. La cifratura prevedeva l'utilizzo di HTTPS, un po' come le connessioni sicure dei browser.
Con la recente
versione di Zoom 5.0 è stata adottata la cifratura GCM (Galois/Counter Mode) a 256 bit per la protezione dei dati. In pratica, le sessioni video sono cifrate molto meglio di prima mentre sono in transito da e verso i server di Zoom. La cifratura a 256 bit sarà applicata anche ai dati memorizzati sui server di Zoom. In precedenza questo non avveniva.
Con la nuova acquisizione le cose cambieranno. Almeno è quello che promette Eric S. Yuan, CEO di Zoom. Ha infatti
dichiarato che "esistono piattaforme di comunicazione crittografate end-to-end. Esistono piattaforme di comunicazione con sicurezza facilmente implementabile. Esistono piattaforme di comunicazione su scala aziendale. Riteniamo che nessuna piattaforma attuale offra tutto insieme. Questo è ciò che Zoom prevede di costruire, offrendo ai nostri utenti
sicurezza, facilità d'uso e scalabilità, tutto in una volta".
Nel
blog ufficiale Zoom spiega poi che il suo piano è quello di realizzare una piattaforma di comunicazione video veramente privata, in grado di scalare fino a centinaia di milioni di partecipanti, pur avendo la flessibilità per supportare la vasta gamma di usi di Zoom. L'obiettivo è fornire la
massima privacy possibile per ogni caso d'uso, bilanciando le esigenze degli utenti e la prevenzione di comportamenti dannosi sulla piattaforma.
Quello che cambierà è che
Zoom offrirà una crittografia end-to-end effettiva agli account a pagamento. Mediante l'accesso, gli utenti genereranno identità crittografiche pubbliche che verranno archiviate in un repository sulla rete di Zoom. L'organizzatore della riunione genererà una chiave simmetrica che potrà essere distribuita tra i client. Sarà l'host a decidere quali dispositivi sono autorizzati a ricevere le chiavi della riunione. Sono inoltre allo studio soluzioni per consentire agli utenti aziendali livelli aggiuntivi di autenticazione.
Yuan prosegue spiegando che Keybase offre le funzionalità avanzate di crittografia e sicurezza di cui Zoom in questo momento ha bisogno. L'obiettivo è di portare avanti un piano di sviluppo mirato a
migliorare la sicurezza di Zoom in 90 giorni. La prima bozza dettagliata della progettazione crittografica sarà pubblicata venerdì 22 maggio.