Terjedelmes cikkben bizonyítja a The Intercept, hogy a koronavírus-járvány egyik haszonélvezője, a Zoom nem igazán azt adja, amit ígér. Nevezetesen nyomokban sem lelhető fel benne a video- és telefonkonferenciák végponti titkosítása, amit a szolgáltatás egyébként ígér. A lap szerint a szolgáltatásban egyedül a szöveges cset az, ami end-to-end titkosítást használ, és aminél a titkosítási kulcs a végponti eszközön van, így a kommunikáció tartalmához valóban csak a részvevők férnek hozzá. A videofolyamot azonban lényegében ugyanaz a titkosító procedúra védi, mint amivel egy egyszerű HTTPS oldalt lekér egy böngésző.

A témát pár napja a BBC News vetette fel a brit miniszterelnök, Boris Johnson egy Twitteren közzétett bejegyzése nyomán (lásd lentebb). A tweetből ugyanis kiderül, hogy Johnson egy kabinetülést vezényel le nappalijában épp a Zoom videokonferencia-rendszerével. És azt talán mondani sem kellene, hogy mekkora biztonsági kockázat rejlik abban, ha egy ilyen kabinetülést illetéktelenek le tudnak hallgatni. A BBC cikke nyomán a védelmi minisztérium fel is függesztette a Zoom használatát.

Nem is egyszerű megvalósítani

A különbség meglehetősen súlyos: míg egy végponti titkosításnál maga a szolgáltató nem tud belenézni a kommunikációba, annak tartalmához csak a titkosítási kulcs birtokában lévő felhasználók férhetnek hozzá. Az átviteli titkosítás esetében a szolgáltató lényegében mindent lát, és csak rajta múlik, hogy mit kezd ezzel a tudásával.

A teljes képhez persze hozzátartozik, hogy a csoportos videokonferencia-hívásoknál nagyon bonyolult megvalósítani a végponti titkosítást. A szolgáltatónak ugyanis valahogy észlelnie kell azt, hogy éppen ki beszél, mert így csak annak a nagy felbontású videofolyamát kell továbbítania a többi résztvevő felé, akiktől viszont ilyenkor csak alacsony felbontású videó megy. Ez az azonosítás értelemszerűen sokkal egyszerűbb, ha a szolgáltató (illetve maga a szolgáltatás) mindent lát egy konferenciából – magyarázta a lapnak a neves titkosítási szakértő, Matthew Green, aki a Johns Hopkins Egyetem professzora (a Bitport is többször idézte a megszólalásait).

Persze attól még, hogy nehéz megvalósítani a végponti titkosítást, még nem lehetetlen – tette hozzá Green, példaként hozva fel az Apple FaceTime-ját, csak a sima átviteli titkosításhoz hozzá kell adni egy sor extra mechanizmust, melyek lefejlesztése közel sem triviális feladat.
 

A Zoomnak egyébként van olyan üzleti szolgáltatása, az ún. Meeting Connector, amikor a vállalat maga üzemeltet egy on-premise Zoom-szervert a belső hálózatán. Ilyenkor a Zoom felhős szerverein csak a kommunikáció metaadatai mennek át.

Átláthatósági jelentést sem készítenek

A végponti titkosítás hiánya miatt a Zoom technikailag képes megfigyelni, hogy mi zajlik egy magán videokonferencián, és ha megfelelő hatóság, bűnüldöző szerv kéri, akkor azt át is kell adnia. Ezzel önmagában még nem lenne gond, hiszen ez vonatkozik az összes szolgáltatóra a Google-től a Facebookon át a Microsoftig.

Csakhogy utóbbiak rendszeresen közzé teszik egy átláthatósági jelentésben, hogy az egyes országokból hány kormányzati kérelem érkezett hozzájuk, és abból hánynak tettek eleget. A Zoom ezzel szemben nem tesz közzé átláthatósági jelentést annak ellenére, hogy arra már egy ismert emberi jogi csoport is kérte nyílt levélben.

A Zoom szóvivője azt írta a lapnak, hogy mindent jogszerűen csinál: a törvényi kötelezettségének megfelelően tesz eleget a hatóságok kéréseinek, és nem is tehetne mást. Ami a titkosítást illeti, a szóvivő lefutotta a kötelező köröket: komolyan veszik a felhasználók adatvédelmét, csak olyan adatokat gyűjtenek, ami kell a szolgáltatás hatékony biztosításához stb. Számtalan védelmi réteg gondoskodik arról, hogy illetéktelenek – beleértve a Zoom alkalmazottait – ne férjenek semmilyen magánjellegű (video- és hangkonferencia, cset) tartalomhoz.

A kérdés már csak az, hogy a felhasználók megelégszenek-e ennyivel, vagy inkább választanak olyan lehetőséget, ami megbízhatóbbnak tűnik. A témával fontossága és aktualitása miatt áprilisban kiemelten foglalkozunk.