曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        Zoom安全事件中涉及加密方式的探討
        發布時間:2020-04-16 10:29:21   閱讀次數:

        1-200416103GD07.png

        摘要

        隨著Zoom的爆炸性普及,對其安全性以及一系列攻擊行為進行了嚴格的審查。有趣的問題不是Zoom在過去的表現如何,而是它們在解決現在發現的問題上的表現如何。


        好消息是,Zoom的基本基礎架構設計合理,可以支持強大的端到端加密。壞消息是,他們的一些錯誤表明對加密和安全性缺乏基本的了解。


        幸運的是,這些問題可以解決,如果這樣做并且表明他們現在正在認真對待安全性,那么這將是我們所有人都將從中受益的結果。


        Zoom的安全現狀

        密碼專家解釋了Zoom為其創紀錄的2.2億用戶使用的加密協議,以及它們對于在家辦公和冠狀病毒時代網絡安全的意義。


        到2020年4月,由于冠狀病毒大流行,全球有超過40億人處于就地庇護或留在家中的形式。一起工作,從家庭的新常態,視頻會議應用Zoom已成為首選的平臺,在三月份Zoom經歷了從平均1千萬?2億用戶的峰值訪問 。這不是巧合,Zoom的整體用戶體驗非常棒,它易于使用,并且可以正常工作。


        但是,隨處可見都會帶來很大的風險。隨著同事公開共享文檔、演示文稿和公司戰略,手頭上的大量機密信息使Zoom成為特別有吸引力的目標。


        隨著Zoom的日益普及,網絡安全專業人員以及罪犯和惡作劇的學生都受到了越來越嚴格的審查。一個新的術語稱為“ zoombombing”,是未經授權的參與者未經邀請就出現的地方。此類攻擊的結果可能從竊取公司機密到提供不適當的材料。


        Zoom本身已經意識到其隱私和安全性問題,包括將不必要的信息傳遞給Facebook和LinkedIn,有關Mac的Zoom的問題,UNC鏈接問題,以及有關Zoom的加密實踐的廣泛爭議。


        本文將探討Zoom加密實踐,以幫助闡明問題所在。


        術語故事–端到端或非端到端

        混亂(甚至是憤怒)始于Zoom聲稱其平臺使用了“端到端加密”,該公司后來承認這一說法是基于“普遍接受的端到端加密定義與方法之間的差異而造成的誤解”。我們正在使用它?!?/p>


        真正的端到端加密意味著Zoom調用在數據創建,傳輸和接收生命周期的所有點都進行了加密-并且Zoom本身無法訪問該關鍵數據。端到端加密是黃金標準,這意味著密鑰是在端點上生成和管理的,而Zoom的服務器永遠無法訪問它們。


        實際上,除非滿足以下條件之一,否則Zoom會加密會議:

        • 至少有一個參與者在使用電話(并且未使用Zoom應用程序-即通過筆記本電腦或移動應用程序連接)

        • 通話記錄中。


        當然,在第一種情況下不使用加密是有道理的,因為常規電話線將無法解密通信(它正在使用其他基礎結構而無法訪問密鑰)。在第二種情況下,可以解決此問題,但是在將記錄上傳到云的情況下會帶來相當大的密鑰管理困難。但是,不清楚由主機本地存儲記錄時為何不使用加密。


        但是,無論呼叫是否被加密,密碼學家都以簡單的理由批評Zoom使用術語“端到端”(E2E)加密術語:加密根本不是端到端的。也就是說,Zoom的服務器可以訪問加密密鑰,并且可以自行決定對其進行解密。


        請注意,Zoom的服務器不會(根據其報告)對流量進行解密,而僅僅是它們可以表示未使用端到端加密的事實。從積極的方面來看,Zoom建立的基礎結構使服務器無需解密流量,這意味著它們應該能夠毫不費力地推出真正的端到端加密。這比需要在服務器上解密以將不同流混合在一起的供應商要好得多。如果Zoom以這種方式工作,他們將需要完全改變其基礎架構以部署端到端加密。


        這是一個好消息:它表明Zoom所使用的基本基礎架構設計是不錯的,并給我們希望,他們將能夠很快推出端到端加密。


        ECB加密–那是什么,我們為什么要關心?

        對稱加密(用于保護以Zoom形式發送的實際數據)是在特定操作模式下使用的分組密碼的組合。分組密碼是一種加密功能,它接收數據塊并以不可逆的方式對其進行加擾。


        建立安全加密時,主要問題之一是如何應用分組密碼,這種方法稱為“操作模式”??s放使用最簡單的操作模式,稱為電子密碼簿(ECB)模式。在ECB模式下,數據被分成多個塊,每個塊通過簡單地通過塊密碼傳遞就分別加密,如下圖所示。

        1-20041614001UX.png

        不幸的是,ECB并不是一種安全的加密方式,而使用ECB模式是菜鳥的錯誤。為了了解原因,請注意始終將相同數據的塊映射到結果。這可能會泄漏很多信息,如下面著名的Linux企鵝的加密所示:

        1-20041614005EC.png

        由于所有白色塊都映射到相同的顏色,所有黃色塊都映射到相同的顏色,因此在ECB模式下加密的企鵝仍然看起來像企鵝。在安全加密中不應發生這種情況,并且實際上其他操作模式也不會遭受此弱點的困擾。


        密碼學家一直在爭論Zoom電話會議中的ECB模式是否確實泄漏了實際信息。但是,這實際上不是重點。問題在于,甚至連最基礎的加密和加密知識的人都知道ECB不安全。因此,Zoom使用ECB看起來非常糟糕,給人的印象是Zoom甚至沒有人具備基本專業知識。


        話雖如此,這個問題非常容易解決,因此我們希望很快能對此進行更新。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精