Titkosítási megoldásokat fejlesztő céget vesz a Zoom
A Keybase felvásárlásával a cég a videochatek végpontok közötti titkosításának ágyaz meg.
Az elmúlt hetekben gőzerővel igyekezett javítani szolgáltatása védelmén a a Zoom, miután a videokonferencia alkalmazásban az év első felében sorozatosan bukkantak fel a biztonsági problémák - és a cég kommunikációja is félrevezető volt. A vállalat most felvásárlással erősítené biztonsági kompetenciáit: mint bejelentette, bekebelezi a titkosítási megoldások fejlesztésével foglalkozó Keybase startupot. A 2014-ben alapított Keybase titkosított üzenetküldő és fájlmegosztó szolgáltatást is fejlesztett, így tapasztalatai kifejezetten hasznosak lehetnek a videomeeting-platform számára.
A felvásárlás lezárultát követően a Keybase fejlesztői a végpontok közötti titkosítás beépítésén dolgoznak majd a Zoom videochat szolgáltatásába - a vállalat már korábban is hasonló képességekkel hirdette termékét, azonban mint kiderült, kommunikációjában erősen félreértelmezte a fogalmat. A cég weboldalán, biztonsági white paperében és magában az alkalmazásban is azt állította, az online meetingek végpontok közötti titkosítással biztosíthatók, valójában azonban szó sem volt hasonló védelemről. Mint kiderült, a szolgáltatás TCP és UDP protokollokra támaszkodnak, előbbi a HTTPS felületekről ismerős TLS titkosítással, utóbbi pedig AES kulcsra építő védelemmel, amelyet ugyancsak TLS kapcsolaton keresztül kommunikál.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A kapcsolat tehát bár rendelkezik titkosítással, lényeges különbség az end-to-end megoldásokkal szemben, hogy maga a Zoom továbbra is hozzáférhet a videohívások anyagához. A Zoom szerint mikor end-to-end titkosításról beszélt, az alatt valójában a "Zoom végpontok" közötti titkosítást érti - és szervereit is ilyen végpontnak tekinti. Meglehetősen egyedi értelmezésről volt tehát szó, amely a felhasználókat garantáltan félrevezette. Jelenleg a Zoom egyetlen valódi end-to-end titkosítást élvező szolgáltatása a szöveges chat. A videohívásokhoz a cég továbbra is hozzáfér, illetve ennek megfelelően, például hatóság megkeresésre ki is tudja adni azok anyagát.
A későbbiekben ugyanakkor a vállalat a Keybase segítségével valódi end-to-end titkosítás bevezetését tervezi, legalábbis a fizetős fiókok számára. Arról a cég egyelőre nem beszélt, hogy a funkció érkezése tervei szerint mikorra várható, illetve egyelőre az sem dőlt el, mi lesz a Keybase létező termékeivel az ismeretlen összegű felvásárlást követően.