Поскольку мы продолжаем реализацию 90-дневного плана по укреплению безопасности и конфиденциальности нашей платформы, вебинар «Спросите Эрика» на этой неделе был посвящен последним обновлениям безопасности продуктов, в том числе успешному развертыванию Zoom версии 5.0 и шифрованию GCM для обмена контентом в режиме реального времени для всех бесплатных и платных учетных записей Zoom.

В ходе сеанса на этой неделе к генеральному директору компании Zoom Эрику С. Юаню присоединились Одед Галь, директор по продукции компании Zoom. К сеансу вопросов и ответов присоединились технический директор Zoom Брендан Иттелсон; Лея Кисснер, бывший руководитель международного отдела технологий конфиденциальности компании Google, выступающая консультантом компании Zoom в области конфиденциальности и шифрования; Макс Крон, руководитель отдела инженерных разработок в области безопасности компании Zoom; и Линн Холланд, заместитель генерального юрисконсульта, директор по надзору за нормативно-правовым соответствием и вопросам этики компании Zoom.

Обзор платформы Zoom с прошлого месяца:

Обновления с прошлой недели и предстоящие планы на следующие несколько недель:

Ключевые выводы сеанса на этой неделе

В Zoom теперь работает шифрование GCM

Важнейшее изменение, внедренное нами на сегодняшний день, — Zoom версии 5.0 с поддержкой 256-разрядного шифрования AES GCM для обмена контентом в режиме реального времени. Этот алгоритм является одним из самых безопасных современных стандартов шифрования. Активация шифрования для всех учетных записей произошла 30 мая, и теперь оно доступно любым пользователям — как платным, так и бесплатным.

Проект сквозного шифрования

Мы продолжаем реализацию этапов проекта сквозного шифрования. 22 мая мы опубликовали функциональный проект в GitHub и в настоящее время проводим обсуждения с привлечением экспертов в области криптографии, некоммерческих организаций, инициативных групп, клиентов и прочих лиц, чтобы получить более подробную информацию и обратную связь, которые впоследствии будут реализованы в итоговом проекте. После оценки этой обратной связи для интеграции в окончательный план мы объявим о наших технических этапах и целях развертывания сквозного шифрования для пользователей Zoom.

Вопросы и ответы

Вот некоторые из вопросов, которые участники вебинара задали в прямом эфире на этой неделе (вместе с обобщенными ответами):

Почему мы добавляем возможность управления виртуальными фонами для владельцев/администраторов?

Администраторы учетных записей просили дать им более детальный контроль над материалами, которые пользователи выгружают в качестве виртуальных фонов, поэтому мы работаем над возможностью, которая позволит администраторам загружать набор предварительно одобренных фонов.

Планируется ли добавление многофакторной аутентификации (MFA)?

Большая часть корпоративных клиентов использует MFA в той или иной форме при работе с Zoom, например, с помощью поставщиков системы единого входа (SSO), таких как Okta и OneLogin. В будущем мы планируем добавить возможность использования MFA для пользователей бесплатной и профессиональной версий.

Что вы можете порекомендовать организаторам крупных публичных конференций?

Мы рекомендуем использовать вебинары, так как они позволяют более детально управлять пользователями с правом голоса и доступа на мероприятие. Подробнее в статье службы поддержки «Сравнение конференций и вебинаров». Если вы хотите организовать конференцию, в которой все участники могут передавать видео и звук, рекомендуем включить регистрацию на участие в конференции, активировать парольную защиту и зал ожидания и разрешить только организатору и соорганизаторам демонстрировать содержимое экрана.

Повлияет ли Zoom 5.0 на процесс входа в конференцию участников, не имеющих учетной записи Zoom?

Для входа в конференцию по приглашению учетная запись Zoom не требуется. В Zoom версии 5.0 или более поздней версии любой пользователь может присоединиться к конференции Zoom, не имея учетной записи Zoom. Если у вас уже есть учетная запись, и вы используете более раннюю версию Zoom (выпущенную до выхода версии 5.0), вам будет предложено обносить клиент перед входом в конференцию.

Использует ли решение вебинаров шифрование GCM?

Да, наши решения для проведения конференций и вебинаров используют одинаковое 256-разрядное шифрование AES GCM.

Каковы ваши ожидания от последних 30 дней 90-дневного плана?

Мы продолжим укреплять безопасность и конфиденциальность сообщества Zoom и будем придерживаться этой позиции в будущем. Некоторые из наших краткосрочных целей — использовать обратную связь при построении системы сквозного шифрования, дополнительные усовершенствования парольной защиты, более масштабное обновление пользовательского интерфейса и дальнейшая реализация мер по предотвращению посторонних вмешательств в конференции.

Что произойдет после завершения 90-дневного плана по укреплению безопасности?

Завершение 90-дневного плана не означает, что мы прекратим работать над укреплением безопасности/конфиденциальности платформы. Это далеко не так. Конфиденциальность и безопасность пользователей будет нашим приоритетом и в дальнейшем, при этом Zoom продолжит разработку самого безопасного и безотказного видеокоммуникационного решения для наших клиентов.

Благодарим за поддержку

Благодарим за участие в сегодняшнем сеансе «Вопросов и ответов», и спасибо всем, кто отправлял нам свои вопросы! Мы очень ценим вашу поддержку и стремимся сделать Zoom самой безопасной в мире корпоративной коммуникационной платформой.

Если вы пропустили сеанс на этой неделе, вы можете посмотреть запись здесь:

Чтобы оставить отзыв или задать вопрос компании Zoom, отправьте электронное письмо на адрес [email protected]. И обязательно подпишитесь на вебинар «Спросите Эрика» на следующей неделе.

Скачать эту статью в формате PDF