Uno dei software che ha conquistato più popolarità, da quando il Covid-19 ha costretto milioni di persone a comunicare solo a distanza, è Zoom. Era semi sconosciuto prima della pandemia oggi è su milioni di smartphone, di tablet, di computer. La crescita esponenziale ha però fatto emergere molti problemi, uno dei più sentiti è quello delle privacy.
Finalmente si corre ai ripari: Zoom ha ufficialmente iniziato a distribuire il supporto per la crittografia end-to-end. In un comunicato stampa Zoom afferma che la funzione è disponibile, come anteprima tecnica, sia per gli utenti gratuiti che per quelli paganti e che la fase 2 del lancio di E2EE avverrà nel 2021.
Indice
La crittografia end-to-end
La crittografia end-to-end (E2EE) è un particolare protocollo di trasmissione bastato su chiavi cifrate che rende sicure le comunicazioni tramite internet. Lo stesso protocollo utilizzato da WhatsApp.
End-to-end significa da un estremo all’altro, con questo sistema si evita che persone o sistemi possano intromettersi nelle comunicazioni per spiarle. Una comunicazione via internet passa attraverso molti computer e nodi intermediari.
Con il protocollo end-to-end gli intermediari non possono conoscere la chiave cifrata per decodificare le comunicazioni. Le comunicazioni sono quindi in chiaro solo alle due estremità del canale di comunicazione: sui dispositivi degli utenti.
Il successo di Zoom
Zoom è un software multi-piattaforma, questo vuol dire che può essere usato indifferentemente su Personal Computer, Tablet, Smatphone. Può essere utilizzato anche via browser, in questo modo è possibile usare Zoom anche senza scaricare e installare il programma o la app.
Quest’ultima caratteristica apre anche alla possibilità di usare Zoom su Smart TV, Console Giochi e altri dispositivi dotati di webcam e microfono.
Zoom inoltre è molto facile da usare ed è anche gratuito per scopi non professionali. Tutte queste cose insieme, combinate con la pandemia di coronavirus, hanno contribuito al grande successo di Zoom.
Il rovescio della medaglia, lo zoombombing
La repentina crescita degli utenti però ha colto di sorpresa Zoom. I problemi che apparivano trascurabili quando il servizio non era noto, sono venuti a galla quando Zoom è diventata famosa. Ci è voluto poco tempo perché i pirati informatici trovassero sistemi per attaccare le comunicazioni. Il più famoso di questi è lo Zoombombing.
Lo Zoombombing è un’intrusione indesiderata e dirompente in una chiamata in videoconferenza. Di solito l’intrusione consiste nell’inserimento di materiale di natura oscena, razzista, omofobica o antisemita, visibile a tutti i partecipanti alla video conferenza.
Come è facile capire il termine viene proprio dal nome del software, ma episodi di Zoombombing avvengono anche su altre piattaforme. Questo è un problema serio che mina la credibilità di Zoom che quindi è corsa ai ripari con la crittografia end-to-end.
End-to-end per tutti
C’era stato un po’ di malumore a maggio, quando Zoom aveva annunciato l’intenzione di aggiungere il supporto per la crittografia end-to-end ma solo per gli utenti che hanno pagato per la versione premium del servizio.
Dopo due settimane di critiche, Zoom ha fatto marcia indietro e ha annunciato che avrebbe reso E2EE disponibile anche agli utenti gratuiti, oltre che a quelli paganti.
Zoom ha anche comunicato il funzionamento del sistema di crittografia. Con E2EE abilitato, il software dell’organizzatore della riunione (l’ospite), genera chiavi di crittografia e utilizza la crittografia a chiave pubblica per distribuire queste chiavi ai software degli altri partecipanti alla riunione.
I server di Zoom quindi sono non vedono mai le chiavi di crittografia necessarie per decrittografare i contenuti della riunione. Per impostazione predefinita, le comunicazioni di Zoom utilizzano la crittografia GCM AES a 256 bit per la condivisione di audio, video e applicazioni.
Quando E2EE è abilitato invece, nessuno, tranne i partecipanti alla riunione, ha accesso alle chiavi di crittografia utilizzate per proteggere la riunione, nemmeno i server Zoom.
L’abilitazione di E2EE ha qualche controindicazione, disabilita alcune funzionalità della riunione:
- partecipazione prima dell’ospite
- registrazione su cloud
- streaming
- trascrizione live
- sale riunioni
- sondaggi
- chat privata 1:1
- reazioni alla riunione
la sicurezza quindi ha un suo costo in termini di funzionalità.
Scrivo articoli e guide per aiutare le persone a superare gli ostacoli che sorgono nell’uso di tecnologie digitali, nuovi media, social network.
Lascia un commento