改善Zoom的端到端加密协议的安全性和可用性

在全球大流行期间，许多人一直在家工作，教与学，并利用Zoom作为进行面对面交流的方式。尽管这是虚拟人机交互的主要资源，但仍然存在后端安全性问题和遇到黑客的问题。

在不支持端到端加密的Zoom早期版本中遇到重烦之后，Zoom通过收购安全通信公司Keybase并聘请了数名安全和加密研究人员从事安全的端到端工作而取得了长足的进步。终端加密协议。他们发布了详细说明其协议的白皮书，Zoom很快将在其博客中发布。

阿拉巴马大学伯明翰分校的Nitesh Saxena博士，艺术与科学学院计算机科学系教授，率领一组研究人员研究了Zoom的端到端加密协议，并建议更改其会议安全代码验证密码密钥所必需的验证方法。

在提案中，Saxena讨论了Zoom满足会议安全代码验证的基本问题及其对人为错误的敏感性。

“如果您要求用户手动比较代码(如图1所示)，他们会做得很差，或者可能经常完全跳过任务，” Saxena说。“这些人为错误将对该方法的安全性和可用性产生负面影响。”

Saxena的方法通过使用会议代码的新模型解决了这些问题，会议代码可以更可靠地进行验证，从而大大提高了Zoom当前设计的安全性和可用性。

他的建议仔细利用了人和机器的优势，使安全代码比较对人为错误或跳过的鲁棒性更强，并且将改善信令通道的安全性。

图2：Saxena通过语音到文本转录自动验证密码密钥的方法。图片来源：阿拉巴马大学伯明翰分校

萨克森纳说：“我们的方法背后的主要思想最初是在2014年ACM计算机和通信安全会议上发表的论文中提出的，目的是通过使用当前的转录技术使代码比较过程自动化。”

这种方法(如图2所示)仅要求主持人宣布会议代码MSC_L;但是现在，代替人工参与者，在参与者客户端计算机上运行的自然语言处理或语音识别算法将自动转录语音代码，并代表参与者执行比较。

萨克森纳(Saxena)说，他们的调查结果表明，通过使用自动会议代码比较，他们的方法可以将信令信道攻击下的误报率大大降低到0%，并将总的误报率降低到5%左右，远低于传统设计。

尽管Saxena及其团队拥有有效的原型，但仍需要进行更多的工程工作才能针对Zoom的特定环境中的部署进行优化，优化和进一步测试。

萨克森纳(Saxena)还警告说Zoom不应该使用数字会议代码，因为它们很容易受到重新排序攻击的影响-正如萨克森纳(Saxena)其他相关的先前工作所研究的那样，攻击者可以简单地复制用户的语音，说出前一会话中的数字0-9，然后重新排序记录的代码片段，以创建攻击者想要破坏以后会话的任何代码。相反，他建议使用语音上不同的单词。

萨克森纳(Saxena)的小组意识到某些语音障碍可能会使转录方法难以正常工作这一事实。最简单的解决方案可能是将具有潜在障碍的领导者宣布代码的任务外包给没有障碍的另一参与者。

萨克森纳说：“可以做更多的工作来设计在转录时可能会遇到某些已知语音障碍的特定单词词典。” 他还指出，尽管Zoom的提议提到了使用证书透明性的可能性，但是这种方法尚未广泛使用，并且它实际上不能实时检测到任何攻击的存在。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！