https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

新聞

Zoom 推出 Zoom Phone 端到端加密、自帶金鑰與身分驗證

2021 / 09 / 16
編輯部
Zoom 推出 Zoom Phone 端到端加密、自帶金鑰與身分驗證
Zoom將端到點加密擴展至 Zoom Phone,並且同步開發兩項新技術:自帶金鑰(BYOK,Bring Your Own Key)以及身分驗證(Verified Identity)。

Zoom Phone 端到端加密

原本只能在 Zoom 會議 中使用的端到端加密服務將擴展至  Zoom Phone,Zoom 的用戶將可以在進行一對一通話時,選擇升級至端到端加密。
 
用戶在通話時可以點擊「更多」找到端到端加密的選項。啟用這個升級只需花費不到一秒的時間,就能為透過 Zoom 所撥打的電話增加一層額外的安全保障。除此之外,用戶也向彼此提供獨一無二的安全代碼驗證端到端加密的狀態。
 
自帶金鑰技術(BYOK,Bring Your Own Key)-獨立於端到端加密的產品,適合安全儲存大型檔案

Zoom 正在開發自帶金鑰技術,以讓有嚴格規範或資料落地(data residency)需求的客戶,能夠提供並管理自己的加密金鑰。
 
在自帶金鑰技術下,Zoom 與其客戶都有責任建立安全防護架構。使用自帶金鑰的客戶將擁有並管理 AWS 中的金鑰管理系統 (KMS,Key Management System),其中包含了 Zoom 無法造訪或查看的客戶主要金鑰 (CMK,Customer Master Key)。Zoom 將透過與客戶的 KMS 互動,獲得用於加密和解密的資料鍵,並在這些資料被寫入長期儲存前,對這些資訊進行加密和解密。除此之外,Zoom 並不會在長期資料儲存中存取純文字資料鍵。
 
自帶金鑰是一項獨立於端到端加密服務的技術,且並非為了串流影片等即時應用所設計。它適合運用在大型檔案的安全儲存上,例如錄影檔。
 
自帶金鑰在未來幾個月內將以客戶測試版的方式推出,將支援 Zoom 會議與 Zoom 網路研討會的錄影檔、Zoom Phone 的語音信箱與錄音檔,以及 Zoom Rooms 的行事曆。

身分驗證

隨著社交工程與釣魚式攻擊變得愈來愈複雜,個人資訊的保護比以往任何時候都顯得更加重要。身分驗證與證明可以協助用戶確認與會者的身分是否屬實。
 
身分驗證程序讓用戶可以更安全的進行涉及敏感資訊的討論、使用專業服務,並更重視個資保護。此功能運用了多因素身分驗證以降低風險,Zoom 可以透過組合不同的項目來審查用戶。

Zoom 將透過以下三種方式完成身分驗證:
  • 第一種方法是藉由用戶在組織中扮演的角色、憑據與使用的網路來辨別其身分;
  • ​第二種方法是透過與會者所使用的設備、驗證應用程式、代碼、生物識別技術與電子郵件信箱進行辨識;
  • 最後一種方法則是運用用戶本身已知的訊息,例如密碼、安全問題與個人資訊。
為了使身分驗證成為 Zoom 體驗中不可或缺的一環,Zoom 與 Okta 攜手合作,協助用戶在與會者加入會議時對其進行驗證。一旦與會者進入會議中,其姓名旁就會出現一個勾選標記。此標記可以和其他與會者共享他們經過驗證的個人資訊,包含姓名、電子郵件信箱以及公司所在的區域。如果基於某種原因,與會者的身分未經驗證或顯示的資訊不正確,會議主持人可以使用會議中的安全控制來刪除該與會者。

用戶明年將能透過 Okta 顯示經過驗證的個人資訊,這同時也是Zoom 身分驗證長期策略的開始。
 
目前 Zoom Phone 僅在特定地區上市,亞太區市場包含日本、新加坡、香港,澳洲和紐西蘭。