Amélioration de la sécurité et de la convivialité du protocole de chiffrement de bout en bout de Zoom

Pendant la pandémie mondiale de coronavirus, de nombreuses personnes ont travaillé, enseigné et appris à domicile et ont utilisé Zoom pour communiquer en face-à-face. Bien qu’il s’agisse d’une ressource principale pour l’interaction humaine virtuelle, des problèmes de sécurité back-end et des piratages de réunions subsistent.

Après un problème majeur dans les versions antérieures de Zoom sans prise en charge du cryptage de bout en bout, Zoom a fait des progrès significatifs en acquérant Keybase, une société de communication sécurisée, et en embauchant plusieurs chercheurs en sécurité et en cryptographie pour travailler sur un système sécurisé de bout en bout. fin du protocole de cryptage. Ils ont publié un livre blanc détaillant leur protocole, que Zoom déploiera bientôt sur leur blog.

L’Université de l’Alabama à Birmingham, Nitesh Saxena, Ph.D., professeur au département d’informatique du College of Arts and Sciences, a dirigé une équipe de chercheurs pour enquêter sur le protocole de cryptage de bout en bout de Zoom et a suggéré de modifier son code de sécurité de réunion. méthode de validation nécessaire pour vérifier les clés cryptographiques.

Dans la proposition, Saxena discute des problèmes fondamentaux de la validation du code de sécurité de réunion de Zoom et de sa vulnérabilité aux erreurs humaines.

«Si vous demandez aux utilisateurs de comparer manuellement les codes (comme le montre la figure 1), ils feront un mauvais travail ou peuvent souvent sauter complètement la tâche», a déclaré Saxena. « Ces erreurs humaines auront alors des conséquences négatives sur la sécurité et la convivialité de l’approche. »

L’approche de Saxena répond à ces préoccupations avec un nouveau modèle utilisant des codes de réunion qui peuvent être validés de manière plus fiable, améliorant considérablement la sécurité et la convivialité de la conception actuelle de Zoom.

Sa proposition exploite soigneusement les atouts des humains et des machines pour rendre la comparaison des codes de sécurité beaucoup plus robuste aux erreurs humaines ou au saut, et améliorera la sécurité du canal de signalisation.

«L’idée principale derrière notre approche, initialement proposée dans notre article publié à la conférence ACM sur la sécurité informatique et des communications en 2014, est d’automatiser le processus de comparaison de code en utilisant la technologie de transcription actuelle», a déclaré Saxena.

Cette approche (illustrée sur la figure 2) nécessite simplement que le responsable annonce le code de réunion MSC_L; mais maintenant, au lieu du participant humain, un algorithme de traitement du langage naturel ou de reconnaissance vocale s’exécutant sur la machine cliente du participant transcrira automatiquement le code parlé et effectuera la comparaison au nom du participant.

Saxena affirme que les résultats de leur enquête montrent qu’en utilisant la comparaison automatisée des codes de réunion, leur approche peut réduire considérablement les chances de faux positifs lors des attaques de canaux de signalisation à 0%, et réduire le nombre global de faux négatifs à environ 5%, bien inférieur à la conception traditionnelle.

Bien que Saxena et son équipe disposent d’un prototype efficace, des travaux d’ingénierie supplémentaires sont nécessaires pour l’optimiser, l’affiner et le tester davantage en vue du déploiement dans l’environnement spécifique de Zoom.

Saxena avertit également que Zoom ne doit pas utiliser de codes de réunion numériques, car ils sont facilement susceptibles de réorganiser les attaques – comme cela a été étudié dans d’autres travaux antérieurs connexes de Saxena, selon lesquels l’attaquant peut simplement copier la voix de l’utilisateur en prononçant les chiffres 0-9 d’une session précédente, puis réorganisez les extraits enregistrés pour créer tout code que l’attaquant souhaite compromettre une session future. Au lieu de cela, il recommande l’utilisation de mots phonétiquement distincts.

Le groupe de Saxena est conscient du fait que certains obstacles à la parole peuvent rendre difficile le bon fonctionnement de l’approche de transcription. La solution la plus simple pourrait être d’externaliser la tâche d’annonce du code du leader avec l’obstacle potentiel à un autre participant sans l’obstacle.

« Davantage de travail peut être mené pour concevoir des dictionnaires de mots spécifiques qui peuvent fonctionner avec certains obstacles connus de la parole lors de la transcription », a déclaré Saxena. Il a également noté que, bien que la proposition de Zoom mentionne la possibilité d’utiliser la transparence des certificats, cette approche n’est pas encore largement utilisée et ne peut pas détecter la présence d’attaques en temps réel.