针对多伦多大学 Citizen Lab 提出的呼叫密钥生成地问题,云视频会议服务提供商 Zoom 已在今日的博客文章中给出了回应网站备案视频会议服务器。视频会议服务器,Zoom云视频会议可以指定走哪个区域的数据中心么该公司宣布,从 4 月 18 日起,Zoom 将允许付费用户指定选择通过哪个数据中心来传输数据。尽管无法退出默认区域,但付费客户能够选择加入或退出特定区域的数据中心。【资料图,来自:Zoom】目前 Zoom有包括澳大利亚、加拿大、中国 / 中国香港、欧洲、印度、日本、拉美、美国等在内的多个区域数据中心。尽管境外的任何用户都不会将数据路由到中国,但 Zoom 免费套餐用户无法更改其默认的数据中心区域。换言之,若企业客户的免费套餐用户不在国内,就不会经由该区域的数据中心来传输数据。根据 Citizen Lab 在 4 月 3 日发布的报告,Zoom 的加密方案中,有时会调用国内服务器生成的密钥。不过 Zoom 首席执行官 Eric Yuan 表示,COVID-19 大流行期间,该公司服务器急需扩容,以满足客户的巨大需求。受此影响,Zoom 未能贯彻地理围栏的最佳实践,某些会议可能会被允许连接到国内的系统,不过该公司已及时纠正了这种非预期的行为。Eric Yuan 在 4 月 1 日的博客文章中宣布,Zoom 将实施为期 90 天的功能冻结,以专注于解决隐私和安全方面的问题。此外由于这段时间在家工作学习的用户数量激增,Zoom 日活用户数量已从 12 月份的 1000 万、猛增到了 3 月份的 2 亿。任何系统都没有绝对的安全,绝对的安全意味着绝对的不可用!信息系统的安全性要求一般与系统最终的应用场景、用户安全要求相关。成熟的企业级信息系统,一般都通过了安全相关的合规认证,比如SOC和ISO等。与Zoom和Google Meet等视频会议系统其安全性可以满足一般企业级应用需要。但是Google作为整体解决方案服务商,借助其强大的基础设施和安全能力,在安全性上相对更好。远程办公大受欢迎2020年最受关注的事件莫过于爆发于春节期间的疫情了吧?这次突如其来的疫情不仅影响了人们的健康、生活,也改变的人们的工作方式,受疫情影响,在家办公成为热潮,据统计,复工后居家办公的人员超过60%,其中50%有采用电话会议、视频会议系统等远程办公工具的经历,相关平台火爆异常,甚至一度瘫痪,各种远程办公工具给人们的工作带来极大的便利。 众多视频会议系统而视频会议系统是远程办公工具集的核心!视频会议是通过一组ICT技术进行的视频会议,该技术允许两个或多个位置通过同时进行的双向视频和音频传输进行通信。它也被称为“视觉协作”。视频会议与视频电话呼叫的不同之处在于,视频会议旨在为会议或多个地点(而非个人)提供服务。视频会议系统首先在1930年代的德国开展商业使用,后来在70年代初在美国兴起。随着通信技术的发展,引入了相对低成本,高容量的带宽,再加上功能强大的计算处理器和视频压缩技术,视频会议在商业,教育,医学和媒体领域取得了重大进展。视频会议系统众多,从传统的思科、宝利通到随着移动互联网兴起的Google Meet、Microsoft Teams、Skype、WebEx,GoToMeeting、Duo、Messenger,国内比较著名的也有微信、钉钉和飞书等。从功能的角度讲这些视频会议系统都有各自优点和缺点,这取决于各个公司对产品的不同理解,根据其最终商业模式和目的制定不同的产品规格。疫情期间与之相关的企业得到了爆发式的增长,国内的钉钉和微信这期间的用户得到了激增。而国外的类似产品也有很多,其中常上头条的就是Zoom,先看看这个期间它的增长,12月份Zoom的每日日活用户约为1000万,到三月份这个数字增长到了2亿,4月这个数据达到了3亿。鉴于Google Meet和Zoom是目前国外两个热度最高的视频电话会议系统,下面就对Google Meet做比对。Zoom 与Google Meet的相遇Zoom和Google Meet主要是针对企业级用户的视频工具,两者都占有较大的市场用户份额。Zoom和Google Meet的基本功能是相通的,允许一对一和小组会议。它们具有许多功能,包括通过链接或电话加入会议的功能。会议可以在PC和移动设备上参加,两种服务都提供Android和iOS版本。此外,这两个服务还支持屏幕共享(这是网络研讨会和会议的必备工具)和即时消息传递(IM功能)。每个用户都可以将消息发送到会议组频道,以供所有人查看,非常适合在会议期间信息交流和文件共享。Zoom:Zoom Video Communications,Inc.是一家美国通信技术公司,总部位于加利福尼亚州圣何塞,创始人是有着中国背景的Eric Yuan(Webex→Cisco→Zoom)。Zoom快速增长背后的原因:l 易用性:用户体验极佳,颇受用户喜爱;l 营销:大力营销其品牌(2016年成为NBA勇士队赞助商)。Google Meet:原名Hangouts Meet,是Google专门为高清视频会议设计的视频会议系统,该服务是Google旗下商务服务G Suite的最新产品。近日,Google宣布,其Google Meet视频服务向公众免费提供(最多支持100人同时参会)。当然这免不了被用户吐槽一番。 功能方面这两家各有千秋,但是作为企业级视频会议系统,安全是其核心要素,加密是基本选项,如何保障用户隐私和数据安全是重中之重。当下诸多的视频会议系统中,多宣称提供了诸如多因子身份认证、权限管理和E2E(端到端)的加密能力。Zoom的安全性近期被质疑——正在整改一向宣称安全的Zoom视频会议系统,最近在安全性和隐私问题上受到了沉重打击,现在正在努力解决这些问题。(1)该公司在实施端到端加密方面误导了用户,Zoom自称是基于AES-256算法进行端到端加密,但实际上Zoom使用了它自己的术语定义。它用于保护会议的加密是TLS,这与端到端加密不同,因为Zoom服务本身可以访问Zoom会议的未加密视频和音频内容。而且多伦多大学研究人员发现Zoom实际上用的是更弱的AES-128算法,并且由于采用了ECB模式,导致且其反篡改机制很容易被修改和攻击,而Zoom实际上采用的是端到中心的加密。 (2)根据报道当iOS用户安装并启用Zoom之后,程序会通过Facebook的Graph API 将数据进行私自分享,引起了用户隐私安全问题的关注,上报用户设备的详细信息(例如型号,所连接的时区和城市,所使用的电信运营商以及由用户设备创建的唯一广告客户标识符)。(3)Zoom的会话密钥由其核心服务器产生,部分密钥生成服务是由部署在中国的服务器群提供,因此存在将其数据路由到中国的可能性。(4)Zoom炸弹,是一种在线骚扰,涉及到随机参加与会者参加Zoom会议的人们,经常用令人反感的内容轰炸与会者,入侵者能够通过暴力破解的方式,访问没有密码保护的视频会议。这导致了严重的隐私问题,例如,不请自来的与会者骚扰了在线商务会议,“轰炸”已成为不受欢迎的现象。 其他的还有屏幕共享功能漏洞、UNC安全问题、参与者IP地址泄露等等。当然还有其他分技术因素,比如:Zoom的老板是华人;开发团队主要在苏州等政治因素。面对诸多的安全隐患、系统漏洞和一系列的隐私问题,Zoom宣布了为期90天的冻结期,并承诺一定整改。Zoom CEO 袁征(Eric S. Yuan)说:“在接下来的90天里,我们致力于投入必要的资源来更好地识别、处理和主动解决问题”,同时还表示:“我们还致力于在整个过程中保持透明。”Google通过强调视频通话的隐私和安全控制,将与Zoom的竞争推向新的高度在视频会议方面,Google似乎从Zoom的隐私中发现了一两件事。这家搜索巨头列出了Meet所采用的安全性和隐私保护措施,似乎与竞争对手Zoom形成了鲜明对比,Google表示,将在未来几周内推出的Google Meet,默认情况下已启用了多项安全措施,用户完全不必担心会遇到Zoom面临的问题。(1)享用Google的安全基础Google Meet享用与Google同样的用于保护信息和隐私的安全基础设施,具有Google全球的安全防护措施和网络安全标准。当用户开始使用Google Meet时,默认情况下会启用这些措施。(2)Google Meet中的隐私保护还记得Google Cloud的广告词么?Google Cloud客户拥有自己的数据,而不是Google。客户放入我们系统中的数据是他们的,我们不会扫描它们是否有广告,也不会出售给第三方。Google Meet支持与其他Google Cloud企业服务相同的强大的隐私权承诺和数据保护。用户的所有数据都是机密的。Google对其Cloud服务(包括Meet)进行定期的严格安全和隐私审核。(3)数据安全谷歌表示,其通过Meet进行的视频会议在传输过程中以及存储在Google云端硬盘中时都经过加密。(4)数据加密在Google Meet中,在客户端和Google之间进行的视频会议,Android和iOS应用程序以及带有Google会议室硬件的会议室中的视频会议时,所有数据在传输过程中都是经过加密的,每个视频会议和每个参加会议的人都有一个唯一的加密密钥,密钥存储在Google的服务器中。符合针对数据报传输层安全性(DTLS)和安全实时传输协议(SRTP)的IETF安全标准。对于每个人和每次会议,Meet都会生成一个唯一的加密密钥,该密钥仅在会议中存在,并且永远不会存储到磁盘,并且在会议设置过程中以加密且安全的RPC(远程过程调用)进行传输。尽管它确实对视频群聊对话进行加密,但它不使用端到端加密——而是对消息进行“传输”加密。 在这里说一下:Zoom的端端加密和Google的传输加密。使用即时通讯和视频会议类应用时,隐私和数据是最重要的,下面就简述一下加密的工作原理以及它如何保护有价值的数据: 通过端到端加密,用户的消息全程都是密文,无明点,数据也不会“落地”,只有发送方和接收方才可以获得明文;而传输加密,是典型的端到中心加密,在服务器端解密后,在加密,所以理论上服务器上会“知道”用户使用的所有数据。(5)会议中的防入侵措施为了防止Zoom炸弹的情况发生,Google采取了多种反入侵措施,以确保视频会议不受不必要的客人的影响。这些措施包括针对网络视频会议和电话拨入的反劫持措施,使得有恶意的外部人员几乎不可能以编程方式破解视频会议的ID。 (6)安全,合规符合Google Meet 的安全性、隐私性获得了认证,符合多项全球标准的审核。 写在最后视频会议系统面临最大的挑战是隐私保护和数据加密,(非技术因素不在考虑范围内)。针对视频会议系统的争议多在用户隐私保护问题。并非是Zoom是第一家,而是在此之前业界就已经先后爆出其它的视频系统也存在类似隐私问题,目前看“虽然不同平台的隐私政策之间存在差异,但总的来说,差异并不大”。Zoom正在解决中相信在问题曝光,相关Bug整改完毕后应用能得到缓解。数据加密方面,Zoom和Google Meet都是使用的传输加密(虽然Zoom宣称是端到端),但是使用AES 128密钥长度和ECB模式确实不应该(这相当于没有加密)。但是Google Meet与Zoom相比最大的安全优势在于,Google Meet融入了Google G Suite中,作为Google提供的一项基础服务,享用Google 分层安全基础设施的设计要求和安全功能,而这已经被证实是安全可靠的。符合用户需求的才是好的,关注安全问题本身没有错误,但是要建立一个前提,那就是安全需求是什么?要达到什么标准?只有这样,讨论安全才有意义。以上是我的浅薄之见,欢迎指正,谢谢!