Cyerthreat.id - Setelah mendapat kritikan karena mengatakan hanya akan menerapkan perlindungan konferensi untuk versi berbayar, Zoom akhirnya mengumumkan meluncurkan enkripsi ujung ke ujung untuk semua koferensi video di semua layanan pada perangkat seluler dan desktop. Ini artinya, Zoom sekali pun tidak bisa mengintip isi pertemuan.

Diumumkan pada hari Senin (26 Oktober 2020), Zoom mengatakan enkripsi seperti yang diterapkan WhatsApp akan segera tersedia utuk pengguna di Windows, macOS, dan Android. Versi iOS dari aplikasi Zoom masih menunggu persetujuan dari tinjauan App Store Apple. Ini sedang diluncurkan sebagai "pratinjau teknis" selama 30 hari, yang bertujuan untuk mengumpulkan masukan dari pelanggan.

Untuk versi desktop, yang mendukung enkripsi adalah Zoom versi 5.4.0.

Zoom menghasilkan kunci enkripsi individu yang digunakan untuk mengenkripsi panggilan suara dan video antara peserta konferensi. Kunci disimpan di perangkat pengguna dan tidak dibagikan dengan server Zoom. Itu artiya, perusahaan tidak dapat mengakses atau mencegat konten rapat.

Zoom's E2EE menggunakan enkripsi AES 256-bit dalam Galois / Counter Mode (GCM) untuk melindungi rapat online, kata perusahaan itu dalam sebuah pernyataan.

"Ini telah menjadi fitur yang sangat diminta dari pelanggan kami, dan kami sangat senang dapat mewujudkannya," kata Zoom CISO Jason Lee seperti dilansir ZDnet, Selasa (27 Oktober 2020).

"Kudos kepada tim enkripsi kami yang bergabung dengan kami dari Keybase pada bulan Mei dan mengembangkan fitur keamanan yang mengesankan ini hanya dalam enam bulan," tambahnya.

Zoom menarik Lee untuk bergbung pada bulan Juni lalu. Sebelumnya, ia adalah senior bidang keamanan siber di Salesforce, di mana dia mengawasi infrastruktur TI, respons insiden, intel ancaman, manajemen identitas dan akses, dan keamanan ofensif. Sebelumnya ia bekerja di Microsoft sebagai direktur utama teknik keamanan untuk divisi Windows dan Perangkat.

Zoom mengakuisisi perusahaan enkripsi Keybase pada Mei setelah dikritik karena mengklaim menggunakan enkripsi AES-256 untuk mengamankan panggilan video, namun sebenarnya sebenarnya menggunakan kunci AES-128 "di bawah standar" dalam mode Buku Kode Elektronik (ECB).

"Dalam rapat biasa, server rapat cloud Zoom menghasilkan kunci enkripsi untuk setiap rapat dan mendistribusikannya ke peserta rapat menggunakan klien Zoom saat mereka bergabung. Dengan enkripsi ujung ke ujung baru Zoom, penyelenggara rapat menghasilkan kunci enkripsi dan menggunakan kriptografi kunci publik untuk mendistribusikan kunci ini ke peserta rapat lainnya," Zoom menjelaskan.

"Server Zoom menjadi relai yang tidak sadar dan tidak pernah melihat kunci enkripsi yang diperlukan untuk mendekripsi konten rapat. Data terenkripsi yang disampaikan melalui server Zoom tidak dapat diuraikan oleh Zoom, karena server Zoom tidak memiliki kunci dekripsi yang diperlukan."

Zoom mencatat bahwa admin akun perusahaan dapat mengaktifkan enkripsi di antarmuka web pada tingkat akun, grup, dan pengguna. Selain itu, setelah enkripsi diaktifkan, tuan rumah dapat mengaktifkan atau menonaktifkannya untuk rapat tertentu.

Namun, fase pertama peluncuran Zoom tidak memiliki dukungan untuk enkripsi di browser. Peserta rapat harus bergabung dari klien desktop Zoom, aplikasi seluler, atau Ruang Zoom untuk rapat yang mendukung enkripsi, menurut Zoom.[]