Meningkatkan keamanan dan kegunaan protokol enkripsi ujung ke ujung Zoom
Int

Meningkatkan keamanan dan kegunaan protokol enkripsi ujung ke ujung Zoom


Gambar 1: Metode Zoom untuk memverifikasi kunci kriptografi dari host panggilan. Karena bersifat manual, pendekatan ini rentan terhadap masalah keamanan dan kegunaan. Kredit: Universitas Alabama di Birmingham

Selama pandemi global virus corona, banyak orang telah bekerja, mengajar dan belajar dari rumah serta memanfaatkan Zoom sebagai cara untuk berkomunikasi tatap muka. Meskipun ini adalah sumber daya utama untuk interaksi manusia virtual, masih ada kekhawatiran untuk masalah keamanan back-end dan peretasan rapat.

Setelah masalah besar dalam versi Zoom sebelumnya tanpa dukungan untuk enkripsi ujung-ke-ujung, Zoom membuat kemajuan yang signifikan dengan mengakuisisi Keybase, sebuah perusahaan komunikasi yang aman, dan mempekerjakan beberapa peneliti keamanan dan kripto untuk bekerja pada ujung-ke- yang aman. mengakhiri protokol enkripsi. Mereka merilis buku putih yang merinci protokol mereka, yang akan segera diluncurkan Zoom per blog mereka.

Universitas Alabama di Birmingham Nitesh Saxena, Ph.D., profesor di Departemen Ilmu Komputer Fakultas Seni dan Sains, memimpin tim peneliti untuk menyelidiki protokol enkripsi ujung-ke-ujung Zoom dan menyarankan untuk mengubah kode keamanan pertemuannya metode validasi yang diperlukan untuk memverifikasi kunci kriptografi.

Dalam proposal tersebut, Saxena membahas masalah mendasar dengan validasi kode keamanan rapat Zoom dan kerentanannya terhadap kesalahan manusia.

“Jika Anda meminta pengguna untuk membandingkan kode secara manual (seperti yang ditunjukkan pada Gambar 1), mereka akan melakukan pekerjaan yang buruk atau mungkin sering melewatkan tugas sepenuhnya,” kata Saxena. “Kesalahan manusia ini kemudian akan memiliki konsekuensi negatif bagi keamanan dan kegunaan pendekatan tersebut.”

Pendekatan Saxena mengatasi masalah ini dengan model baru menggunakan kode rapat yang dapat divalidasi lebih andal, secara signifikan meningkatkan keamanan dan kegunaan desain Zoom saat ini.

Proposalnya dengan hati-hati memanfaatkan kekuatan manusia dan mesin untuk membuat perbandingan kode keamanan secara signifikan lebih kuat terhadap kesalahan manusia atau lompatan, dan akan meningkatkan keamanan saluran pensinyalan.

Penelitian: Meningkatkan keamanan dan kegunaan protokol enkripsi ujung-ke-ujung Zoom

Gambar 2: Metode Saxena untuk memverifikasi kunci kriptografi secara otomatis melalui transkripsi ucapan ke teks. Kredit: Universitas Alabama di Birmingham

“Ide utama di balik pendekatan kami, awalnya diusulkan dalam makalah kami yang diterbitkan pada Konferensi ACM tentang Keamanan Komputer dan Komunikasi pada tahun 2014, adalah untuk mengotomatiskan proses perbandingan kode dengan menggunakan teknologi transkripsi saat ini,” kata Saxena.

Pendekatan ini (diperlihatkan pada Gambar 2) hanya membutuhkan pemimpin untuk mengumumkan kode pertemuan MSC_L; tapi sekarang, alih-alih peserta manusia, Pemrosesan Bahasa Alami atau algoritme pengenalan ucapan yang berjalan di mesin klien peserta akan secara otomatis mentranskripsikan kode yang diucapkan dan melakukan perbandingan atas nama peserta.

Saxena mengatakan hasil penyelidikan mereka menunjukkan bahwa, dengan menggunakan perbandingan kode rapat otomatis, pendekatan mereka dapat secara drastis mengurangi kemungkinan positif palsu di bawah serangan saluran pensinyalan hingga 0 persen, dan mengurangi keseluruhan negatif palsu hingga sekitar 5 persen, jauh lebih rendah daripada desain tradisional.

Sementara Saxena dan timnya memiliki prototipe yang efektif, lebih banyak pekerjaan teknik diperlukan untuk mengoptimalkan, menyempurnakan, dan mengujinya lebih lanjut menuju penerapan di lingkungan spesifik Zoom.

Saxena juga memperingatkan bahwa Zoom tidak boleh menggunakan kode rapat numerik, karena mudah rentan terhadap serangan penyusunan ulang — seperti yang dipelajari dalam karya Saxena sebelumnya yang terkait, di mana penyerang dapat dengan mudah menyalin suara pengguna yang mengucapkan angka 0-9 dari sesi sebelumnya, lalu menyusun ulang cuplikan yang direkam untuk membuat kode apa pun yang ingin disusupi oleh penyerang untuk sesi mendatang. Sebaliknya, ia merekomendasikan penggunaan kata-kata yang berbeda secara fonetik.

Kelompok Saxena menyadari fakta bahwa gangguan bicara tertentu mungkin menyulitkan pendekatan transkripsi untuk bekerja dengan baik. Solusi termudah mungkin untuk melakukan outsourcing tugas mengumumkan kode dari pemimpin dengan potensi hambatan ke peserta lain tanpa halangan.

“Lebih banyak pekerjaan dapat dilakukan untuk merancang kamus kata-kata tertentu yang mungkin bekerja dengan hambatan bicara tertentu yang diketahui saat membuat transkrip,” kata Saxena. Dia juga mencatat bahwa, meskipun proposal Zoom menyebutkan kemungkinan menggunakan transparansi sertifikat, pendekatan ini belum digunakan secara luas dan tidak dapat benar-benar mendeteksi adanya serangan secara real time.


Zoom membeli perusahaan keamanan Keybase


Informasi lebih lanjut:
Rapat Validasi Kode Keamanan: github.com/zoom/zoom-e2e-white… -Code-Validation.pdf

Disediakan oleh University of Alabama di Birmingham

Kutipan: Meningkatkan keamanan dan kegunaan protokol enkripsi ujung-ke-ujung Zoom (2020, 27 Oktober) diambil pada 27 November 2020 dari https://techxplore.com/news/2020-10-usability-end-to-end-encryption- protocol.html

Dokumen ini memiliki hak cipta. Selain dari transaksi yang adil untuk tujuan studi atau penelitian pribadi, tidak ada bagian yang boleh direproduksi tanpa izin tertulis. Konten disediakan untuk tujuan informasi saja.


Halaman Ini Di Persembahkan Oleh : Bandar Togel