Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Zoom is begonnen met aanbieden eind-tot-eindversleuteling

Videobelplatform Zoom is begonnen met het aanbieden van eind-tot-eindversleuteling in zijn dienst. De versleuteling is beschikbaar voor gebruikers van de betaalde en de gratis versie van Zoom. De release was al aangekondigd.

Zoom biedt de functie wereldwijd aan, zegt het bedrijf. Gebruikers kunnen checken of de versleuteling werkt, doordat de software een cijfercode bij iedereen op het scherm zet om dat te verifiëren. Als die sleutel afwijkt, klopt er iets niet. Als de meeting op de nieuwe manier is versleuteld, zet de software een logo met een groen schild in beeld. Met de versleuteling aan kan Zoom de meeting niet opnemen.

De versleuteling werkt doordat de apparaten van gebruikers de sleutel aanmaken en daardoor kan Zoom op de eigen servers de data niet ontsleutelen. Bij normale versleuteling komen de sleutels van servers van Zoom.

Deze stap van Zoom past in het streven van de videobeldienst om de beveiliging en de privacy te verbeteren. Het bedrijf had eerder te maken met nogal wat beveiligingslekken, waarna er nieuwe beveiligingsfuncties werden aangekondigd. Het bedrijf kreeg in de zomer nog kritiek op het feit dat het in eerste instantie alleen eind-tot-eindversleuteling aanbood aan betalende klanten, maar twee weken later besloot Zoom dit ook beschikbaar te stellen aan gebruikers die niet voor de dienst betalen.

Door Arnoud Wokke

Redacteur mobile

27-10-2020 • 13:11

33 Linkedin

Reacties (33)

Wijzig sortering
Voelt toch een beetje alsof de Tesla Model 3 na 2 jaar een autogordel krijgt nageleverd :+
Je ziet dit soort opmerkingen vaak onder Zoom artikelen, maar er wordt altijd gedaan alsof end-to-end encryptie al jaren de standaard is in videobellen, feit is gewoon: Dat is het absoluut niet.

Kijk even naar de alternatieven:
Microsoft Teams, ondersteunt geen end-to-end encryptie
Google Meet, je raad het al, geen end-to-end encryptie.

De grote spelers ondersteunen het vrijwel niet voor video's, dus doen alsof het al jaren standaard is is ook heel erg misleidend. Het past in het Tweakers sentiment om Zoom negatief in het licht te zetten waar dat kan, maar is gebaseerd op totaal niks. End-to-end video encryptie is een totaal ander beestje dan tekst encryptie. Het is er wel (bijvoorbeeld Signal, al is dat ook alleen voor 2 gebruikers, in een groeps call is ook Signal niet End-to-End encrypte), maar zeker niet de standaard zoals jij suggereert.
Zoom heeft jarenlang beweerd end-to-end versleuteld te zijn, "want het is versleuteld van jou naar ons en van ons naar de andere persoon". Daarbij kan ik letterlijk een overzicht posten dat ik maanden geleden heb gemaakt van alle grove en minder grove schandalen van Zoom privacy & security dat te lang is voor dit berichtvak. Zoom verdient alle scrutiny vijfhonderd keer dubbel en dwars en voor eeuwig. Nu ze niet meer focussen op absolute groei ten koste van veiligheid komen ze pas met backdoors weghalen, bugfixes en security features (of ze nou logen dat ze die hadden of nog niet hadden).
+1Anoniem: 1463186
@Blizz27 oktober 2020 15:11
Dat ze het claimen en niet zo is, daar kan ik inkomen inderdaad. Maar dat neemt niet weg van het feit dat de reactie waar ik op reageer uit gaat van iets wat gewoon niet zo is. Dat staat los van wat Zoom zegt, E2E is gewoon niet de standaard en doen alsof dat wel zo is is misleidend.

Ik zeg ook niet dat er geen issues waren of zijn, maar wat hier gebeurt is het tegenovergestelde, namelijk doodstaren op het verleden. Want iedereen vergeet even dat Zoom gigantisch is gegroeid de afgelopen tijd. Dus verdienen ze de aandacht, daar kun je wat over zeggen. Maar dat doet niks af aan het feit dat claimen dat E2E encryptie de standaard is gewoon fout is. Als dit onder een artikel over Signal stond was het ook fout, maar dan zou je worden verguisd want kom niet aan het heilige Signal. Je ziet dat meningen over software hier tot de extremen doordringen in de reacties, en de reactie is feitelijk onjuist.
Je vergeet wel Cisco Webex te vermelden (samen met Microsoft en Zoom aanzien als leader in magic quadrant). Deze biedt ook E2E aan:
https://help.webex.com/en...-End-to-End-Encryption-Do
Vergeet ook vooral niet de veel gebruikte GoToMeeting zie ook Secure White Paper en meer info ook Mozilla product review van GoToMeeting of dit artikel 'Stop! Using Online Collaboration Tools Until You Read This' uit april '20 ook is dit artikel 'Secure video conferencing software: how to ensure your privacy' uit mei '20 ook echt een goed overzicht qua beveiliging van de diverse diensten.
Alleen jammer dat het zo'n brakke applicatie is
Hier doe je de klachten over gebrek aan E2E mogelijkheid mee te kort. Als beveiliging verwachten vooral zou afhangen van wat de concurrent doet dan is het doel niet beveiligen. Zeker niet door naar een select groepje te kijken omdat dat beter uur komt om een stelling in te nemen.
Redelijkheid in verwachting zit in de noodzaak van klanten om een middel veilig te kunnen gebruiken. In een auto mag je dan een gordel en airbag verwachten, waarom dan niet E2E bij zoom of een andere aanbieder. Die reden kan kosten zijn maar dat geven ze niet op. Sterker nog, zoom beweerde dat er E2E encryptie was maar dat bleek halve waarheid en meer reclame dan veiligheid. Een bedrijf dat de term E2E zelf al gebruikt alsof het te verwachten is maakt de meer standaard verwachting dus redelijker, niet minder redelijk.
+2Anoniem: 1463186
@kodak27 oktober 2020 15:49
Dat zeg ik niet, maar E2E vergelijken met een gordel in een auto suggereert dat het de standaard is. Dat is waar ik op reageer, het is de standaard niet. Goed dat er mensen zijn die hier op zitten, en dat er alternatieven zijn die het wel doen, maar dat maakt het niet hetzelfde als een gordel.

Wat je in redelijkheid kan verwachten is dan ook per persoon verschillend, en nogmaals is doen alsof het een gordel of een airbag is suggereren dat het de standaard is. Je kunt wat vinden over dat het niet de standaard is, maar de opmerking dat het de standaard is is pertinent fout. Ook als je Zoom haat en snachts schreeuwend wakker wordt en dan de muur slaat omdat Zoom je privacy heeft geschonden, dat maakt niet uit, het is de standaard niet. Dat is de enige comment die ik maak, ik heb geen interesse mee te gaan in de anti-Zoom trein, of constant software bashen, ik zeg gewoon dat de comment inhoudelijk onjuist is.
Je kunt het ook anders bekijken. Klopt E2E is niet aanwezig in tools als Google Meet en Teams maar wel andere essentiele security features die Zoom nog steeds niet heeft.

https://docs.microsoft.co...urity-compliance-overview
Die vergelijking gaat niet zo erg op, omdat de E2E encryption ook met nadelen komt:
Geen cloudrecording
Geen dial in option voor gebruikers
Geen 3rd party room systems H.323/SIP
Geen Breakout rooms in de meetings
Geen polls
Geen joining before host
Geen Streaming

In veel gevallen zijn die features natuurlijk niet nodig en kun je zeker E2E encryption gebruiken, maar niet voor iedereen. En voor anderen zal dat afhankelijk zijn van de specifieke meeting en context.

Die gordel is altijd een goed idee ;)
Encryptie is ook altijd een goed idee als je vertrouwelijke gegevens wilt beveiligen. De lijst met beperkingen die jij beschrijft laten in mijn optiek alleen zien dat de E2E implementatie in Zoom heel beperkt is.
Dit is in lijn met andere grote jongens, omdat er simpelweg limitaties in functionaliteit is als je E2E encryptie toepast.
Let wel: encryptie was er al wel! Geen E2E.

Ik vind het voor zeer veel meetings acceptabel dat er een risico is dat Zoom meeluistert. Bedrijven als Zoom, Google, MS doen er alles aan om je data te beschermen, want het is hun broodwinning. Dus is dat voor de meeste meetings een acceptabel risico.

De toevoeging van E2E voor specifieke meetings, is natuurlijk wel een goede! (en misschien laat, maar zoals gezegd, Teams en Meet bieden het ook niet aan.)
+1Anoniem: 1463186
@feep27 oktober 2020 15:52
Maar je noemt de implementatie beperkt, ik ben benieuwd of je voorbeelden hebt van E2E video calls waar die beperkingen niet zijn. Voor zover ik zie zijn dit namelijk beperkingen die overal zo zijn, dus blijkbaar is de technologie nog niet genoeg ontwikkeld om die functies te implementeren.

Daarnaast zijn sommige van die functies natuurlijk vrijwel uitgesloten met E2E, zoals het joinen voor de host en cloud opnames.
Iedere beveiliging kent voor- en nadelen dus ook een autogordel. Vraag maar eens waarom iemand een gordel niet om doet of aan een reddingswerker wat voor gevaar een gordel kan opleveren als de omstandigheden en risico's veranderen. Het verschil is dus niet dat E2E encryptie wel nadelen heeft maar dat we het bij autogordels normaal zijn gaan vinden dat de beveiliging er als mogelijkheid bij zit. Dat diverse fabrikanten en gebruikers bij E2E encryptie nog liever excuses verzinnen om het maar niet mee te leveren dan andere oplossingen te overwegen.

De autogordel was jaren lang mede door de diverse nadelen die werden gezien ook geen geaccepteerde beveiliging. Fabrikanten en gebruikers hadden toen andere kijk op wat ze belangrijker vonden of als nadeel konden zien. Voor veel van de problemen was meestal wel een andere oplossing, net zoals dat op gaat voor E2E encryptie. Dat lijstje nadelen kan je dus ook zien als een mogelijkheid om eens anders te gaan denken over je risico's in plaats van als excuus waarom iets niet nodig zou zijn.
Dat lijstje nadelen kan je dus ook zien als een mogelijkheid om eens anders te gaan denken over je risico's in plaats van als excuus waarom iets niet nodig zou zijn.
Dit is nu precies niet waar het over gaat. Er zijn gewoon valide afwegingen te maken. Het is niet per se beter om elk gesprek wat je hebt geforceed via E2E encryptie te doen als je daarmee andere functies niet kunt gebruiken die je wel nodig hebt.

Het is uiteraard zeer goed dat de feature er nu wel is, want indien het wel mogelijk is, is het zeker aan te raden om wel E2E encryptie te gebruiken. Het is niet zwart-wit.

Net als dat je sommige gesprekken prima met iemand op straat kunt hebben met het risico dat er iemand meeluistert en voor sommige gesprekken loop je even weg en zorg je dat er niemand in de buurt is.

Het ontbreken van bepaalde features wordt niet als excuus gebracht, maar gebruikersgemak en beveiliging zijn moeilijk in balans te brengen en beveiliging heeft voor verschillende communicatie een verschillende waarde.

Om daar weer een analogie aan te hangen: Er zijn mensen die nu alles via Signal willen doen, want goede encryptie, waarbij anderen het fijn vinden een messenger te gebruiken die op alle apparaten alle berichten laat zien. Voor beide is wat te zeggen en je persoonlijke afwegingen bepalen wat het beste is voor jou.

In dit geval kun je nu als IT admin wel bepaalde meetings opzetten met E2E encryptie, wat een goede zaak is.
De op noemt een probleem op dat je een beveiliging inmiddels wel als mogelijkheid zou verwachten. De keuze was er niet eens. Dan is reactie dat E2E nadelen heeft en een gordel niet slechts een excuus en nog op foute onderbouwing ook. Zoom is gewoon erg laat om eindelijk E2E mogelijk te maken, zelfs als er ook omstandigheden zijn dat bepaalde mensen het niet nodig hebben of liever niet hebben dat je het gebruikt.
In ieder geval de optie. De gordel hoeft ook niet altijd om (bv als je stilstaat op een parkeerplek en zit te eten/drinken).
Een pro van E2E is volgens mij juist dat het moeilijker wordt voor data om te ontglippen. Dus dat mensen niet kunnen opnemen/streamen en er niet willekeurig pottekijkers binnen komen vallen lijkt me dan wenselijk.
Is het serieus zo dat de gebruikers voorafgaand aan de meeting even de nummers moeten oplezen om te checken of alles secure is?!
Ja blijkbaar wel, en dan ook nog eens 40 cijfers per persoon. Leuk in een call met 20 personen...
Moet of mag? In WhatsApp en Signal heb je bijvoorbeeld ook een “verify” functie die ook nummers genereert, maar dat is geheel vrijblijvend. Signal toont een extra checkmark als je het hebt gedaan en bevestigd. Het verplichten heeft zo z’n voor- en nadelen. Ff checken is geen moeite natuurlijk, en zou eigenlijk out of band moeten, maar ik gok dat zoals gewoonlijk de meeste gebruikers het gewoon wegklikken helaas. :+
Benieuwd naar de kwaliteit van encryptie. Hoe goed worden de sleutels gegenereerd, hoe random is de seed e.d. Je kan E2E hebben met bijvoorbeeld een 128 bit sleutel, maar als de eerste 64 bits altijd een nul is... Of dat er een "Chinese" versie van een algoritme gebruikt wordt.
Nou ja de drie dochterbedrijven waar alle Zoom devs werken zijn Chinese bedrijven, dus het blijft altijd de vraag in hoeverre je Zoom kan vertrouwen, maar betekent niet per se dat het onbetrouwbaar is. Het belang van externe audits blijft hoog.
Als je de implementatie wil weten, moet je een open source alternatief als Jitsi gebruiken.
> De versleuteling werkt doordat de apparaten van gebruikers de sleutel aanmaken

En hoe weten we zeker dat de private sleutel als nog niet naar de server wordt gestuurd ?
Is eind-tot-eindversleuteling het nieuwe woord om verengelsing van de Nederlandse taal tegen te gaan? Laten we het beestje gewoon bij het naampje noemen toch? Dit is tenslotte Tweakers.net, niet seniorweb.nl.
ik ben er niet helemaal in gaan duiken maar hoe werkt dat nu precies dan?

wat doen de private keys? (en ik neem aan dat er ook publieke zijn)
Ik neem toch aan dat dat alleen even voor validatie wordt gebruikt en dan dat er 1 encryptie sleutel is voor iedereen in die meeting?

Want echte E2E (tussen 2 personen) met een public en private key zou betekenen volgens mij dat persoon A encrypt met zijn private key encrypt en met de public key van de andere persoon B
die ontvangt het en decrypt het met zijn private key (dus hij weet het is voor mij, geencrypt met mijn publieke key) en hij decrypt het met de publieke key van de andere persoon (dan weet hij het komt echt van die andere persoon)

Maar dit is niet te doen in een meeting met meerder personen, want dan moet iedereen een speciale stream hebben met iedereen..

Dus ik neem even aan dat het gewoon een handshake is? en dan een gemeenschappelijke shared key?
Mijn persoonlijke ervaringen met Teams zijn toch veel beter. De verbinding en de kwaliteit daarvan veel stabieler. Daarbij ook het verbinding maken met een sessie gewoon altijd lukt, wat in Zoom toch altijd wat trial en error blijkt te zijn.

Mooi dat ze dit toevoegen maar zorg er eerst eens voor dat het in de basis kwalitatief een stuk beter wordt.
Behalve als je op linux werkt.. Dan wordt je gethrotteld door MS.
Voor de meeste meeting denk ik dat dit wel voldoende security biedt, maar ik zou liever zelf het encryptie algoritme kiezen en zelf het sleutelbeheer doen, zeker omdat het in een land ontwikkeld wordt waarvan de normen en waarden nogal anders zijn dan bij ons. Zakelijk zou ik terughoudend zijn.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True