Zoom is begonnen met aanbieden eind-tot-eindversleuteling

Videobelplatform Zoom is begonnen met het aanbieden van eind-tot-eindversleuteling in zijn dienst. De versleuteling is beschikbaar voor gebruikers van de betaalde en de gratis versie van Zoom. De release was al aangekondigd.

Zoom biedt de functie wereldwijd aan, zegt het bedrijf. Gebruikers kunnen checken of de versleuteling werkt, doordat de software een cijfercode bij iedereen op het scherm zet om dat te verifiëren. Als die sleutel afwijkt, klopt er iets niet. Als de meeting op de nieuwe manier is versleuteld, zet de software een logo met een groen schild in beeld. Met de versleuteling aan kan Zoom de meeting niet opnemen.

De versleuteling werkt doordat de apparaten van gebruikers de sleutel aanmaken en daardoor kan Zoom op de eigen servers de data niet ontsleutelen. Bij normale versleuteling komen de sleutels van servers van Zoom.

Deze stap van Zoom past in het streven van de videobeldienst om de beveiliging en de privacy te verbeteren. Het bedrijf had eerder te maken met nogal wat beveiligingslekken, waarna er nieuwe beveiligingsfuncties werden aangekondigd. Het bedrijf kreeg in de zomer nog kritiek op het feit dat het in eerste instantie alleen eind-tot-eindversleuteling aanbood aan betalende klanten, maar twee weken later besloot Zoom dit ook beschikbaar te stellen aan gebruikers die niet voor de dienst betalen.

Door Arnoud Wokke

Redacteur

Feedback • 27-10-2020 13:1133

27-10-2020 • 13:11

33 Linkedin

Lees meer

Interview: Zoom in 2020
Software development

30 dec 2020

Interview: Zoom in 2020

Achtbaanrit, maar zonder cultuurverandering

69
Zoom introduceert volgend jaar realtime vertaalfunctie voor twaalf talen Nieuws van 13 september 2021
Zoom komt volgende week met verbeterde app voor Chrome OS Nieuws van 27 juni 2021
Zoom krijgt in de zomer platform voor organiseren online evenementen Nieuws van 19 mei 2021
Nederlandse hackers vinden kwetsbaarheid in Zoom tijdens Pwn2Own-hackwedstrijd Nieuws van 7 april 2021
Microsoft werkt aan eind-tot-eindversleuteling voor Teams-gesprekken Nieuws van 2 maart 2021
Gerucht: Zoom werkt aan eigen e-mail- en agendadienst Nieuws van 23 december 2020
Google begint beperkte uitrol Zoom-ondersteuning voor Nest Hub Max Nieuws van 14 december 2020
Aantal bedrijven dat betaalt voor Zoom groeit tot 433.700 Nieuws van 1 december 2020
Zoom begint volgende week met aanbieden eind-tot-eindversleuteling Nieuws van 14 oktober 2020
Zoom gaat gratis gebruikers toch gebruik laten maken van eind-tot-eindencryptie Nieuws van 17 juni 2020
Zoom biedt eind-tot-eindversleuteling alleen aan betalende klanten aan Nieuws van 3 juni 2020
Meer producten en artikelen
Beveiliging en antivirus Zoom Encryptie

Reacties (33)

-Moderatie-faq
33
31
17
5
0
14
Wijzig sortering
maxkranendijk
27 oktober 2020 13:36
Voelt toch een beetje alsof de Tesla Model 3 na 2 jaar een autogordel krijgt nageleverd :+
Anoniem: 1463186
@maxkranendijk27 oktober 2020 14:00
Je ziet dit soort opmerkingen vaak onder Zoom artikelen, maar er wordt altijd gedaan alsof end-to-end encryptie al jaren de standaard is in videobellen, feit is gewoon: Dat is het absoluut niet.

Kijk even naar de alternatieven:
Microsoft Teams, ondersteunt geen end-to-end encryptie
Google Meet, je raad het al, geen end-to-end encryptie.

De grote spelers ondersteunen het vrijwel niet voor video's, dus doen alsof het al jaren standaard is is ook heel erg misleidend. Het past in het Tweakers sentiment om Zoom negatief in het licht te zetten waar dat kan, maar is gebaseerd op totaal niks. End-to-end video encryptie is een totaal ander beestje dan tekst encryptie. Het is er wel (bijvoorbeeld Signal, al is dat ook alleen voor 2 gebruikers, in een groeps call is ook Signal niet End-to-End encrypte), maar zeker niet de standaard zoals jij suggereert.
Blizz
@Anoniem: 146318627 oktober 2020 14:08
Zoom heeft jarenlang beweerd end-to-end versleuteld te zijn, "want het is versleuteld van jou naar ons en van ons naar de andere persoon". Daarbij kan ik letterlijk een overzicht posten dat ik maanden geleden heb gemaakt van alle grove en minder grove schandalen van Zoom privacy & security dat te lang is voor dit berichtvak. Zoom verdient alle scrutiny vijfhonderd keer dubbel en dwars en voor eeuwig. Nu ze niet meer focussen op absolute groei ten koste van veiligheid komen ze pas met backdoors weghalen, bugfixes en security features (of ze nou logen dat ze die hadden of nog niet hadden).
Anoniem: 1463186
@Blizz27 oktober 2020 15:11
Dat ze het claimen en niet zo is, daar kan ik inkomen inderdaad. Maar dat neemt niet weg van het feit dat de reactie waar ik op reageer uit gaat van iets wat gewoon niet zo is. Dat staat los van wat Zoom zegt, E2E is gewoon niet de standaard en doen alsof dat wel zo is is misleidend.

Ik zeg ook niet dat er geen issues waren of zijn, maar wat hier gebeurt is het tegenovergestelde, namelijk doodstaren op het verleden. Want iedereen vergeet even dat Zoom gigantisch is gegroeid de afgelopen tijd. Dus verdienen ze de aandacht, daar kun je wat over zeggen. Maar dat doet niks af aan het feit dat claimen dat E2E encryptie de standaard is gewoon fout is. Als dit onder een artikel over Signal stond was het ook fout, maar dan zou je worden verguisd want kom niet aan het heilige Signal. Je ziet dat meningen over software hier tot de extremen doordringen in de reacties, en de reactie is feitelijk onjuist.
runob
@Anoniem: 146318627 oktober 2020 14:16
Je vergeet wel Cisco Webex te vermelden (samen met Microsoft en Zoom aanzien als leader in magic quadrant). Deze biedt ook E2E aan:
https://help.webex.com/en...-End-to-End-Encryption-Do
funrider
@runob27 oktober 2020 14:50
Vergeet ook vooral niet de veel gebruikte GoToMeeting zie ook Secure White Paper en meer info ook Mozilla product review van GoToMeeting of dit artikel 'Stop! Using Online Collaboration Tools Until You Read This' uit april '20 ook is dit artikel 'Secure video conferencing software: how to ensure your privacy' uit mei '20 ook echt een goed overzicht qua beveiliging van de diverse diensten.
Il Duce
@runob28 oktober 2020 13:54
Alleen jammer dat het zo'n brakke applicatie is
kodak
@Anoniem: 146318627 oktober 2020 15:41
Hier doe je de klachten over gebrek aan E2E mogelijkheid mee te kort. Als beveiliging verwachten vooral zou afhangen van wat de concurrent doet dan is het doel niet beveiligen. Zeker niet door naar een select groepje te kijken omdat dat beter uur komt om een stelling in te nemen.
Redelijkheid in verwachting zit in de noodzaak van klanten om een middel veilig te kunnen gebruiken. In een auto mag je dan een gordel en airbag verwachten, waarom dan niet E2E bij zoom of een andere aanbieder. Die reden kan kosten zijn maar dat geven ze niet op. Sterker nog, zoom beweerde dat er E2E encryptie was maar dat bleek halve waarheid en meer reclame dan veiligheid. Een bedrijf dat de term E2E zelf al gebruikt alsof het te verwachten is maakt de meer standaard verwachting dus redelijker, niet minder redelijk.
Anoniem: 1463186
@kodak27 oktober 2020 15:49
Dat zeg ik niet, maar E2E vergelijken met een gordel in een auto suggereert dat het de standaard is. Dat is waar ik op reageer, het is de standaard niet. Goed dat er mensen zijn die hier op zitten, en dat er alternatieven zijn die het wel doen, maar dat maakt het niet hetzelfde als een gordel.

Wat je in redelijkheid kan verwachten is dan ook per persoon verschillend, en nogmaals is doen alsof het een gordel of een airbag is suggereren dat het de standaard is. Je kunt wat vinden over dat het niet de standaard is, maar de opmerking dat het de standaard is is pertinent fout. Ook als je Zoom haat en snachts schreeuwend wakker wordt en dan de muur slaat omdat Zoom je privacy heeft geschonden, dat maakt niet uit, het is de standaard niet. Dat is de enige comment die ik maak, ik heb geen interesse mee te gaan in de anti-Zoom trein, of constant software bashen, ik zeg gewoon dat de comment inhoudelijk onjuist is.
Anoniem: 176636
@Anoniem: 146318627 oktober 2020 14:14
Je kunt het ook anders bekijken. Klopt E2E is niet aanwezig in tools als Google Meet en Teams maar wel andere essentiele security features die Zoom nog steeds niet heeft.

https://docs.microsoft.co...urity-compliance-overview
Hann1BaL
@maxkranendijk27 oktober 2020 13:43
Die vergelijking gaat niet zo erg op, omdat de E2E encryption ook met nadelen komt:
Geen cloudrecording
Geen dial in option voor gebruikers
Geen 3rd party room systems H.323/SIP
Geen Breakout rooms in de meetings
Geen polls
Geen joining before host
Geen Streaming

In veel gevallen zijn die features natuurlijk niet nodig en kun je zeker E2E encryption gebruiken, maar niet voor iedereen. En voor anderen zal dat afhankelijk zijn van de specifieke meeting en context.

Die gordel is altijd een goed idee ;)
feep
@Hann1BaL27 oktober 2020 13:51
Encryptie is ook altijd een goed idee als je vertrouwelijke gegevens wilt beveiligen. De lijst met beperkingen die jij beschrijft laten in mijn optiek alleen zien dat de E2E implementatie in Zoom heel beperkt is.
Hann1BaL
@feep27 oktober 2020 14:06
Dit is in lijn met andere grote jongens, omdat er simpelweg limitaties in functionaliteit is als je E2E encryptie toepast.
Let wel: encryptie was er al wel! Geen E2E.

Ik vind het voor zeer veel meetings acceptabel dat er een risico is dat Zoom meeluistert. Bedrijven als Zoom, Google, MS doen er alles aan om je data te beschermen, want het is hun broodwinning. Dus is dat voor de meeste meetings een acceptabel risico.

De toevoeging van E2E voor specifieke meetings, is natuurlijk wel een goede! (en misschien laat, maar zoals gezegd, Teams en Meet bieden het ook niet aan.)
Anoniem: 1463186
@feep27 oktober 2020 15:52
Maar je noemt de implementatie beperkt, ik ben benieuwd of je voorbeelden hebt van E2E video calls waar die beperkingen niet zijn. Voor zover ik zie zijn dit namelijk beperkingen die overal zo zijn, dus blijkbaar is de technologie nog niet genoeg ontwikkeld om die functies te implementeren.

Daarnaast zijn sommige van die functies natuurlijk vrijwel uitgesloten met E2E, zoals het joinen voor de host en cloud opnames.
kodak
@Hann1BaL27 oktober 2020 14:33
Iedere beveiliging kent voor- en nadelen dus ook een autogordel. Vraag maar eens waarom iemand een gordel niet om doet of aan een reddingswerker wat voor gevaar een gordel kan opleveren als de omstandigheden en risico's veranderen. Het verschil is dus niet dat E2E encryptie wel nadelen heeft maar dat we het bij autogordels normaal zijn gaan vinden dat de beveiliging er als mogelijkheid bij zit. Dat diverse fabrikanten en gebruikers bij E2E encryptie nog liever excuses verzinnen om het maar niet mee te leveren dan andere oplossingen te overwegen.

De autogordel was jaren lang mede door de diverse nadelen die werden gezien ook geen geaccepteerde beveiliging. Fabrikanten en gebruikers hadden toen andere kijk op wat ze belangrijker vonden of als nadeel konden zien. Voor veel van de problemen was meestal wel een andere oplossing, net zoals dat op gaat voor E2E encryptie. Dat lijstje nadelen kan je dus ook zien als een mogelijkheid om eens anders te gaan denken over je risico's in plaats van als excuus waarom iets niet nodig zou zijn.
Hann1BaL
@kodak27 oktober 2020 14:45
Dat lijstje nadelen kan je dus ook zien als een mogelijkheid om eens anders te gaan denken over je risico's in plaats van als excuus waarom iets niet nodig zou zijn.
Dit is nu precies niet waar het over gaat. Er zijn gewoon valide afwegingen te maken. Het is niet per se beter om elk gesprek wat je hebt geforceed via E2E encryptie te doen als je daarmee andere functies niet kunt gebruiken die je wel nodig hebt.

Het is uiteraard zeer goed dat de feature er nu wel is, want indien het wel mogelijk is, is het zeker aan te raden om wel E2E encryptie te gebruiken. Het is niet zwart-wit.

Net als dat je sommige gesprekken prima met iemand op straat kunt hebben met het risico dat er iemand meeluistert en voor sommige gesprekken loop je even weg en zorg je dat er niemand in de buurt is.

Het ontbreken van bepaalde features wordt niet als excuus gebracht, maar gebruikersgemak en beveiliging zijn moeilijk in balans te brengen en beveiliging heeft voor verschillende communicatie een verschillende waarde.

Om daar weer een analogie aan te hangen: Er zijn mensen die nu alles via Signal willen doen, want goede encryptie, waarbij anderen het fijn vinden een messenger te gebruiken die op alle apparaten alle berichten laat zien. Voor beide is wat te zeggen en je persoonlijke afwegingen bepalen wat het beste is voor jou.

In dit geval kun je nu als IT admin wel bepaalde meetings opzetten met E2E encryptie, wat een goede zaak is.
kodak
@Hann1BaL27 oktober 2020 15:09
De op noemt een probleem op dat je een beveiliging inmiddels wel als mogelijkheid zou verwachten. De keuze was er niet eens. Dan is reactie dat E2E nadelen heeft en een gordel niet slechts een excuus en nog op foute onderbouwing ook. Zoom is gewoon erg laat om eindelijk E2E mogelijk te maken, zelfs als er ook omstandigheden zijn dat bepaalde mensen het niet nodig hebben of liever niet hebben dat je het gebruikt.
maxkranendijk
@Hann1BaL27 oktober 2020 13:54
In ieder geval de optie. De gordel hoeft ook niet altijd om (bv als je stilstaat op een parkeerplek en zit te eten/drinken).
ItsNotRudy
@Hann1BaL27 oktober 2020 13:54
Een pro van E2E is volgens mij juist dat het moeilijker wordt voor data om te ontglippen. Dus dat mensen niet kunnen opnemen/streamen en er niet willekeurig pottekijkers binnen komen vallen lijkt me dan wenselijk.
Anoniem: 176636
27 oktober 2020 14:11
Is het serieus zo dat de gebruikers voorafgaand aan de meeting even de nummers moeten oplezen om te checken of alles secure is?!
jongetje
@Anoniem: 17663627 oktober 2020 14:24
Ja blijkbaar wel, en dan ook nog eens 40 cijfers per persoon. Leuk in een call met 20 personen...
WhatsappHack
@Anoniem: 17663627 oktober 2020 14:54
Moet of mag? In WhatsApp en Signal heb je bijvoorbeeld ook een “verify” functie die ook nummers genereert, maar dat is geheel vrijblijvend. Signal toont een extra checkmark als je het hebt gedaan en bevestigd. Het verplichten heeft zo z’n voor- en nadelen. Ff checken is geen moeite natuurlijk, en zou eigenlijk out of band moeten, maar ik gok dat zoals gewoonlijk de meeste gebruikers het gewoon wegklikken helaas. :+
FrostyPeet
27 oktober 2020 14:00
Benieuwd naar de kwaliteit van encryptie. Hoe goed worden de sleutels gegenereerd, hoe random is de seed e.d. Je kan E2E hebben met bijvoorbeeld een 128 bit sleutel, maar als de eerste 64 bits altijd een nul is... Of dat er een "Chinese" versie van een algoritme gebruikt wordt.
Blizz
@FrostyPeet27 oktober 2020 14:10
Nou ja de drie dochterbedrijven waar alle Zoom devs werken zijn Chinese bedrijven, dus het blijft altijd de vraag in hoeverre je Zoom kan vertrouwen, maar betekent niet per se dat het onbetrouwbaar is. Het belang van externe audits blijft hoog.
Il Duce
@FrostyPeet28 oktober 2020 14:00
Als je de implementatie wil weten, moet je een open source alternatief als Jitsi gebruiken.
amigob2
27 oktober 2020 14:03
> De versleuteling werkt doordat de apparaten van gebruikers de sleutel aanmaken

En hoe weten we zeker dat de private sleutel als nog niet naar de server wordt gestuurd ?
skaars
27 oktober 2020 17:07
Is eind-tot-eindversleuteling het nieuwe woord om verengelsing van de Nederlandse taal tegen te gaan? Laten we het beestje gewoon bij het naampje noemen toch? Dit is tenslotte Tweakers.net, niet seniorweb.nl.
joco
27 oktober 2020 15:09
ik ben er niet helemaal in gaan duiken maar hoe werkt dat nu precies dan?

wat doen de private keys? (en ik neem aan dat er ook publieke zijn)
Ik neem toch aan dat dat alleen even voor validatie wordt gebruikt en dan dat er 1 encryptie sleutel is voor iedereen in die meeting?

Want echte E2E (tussen 2 personen) met een public en private key zou betekenen volgens mij dat persoon A encrypt met zijn private key encrypt en met de public key van de andere persoon B
die ontvangt het en decrypt het met zijn private key (dus hij weet het is voor mij, geencrypt met mijn publieke key) en hij decrypt het met de publieke key van de andere persoon (dan weet hij het komt echt van die andere persoon)

Maar dit is niet te doen in een meeting met meerder personen, want dan moet iedereen een speciale stream hebben met iedereen..

Dus ik neem even aan dat het gewoon een handshake is? en dan een gemeenschappelijke shared key?
BenVenNL
27 oktober 2020 15:29
Mijn persoonlijke ervaringen met Teams zijn toch veel beter. De verbinding en de kwaliteit daarvan veel stabieler. Daarbij ook het verbinding maken met een sessie gewoon altijd lukt, wat in Zoom toch altijd wat trial en error blijkt te zijn.

Mooi dat ze dit toevoegen maar zorg er eerst eens voor dat het in de basis kwalitatief een stuk beter wordt.
decide1000
@BenVenNL28 oktober 2020 09:45
Behalve als je op linux werkt.. Dan wordt je gethrotteld door MS.
M_I_E_S
27 oktober 2020 16:36
Voor de meeste meeting denk ik dat dit wel voldoende security biedt, maar ik zou liever zelf het encryptie algoritme kiezen en zelf het sleutelbeheer doen, zeker omdat het in een land ontwikkeld wordt waarvan de normen en waarden nogal anders zijn dan bij ons. Zakelijk zou ik terughoudend zijn.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee