Microsoft begint met uitrol end-to-end-encryptie van videogesprekken voor Teams

Microsoft is begonnen met het beschikbaar maken van end-to-end-encryptie voor 1-op-1-videogesprekken in Microsoft Teams. De functionaliteit werd in oktober al aangekondigd voor de chat- en videobeldienst.

Microsoft kondigt de komst van end-to-end-encryptie voor Teams dinsdag aan. De komende dagen wordt de functionaliteit voor alle Enterprise-klanten beschikbaar. Als gebruiker moet je wachten tot de beheerder binnen jouw organisatie de end-to-end-encryptie activeert. Microsoft benadrukt dat het daarom voor sommige gebruikers langer kan duren voor hun gesprekken op deze manier versleuteld kunnen worden.

De end-to-end-encryptie kan alleen worden geactiveerd bij 1-op-1-gesprekken. Daarnaast zijn een aantal functionaliteiten niet beschikbaar als de versleuteling is ingeschakeld, waaronder het opnemen, doorverbinden en samenvoegen van gesprekken.

De functionaliteit werd afgelopen zomer al aangekondigd. Sindsdien konden gebruikers sinds oktober via een public preview de end-to-end-encryptie testen, maar een volledige release liet nog even op zich wachten.

Microsoft Teams

Door Robert Zomers

Redacteur

14-12-2021 • 20:14

63

Reacties (63)

63
60
29
3
0
17
Wijzig sortering
Ik zat maandag in een Teams call met 2 man (totaal 3 met mij). Zat er ook een schildje linksboven.

Dus ik weet niet in hoe verre dit klopt:
De end-to-end-encryptie kan alleen worden geactiveerd bij 1-op-1-gesprekken.
In het bericht op de website van Microsoft hebben ze het specifiek over 1-op-1-gesprekken. End-to-end-encryptie voor groepsgesprekken wordt in een later stadium toegevoegd. Wel zijn alle gesprekken voorzien van de standaardencryptie van Microsoft 365. Zie ook: https://techcommunity.mic...-teams-calls/ba-p/2867066

[Reactie gewijzigd door Robert Zomers op 25 juli 2024 04:07]

Vandaag een teams call van 5 mensen gehad, schildje was toen ook zichtbaar. Vreemd dat het dan nu alleen officieel 1 op 1 kan.

[Reactie gewijzigd door dutchnltweaker op 25 juli 2024 04:07]

Maar betekent dat schildje ook dat het om end-to-end-encryptie gaat? Want dat hoeft natuurlijk niet. Ik kan het hier zelf helaas niet testen, maar het lijk mij sterk dat Microsoft dit specifiek aankondigt voor 1-op-1-gesprekken om het vervolgens ook voor groepsgesprekken beschikbaar te maken.
Niet per se, een schildje betekent dat je verkeer richting M365 encrypted is, niet dat de oproep end-to-end encrypted is met de andere partij.
Als je een e2ee call opzet met iemand is er een schildje met een hangslot. Als je daar dan op klikt, is er voor die call een unieke combinatie getallen die beide gesprekspartners moeten verifieren met elkaar. Pas als je dat gedaan hebt, kan je er van uitgaan zijn dat de oproep effectief end-to-end encrypted is. Er vallen dan trouwens ook een aantal features weg, zoals transcription, live captioning, recording, ...
Er stond:
protected by encryption (End to End)
Dus dat lijkt me wel dan :)

[Reactie gewijzigd door dutchnltweaker op 25 juli 2024 04:07]

"Encryption" is wat anders dan end-to-end encryption.
Wat? Is 'encryption (End to End)' ook iets anders dan 'end-to-end encryption' :?
De reactie van dutchnltweaker is naderhand aangepast, dus waarschijnlijk stond er eerst alleen maar "protected by encryption".
Voor veel mensen betekent "end-to-end encryption" dat alleen de deelnemers de keys hebben.

Maar je kunt ook zorgen dat alle verbindingen met alle deelnemer versleuteld zijn met server keys.
Ja, want als je een mouse-over doet, dan staat er dat het 'protected by encryption' is, of iets in die trant. Vandaag ook gezien in gesprekken met meerdere collega's.
Protected by encryption hoeft niet per definitie te betekenen dat het end-to-end is. Dan kan het ook beveiligd naar de server zijn.
Precies.

De definitie van end-to-end die veel mensen hanteren is dat het een encryptie is waarbij alleen de ontvanger en verzender de keys hebben. Dus ook de leverancier van de dienst niet. Terwijl we in de praktijk meestal gebruiken maken van encryptie naar een server. Denk aan al je https verbindingen.

"Protected by encryption" zal hier dan ook betekenen dat de verbindingen naar de Teams servers encrypted zijn (en tussen de Teams servers onderling) Al het netwerk verkeer is encrypted en een derde kan het dus niet afluisteren, maar in theorie kan Microsoft zelf er bij.
Misschien gaat het enkel over de chat?
Als we deze vragen moeten stellen omdat we niet zeker weten wat het betekent OF op welk gedeelte het precies slaat is één ding zeker: dit mag Microsoft wel verduidelijken. :P
denk dat het duidelijk genoeg is? Ofwel klik je zelf verder door ofwel spreek je de redactie aan (want zij hadden het eventueel ook wel kunnen doen).
https://techcommunity.mic...-teams-calls/ba-p/2867066
Wat is er bekend over achterdeurtjes in de encryptie voor overheidsdiensten ?

Aangezien industriële spionage door o.a de USA een feit is, moet je je als groot bedrijf toch geen zorgen maken als je vertrouwelijke gesprekken via teams gaat voeren ?
Ook ik kwam het vandaag tegen in een gesprek met 3 deelnemers. Het was overigens binnen een organisatie niet met externen.
Yep hier ook en vorige week al een grote banner.
Wat ik mis in dit artikel is wat de gevolgen zijn voor de gebruiker die dit niet in (kunnen) schakelen? Gaat de videostream nu niet versleuteld over het internet en is die gewoon te capturen?
Het lijkt me dat de client-server encryptie die er al inzat gewoon in stand blijft? Waarom zou die opeens verdwijnen? (Heb het artikel nog eens gelezen maar mis denk ik waarom dit het geval zou zijn/wat jou de aanleiding geeft dat te denken :P)
Het lijkt me dat de client-server encryptie die er al inzat gewoon in stand blijft?
De client-to-server verbinding wordt niet gebruikt voor de videostream. De videostream maakt gebruik van een peer-to-peer verbinding over het SRTP protocol. Dit hebben ze gedaan om vertraging te voorkomen. Bij SRTP is de verbinding niet versleuteld maar de inhoud van het bericht wel. Je hebt dus wel gelijk in je conclusie dat de video stream versleuteld blijft.

Toch blijf ik van mening dat de schrijver van dit artikel dit had mogen verduidelijken.

Bron: https://docs.microsoft.co...t-teams-online-call-flows
Ik gok van wel ja. Teams heeft bv. een ingebouwde NDI feature die elke deelnemende userfeed omzet naar een multicast NDI stream - en dus gewoon vanover het netwerk te pakken is.
Maar ook NDI is een feature die je aan moet zetten en wel op 2 plaatsen:

1) In het teams management console moet je de policy aanpassen, of beter nog: Maak een nieuwe policy aan waarin NDI aan staat en ken deze aan een beperkte groep mensen toe.
2) De mensen die van de policy NDI moeten gebruiken, moeten dit direct in de teams meeting waar zij in zitten aan zetten, waarna er een notificatie balk aan alle deelnemers wordt getoond.

Daarnaast geef je zelf ook al een deel van het antwoord, de deelnemende userfeeds worden door de client waar NDI is aangezet omgezet naar multicast NDI streams, dus de multicast wordt gestart vanaf een endpoint. End-to-end encryptie wordt daarmee dus omzeilt.
de videostream is wel versleuteld, maar niet e2e. ze is versleuteld volgens de m365 "standaard encryptie".
Waarom wil Microsoft zo graag dat beheerders dit soort features kunnen in- en uitschakelen? Ik zou niet valide één reden weten waarom iemand zou moeten beslissen dit niet te willen.
Het is ook nooit goed, de ene na keer wordt er gezeurd dat instellingen niet te wijzigen zijn en dat de boel "op slot" zit. En nu is het weer niet goed, nu het in te stellen is voor (niet voor niets) Beheerders.
Natuurlijk zullen beheerders zeggen dat ze 1000 knoppen willen...
Juist! Waarom denk je dat je zoveel settings in een browser hebt...
Nou pfffff, weer een bak aan GPO's er bij. Nee bedankt.
Het is idd nooit goed want ik ben het met @kamerplant eens waarom moet het niet standaard zijn. Het zou geen optie moeten zijn om in of uit te zetten.

Tenzij de reden is dat in bepaalde landen men niet met encryptie mag werken en indien wel het signaal geblokkeerd wordt ?
Wellicht in situaties waar een beheerder altijd toegang moet hebben tot de inhoud vd gesprekken van de medewerkers? Of ze moet kunnen opnemen voor garanties/afspraken?
When using E2EE for Teams one-to-one calls, certain features listed below will be unavailable. If these features are needed for a call, the user can go into their settings and turn end-to-end encryption off the same way it was turned on.

Recording
Live caption and transcription
Call transfer (blind, safe, and consult)
Call Park
Call Merge
Cal Companion and transfer to another device
Add participant to make the one-to-one call a group call
Blij dat jij het hier benoemd, dit had wat mij betreft wel in het artikel van Tweakers mogen staan. https://techcommunity.mic...ms-calls-now/ba-p/3037697
Mogelijk dat compliance call recording niet werkt wanneer gesprekken end to end encrypted zijn. Compliance call recording wordt in contact center voor Teams oplossingen veelvuldig gebruikt.
als je teams binnen je eigen netwerk gebruikt of voor bv lesgeven waarbij 1 naar velen cast dan is het of niet nodig of werkt het niet
Die redenen staan anders gewoon in het artikel:

Geen opnames,
Niet doorschakelen,
Niet samenvoegen van gesprekken.

Aangezien opnames maken en doorschakelen vrij cruciaal is gaat deze feature hem niet worden bij onze organisatie.
stel dat je voor een dienst werkt die chats heeft met klanten, of voor online testen in deze pandemie, of bij vacatures. dan wil je daar achteraf nog steeds toegang kunnen toe hebben in bepaalde situaties. en zo zijn er waarschijnlijk nog legio voorbeelden waar een organisatie achteraf nog steeds toegang wil hebben tot bepaalde chats. Als dat op voorhand duidelijjk is voor de deelnemers (net zoals de audiotape: dit gesprek wordt opgenomen) is dat prima lijkt me. Verder kan je niet eens doorschakelen bij E2E, efin -> valide redenen genoeg.

[Reactie gewijzigd door Yoshi op 25 juli 2024 04:07]

Geldt dit gelijk ook voor Skype? Wel een beetje vreemd, dezelfde eigenaar en haast 2 dezelfde producten.
Het lastige van MS is dat ze natuurlijk de Skype naam weer voor een ander product hebben gebruikt.

Skype for Business (LCS -> OCS -> Lync -> Skype) is al grotendeels end of life (alleen de Skype for Business Server 2019 wordt nog ondersteund tot October 14, 2025) en Teams is de vervanger.

Het Skype van vroeger (peer to peer met supernodes) is sinds 2017 overgezet op een backend met Azure services. En Skype (deze consumer versie) had al end-to-end encryptie (met de optie Private Conversations) sinds eind 2018 op alle platformen (dat sinds begin 2018 in preview was https://answers.microsoft...71-4151-b9a2-c77761c0fbf8 )

[Reactie gewijzigd door Qwerty-273 op 25 juli 2024 04:07]

Skype is toch inmiddels niet meer van microsoft?
Nog steeds van Microsoft. Had je ook kunnen valideren met 2seconde zoeken ;)

https://nl.m.wikipedia.org/wiki/Skype
Hmm fair point. Zat verkeerd in mijn geheugen blijkbaar!
Daarom verbaast het mij dat ze zoveel investeren in Teams terwijl Skype al jaren geen nieuwe updates heeft gehad. Zal mij niets verbazen dat marktaandeel dalende is. Niet gek ook als je je product zo verwaarloost.
Kan toch juist ook logisch zijn om een concurrent op te kopen zodat je de patenten hebt en die technieken in een nieuw product kan toepassen?
Dat verklaart waarom ik vandaag opeens een schildje links bovenin beeld had staan dat me nooit eerder was opgevallen :) Mooi dat ons bedrijf dit meteen oppakt.
Gaat ie zeker nog meer CPU en memory gebruiken. Met elke update wordt het erger...
Hoe wordt MITM voorkomen bij end-to-end encryptie? Of moet je Teams/Whatsapp/<random chatclient met e2e> maar vertrouwen? Hoewel Diffie-hellman veilig is, garandeert de sleuteluitwisseling niet dat de andere partij degene is wie je denk dat ie is. Je kan de sleutels met een MITM uitwisselen (wat ook Whatsapp/Meta kan zijn), die vervolgens ook een sleuteluitwisseling met de andere partij doet. Bij HTTPS wordt dit o.a. door een PKI geborgd - maar hoe wordt dat hier gedaan?
Let me Google that for you:
https://docs.microsoft.co...eams/teams-security-guide

Met andere woorden, dit is gewoon in de publiek toegankelijke documentatie te vinden. Als je hier echt zoveel zorgen om maakte had je hier al veel eerder naar gekeken...
Heb je dat artikel zelf wel gelezen? Het legt helemaal niets uit over hoe E2E is geïmplementeerd in Teams (of Whatsapp etc - want het was een algemene vraag). Het legt niet uit of hoe Microsoft de keyexchange faciliteert, etc.
How are calls end-to-end encrypted?
Call flows in Teams are based on the Session Description Protocol (SDP) [RFC 4566] offer/answer model over HTTPS. Once the callee accepts an incoming call, the session parameters are agreed between the caller and callee and encrypted media starts flowing between the caller and callee using secure real-time transport protocol (SRTP).
In normal call flows, negotiation of the encryption key occurs over the call signaling channel. In an end-to-end encrypted call, the signaling flow is the same as a regular one-to-one Teams call. However, Teams uses DTLS to derive an encryption key based on per-call certificates generated on both client endpoints. Since DTLS derives the key based on client certificates, the key is opaque to Microsoft. Once both clients agree upon the key, the media begins to flow using this DTLS-negotiated encryption key over SRTP.

How are calls end-to-end encrypted?
To protect against a man-in-the-middle attack between the caller and callee, Teams derives a 20-digit security code from the SHA-256 thumbprints of the caller’s and callee’s endpoint call certificates. The caller and callee can validate the 20-digit security codes by reading them to each other to see if they match. If the codes don’t match, then the connection between the caller and callee has been intercepted by a man-in-the-middle attack. If the call has been compromised, users can terminate the call manually.

Is Chat also end-to-end encrypted during calls that are E2EE?
Chat for end-to-end calls is secured by Microsoft 365 encryption.

[Reactie gewijzigd door Insectiside op 25 juli 2024 04:07]

De sleutel is dus dit:
The caller and callee can validate the 20-digit security codes by reading them to each other to see if they match.
Dat kan bij Whatsapp (volgens mij) niet - maar geeft ook aan dat het niet waterdicht is.
De sleutel is dus dit
De security code is NIET de sleutel die gebruikt wordt voor encryptie! Het is een vingerafdruk waarmee je kan controleren of de gebruikte sleutels (die wat sterker zijn dan 20-bits ;)) matchen.
Dat kan bij Whatsapp (volgens mij) niet
Zeker wel. Op die persoons naam tikken en dan de beveiligingssleutel bekijken. Je kan die out-of-band verifiëren met elkaar of elkaars QR-code scannen.
maar geeft ook aan dat het niet waterdicht is.
Niets is waterdicht natuurlijk. :) En daarom zit het er ook in. :P Ze hebben bijna allemaal zo'n systeem, Signal bijvoorbeeld ook. (En Signal Protocol is toch wel zo'n beetje de gouden standaard.) Het is er puur voor bedoeld dat ALS iemand toch succesvol een MitM-aanval uit weet te voeren op jullie gesprekken, dat de keys dan niet (meer) matchen. (Dat is anders dan wanneer iemand eavesdropt na diefstal van de privésleutels overigens.) In de praktijk controleert bijna geen hond die keys en/of zetten de notificaties als de sleutel opeens wijzigt uit "want vervelend", maarja... Dat kan je devs niet aanrekenen natuurlijk.

[Reactie gewijzigd door WhatsappHack op 25 juli 2024 04:07]

Uit het artikel:
Man-in-the-middle attacks on media traffic between two endpoints participating in Teams audio, video, and application sharing, is prevented by using SRTP to encrypt the media stream. Cryptographic keys are negotiated between the two endpoints over a proprietary signaling protocol (Teams Call Signaling protocol) which uses TLS 1.2 and AES-256 (in GCM mode) encrypted UDP/TCP channel.
De reacties daarentegen juist weer wel ;)
Zeker wel.. maar je moet de goede vragen stellen op het forum..
Ben meer dan eens perfect geholpen met ingewikkelde vraagstukken.
het forum is de community en niet het personeel dat door DPG-media betaald wordt om nieuwsberichten te schrijven. van hen zou je juist meer mogen verwachten ipv vrijwilligers
Ik denk dat je je verward met de artikels. Die zijn inderdaad minder technisch geworden en meer voor het breder publiek. En dat is normaal, tweakers groeit met de dag en omdat allemaal te onderhouden is er een inkomen voor nodig.

Als je hier en daar eens rondsurft binnen in Tweakers, zal je hier heel wat bekwame (technische) mensen zien. Het verbaasd me soms enorm wat voor juist slimme en mensen met een zeer diepe inzicht hier rondsurfen.

Echter moet je wel een concreet vraag, stellen, met de juiste argumenten. En niet vaag over encryptie beginnen om maar te tonen dat je er iets van weet.

Als je er iets meer van weet, deel het gerust.
offtopic:
En neen, ik ben zeker niet één van die bekwame mensen


Ik vind het enorm jammer dat je begint te veralgemenen, terwijl er heel wat mensen wel moeite doen om bij manier van spreken een hele boek te schrijven, op een zeer gestructureerde en academisch niveau om dan op zo een manier neergehaald te worden.
Je kunt als gebruiker controleren of er een mitm aanwezig is door een unieke code te checken. Beide kanten moeten dezelfde code hebben.

Dit staat hier vermeld:
How can the two parties confirm they’re on an end-to-end encrypted call?

With this release, users will see the encryption indicator on the Teams call window in the upper left corner. This indicator shows that the call is encrypted. Microsoft 365 encryption technologies encrypt every Teams call. If a call is successfully end-to-end encrypted, both parties will see the end-to-end encryption indicator on the Teams call window. The Teams end-to-end encryption indicator is a shield with a lock.


Hover over the end-to-end encryption indicator to display confirmation the call is end-to-end encrypted. Teams also displays a security code for the call. To confirm that end-to-end encryption is working correctly, verify that the same security code appears for both parties in the call.
Bron: https://techcommunity.mic...-teams-calls/ba-p/2867066

Ik neem aan dat dit met de 1 op 1 video conference de e2e encryptie ook zo zal zijn.

[Reactie gewijzigd door musiman op 25 juli 2024 04:07]

Ja, was bij mij gisteren al actief.

Op dit item kan niet meer gereageerd worden.