Sul sito ufficiale di Zoom sono numerosi i riferimenti all’impiego della crittografia end-to-end (come visibile nello screenshot più avanti) per garantire il massimo livello di tutela della privacy agli utenti. È davvero così? Oppure la tecnologia non viene integrata come in altri software, dove i due capi della comunicazione sono gli unici in grado di accedere a quanto trasmesso?
Zoom e la crittografia end-to-end
Tra coloro che hanno provato a fare chiarezza c’è anche The Intercept che riprende alcuni dubbi sollevati di recente in merito alle policy del servizio riguardanti le misure di sicurezza adottate. Partiamo dal commento della società, affidato proprio alla testata: queste le parole attribuite a un portavoce, riportate in forma tradotta.
Al momento non è possibile attivare la crittografia end-to-end per i meeting video. Quelli di Zoom utilizzano una combinazione di TCP e UDP. Le connessioni TCP sono realizzate utilizzando connessioni TLS e UDP cifrate con AES e una chiave gestita su connessione TLS.
Cosa significa? Che la forma di crittografia a cui fa ricorso Zoom per proteggere i propri meeting (quelli audio e video) è TLS, la stessa alla base delle connessioni HTTPS di un qualsiasi sito Web.
Per dirla con altre parole, significa che la connessione tra il computer o il dispositivo mobile dell’utente e i server della piattaforma viene cifrata con un metodo del tutto simile a quello attraverso il quale ognuno di noi ogni giorno si interfaccia via browser alle risorse online (incluso questo articolo), non mediante crittografia end-to-end. Questo cosa comporta? Che in termini concreti Zoom ha la possibilità di accedere a quanto trasmesso, flussi audio e video compresi.
Meeting, privacy e bisogno di trasparenza
L’azienda non smentisce, ma afferma in un comunicato che in nessun caso intercetta le informazioni in questione, né le raccoglie, analizza o vende a terze parti. Insomma, la qualità del servizio è fuori discussione, come testimonia l’impennata nel volume di download in questo periodo che sta portando molti ad adottare la formula dello smart working, ma sulla trasparenza c’è molto da lavorare. Di seguito un’altra dichiarazione attribuita allo stesso portavoce.
Quando utilizziamo il termine “end-to-end” è in riferimento alla connessione tra un end point Zoom e l’altro. Il contenuto non viene decifrato durante il suo passaggio sul cloud del servizio.
Esperti come il docente Matthew Green della Johns Hopkins University sostengono che applicare la crittografia end-to-end a un sistema di videoconferenze così come lo si fa per uno di messaggistica (le chat di Zoom di fatto lo adottano) renderebbe difficoltosa l’erogazione di alcune funzionalità, ad esempio quella per lo switch automatico tra i partecipanti in base a chi sta parlando in un determinato momento, poiché per farlo si fa leva sull’analisi in tempo reale del segnale audio-video.
[gallery_embed id=130222]
Ciò che si mette in discussione non è tanto la tecnologia impiegata, quanto una scarsa chiarezza nella comunicazione verso l’utente finale. La possibilità di accedere a riunioni, meeting o conversazioni che transitano dalla propria piattaforma dovrebbe essere messa nero su bianco, anche alla luce dell’obbligo di collaborare con le autorità e i governi trasmettendo loro informazioni e dettagli in caso di richieste. Ne sono testimonianza i vari Rapporti sulla Trasparenza pubblicati periodicamente da realtà come Google, Apple o Facebook.