L’evoluzione delle minacce informatiche ha indotto Zoom a correre a i ripari. La telco con sede a San Jose, in California, rende noto che la crittografia end-to-end post-quantum (E2EE) è adesso disponibile a livello globale per Zoom Workplace (soprattutto, per Zoom Meetings).
In risposta alla nuove cyberminacce nonché al potenziale pericolo futuro di compromissione dei dati criptati da parte del quantum computing, Zoom Video Communications, Inc. ha annunciato – con un post sul proprio blog – che la crittografia end-to-end post-quantum (E2EE) è adesso disponibile a livello mondiale per Zoom Workplace (in particolare, per Zoom Meetings).
A breve, tale funzione sarà ampliata anche a Zoom Phone e Zoom Rooms. Grazie a questa iniziativa (per avere maggiori precisazioni su quali versioni e piattaforme di Zoom Workplace supportano l’utilizzo della crittografia end-to-end post-quantum è possibile visionare l’articolo dedicato), Zoom diviene la prima azienda UCaaS (Unified Communications as a Service) – che riunisce app e servizi come chiamate, chat, video e audioconferenze in un’unica piattaforma fondata sul cloud – a offrire una soluzione E2EE post-quantum per le videoconferenze.
Zoom e cybersecurity delle videoconferenze
Proteggere le proprie informazioni mantenendo un’esperienza flessibile. È questo il “diktat” di Zoom in tema di sicurezza e privacy, come la stessa telco con sede a San Jose, in California, ha più volte ribadito (anche attraverso post dedicati). Su questa scia, appunto, si inserisce la nuova iniziativa; nella consapevolezza che, con l’evolversi delle cyberminacce, risulta sempre più decisivo proteggere i dati degli utenti. In vari casi, infatti, i cybercriminali potrebbero riuscire a intercettare il traffico di rete criptato con l’obiettivo di decrittarlo in futuro, nel momento in cui i computer quantistici risulteranno più avanzati.
Non a caso, infatti, si parla di Harvest now, decrypt later (“un concetto molto datato, gli attaccanti catturavano Hash di Password e le craccavano offline con tool tipo John The Ripper e successivamente con le Rainbow Tables che drammaticamente cambiarono le regole del gioco“, ha spiegato Roberto De Paolis, Responsabile dell’Unità Organizzativa IT Security Partner & Security Operations – LEONARDO, in un articolo su Cybersecurity Italia). Così, nonostante i computer quantistici con tali capacità non siano tuttora fruibili, Zoom mette in campo un approccio proattivo, aggiornando gli algoritmi per resistere a queste (possibili) minacce future.
Crittografia post-quantum contro gli attacchi quantistici
Nel momento in cui l’utente abilita la E2EE per le sue videocall, il sistema di Zoom (che in passato non è stato esente da attacchi informatici, con 500mila account dell’app in vendita sul dark web) è progettato per fornire esclusivamente a chi partecipa l’accesso alle chiavi di crittografia utilizzate per crittografare la riunione; una condotta, questa, valida sia per la E2EE standard sia per quella post-quantum.
Considerando che i server di Zoom non sono dotati del la chiave di decrittazione utile, i dati criptati trasmessi mediante i server della piattaforma californiana diventano indecifrabili. È bene sottolineare che per tutelarsi dai già citati attacchi “harvest now, decrypt later”, la crittografia post-quantum di Zoom utilizza Kyber 768, un algoritmo in fase di standardizzazione da parte del National Institute of Standards and Technology (NIST), che promuove e mantiene gli standard di misurazione e le indicazioni per supportare le organizzazioni a valutare i rischi, nell’ambito delle linee guida FIPS 203.
English (US)