L’evoluzione delle minacce informatiche ha indotto Zoom a correre ai ripari. La telco con sede a San Jose, in California, rende noto che la crittografia end-to-end post-quantum (E2EE) è adesso disponibile a livello globale per Zoom Workplace (soprattutto, per Zoom Meetings).
In risposta alla nuove cyberminacce e al potenziale pericolo futuro di compromissione dei dati criptati da parte del quantum computing, Zoom Video Communications, Inc. ha annunciato – con un post sul suo blog – che la crittografia end-to-end post-quantum (E2EE) è adesso disponibile a livello mondiale per Zoom Workplace (in particolare, per Zoom Meetings). A breve, tale funzione sarà ampliata anche a Zoom Phone e Zoom Rooms. Un processo sicuro, che vieta a terze parti l’accesso ai dati trasferiti da un endpoint a un altro.
Grazie a questa iniziativa (per avere maggiori precisazioni su quali versioni e piattaforme di Zoom Workplace supportano l’utilizzo della crittografia end-to-end post-quantum, è possibile visionare l’apposita pagina di supporto), Zoom diviene di fatto la prima azienda UCaaS (Unified Communications as a Service) – che riunisce app e servizi come chiamate, chat, video e audioconferenze in un’unica piattaforma fondata sul cloud – a offrire ai propri utenti una soluzione E2EE post-quantum per le videoconferenze.
Zoom e cybersecurity delle videoconferenze
Proteggere le proprie informazioni mantenendo un’esperienza flessibile. È questo il “diktat” di Zoom (piattaforma fondata da Eric Yuan nel 2011) in tema di sicurezza e privacy, come la stessa telco con sede a San Jose, in California, ha più volte ribadito (anche attraverso post dedicati). Su questa scia, appunto, si inserisce la nuova iniziativa; nella consapevolezza che, con l’evolversi delle cyberminacce, risulta sempre più decisivo proteggere i dati degli utenti. In vari casi, infatti, i cybercriminali potrebbero riuscire a intercettare il traffico di rete criptato per decrittarlo in futuro (dunque, quando i computer quantistici risulteranno più avanzati).
Non a caso, infatti, si parla di Harvest now, decrypt later (“un concetto molto datato, gli attaccanti catturavano Hash di Password e le craccavano offline con tool tipo John The Ripper e successivamente con le Rainbow Tables che drammaticamente cambiarono le regole del gioco“, ha spiegato Roberto De Paolis, Responsabile dell’Unità Organizzativa IT Security Partner & Security Operations – LEONARDO, in un articolo su Cybersecurity Italia). Così, nonostante i computer quantistici con tali capacità non siano tuttora fruibili, Zoom mette in campo un approccio proattivo, aggiornando gli algoritmi per resistere a queste (possibili) minacce future.
Crittografia post-quantum contro gli attacchi quantistici
Nel momento in cui l’utente abilita la E2EE per le sue videocall, il sistema di Zoom (che in passato non è stato esente da attacchi informatici, con 500mila account dell’app in vendita sul dark web) è progettato per fornire esclusivamente a chi partecipa l’accesso alle chiavi di crittografia utilizzate per crittografare la riunione; una condotta, questa, valida sia per la E2EE standard sia per quella post-quantum.
Considerando che i server di Zoom non sono dotati del la chiave di decrittazione utile, i dati criptati trasmessi mediante i server della piattaforma californiana diventano indecifrabili. È bene sottolineare che per tutelarsi dai già citati attacchi “harvest now, decrypt later”, la crittografia post-quantum di Zoom utilizza Kyber 768, un algoritmo in fase di standardizzazione da parte del National Institute of Standards and Technology (NIST), che promuove e mantiene gli standard di misurazione e le indicazioni per supportare le organizzazioni a valutare i rischi, nell’ambito delle linee guida FIPS 203.