视讯会议Zoom的安全频受关注，未来付费版将内建E2EE全程加密

自从疫情期间使得在家工作成为常态，市面上的视讯会议产品变得热门，用户数均大增，不过，其中一家视讯会议Zoom却引起了各种的安全争议，例如，该公司被踢爆产品服务没有全程加密技术（End-to-End encryption，E2EE），却声称自己使用该技术，有误导与欺骗的问题存在，还有加密作法不够周延，以及其他地区的会议金钥会由中国资料中心传递等问题，还有一连串的漏洞问题被爆出，虽然后续Zoom也宣布将启动90天安全计划将改善资安，但已经让外界对该公司产品引发一连串不信任的危机。

最近，Zoom首席执行官袁征在第一季财报会议上，特别公布，未来他们会将E2EE加密功能提供给付费版用户，但免费版用户则不会享有这样的功能。

在这次的财报会议现场，现场JPMorgan分析师Sterling Auty就特别针对技术方面问题提问，希望能了解该公司何时将提供E2EE全程加密功能，

袁征先从产业现况来简短说明，他说，多数视讯会议厂商都使用AES 256位元GCM或CBC加密模式，因此这就是产业标准。

当中他也提到如果启用E2EE全程加密的问题，例如，将无法用传统电话拨入，也无法支援硬件视讯会议设备H.323的连线，此外云端视讯录影也将受制而无法使用，所以现在多数视讯会议产业都不提供这样的功能。

从上述回应来看，说明了原本的云端视讯会议服务，由于扩展到硬件视讯会议的支援，因此在E2EE的问题方面，是比较复杂一些，换言之，对于只有行动视讯应用的产品型态而言，要实作E2EE可能较为容易。只不过，并没有解释当初为何他们要声称采用E2EE的技术，造成使用者可能被误导。

此外，袁征表示，他们认为，Zoom还是需要提供这样的进阶功能给使用，如果用户觉得会议相当重要，可以在功能有限的情形下启用加密功能，这样也还可以让传统电话拨入。

根据袁征的说法，针对企业付费版的用户，他们正在开发E2EE，成为付费版内建功能，但不会将这样的功能提供给免费版用户。同时他也提及这么做的原因，是因为与FBI或-执法合作方面，希望让大众可以更好去使用Zoom，避免不当用途。

对于袁征上述所提，前Facebook资深首席安全官、现任Zoom安全顾问Alex Stamos，后续也在Twitter上说明更多资讯。当中他提到，该公司不会主动监控会议内容，并强调未来也不会，此外，Zoom正在处理一些严重的安全问题，包含有外人突入打扰会议时，会议主持人可以举报，并说明Zoom正与执法单位打击这样的行为。

先不论因应执法单位的说法，但至少，现在Zoom能明确说明付费版的E2EE功能正在开发，免费版则不会提供。

对于视讯会议产品在E2EE功能问题，我们也曾讯问国内厂商的动向。在今年4月9日，我们将这方面的问题询问国内视讯会议厂商讯连科技，当时他们清楚表示，以讯连的产品而言，U企业版可选购E2EE全程加密功能，免费版没有提供，隔日他们也发出新闻稿说明此事，指出该选购方案可将U会议的视讯会议进行E2EE加密，也可针对U通讯所传输的文字、贴图与图片，进行E2EE加密。而这样的功能，他们是在2018年提供。

至于E2EE方面的其他讨论，一般外界最常比较的对象，通常则是通讯软件的视讯功能，像是Line、Telegram，以及苹果iMessages与脸书的WhatsApp，视讯会议平台通常聚焦多人视讯与简报分享。此外，就E2EE的实作范围而言，也是一个切入面向，以国人熟知的Line而言，在E2EE上的功能，清楚说明了加密内容是文字讯息、位置资讯，以及一对一免费通话。