Zoom 近日宣布将向所有用户(包括付费用户和免费用户)提供端到端加密(E2EE)服务。
面对数月来全球各行业甚至政府机构的责难,Zoom向所有用户提供端到端加密服务的决定不亚于一枚深水炸弹,一举逆转了颇为不利的舆论风向,一夜之间,Zoom从“人人喊打”,成为“隐私标兵”。
密码学大咖布鲁斯·施耐尔( Bruce Schneier)在个人博客上欢呼:“Zoom is doing the right thing”“Thank you,Zoom,for coming around to the right answer”。此外,Schneier还认为这是公众舆论改变公司行为的一次胜利。
本月初,Zoom首席执行官袁征(Eric Yuan)曾宣布将为Zoom付费用户提供端到端加密服务,但不包括免费用户。袁征解释说,Zoom希望能够帮助执法部门进行调查,并且滥用Zoom服务破坏在线会议并从事犯罪行为的人,通常使用的都是免费账户。
时隔不到两周,Zoom的加密策略发生了“大逆转”,宣布将为包括免费用户在内的所有用户提供端到端加密服务。
袁征在本周三解释说:
为了使这一切成为可能,想使用端到端加密的免费/基本用户需要完成一个验证流程,例如通过短信验证电话号码。许多领先的公司在账户创建方面执行类似的步骤,以减少滥用账户的大量创建。我们有信心,通过实施基于风险的身份验证,并结合我们目前使用的各种工具(包括“报告用户”功能),我们将继续预防和打击滥用行为。
不仅仅是密码学大咖Shneier,包括电子前沿基金会(EFF)这样的隐私保护领域声望极高的组织,也对Zoom的决定表示欢迎,但EFF指出:电话号不应该成为通用的个人身份验证工具,这样使用它们会给用户带来新的风险。
在不同的情况下,Signal、Facebook和Twitter都遇到了用户电话号码泄露和滥用的问题。至少,用户提供给Zoom的电话号码应仅用于身份验证,并且只能用于Zoom。Zoom不应将这些电话号码用于任何其他目的,并且绝不应要求用户将其透露给其他方。
Zoom计划于2020年7月推出面向所有用户的端到端加密服务的早期Beta版本。该功能将是可选的,因为它限制了某些会议功能,并且账户管理员将能够在帐户和组级别启用或禁用该功能。
Zoom补充说:
公司有权利向高级产品收取更多的费用,但最佳实践的隐私和安全功能不应仅限于有能力支付溢价的用户。
EFF还号召其他通讯工具公司学习Zoom,同时向付费用户和不付费用户提供端到端加密。