Yhä suurempi osa kriittisimmästä viestinnästämme tapahtuu nykyään verkkovideopuheluiden kautta. Kuitenkin viimeaikaiset edistysaskeleet tekoälyssä ja tiedonlouhintateknologiassa ovat asettaneet nämä puhelut suureen vaaraan joutua hyödyntämisen ja väärinkäytön kohteiksi.
Monia videoneuvottelupalveluita ohjaavat mainosmallit tai tekoälykilpailu, jonka tavoitteena on tallentaa, litteroida ja säilyttää mahdollisimman paljon kokousdataa. Nämä suuret teknologiayritykset voivat nyt edullisesti julkaista generatiivista tekoälyä analysoidakseen ja oppiakseen kaikesta, mitä kokouksissamme sanotaan ja esitetään.
Tekoälyn aikakaudella salaamaton videoneuvottelu uhkaa yksilönvapautta ja organisaation turvallisuutta. Siksi olemme rakentaneet Proton Meetin: tarjotaksemme Zoomiin, Google Meetiin ja Microsoft Teamsiin verrattavan yritystason kokemuksen suojaten samalla jokaisen puhelun aina käytössä olevalla päästä päähän -salauksella. Kun käytössänne on Proton Meet, kukaan — emme edes me — voi salakuunnella puheluitanne.
Kuten kaikki Protonin palvelut, Proton Meet tarjoaa tehokkaan ilmaisen tason, koska uskomme kaikkien ansaitsevan vapauden ja yksityisyyden riippumatta heidän maksukyvystään.
Olemassa olevien kokousratkaisujen turvallisuusongelma
Kuluttajapuolella monet luottavat WhatsAppin, Facebook Messengerin tai Apple FaceTimen kaltaisiin palveluihin yhdistääkseen ystäviin ja perheeseen. Vaikka nämä sovellukset käyttävät päästä päähän -salausta estääkseen palveluntarjoajaa kuuntelemasta, niihin liittyy merkittäviä haittapuolia:
- Suuri kitka ja metatietojen keruu: Jokaisen osallistujan on asennettava sovellus, luotava tili (joka usein edellyttää puhelinnumeroa tai sähköpostia) ja hänet on lisättävä ryhmään. Tämä prosessi luo suurta kitkaa ja antaa palveluntarjoajille mahdollisuuden kerätä arvokkaita sosiaalisen verkon metatietoja.
- IP-osoitteen paljastuminen: Näiden palveluiden oletuksena on usein vertaisverkkoyhteydet(uusi ikkuna). Tämä tarkoittaa, että osallistujat voivat nähdä toistensa IP-osoitteet, mikä voi mahdollisesti paljastaa heidän fyysiset sijaintinsa, elleivät he käytä luotettavaa VPN:ää(uusi ikkuna).
- Skaalautuvuusrajat: Kuluttajille suunnatut chat-sovellukset kamppailevat suurten ryhmien kanssa, koska vertaisverkkoyhteydet kasvavat eksponentiaalisesti jokaisen lisätyn osallistujan myötä. Tämän seurauksena puhelurajoitukset ovat tiukkoja — WhatsAppin raja on 32 osallistujaa, ja monien muiden 50.
Ammatillisiin kokouksiin käytetään laajalti palveluita, kuten Zoom, Google Meet ja Microsoft Teams. Nämä palvelut käyttävät datakeskuksissa olevia suuria palvelimia äänen ja videon välittämiseen, jotta ne voivat skaalautua suurempiin, jopa 1 000 osallistujan kokouksiin piilottaen samalla osallistujien IP-osoitteet toisiltaan. Ne tarjoavat myös korkean saavutettavuuden sallien käyttäjien liittyä minkä tahansa verkkoselaimen kautta luomatta tiliä.
Päästä päähän -salaus kuitenkin joko puuttuu tai on heikosti toteutettu. Pohjimmiltaan näitä alustoja ei suunniteltu yksityisyys etusijalla.
Proton Meet ratkaisee tämän ongelman hyödyntämällä huippuluokan Messaging Layer Security (MLS) -salausprotokollaa säilyttäen samalla yritysratkaisuilta odotetun saavutettavuuden ja ylläpitäjän hallintakeinot.
Tekninen suunnittelu
WebRTC takaa korkean suorituskyvyn ja helpon käytön
Kuten muiden ammattilaisten kokouspalveluiden, Proton Meetin perustana on WebRTC-teknologia ja Selective Forwarding Units (SFU) eli suuret palvelimet, jotka välittävät äänen, videon, chatin ja muun datan kaikille osallistujille.
Hyödynnämme hajautettua datakeskusten verkkoa ympäri maailmaa, kuten teemme Proton VPN:n kohdalla, tarjotaksemme suurimman luotettavuuden ja pienimmän viiveen jokaiselle puhelulle. Koska vertaisverkkoyhteyksiä ei ole, voimme skaalautua massiivisiin ryhmäpuheluihin samalla kun peitämme osallistujien IP-osoitteet toisiltaan.
Koska WebRTC on kypsä teknologia, jonka kaikki suuret selaimet ovat ottaneet käyttöön, Proton Meetiä voidaan käyttää miltä tahansa tietokoneelta tai mobiililaitteelta, jossa on verkkoselain. Voitte lähettää kokouslinkin kenelle tahansa maailmassa, ja he voivat liittyä kokoukseen välittömästi millä tahansa verkkoselaimella, vaikka heillä ei olisi Proton-tiliä tai Proton Meet -sovellusta. Verkkoselainsovelluksen lisäksi Proton Meetillä on myös työpöytä- ja mobiilisovelluksia niille, jotka suosivat sovelluksia selaimen sijaan.
Kokouksen tunnistautuminen SRP:llä, jotta Proton ei koskaan voi käyttää puheluitanne
Muiden ammattilaisten kokouspalveluiden tapaan tarjoamme ylläpitäjän hallintakeinot, jotta isännät voivat hallita kokouksiaan. Isäntä on käyttäjä, joka loi kokouslinkin ja lähetti sen muille osallistujille. On ensiarvoisen tärkeää, että isännät jakavat kokouslinkit vain luotettujen henkilöiden kanssa, sillä kuka tahansa, jolla on koko kokouslinkki, voi liittyä kokoukseen, jos sitä ei ole lukittu. Suunnittelimme Proton Meetin luomaan automaattisesti yksilöllisen salasanan jokaiselle kokoukselle, mutta tämä salasana ei ole koskaan Protonin palvelimien tiedossa, mikä estää meitä käyttämästä kokousta.
Kokouslinkki näyttää tältä:
Se sisältää kokoustunnuksen (S0NDHQ48NR) ja salasanan (LaggoOcjlq6L). Hajautusarvon symboli (#) linkissä tarkoittaa, että selain ei lähetä sen jälkeistä osaa (tässä tapauksessa salasanaa) palvelimelle. Tämä estää salasanan joutumisen lokiin tai sen käytön palvelinpuolella. Salasana luodaan isännän laitteella ja jaetaan sitten isännän muille laitteille päästä päähän -salauksella, jotta isäntä voi turvallisesti käyttää kokouslinkkejään kaikista sisäänkirjautuneista sovelluksistaan ja laitteistaan.
Kun kokouslinkki luodaan, isännän asiakassovellus tallentaa salasanan varmentajan palvelimelle, jotta Proton Meet voi käyttää Secure Remote Password (SRP) -protokollaa(uusi ikkuna) varmistaakseen, että kaikilla kokouksen osallistujilla on oikeat salasanat, ilman että palvelin koskaan tietää salasanaa. SRP on turvannut Protonin kirjautumiset viimeiset 10 vuotta ja varmistaa, että Protonin palvelimet voivat palvella oikeaa käyttäjää ilman, että Protonilla on pääsyä salasanaan, joka voi avata yksityiset avaimet.
Päästä päähän -salaus Messaging Layer Securityn (MLS) avulla
Päästä päähän -salauksen (E2EE) tavoitteena on varmistaa, että vain osallistujat voivat purkaa viestinnän salauksen. Muiden kolmansien osapuolien, mukaan lukien palveluntarjoaja, ei pitäisi pystyä salakuuntelemaan.
Useimmat E2EE-protokollat on rakennettu yhdenkeskiseen viestintään. Esimerkiksi Proton Mailissa, joka käyttää OpenPGP:tä E2EE:hen, jos lähetätte sähköpostia useille Proton Mail -käyttäjille, OpenPGP:n on salattava asymmetrisesti jokaiselle vastaanottajalle käyttäen kunkin vastaanottajan julkista avainta. Laskenta ja kaistanleveys skaalautuvat lineaarisesti osallistujien määrän mukaan, ja se muodostuu erittäin kalliiksi suurissa ryhmäkeskusteluissa ja -puheluissa.
Vuonna 2023 protokollasta nimeltä Messaging Layer Security (MLS), jonka parissa jotkut Proton-tiimin jäsenet ovat työskennelleet, tuli IETF-standardi. Se tarjoaa paljon suorituskykyisemmän tavan käyttää E2EE:tä suurille ryhmille. Ajatuksena on, että kun jäseniä lisätään tai poistetaan, he tuovat avainmateriaalia kyseiselle protokollan syklille, jota kutsutaan nimellä Epoch. Jäsenet on organisoitu binääripuuhun, jonka avulla he voivat tehokkaasti päivittää jäsenille uusia salaisuuksia, kun he siirtyvät uuteen Epoch-jaksoon. Jokainen jäsen sopii kryptografisesti siitä, kuka on ryhmässä kaikkina aikoina.
Proton Meetissä Epoch-avainta käytetään niiden avaimien johtamiseen, joita käytetään ryhmälle lähetetyn äänen, videon ja viestien salaamiseen. Kun uusi osallistuja liittyy tai kun osallistuja poistuu, tämä laukaisee avainten kierrätyksen ja kaikki alkavat käyttää uusia avaimia. Tämä tarkoittaa, että osallistujalla on kryptografiset avaimet ainoastaan purkaakseen salauksen viestinnästä, joka on lähetetty hänen liittymisensä jälkeen ja ennen ryhmästä poistumista, varmistaen välitettävän tiedon salauksen ja altistuksen jälkeisen turvallisuuden.
Proton Meetissä kaikki ääni-, video-, näytönjako- ja chat-tiedot salataan aina asiakaspuolella käyttäen MLS:n tarjoamaa avainta ennen niiden lähettämistä SFU-palvelimille, jotka yksinkertaisesti välittävät salatun datan muille osallistujille.
Proton Meet käyttää kokouksen salasanaa ennalta jaettuna avaimena (PSK) MLS:ssä varmistaakseen, että vain osallistujat, joilla on oikea kokouksen salasana, voivat johtaa oikeat MLS-avaimet. Koska Proton Meet -palvelimilla ei ole kokouksen salasanaa eivätkä ne siten voi johtaa MLS-avaimia, Proton ei voi purkaa salausta eikä tallentaa mitään ääni-, video-, näytönjako- tai chat-viestejä. Huomaa, että osallistujat voivat silti tallentaa kokouksia paikallisesti omilla laitteillaan.
Uhkamalli
Ei lokeja
Vaikka E2EE voi suojata kokouksen ääni- ja videosuoratoistoja, se ei suojaa metatietoja, kuten sosiaalisia verkkoja, jotka voivat jäädä yhdistettynä-tilaan ja vahingoittaa yksityisyyttämme. Monet Protonin käyttäjistä ovat korkean profiilin journalisteja, aktivisteja ja johtajia, joiden on varmistettava, että heidän henkilöllisyytensä ja suhteensa pysyvät luottamuksellisina. Proton Meet pyrkii datan minimointiin eikä tallenna metatietolokeja, kuten kuka tapasi kenet puhelun päätyttyä. Osallistujat voivat myös liittyä kokouksiin anonyymisti kirjautumatta Proton-tilille.
Anonyymi henkilöllisyys
Proton Meet ei paljasta kokouksen osallistujien henkilöllisyyttä toisilleen. Aina kun liitytte kokoukseen, voitte valita minkä tahansa nimen käytettäväksi kyseisessä kokouksessa. Jos olette kirjautuneet sisään, nimikenttä täytetään automaattisesti tilin ensisijaisella nimellä mukavuuden vuoksi. Tämä osallistujan nimi on päästä päähän -salattu avaimella, joka on johdettu kokouksen salasanasta, ja jaetaan sitten muiden osallistujien kanssa. Mitään henkilökohtaisesti tunnistettavia tietoja (PII), kuten sähköpostiosoite tai IP-osoite, ei ole muiden osallistujien nähtävissä. Huomatkaa, että jos lähetätte kalenterikutsuja, sähköposti paljastaa kyseiseen kalenteriin linkitetyn sähköpostiosoitteen.
Palvelimen altistus
Olemme suunnitelleet Proton Meetin pienentämään sekä Protonin palvelimiin tarvittavaa luottamusta että riskitasoa, jos palvelimemme altistuvat. Alla käymme läpi erilaisia skenaarioita ja sitä, miten käyttäjät voivat pysyä valppaina ja havaita kokoukseen tunkeutumiset.
- Ensinnäkin, jos pelkät WebRTC SFU -palvelimet altistuvat, hyökkääjä voi sensuroida ja estää ääni-, video- tai chat-tietojen välittämisen, mutta ei voi lukea tai muuttaa dataa, koska avaimet jaetaan vain MLS:n päästä päähän -salauksen kautta. SFU-palvelimet eivät myöskään pysty tunnistamaan, mikä SFU-huone vastaa mitäkin kokoustunnusta, sillä tämä kohdistus on näkyvissä vain tietokanta- ja tausta-API-palvelimillamme.
- Toiseksi, jos Proton Meetin tietokantapalvelimet altistuvat, tietovuotoriski on erittäin pieni, sillä tietokannoissa on vain kokoustunnukset eikä koskaan salasanoja tai mitään ääni-, video- tai chat-tietoja. Näin ollen hyökkääjä ei pystyisi liittymään mihinkään kokouksiin, saamaan selville menneiden kokousten osallistujia tai käyttämään mitään arkaluonteisia tietoja.
- Lopuksi, jos Proton Meetin tausta-API-palvelimet, mukaan lukien MLS-palvelimet, altistuvat, hyökkääjä voi yrittää liittyä MLS-ryhmään tekeytyen uudeksi osallistujaksi. Kuitenkin ilman kokouksen salasanaa ennalta jaetulle avaimelle, hyökkääjä ei pysty johtamaan oikeita MLS-avaimia eikä näin ollen pysty kuulemaan tai näkemään muita osallistujia. Käyttäjille, joilla on erittäin korkeat turvallisuusvaatimukset, kokoustietojen välilehti näyttää MLS-tilan, kuten Epochin, ryhmän koon ja turvakoodin, joka on johdettu Epoch-salaisuudesta. Siksi on mahdollista varmistaa, että MLS-ryhmän koko vastaa luotettujen osallistujien määrää kokouksessa ja että turvakoodi on sama kaikilla osallistujilla.
Koska MLS-tiedot on tallennettu jokaiselle asiakaslaitteelle, kaikki MLS-ryhmän muutokset näkyvät kaikille osallistujille. Joten vaikka kaikki palvelimet altistuisivat ja hyökkääjä liittyisi kokoukseen, jokainen osallistuja voisi nähdä MLS-tilan muutoksen ja sen, että osallistujia on enemmän kuin odotettiin. Koska kaikki Proton Meet -asiakasohjelmat ovat avointa lähdekoodia(uusi ikkuna), kuka tahansa voi tarkastella asiakaspuolen koodin turvallisuutta, joka toteuttaa MLS:n.
Altistunut kokouslinkki
Ensisijainen riski Proton Meet -puhelulle on luvattoman osallistujan saama käyttöoikeus jaetun linkin kautta. Tämän lieventämiseksi isännät voivat lukita kokoukset, kun odotetut osallistujat ovat saapuneet. He voivat myös mykistää äänen, pysäyttää videon tai poistaa ei-toivotut osallistujat välittömästi.
Suosittelemme myös yksilöllisen kokouslinkin luomista jokaiselle istunnolle, jotta linkkien uudelleenkäyttö eri ryhmissä estetään. Tämä hoidetaan automaattisesti käytettäessä Kokouksen ajoitus -ominaisuutta, ja pysyviä kokoushuoneiden linkkejä voidaan myös kierrättää manuaalisesti tarpeen mukaan. Tulevat päivitykset sisältävät vieläkin parannetumpia turvallisuusasetuksia.
Yhteenveto
Proton Meetin julkaisu on merkittävä virstanpylväs tehtävässämme rakentaa yksityisempi internet. Samalla kun suurten teknologiayritysten videopuheluratkaisut hyödyntävät tarvettamme yhdistää salakuuntelemalla puheluitamme ja kaupallistamalla dataamme, Proton Meetin turvallisuusmalli varmistaa, että yksityiset keskustelunne pysyvät yksityisinä.
Päästä päähän -salattu ja Euroopassa sijaitseva Proton Meet tarjoaa todella suvereenin vaihtoehdon suurille teknologiayrityksille sekä henkilökohtaiseen että ammatilliseen viestintään — suojaten teitä murroilta, valvonnalta ja hyväksikäytöltä. Nollapääsyn salauksen, monikerroksisen turvallisuuden ja eräiden maailman vahvimpien yksityisyyslakien suojaamana Proton Meet auttaa yrityksiä yksinkertaistamaan vaatimustenmukaisuutta ja suojaa kaikkia käyttäjiä Yhdysvaltojen tietopyynnöiltä ja ekstraterritoriaaliselta lainkäyttövallalta.
Periaatteitamme turvaa Protonin ensisijainen osakkeenomistaja, voittoa tavoittelematon Proton Foundation, ja liiketoimintamme on olemassa palvellakseen yhteisömme etua. Joten, kuten kaikkien palveluidemme, myös Proton Meetin kehitystä ohjaavat teidän palautteenne ja ominaisuuspyyntönne. Kiitos kaikesta tuestanne.
