O mare parte din comunicațiile noastre cele mai importante au loc acum prin apeluri video conectate (online). Cu toate acestea, progresele recente în domeniul AI și al tehnologiei de extragere a datelor au expus aceste apeluri la un risc ridicat de exploatare și abuz.

Multe servicii de videoconferință sunt susținute de modele publicitare sau de cursa inteligenței artificiale pentru a înregistra, transcrie și stoca cât mai multe date posibile despre întâlniri. Aceste companii Big Tech pot acum să implementeze ieftin inteligența artificială generativă pentru a analiza și învăța din tot ceea ce se spune și se prezintă în întâlnirile noastre.

În era inteligenței artificiale, videoconferințele necriptate amenință libertatea individuală și securitatea organizației. De aceea am creat Proton Meet: pentru a oferi o experiență de nivel enterprise comparabilă cu Zoom, Google Meet și Microsoft Teams, protejând în același timp fiecare apel cu o criptare de la un capăt la altul mereu activă. Cu Proton Meet, nimeni — nici măcar noi — nu vă poate intercepta apelurile.

La fel ca toate serviciile Proton, Proton Meet oferă un nivel gratuit puternic deoarece credem că toată lumea merită libertate și confidențialitate, indiferent de capacitatea lor de a plăti pentru acestea.

Problema de securitate a soluțiilor existente pentru întâlniri

În ceea ce privește consumatorii, mulți se bazează pe servicii precum WhatsApp, Facebook Messenger sau Apple FaceTime pentru conectarea cu prietenii și familia. Deși aceste aplicații folosesc criptarea de la un capăt la altul pentru a împiedica furnizorul să asculte, ele vin cu dezavantaje semnificative:

  • Fricțiune ridicată & colectare de metadate: Fiecare participant trebuie să instaleze aplicația, să creeze un cont (adesea necesitând un număr de telefon sau un e-mail) și să fie adăugat la un grup. Acest proces creează o fricțiune ridicată și permite furnizorilor să adune metadate valoroase din rețeaua socială.
  • Expunerea adreselor IP: Aceste servicii recurg adesea implicit la conexiuni peer-to-peer(fereastră nouă). Acest lucru înseamnă că participanții își pot vedea reciproc adresele IP, dezvăluindu-și potențial locurile fizice în care se află, cu excepția cazului în care utilizează un VPN de renume(fereastră nouă).
  • Limite de scalabilitate: Aplicațiile de chat pentru consumatori au dificultăți cu grupurile mari deoarece conexiunile peer-to-peer cresc exponențial cu fiecare participant adăugat. Prin urmare, limitele apelurilor sunt stricte — WhatsApp este limitat la 32 de participanți, iar multe altele se limitează la 50.

Pentru întâlnirile profesionale, sunt utilizate pe scară largă servicii precum Zoom, Google Meet și Microsoft Teams. Aceste servicii folosesc servere masive în centre de date pentru a retransmite audio și video, astfel încât se pot scala la întâlniri mai mari, cu până la 1.000 de participanți, asigurând ascunderea adreselor IP ale participanților între ele. De asemenea, acestea oferă o accesibilitate ridicată, permițând utilizatorilor să se alăture prin intermediul oricărui browser web, fără a crea un cont.

Cu toate acestea, criptarea de la un capăt la altul (E2EE) este fie absentă, fie implementată slab. Fundamental, aceste platforme nu au fost concepute cu confidențialitatea ca prioritate.

Proton Meet rezolvă această dilemă prin utilizarea protocolului de criptare de ultimă generație Messaging Layer Security (MLS), păstrând în același timp accesibilitatea și controalele administrative așteptate de la soluțiile enterprise.

Design tehnic

WebRTC pentru performanțe ridicate și accesare ușoară

Similar altor servicii profesionale de întâlniri, baza Proton Meet este tehnologia WebRTC cu unități de redirecționare selectivă (Selective Forwarding Units – SFU), care sunt serverele mari ce retransmit audio, video, chat și alte date către toți participanții.

Utilizăm o rețea distribuită de centre de date în întreaga lume, la fel cum o facem pentru Proton VPN, pentru a oferi cea mai mare fiabilitate și cea mai mică latență pentru fiecare apel. Deoarece nu există conexiuni peer-to-peer, ne putem scala la apeluri de grup masive, mascând în același timp adresele IP ale participanților între ei.

Diagramă care demonstrează modul în care Proton Meet utilizează unitățile de redirecționare selectivă pentru fiabilitate

Deoarece WebRTC este o tehnologie matură adoptată de toate browserele majore, Proton Meet poate fi accesat de pe orice computer sau dispozitiv mobil cu un browser web. Puteți trimite un link de întâlnire oricui din lume și aceștia se pot alătura întâlnirii instantaneu în orice browser web, chiar dacă nu au un cont Proton sau o aplicație Proton Meet. Pe lângă aplicația pentru browserul web, Proton Meet dispune și de aplicații pentru desktop și dispozitive mobile pentru cei care preferă să utilizeze aplicații în loc de un browser.

Autentificarea întâlnirii cu SRP, astfel încât Proton să nu poată accesa niciodată apelurile dvs.

Similar altor servicii profesionale de întâlniri, oferim controale de administrator pentru ca gazdele să se ocupe de gestionarea întâlnirilor lor. Gazda este utilizatorul care a creat linkul întâlnirii și l-a trimis altor participanți. Este esențial ca gazdele să partajeze linkurile întâlnirilor doar cu persoane aprobate, deoarece oricine are linkul complet al întâlnirii se poate alătura acesteia dacă întâlnirea nu este blocată. Am proiectat Proton Meet pentru a genera automat o parolă unică pentru fiecare întâlnire, dar această parolă nu este niciodată cunoscută de serverele Proton, împiedicându-ne să accesăm o întâlnire.

Un link de întâlnire arată astfel:

Diagramă care ilustrează componentele unui link de întâlnire Proton Meet

Acesta include un ID de întâlnire (S0NDHQ48NR) și o parolă (LaggoOcjlq6L). Simbolul hash (#) din link înseamnă că partea de după el (parola, în cazul nostru) nu este trimisă la server de către browser. Acest lucru previne ca parola să fie înregistrată în jurnal sau accesată pe partea de server. Parola este generată pe dispozitivul gazdei și apoi partajată cu celelalte dispozitive ale gazdei printr-o criptare de la un capăt la altul, astfel încât gazda să poată accesa în siguranță linkurile de întâlnire de pe toate aplicațiile și dispozitivele sale conectate.

Când este creat un link de întâlnire, clientul gazdei stochează un verificator de parolă pe server, astfel încât Proton Meet să poată utiliza protocolul Secure Remote Password (SRP)(fereastră nouă) pentru a se asigura că toți participanții la întâlnire au parolele corecte, fără ca serverul să cunoască vreodată parola. SRP a asigurat conectările Proton în ultimii 10 ani și garantează că serverele Proton pot deservi utilizatorul potrivit fără ca Proton să aibă acces la parola care poate debloca cheile private.

Criptare de la un capăt la altul cu Messaging Layer Security (MLS)

Scopul criptării de la un capăt la altul (E2EE) este de a asigura că numai participanții pot decripta comunicarea. Alte părți terțe, inclusiv furnizorul de servicii, nu ar trebui să poată intercepta conversațiile.

Majoritatea protocoalelor E2EE sunt construite pentru comunicarea 1-la-1. De exemplu, în Proton Mail, care folosește OpenPGP pentru E2EE, dacă trimiteți un e-mail către mai mulți utilizatori Proton Mail, OpenPGP trebuie să cripteze asimetric pentru fiecare destinatar folosind cheia publică a fiecărui destinatar. Calculul și lățimea de bandă se scalează liniar cu numărul de participanți și devine foarte costisitor pentru chaturile și apelurile de grup mari.

În 2023, un protocol numit Messaging Layer Security (MLS), la care au lucrat unii membri ai echipei Proton, a devenit un standard IETF. Acesta oferă o modalitate mult mai performantă de a utiliza E2EE pentru grupuri mari. Ideea este că pe măsură ce membrii sunt adăugați sau eliminați, ei contribuie cu material de chei pentru acel ciclu al protocolului, denumit Epoch. Membrii sunt organizați într-un arbore binar care le permite să actualizeze eficient membrii cu noi secrete la introducerea într-un nou Epoch. Fiecare membru este de acord din punct de vedere criptografic cu privire la cine se află în grup în orice moment.

În Proton Meet, cheia Epoch este utilizată pentru a deriva cheile folosite pentru a cripta audio, video și mesajele trimise către grup. Când se alătură un participant nou sau când un participant pleacă, acest lucru declanșează o rotație a cheilor și toată lumea începe să utilizeze chei noi. Acest lucru înseamnă că un participant deține cheile criptografice doar pentru a decripta comunicarea trimisă după ce s-a alăturat și înainte de a părăsi grupul, asigurând secretul redirecționării și securitatea post-compromitere.

În Proton Meet, toate datele audio, video, de partajare a ecranului și din chat sunt întotdeauna criptate pe partea clientului utilizând o cheie furnizată de MLS înainte de trimiterea la serverele SFU, care pur și simplu redirecționează datele criptate către ceilalți participanți.

Proton Meet utilizează parola întâlnirii ca o cheie pre-partajată (PSK) în MLS pentru a se asigura că numai participanții cu parola corectă a întâlnirii pot deriva cheile MLS potrivite. Deoarece serverele Proton Meet nu dețin parola întâlnirii și, prin urmare, nu pot deriva cheile MLS, Proton nu poate decripta și înregistra niciunul dintre mesajele audio, video, de partajare a ecranului sau de chat. Rețineți că participanții pot totuși înregistra întâlnirile local pe dispozitivele lor.

Model de amenințare

Fără jurnale

Deși E2EE poate securiza fluxurile audio și video ale întâlnirilor, nu protejează metadatele, cum ar fi rețelele sociale, care pot persista online și ne pot afecta confidențialitatea. Mulți dintre utilizatorii Proton sunt jurnaliști de profil înalt, activiști și directori care trebuie să se asigure că identitățile și relațiile lor rămân confidențiale. Proton Meet vizează minimizarea datelor și nu stochează jurnale de metadate, cum ar fi cine a participat cu cine după încheierea apelului. Participanții se pot alătura, de asemenea, întâlnirilor în mod anonim, fără a se conecta la un cont Proton.

Identitate anonimă

Proton Meet nu dezvăluie identitatea participanților la întâlnire unii altora. De fiecare dată când vă alăturați unei întâlniri, puteți alege orice nume pentru respectiva întâlnire. Dacă sunteți conectat, câmpul numelui se va completa automat cu numele principal al contului pentru comoditate. Numele acestui participant este criptat de la un capăt la altul cu o cheie derivată din parola întâlnirii și apoi este partajat cu alți participanți. Nicio informație de identificare personală (PII), cum ar fi adresa de e-mail sau adresa IP, nu este vizibilă pentru ceilalți participanți. Rețineți că, dacă trimiteți invitații de calendar, e-mailul va dezvălui adresa de e-mail legată de acel calendar.

Compromiterea serverului

Am proiectat Proton Meet pentru a minimiza atât cantitatea de încredere necesară în serverele Proton, cât și nivelul de risc în cazul în care serverele noastre sunt compromise. Mai jos, vom parcurge diferite scenarii și vom arăta cum pot utilizatorii să rămână vigilenți și să detecteze intruziunile în întâlniri.

  • În primul rând, dacă doar serverele WebRTC SFU sunt compromise, atacatorul poate cenzura și bloca redirecționarea datelor audio, video sau de chat, dar nu le poate citi sau modifica, deoarece cheile sunt partajate doar prin criptarea de la un capăt la altul MLS. De asemenea, serverele SFU nu pot identifica ce cameră SFU corespunde cărui ID de întâlnire, deoarece acea mapare este vizibilă doar în baza noastră de date și pe serverele API backend.
  • În al doilea rând, dacă serverele de baze de date ale Proton Meet sunt compromise, există un risc foarte mic de divulgare a datelor, deoarece bazele de date conțin doar ID-urile întâlnirilor și nu dețin niciodată parolele sau datele audio, video sau de chat. Așadar, atacatorul nu s-ar putea alătura niciunei întâlniri, nu ar putea afla participanții la întâlnirile trecute și nu ar avea acces la nicio dată sensibilă.
  • În cele din urmă, dacă serverele API backend ale Proton Meet, inclusiv serverele MLS, sunt compromise, un atacator poate încerca să se alăture grupului MLS, dându-se drept un nou participant. Totuși, fără parola întâlnirii pentru cheia pre-partajată, atacatorul nu va putea deriva cheile MLS potrivite și, astfel, nu îi va putea auzi sau vedea pe ceilalți participanți. Pentru utilizatorii cu cerințe de securitate extrem de ridicate, fila cu informații despre întâlnire afișează starea MLS, cum ar fi numărul Epoch, mărimea grupului și codul de securitate derivat din secretul Epoch. Prin urmare, se poate verifica dacă mărimea grupului MLS se potrivește cu numărul de participanți aprobați din întâlnire și dacă codul de securitate este același pentru toți participanții.
Imagine care descrie informații despre implementarea Messaging Layer Security în Proton Meet, afișate într-o fereastră în timpul unui apel video în curs

Deoarece datele MLS sunt stocate pe fiecare dispozitiv client, orice modificare adusă grupului MLS va fi vizibilă pentru toți participanții. Așadar, chiar dacă toate serverele sunt compromise și un atacator se alătură întâlnirii, fiecare participant va putea vedea schimbarea stării MLS și faptul că există mai mulți participanți decât era de așteptat. Având în vedere că toți clienții Proton Meet au cod sursă public(fereastră nouă), oricine poate revizui securitatea codului din partea clientului care implementează MLS.

Link de întâlnire compromis

Riscul principal pentru un apel Proton Meet este ca un participant neautorizat să obțină acces printr-un link partajat. Pentru a atenua acest lucru, gazdele pot bloca întâlnirile odată ce au sosit participanții așteptați. De asemenea, pot opri sunetul, opri videoul sau pot elimina instantaneu participanții nedoriți.

Vă recomandăm, de asemenea, să generați un link de întâlnire unic pentru fiecare sesiune, pentru a preveni reutilizarea linkului în diferite grupuri. Acest lucru este gestionat automat atunci când utilizați caracteristica de programare a întâlnirilor, iar linkurile permanente ale sălilor de întâlnire pot fi, de asemenea, rotite manual, după cum este necesar. Actualizările viitoare vor include controale de securitate și mai avansate.

Concluzie

Lansarea Proton Meet este o etapă semnificativă în misiunea noastră de a construi un internet mai privat. În timp ce soluțiile Big Tech pentru apeluri video profită de nevoia noastră de a ne conecta interceptându-ne apelurile și monetizându-ne datele, modelul de securitate al Proton Meet garantează că conversațiile dvs. private rămân private.

Criptat de la un capăt la altul și cu sediul în Europa, Proton Meet oferă o alternativă cu adevărat suverană la Big Tech, atât pentru comunicarea personală, cât și profesională — protejându-vă de încălcări, supraveghere și exploatare. Protejat prin criptare cu zero acces, o securitate pe mai multe straturi și unele dintre cele mai puternice legi privind confidențialitatea din lume, Proton Meet ajută companiile să simplifice conformitatea și protejează toți utilizatorii de solicitările de date din SUA și de jurisdicția extrateritorială.

Principiile noastre sunt protejate de acționarul principal al Proton, fundația nonprofit Proton Foundation, iar afacerea noastră există pentru a servi intereselor comunității noastre. Prin urmare, la fel ca toate serviciile noastre, dezvoltarea Proton Meet va fi ghidată de feedbackul dvs. și de solicitările de caracteristici. Vă mulțumim pentru tot sprijinul.