A Cloudflare implementou a criptografia de ponta a ponta (E2EE) em seu aplicativo de chamadas de vídeo Orange Meets e disponibilizou o código-fonte aberto para transparência.
O aplicativo está disponível desde o ano passado, quando o gigante da internet o lançou como uma demonstração para o Cloudflare Calls (agora Realtime).
Com a introdução do E2EE e a resolução de várias questões de confiança e verificação, os usuários interessados em segurança criptográfica robusta podem explorar o Orange Meets como uma base para chamadas de vídeo seguras em contextos de pesquisa ou prototipagem.
O Orange Meets implementa a criptografia de ponta a ponta usando o Messaging Layer Security (MLS), um protocolo de troca de chaves em grupo padronizado pela IETF.
A implementação baseada em Rust do MLS no Orange Meets permite o acordo contínuo de chaves em grupo, o que suporta a troca segura de chaves em grupo, segredo antecipado, segurança pós-compromisso e escalabilidade.
A criptografia é totalmente gerenciada no lado do cliente usando WebRTC, de modo que a Cloudflare ou a Unidade de Encaminhamento Seletivo (SFU) atuam como intermediários de encaminhamento que não têm acesso aos dados sensíveis da comunicação.
A Cloudflare também introduziu um "Algoritmo de Committer Designado" que gerencia de forma segura as mudanças dinâmicas de membros do grupo (usuário entra/sai de uma chamada de vídeo).
Esse sistema designa praticamente um membro específico como a parte que governa as atualizações do MLS de forma totalmente client-side, selecionando automaticamente um novo committer designado com base no estado do grupo.
Por fim, cada sessão de videoconferência exibe um "número de segurança" representando o estado criptográfico do grupo, encorajando os participantes a verificá-lo fora da plataforma.
Isso impede ataques do tipo "Monster-in-the-Middle" (MitM), onde um servidor malicioso substitui o material de chave.
A Cloudflare modelou formalmente o Algoritmo de Committer Designado em TLA+, uma linguagem de especificação usada para verificar matematicamente que o protocolo se comporta corretamente sob todas as condições possíveis, identificando assim bugs sutis de casos limites.
Dito isso, é essencial enfatizar que o Orange Meets é mais uma vitrine técnica e um protótipo de código aberto do que um produto de consumo polido.
Ele não é tão rico em recursos e fácil de usar quanto Zoom, Google Meet, Signal ou Microsoft Teams e ainda não foi exaustivamente auditado ou testado em batalha.
A ferramenta da Cloudflare é mais voltada para desenvolvedores interessados na integração do MLS e em criptografia, assim como para entusiastas da privacidade e usuários curiosos que desejam experimentar chamadas de vídeo E2EE de código aberto.
Também é adequada para pesquisadores ou engenheiros que avaliam implementações do MLS.
O Orange Meets não requer instalação para testar ou usar, pois uma demonstração ao vivo está disponível online.
Alternativamente, os usuários podem configurar a própria instância usando o código-fonte disponível neste repositório do GitHub.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...