2020 年新型冠狀病毒爆發,導致許多課程和會議透過線上平台進行,然而使用率極高的 Zoom 在隨後被爆出多項資安漏洞,許多單位紛紛下達禁用令。而原先討論度不高的 Jitsi,因由唐鳳推薦而備受討論。然而,Jitsi 是否無條件安全,亦或在特別的情境下才能保證使用者隱私。本篇文章將淺談視訊會議開源軟體 Jitsi,並探討如何使用才能保障使用者隱私。
本文作者:Vince (from WiSECURE Technologies)
Jitsi 為 2003 年,由位於法國的史特拉斯堡大學(University of Strasbourg)學生發起的計畫,隨後由其中成員於 2009 年創立公司,正式經營平台。以下為 Jitsi 的特色:
1. 網路瀏覽器、iOS 及 Android 平台皆可使用
2. 開源軟體
3. 可架設私人伺服器
4. 最多容納 75 人,但維持在 35 人較能保證會議品質
5. 允許透過 YouTube 等外部直播平台傳輸影像,解決人數過多影響品質的問題
6. 無需註冊或綁定私人帳號即可使用
7. 允許分享螢幕畫面
談到資安隱憂,最關鍵的在於加密機制及流程。Jitsi 採用 Hop-by-hop encryption,意即資料先於用戶端加密後傳送到伺服器,伺服器解密完後,再加密一次傳給其他與會人員。據相關學術論文指出,此機制能解決點對點(end-to-end)連線不穩定或受干擾的問題,因為當時無線傳輸尚未成熟,若直接進行長距離點對點,傳送過程資料容易遺失。然而,因在伺服器端會解密一次,若伺服器不被信任,資安隱憂不亞於 Zoom。
最終仍然回到安全性(security)和易用性(usability)的兩難。若要提升安全層級,無法隨拿即用,必須事先分析潛在威脅,設定安全條件。而 Jitsi 的安全性前提為:
1. 架設私人伺服器或由可信任單位管理伺服器
2. 開源軟體持續由專業人士審閱
如此才能真正地安心使用 Jitsi,否則並不會因為轉移到 Jitsi,就遠比 Zoom 得到更多隱私保障。
值得慶幸的是,Hop-by-hop 的相關研究為 2007 年發表,代表當時點對點傳輸尚未成熟。而現在無線網路技術已經成熟,Jitsi 正在部屬點對點加密(end-to-end encryption),未來可以期待 Jitsi 全程以密文傳輸的機制。
參考資料:
Heimlicher, Simon & Nuggehalli, Pavan & May, Martin. (2007). End-to-end vs. hop-by-hop transport. SIGMETRICS Performance Evaluation Review. 35. 59-60. 10.1145/1328690.1328716
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!