A Cloudflare acaba de elevar o padrão de segurança da sua aplicação de videochamadas, a Orange Meets, ao implementar encriptação de ponta a ponta (E2EE) e ao disponibilizar toda a solução em código aberto para máxima transparência. Lançada no ano passado como uma demonstração da plataforma Cloudflare Calls (agora conhecida como Realtime), a aplicação transforma-se agora numa ferramenta robusta para quem valoriza a privacidade nas suas comunicações.
Com esta atualização, a Orange Meets posiciona-se como uma base sólida para investigação ou desenvolvimento de protótipos de videochamada segura, respondendo aos problemas de confiança e verificação que muitas vezes afetam estas plataformas.
Uma fortaleza de encriptação
O sistema de encriptação da Orange Meets baseia-se no Messaging Layer Security (MLS), um protocolo standard da IETF desenhado para trocas de chaves em grupo. A implementação, feita em Rust, permite um acordo de chaves contínuo, garantindo não só a troca segura de chaves de grupo, mas também funcionalidades essenciais como forward secrecy (se uma chave for comprometida, as comunicações passadas continuam seguras) e segurança pós-comprometimento.
Toda a magia da encriptação acontece diretamente no dispositivo do utilizador (client-side) através de WebRTC. Isto significa que a Cloudflare, ou a sua Unidade de Encaminhamento Seletivo (SFU), atuam apenas como intermediários que reencaminham os dados, sem nunca terem acesso ao conteúdo sensível das conversas.
Transparência e segurança verificável
Para gerir a entrada e saída de participantes numa videochamada de forma segura, a Cloudflare introduziu um mecanismo inovador chamado "Designated Committer Algorithm". Este sistema designa um dos participantes como o responsável por gerir as atualizações do protocolo MLS, selecionando automaticamente um novo responsável caso o estado do grupo se altere.
Além disso, cada sessão de videoconferência exibe um "número de segurança", que representa o estado criptográfico do grupo. Os participantes são incentivados a verificar este número entre si (fora da plataforma, por exemplo, através de uma mensagem), de forma a prevenir ataques "Monster-in-the-Middle" (MitM), onde um servidor malicioso poderia tentar substituir as chaves de encriptação. Para garantir a sua robustez, o algoritmo foi matematicamente verificado com TLA+, uma linguagem de especificação que comprova o comportamento correto do protocolo em todas as condições possíveis.
Mais um protótipo do que um rival do Zoom
É importante sublinhar que a Orange Meets é, acima de tudo, uma montra tecnológica e um protótipo de código aberto, e não um produto de consumo polido. Não espere encontrar a mesma riqueza de funcionalidades ou a facilidade de utilização de plataformas como o Zoom, Google Meet, Signal ou Microsoft Teams, até porque ainda não passou por auditorias de segurança exaustivas.
A ferramenta da Cloudflare está mais orientada para programadores interessados na integração do MLS e em criptografia, bem como para entusiastas da privacidade e utilizadores curiosos que gostam de explorar tecnologias de videochamada com encriptação de ponta a ponta.
Para experimentar a Orange Meets, não é necessário instalar qualquer aplicação, estando uma demonstração disponível online. Em alternativa, os utilizadores podem configurar a sua própria instância utilizando o código-fonte, que se encontra disponível neste repositório do GitHub.
Nenhum comentário
Seja o primeiro!