Discord, platformdaki ses ve video çağrılarını yetkisiz müdahalelerden korumak için tasarlanmış özel bir uçtan uca şifreleme (E2EE) protokolü olan Dave Protokolü'nü tanıttı.
Dave, E2EE sisteminin kodunu ve uygulamasını da denetleyen Bits Trail'deki siber güvenlik uzmanlarının yardımıyla oluşturuldu.
Yeni sistem, özel kanallardaki kullanıcılar, küçük grup sohbetlerindeki ses ve video görüşmeleri, daha büyük grup konuşmaları için kullanılan sunucu tabanlı ses kanalları ve gerçek zamanlı akış arasındaki bire bir ses ve video çağrılarını kapsayacaktır.
Discord'un duyurusunu, "Bugün, DMS, Grup DMS, ses kanalları, Ses Kanalları ve E2EE kullanmak için canlı akışlara gitmeye başlayacağız."
Diyerek şöyle devam etti: "Bu çağrılardaki çağrıların uçtan uca şifreli olduğunu ve diğer üyelerin doğrulanmasını gerçekleştirebileceksiniz."
Başlangıçta oyuncuların oyun sırasında iletişim kurması için inşa edilen Discord, artık dünyanın en popüler iletişim platformlarından biri haline geldi ve ortak çıkarları, yaratıcılar, işletmeler ve çeşitli topluluklara sahip gruplara hitap etti.
Dave'in tanıtımı, 200 milyondan fazla kişi tarafından kullanılan platformda veri güvenliğini ve gizliliğini artırmak için önemli bir harekettir.
En önemlisi, Discord protokolü ve destek kütüphanelerini açık kaynak yapmaya karar verdi ve güvenlik araştırmacıları tarafından incelemeye izin verdi. Topluluğa karşı şeffaflık sağlayan tam teknik bilgilere sahip bir teknik inceleme de yayınlandı.
Dave, medya çerçevelerinin (ses ve video) kodlandıktan sonra ve iletim için paketlenmeden önce şifrelenmesini sağlayan WebRTC kodlu Dönüşüm API'sını kullanır. Alıcı uç çerçevelerin şifresini çözer ve daha sonra kod çözer.
Sadece başlıklar ve ayrılmış diziler gibi özel kodek meta verileri şifrelenmemiş olarak bırakılır.
Anahtar yönetimini ilgilendiren şeyde, Mesajlaşma Katmanı Güvenliği (MLS) protokolü güvenli ve ölçeklenebilir grup anahtar değişimleri için kullanılırken, her katılımcının sıralı bir simetrik ortam şifreleme anahtarı vardır. Eliptik Eğri Dijital İmza Algoritması (ECDSA), kimlik anahtar çiftleri oluşturmak için kullanılır.
Bir grubun kompozisyonu değiştiğinde (bir üye ayrılır veya yeni bir üye birleşir), yeni bir 'dönem' başlar ve grubun şifreleme durumu yeni anahtarlar üreterek bu yeni çağa geçer. Bu süreç, katılımcılar için belirgin bir kesinti olmaksızın tamamlanmalıdır.
Discord, MLS'nin anahtar borsalar için biraz gecikme eklediğini söylüyor, ancak Dave bu gecikmeyi büyük grup çağrılarında bile birkaç yüz milisaniye eşiğinin altında tutmak için tasarlandı.
Son olarak, kullanıcı doğrulaması ile ilgili olarak, grubun MLS Epoch durumundan türetilen 'Ses Gizlilik Kodları' adı verilen doğrulama kodlarının karşılaştırılması gibi bant dışı yöntemler vardır.
Kalıcı izlemeye direnç, kullanıcılara her çağrı için yeni bir anahtar atandığından, geçici kimlik tuşları kullanılarak elde edilir.
Discord, Dave'e uygun tüm kanalların geçiş sürecini başlattı ve kullanıcılar, arayüzdeki ilgili göstergeyi kontrol ederek çağrılarının uçtan uca şifrelenmediğini doğrulayabilecekler.
Tüm kullanıcıların tüm cihazlarda ve kanallarda yeni E2EE sistemine tam erişime sahip olması biraz zaman alması beklenir.
Kullanıcıların en son müşteri uygulamasına yükseltmekten başka bir şey yapmaları gerekmez, çünkü eski istemciler yalnızca aktarma şifrelemesiyle sınırlandırılacaktır.
İlk piyasaya sürme, Discord'un masaüstü ve mobil uygulamalarını kapsayacak ve web istemcileri gelecekte takip edecek.
CISA, yazılım geliştiricilerini XSS güvenlik açıklarını ayıklamaya çağırıyor
Wix 12 Eylül'den itibaren Rus kullanıcılarını engellemek için
Revival Hack Tedarik Zinciri Saldırısı 22.000 PYPI paketini tehdit ediyor
Fikir Rusya'dan çıkıyor ve Eylül ayında hesapları sonlandıracak
Eski Avaya çalışanı 88 milyon dolarlık lisans korsanlığı planı için 4 yıl alıyor
Kaynak: Bleeping Computer