Het populaire sociale berichtenplatform Discord heeft aangekondigd dat het een nieuw, aangepast end-to-end gecodeerd (E2EE) protocol gaat uitrollen om audio- en videogesprekken te beveiligen.
Het protocol is gedoopt DAVEeen afkorting voor Discord’s end-to-end encryptie voor audio en video (“E2EE A/V”).
Als onderdeel van de wijziging die vorige week is doorgevoerd, wordt verwacht dat spraak en video in DM’s, groeps-DM’s, spraakkanalen en Go Live-streams worden gemigreerd naar DAVE.
Dat gezegd hebbende, is het belangrijk om te weten dat berichten op Discord ongecodeerd blijven en onderhevig zijn aan de contentmoderatieaanpak van Discord.
“Wanneer we overwegen om nieuwe privacyfuncties toe te voegen, zoals E2EE A/V, doen we dat niet los van veiligheid,” aldus Discord. “Daarom is veiligheid geïntegreerd in ons product en beleid, en zijn berichten op Discord niet-versleuteld.”
“Berichten blijven onderworpen aan onze aanpak voor inhoudsmoderatie, waardoor we extra veiligheidsmaatregelen kunnen blijven bieden.”
DAVE is openbaar controleerbaar en is beoordeeld door Trail of Bits, waarbij het protocol gebruikmaakt van WebRTC-gecodeerde transformaties en Message Layer Security (MLS) voor respectievelijk encryptie en groepssleuteluitwisseling (GKE).
Hierdoor kunnen mediaframes, buiten de codec-metagegevens, worden gecodeerd nadat ze zijn gecodeerd en gedecodeerd voordat ze aan de ontvangerszijde worden gedecodeerd.
“Elk frame wordt gecodeerd of gedecodeerd met een per-sender symmetrische sleutel,” zei Discord. “Deze sleutel is bekend bij alle deelnemers aan de audio- en videosessie, maar cruciaal is onbekend bij elke buitenstaander die geen lid is van de oproep, inclusief Discord.”
Het gebruik van MLS maakt het daarentegen mogelijk voor gebruikers om deel te nemen aan of te vertrekken uit een spraak- of videosessie op Discord. Dit gebeurt op zo’n manier dat nieuwe deelnemers de media die vóór hun deelname zijn verzonden niet kunnen decoderen en dat vertrekkende leden in de toekomst geen media meer kunnen decoderen.
“De bestaande transportencryptie van Discord voor audio en video tussen de client en onze selectieve doorstuureenheid (SFU) blijft behouden, waardoor alleen audio en video van geauthenticeerde gespreksdeelnemers worden doorgestuurd”, aldus het rapport.
“Hoewel de SFU nog steeds alle pakketten voor het gesprek verwerkt, worden de audio- of videogegevens in elk pakket end-to-end gecodeerd en kunnen ze niet door de SFU worden ontsleuteld.”
De ontwikkeling volgt enkele dagen nadat de GSM Association (GSMA), het bestuursorgaan dat toezicht houdt op de ontwikkeling van het Rich Communications Services (RCS)-protocol, aangaf dat het werkt aan de implementatie van E2EE om berichten te beveiligen die tussen de Android- en iOS-ecosystemen worden verzonden.