<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small">On Sat, Apr 4, 2020 at 9:33 PM John Levine <<a href="mailto:johnl@iecc.com">johnl@iecc.com</a>> wrote:<br></div></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Zoom describes their encryption here.  tl;dr it's end to end for compatible clients,<br>
it's end to "connector" for stuff that has to be transcoded.  All of their own clients<br>
are compatible, transcoding is for H.323, phone calls, recordings, and such.<br>
<br>
<a href="https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/" rel="noreferrer" target="_blank">https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/</a><br>
<br>
No comment on the claim that everyone uses the same key.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">Looks like the system has the same problem as Signal: Yes the communications are end-to-end but you are trusting the provider of the client (and possibly the service) to not defect in the face of a government warrant. If there is only one client provider, they can change the protocol without telling anyone. Signal is particularly awful in this respect as it seems to demand an update every ten days.</div><br></div><div><div class="gmail_default" style="font-size:small">My concern about the risk of government mandated backdoors is considerably greater with the greatly increased likelihood of an attempt to cancel the November election in the US. </div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The underlying problem is that no communication infrastructure built on a monopoly service provider can be secure against this type of attack.</div><br></div></div></div>