Proton ha presentado Meet, un nuevo servicio de videoconferencia diseñado con encriptación de extremo a extremo. Este servicio tiene como objetivo ofrecer una alternativa centrada en la privacidad a servicios como Google Meet, Zoom y Microsoft Teams. Los usuarios no necesitan una cuenta de Proton para utilizar Meet y las reuniones de hasta 50 participantes que duren menos de 1 hora son gratuitas. Para reuniones más largas, se requiere un plan de pago que comienza en $7.99 al mes.

Proton explica que Meet fue desarrollado en respuesta a la demanda de opciones de conferencia con sede en la UE que facilitan el cumplimiento del GDPR y la Ley de Privacidad del Consumidor de California. El servicio también aborda las preocupaciones relacionadas con las complejidades introducidas por la Ley Cloud de EE. UU.

Arquitectura de Encriptación de Proton Meet

Proton Meet utiliza un protocolo de encriptación de extremo a extremo de código abierto llamado Messaging Layer Security (MLS), diseñado para la comunicación grupal en tiempo real que ha sido revisado de forma independiente. Todo el contenido multimedia y los chats se encriptan del lado del cliente, lo que significa que Proton no puede acceder o procesar ningún dato sin encriptar de las reuniones.

El servicio se basa en WebRTC y utiliza Unidades de Transmisión Selectiva para gestionar la transmisión de medios a los participantes. Cada enlace de reunión contiene un ID y una contraseña que se almacenan localmente en el cliente; la autenticación de los participantes se lleva a cabo a través del Protocolo de Contraseña Segura Remota de Proton, que ha sido utilizado en sus otros servicios durante la última década.

MLS crea un grupo criptográfico con una clave de período compartida que cambia cada vez que un participante entra o sale. Los nuevos participantes no pueden leer mensajes anteriores y los que se van no tienen acceso a mensajes futuros. Los nombres de los participantes se encriptan de extremo a extremo y las direcciones de correo electrónico e IP no se comparten entre los participantes. Proton señala que no registra quiénes asisten a una reunión.

En caso de una violación del servidor, Proton indica que las bases de datos almacenadas solo contienen los ID de las reuniones y que el tráfico de las llamadas no puede ser leído o alterado.

Consideraciones Prácticas de Seguridad, Características e Integraciones

Una vulnerabilidad de seguridad evidente es el enlace de la reunión en sí. Si el enlace se comparte con alguien que no debería tenerlo, esa persona puede unirse a la reunión. Proton sugiere bloquear la reunión cuando todos los participantes esperados estén presentes, eliminar a los participantes no reconocidos o rotar el enlace.

Meet funciona creando un enlace de conferencia compartible que no requiere ninguna configuración para los participantes. El servicio se integra con el Calendario Proton, permitiendo agregar reuniones programadas a Google Calendar y Microsoft Outlook. Proton no ha proporcionado un cronograma para características o capas de capacidad adicionales más allá de los planes gratuitos y profesionales actuales.