Proton, um novo serviço de videoconferência chamado Meet, projetado com criptografia de ponta a ponta. Este serviço tem como objetivo oferecer uma alternativa focada na privacidade a serviços como Google Meet, Zoom e Microsoft Teams. Os usuários não precisam de uma conta Proton para usar o Meet, e reuniões de até 1 hora com até 50 participantes são gratuitas. Para reuniões mais longas, é necessário um plano pago a partir de $7,99 por mês.

Proton explica que o Meet foi desenvolvido em resposta à demanda por opções de conferência baseadas na UE que facilitam a conformidade com o GDPR e a Lei de Privacidade do Consumidor da Califórnia. O serviço também aborda preocupações relacionadas às complexidades trazidas pela Lei Cloud Act dos EUA.

Arquitetura de Criptografia do Proton Meet

Proton Meet utiliza um protocolo de criptografia de ponta a ponta de código aberto chamado Messaging Layer Security (MLS), projetado para comunicação em grupo em tempo real que foi revisado de forma independente. Toda a mídia e chat são criptografados no lado do cliente; isso significa que a Proton não pode acessar ou processar quaisquer dados não criptografados das reuniões.

O serviço é construído sobre WebRTC e utiliza Unidades de Transmissão Seletiva para gerenciar a transmissão de mídia aos participantes. Cada conexão de reunião contém um ID e uma senha armazenados localmente no cliente; a autenticação dos participantes é realizada através do Protocolo de Senha Segura Remota da Proton, que tem sido utilizado em seus outros serviços nos últimos dez anos.

O MLS cria um grupo criptográfico com uma chave de período compartilhada que muda sempre que um participante entra ou sai. Novos participantes não conseguem ler mensagens anteriores, e aqueles que saem não têm acesso a mensagens futuras. Os nomes dos participantes são criptografados de ponta a ponta, e endereços de e-mail e endereços IP não são compartilhados entre os participantes. A Proton afirma que não registra quem participou de uma reunião.

Em caso de violação do servidor, a Proton afirma que os bancos de dados armazenados contêm apenas os IDs das reuniões e que o tráfego de chamadas não pode ser lido ou alterado.

Considerações Práticas de Segurança, Recursos e Integrações

Uma vulnerabilidade de segurança evidente é a própria conexão da reunião. Se a conexão for compartilhada com alguém que não deveria recebê-la, essa pessoa pode participar da reunião. A Proton recomenda bloquear a reunião quando todos os participantes esperados estiverem presentes, remover participantes não reconhecidos ou girar o link.

O Meet funciona criando um link de conferência compartilhável que não requer nenhuma configuração por parte dos participantes. O serviço é integrado ao Proton Calendar, permitindo adicionar reuniões agendadas ao Google Calendar e Microsoft Outlook. A Proton não divulgou um cronograma para recursos ou camadas de capacidade adicionais além dos planos gratuitos e profissionais existentes.